Aangepaste installatie van Azure Active Directory Verbinding maken

Gebruik aangepaste instellingen in Azure Active Directory (Azure AD) Verbinding maken wanneer u meer opties voor de installatie wilt. Gebruik deze instellingen, bijvoorbeeld als u meerdere forests hebt of als u optionele functies wilt configureren. Gebruik aangepaste instellingen in alle gevallen waarin snelle installatie niet voldoet aan uw implementatie- of topologiebehoeften.

Vereisten:

Aangepaste installatie-instellingen

Als u een aangepaste installatie voor Azure AD-Verbinding maken wilt instellen, gaat u door de wizardpagina's die in de volgende secties worden beschreven.

Snelle instellingen

Selecteer Aanpassen op de pagina Express Instellingen om een installatie met aangepaste instellingen te starten. In de rest van dit artikel wordt u begeleid bij het aangepaste installatieproces. Gebruik de volgende koppelingen om snel naar de informatie voor een bepaalde pagina te gaan:

Vereiste onderdelen installeren

Wanneer u de synchronisatieservices installeert, kunt u de optionele configuratiesectie niet selecteren. Azure AD Verbinding maken stelt alles automatisch in. Er wordt een SQL Server 2019 Express LocalDB-exemplaar ingesteld, de juiste groepen gemaakt en machtigingen toegewezen. Als u de standaardinstellingen wilt wijzigen, schakelt u de juiste vakken uit. De volgende tabel bevat een overzicht van deze opties en bevat koppelingen naar aanvullende informatie.

Screenshot showing optional selections for the required installation components in Azure AD Connect.

Optionele configuratie Description
Een aangepaste installatielocatie opgeven Hiermee kunt u het standaardinstallatiepad voor Azure AD-Verbinding maken wijzigen.
Een bestaande SQL Server gebruiken Hiermee kunt u de SQL Server naam en exemplaarnaam opgeven. Kies deze optie als u al een databaseserver hebt die u wilt gebruiken. Voer bijvoorbeeld de naam van het exemplaar, een komma en het poortnummer in als uw SQL Server-exemplaar geen browsen heeft ingeschakeld. Geef vervolgens de naam op van de Azure AD-Verbinding maken-database. Uw SQL bevoegdheden bepalen of er een nieuwe database kan worden gemaakt of de SQL-beheerder moet de database vooraf maken. Als u SQL Server beheerdersmachtigingen (SA) hebt, raadpleegt u Azure AD Verbinding maken installeren met behulp van een bestaande database. Als u gedelegeerde machtigingen (DBO) hebt, raadpleegt u Azure AD-Verbinding maken installeren met behulp van SQL gedelegeerde beheerdersmachtigingen.
Een bestaand serviceaccount gebruiken Azure AD-Verbinding maken biedt standaard een virtueel serviceaccount voor de synchronisatieservices. Als u een extern exemplaar van SQL Server gebruikt of een proxy gebruikt waarvoor verificatie is vereist, kunt u een beheerd serviceaccount of een met een wachtwoord beveiligd serviceaccount in het domein gebruiken. Voer in die gevallen het account in dat u wilt gebruiken. Als u de installatie wilt uitvoeren, moet u een SA in SQL zijn, zodat u aanmeldingsreferenties voor het serviceaccount kunt maken. Zie Azure AD Verbinding maken accounts en machtigingen voor meer informatie.

Met behulp van de nieuwste build kan de SQL-beheerder de database nu buiten de band inrichten. Vervolgens kan de Azure AD-Verbinding maken-beheerder deze installeren met rechten van database-eigenaar. Zie Azure AD-Verbinding maken installeren met behulp van SQL gedelegeerde beheerdersmachtigingen voor meer informatie.
Aangepaste synchronisatiegroepen opgeven Wanneer de synchronisatieservices zijn geïnstalleerd, maakt Azure AD-Verbinding maken standaard vier groepen die lokaal zijn voor de server. Deze groepen zijn beheerders, operators, bladeren en wachtwoordherstel. U kunt hier uw eigen groepen opgeven. De groepen moeten lokaal zijn op de server. Ze kunnen zich niet in het domein bevinden.
Synchronisatie-instellingen importeren (preview) Hiermee kun je instellingen importeren uit andere versies van Azure AD Connect. Zie Azure AD-Verbinding maken configuratie-instellingen importeren en exporteren voor meer informatie.

Gebruikersaanmelding

Nadat u de vereiste onderdelen hebt geïnstalleerd, selecteert u de methode voor eenmalige aanmelding van uw gebruikers. In de volgende tabel worden de beschikbare opties kort beschreven. Zie voor een volledige beschrijving van de aanmeldmethodes User sign-in.

Screenshot that shows the

Optie voor eenmalige aanmelding Description
Synchronisatie van wachtwoord-hashes Gebruikers kunnen zich aanmelden bij Microsoft-cloudservices, zoals Microsoft 365, met hetzelfde wachtwoord dat ze gebruiken in hun on-premises netwerk. Gebruikerswachtwoorden worden gesynchroniseerd met Azure AD als wachtwoord-hash. Verificatie vindt plaats in de cloud. Zie Wachtwoord-hashsynchronisatie voor meer informatie.
Pass-through-verificatie Gebruikers kunnen zich aanmelden bij Microsoft-cloudservices, zoals Microsoft 365, met hetzelfde wachtwoord dat ze gebruiken in hun on-premises netwerk. Gebruikerswachtwoorden worden gevalideerd door te worden doorgegeven aan de on-premises Active Directory domeincontroller.
Federatie met AD FS Gebruikers kunnen zich aanmelden bij Microsoft-cloudservices, zoals Microsoft 365, met hetzelfde wachtwoord dat ze gebruiken in hun on-premises netwerk. Gebruikers worden omgeleid naar hun on-premises Exemplaar van Azure Directory Federation Services (AD FS) om zich aan te melden. Verificatie vindt on-premises plaats.
Federatie met PingFederate Gebruikers kunnen zich aanmelden bij Microsoft-cloudservices, zoals Microsoft 365, met hetzelfde wachtwoord dat ze gebruiken in hun on-premises netwerk. Gebruikers worden omgeleid naar hun on-premises PingFederate-exemplaar om zich aan te melden. Verificatie vindt on-premises plaats.
Niet configureren Er is geen gebruikersaanmeldingsfunctie geïnstalleerd of geconfigureerd. Kies deze optie als u al een federatieserver van derden of een andere oplossing hebt.
Eenmalige aanmelding inschakelen Deze optie is beschikbaar met zowel wachtwoord-hashsynchronisatie als passthrough-verificatie. Het biedt een ervaring voor eenmalige aanmelding voor desktopgebruikers in bedrijfsnetwerken. Zie Eenmalige aanmelding voor meer informatie.

Opmerking: Voor AD FS-klanten is deze optie niet beschikbaar. AD FS biedt al hetzelfde niveau van eenmalige aanmelding.

Verbinding maken met Azure AD

Voer op de pagina Verbinding maken naar Azure AD een account en wachtwoord voor globale beheerders in. Als u Federatie met AD FS op de vorige pagina hebt geselecteerd, meldt u zich niet aan met een account dat zich in een domein bevindt dat u wilt inschakelen voor federatie.

Mogelijk wilt u een account gebruiken in het standaarddomein onmicrosoft.com domein, dat wordt geleverd bij uw Azure AD-tenant. Dit account wordt alleen gebruikt om een serviceaccount te maken in Azure AD. Deze wordt niet gebruikt nadat de installatie is voltooid.

Notitie

Een aanbevolen procedure is het gebruik van on-premises gesynchroniseerde accounts voor Azure AD-roltoewijzingen te voorkomen. Als het on-premises account is aangetast, kan dit ook worden gebruikt om uw Azure AD-resources in gevaar te krijgen. Raadpleeg best practices voor Azure AD-rollen voor een volledige lijst met aanbevolen procedures

Screenshot showing the

Als voor je globale beheerdersaccount meervoudige verificatie is ingeschakeld, moet je het wachtwoord opnieuw opgeven in het aanmeldingsvenster en de controle voor meervoudige verificatie voltooien. De controle kan bestaan uit een verificatiecode of uit een telefoongesprek.

Screenshot showing the

Het globale beheerdersaccount kan ook bevoegd identiteitsbeheer hebben ingeschakeld.

Als u verificatieondersteuning wilt gebruiken voor scenario's zonder wachtwoord, zoals federatieve accounts, smartcards en MFA-scenario's, kunt u de switch /InteractiveAuth opgeven bij het starten van de wizard. Met deze schakeloptie wordt de gebruikersinterface voor verificatie van de wizard overgeslagen en wordt de gebruikersinterface van de MSAL-bibliotheek gebruikt om de verificatie af te handelen.

Als u een fout ziet of problemen ondervindt met de connectiviteit, raadpleegt u Verbindingsproblemen oplossen.

Pagina's synchroniseren

In de volgende secties worden de pagina's in de sectie Synchroniseren beschreven.

Verbinding maken met uw directory’s

Om verbinding te maken met Active Directory Domain Services (Azure AD DS), heeft Azure AD Verbinding maken de forestnaam en referenties nodig van een account met voldoende machtigingen.

Screenshot that shows the

Nadat u de forestnaam hebt ingevoerd en Map toevoegen hebt geselecteerd, wordt er een venster weergegeven. In de volgende tabel worden uw opties beschreven.

Optie Beschrijving
Nieuw account maken Maak het Azure AD DS-account dat Azure AD Verbinding maken nodig heeft om verbinding te maken met het Active Directory-forest tijdens adreslijstsynchronisatie. Nadat u deze optie hebt geselecteerd, voert u de gebruikersnaam en het wachtwoord in voor een ondernemingsbeheerdersaccount. Azure AD Verbinding maken gebruikt het opgegeven ondernemingsbeheerdersaccount om het vereiste Azure AD DS-account te maken. U kunt het domeinonderdeel invoeren in netBIOS-indeling of FQDN-indeling. Voer dan FABRIKAM\administrator of fabrikam.com\administrator in.
Bestaand account gebruiken Geef een bestaand Azure AD DS-account op dat azure AD Verbinding maken kan gebruiken om verbinding te maken met het Active Directory-forest tijdens adreslijstsynchronisatie. U kunt het domeinonderdeel invoeren in netBIOS-indeling of FQDN-indeling. Voer dan FABRIKAM\syncuser of fabrikam.com\syncuser in. Dit account kan een normaal gebruikersaccount zijn, omdat er alleen de standaard leesmachtigingen voor nodig zijn. Afhankelijk van uw scenario hebt u mogelijk meer machtigingen nodig. Zie Azure AD Verbinding maken accounts en machtigingen voor meer informatie.

Screenshot showing the

Notitie

Vanaf build 1.4.18.0 kunt u geen ondernemingsbeheerder of domeinbeheerdersaccount meer gebruiken als Azure AD DS-onnectoraccount. Wanneer u Bestaand account gebruiken selecteert en u probeert een ondernemingsbeheerdersaccount of een domeinbeheerdersaccount in te voeren, ziet u de volgende fout: 'Het gebruik van een ondernemings- of domeinbeheerdersaccount voor uw AD-forestaccount is niet toegestaan. Laat Azure AD Connect het account voor u maken of geef een synchronisatieaccount op met de juiste machtigingen op."

Aanmeldconfiguratie Azure AD

Controleer de UPN-domeinen (User Principal Name) in on-premises Azure AD DS op de configuratiepagina voor aanmelding bij Azure AD. Deze UPN-domeinen zijn geverifieerd in Azure AD. Op deze pagina configureert u het kenmerk dat moet worden gebruikt voor de userPrincipalName.

Screenshot showing unverified domains on the

Controleer elk domein dat is gemarkeerd als Niet toegevoegd of Niet geverifieerd. Zorg ervoor dat de domeinen die u gebruikt, zijn geverifieerd in Azure AD. Nadat u uw domeinen hebt geverifieerd, selecteert u het pictogram voor kringvernieuwing. Zie Het domein toevoegen en verifiëren voor meer informatie.

Gebruikers gebruiken het kenmerk userPrincipalName wanneer ze zich aanmelden bij Azure AD en Microsoft 365. Azure AD moet de domeinen, ook wel het UPN-achtervoegsel genoemd, verifiëren voordat gebruikers worden gesynchroniseerd. Microsoft raadt u aan om het standaardkenmerk userPrincipalName te behouden.

Als het kenmerk userPrincipalName nietroutabel is en niet kan worden geverifieerd, kunt u een ander kenmerk selecteren. U kunt bijvoorbeeld e-mail selecteren als het kenmerk dat de aanmeldings-id bevat. Wanneer u een ander kenmerk dan userPrincipalName gebruikt, wordt dit een alternatieve id genoemd.

De waarde van het alternatieve-id-kenmerk moet aan de standaard RFC822 voldoen. Een alternatieve id kan worden gebruikt met wachtwoord-hashsynchronisatie, passthrough-verificatie en federatie. In Active Directory kan het kenmerk niet worden gedefinieerd als met meerdere waarden, zelfs niet als het slechts één waarde heeft. Zie Passthrough-verificatie voor meer informatie over de alternatieve id: veelgestelde vragen.

Notitie

Wanneer u passthrough-verificatie inschakelt, moet u ten minste één geverifieerd domein hebben om door te gaan met het aangepaste installatieproces.

Waarschuwing

Alternatieve id's zijn niet compatibel met alle Microsoft 365 workloads. Zie Alternatieve aanmeldings-id's configureren voor meer informatie.

Domein en OE filteren

Standaard worden alle domeinen en organisatie-eenheden (OE's) gesynchroniseerd. Als u bepaalde domeinen of OE's niet wilt synchroniseren met Azure AD, kunt u de juiste selecties wissen.

Screenshot showing the Domain and O U filtering page.

Deze pagina configureert filteren op basis van domeinen en OE's. Als u wijzigingen wilt aanbrengen, raadpleegt u filteren op basis van domeinen en OE-filtering. Sommige organisatie-eenheden zijn essentieel voor functionaliteit, dus laat ze geselecteerd.

Als u OE-filtering gebruikt met een Azure AD-Verbinding maken versie ouder dan 1.1.524.0, worden nieuwe organisatie-eenheden standaard gesynchroniseerd. Als u niet wilt dat nieuwe organisatie-eenheden worden gesynchroniseerd, kunt u het standaardgedrag aanpassen na de filterstap op basis van organisatie-eenheid . Voor Azure AD Verbinding maken 1.1.524.0 of hoger kunt u aangeven of u nieuwe organisatie-eenheden wilt synchroniseren.

Als u van plan bent om op groepen gebaseerd filteren te gebruiken, moet u ervoor zorgen dat de organisatie-eenheid met de groep is opgenomen en niet is gefilterd met OE-filtering. OE-filtering wordt geëvalueerd voordat filteren op basis van groepen wordt geëvalueerd.

Het is ook mogelijk dat sommige domeinen onbereikbaar zijn vanwege firewallbeperkingen. Deze domeinen zijn standaard niet geselecteerd en er wordt een waarschuwing weergegeven.

Screenshot showing unreachable domains.

Als u deze waarschuwing ziet, controleert u of deze domeinen inderdaad onbereikbaar zijn en of de waarschuwing wordt verwacht.

Uw gebruikers een unieke id geven

Kies op de pagina Gebruikers identificeren hoe u gebruikers in uw on-premises mappen identificeert en hoe u deze identificeert met behulp van het kenmerk sourceAnchor.

Selecteren hoe gebruikers moeten worden aangeduid in uw on-premises directory’s

Met behulp van de functie Overeenkomende forests kunt u definiëren hoe gebruikers uit uw Azure AD DS-forests worden weergegeven in Azure AD. Een gebruiker kan slechts eenmaal in alle forests worden weergegeven of een combinatie van ingeschakelde en uitgeschakelde accounts hebben. De gebruiker kan in sommige forests ook worden weergegeven als een contactpersoon.

Screenshot showing the page where you can uniquely identify your users.

Instelling Beschrijving
Gebruikers worden slechts eenmaal weergegeven in alle forests Alle gebruikers worden als afzonderlijke objecten in Azure AD aangemaakt. De objecten worden niet samengevoegd in de metaverse.
E-mailkenmerk Deze optie koppelt gebruikers en contactpersonen als het e-mailkenmerk in verschillende forests dezelfde waarde heeft. Gebruik deze optie wanneer uw contactpersonen zijn gemaakt met behulp van GALSync. Als u deze optie kiest, worden gebruikersobjecten waarvan het e-mailkenmerk niet is ingevuld, niet gesynchroniseerd met Azure AD.
ObjectSID en msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID-kenmerken Deze optie koppelt een ingeschakelde gebruiker in een account-forest met een uitgeschakelde gebruiker in een bron-forest. In Exchange wordt deze configuratie een gekoppeld postvak genoemd. U kunt deze optie gebruiken als u alleen Lync gebruikt en als Exchange niet aanwezig is in het resourceforest.
Kenmerken SAMAccountName en MailNickName Met deze optie worden kenmerken samengevoegd waarbij de aanmeldings-id voor de gebruiker naar verwachting wordt gevonden.
Een specifiek kenmerk kiezen Met deze optie kunt u uw eigen kenmerk selecteren. Als u deze optie kiest, worden gebruikersobjecten waarvan het kenmerk (geselecteerd) niet is ingevuld, niet gesynchroniseerd met Azure AD. Beperking: Alleen kenmerken die zich al in de metaverse bevinden, zijn beschikbaar voor deze optie.

Selecteren hoe gebruikers moeten worden geïdentificeerd met behulp van een bronanker

Het kenmerk sourceAnchor is onveranderbaar tijdens de levensduur van een gebruikersobject. Het is de primaire sleutel die de on-premises gebruiker koppelt aan de gebruiker in Azure AD.

Instelling Beschrijving
Azure het bronanker laten beheren Selecteer deze optie als u wilt dat Azure AD het kenmerk voor u selecteert. Als u deze optie selecteert, past Azure AD Verbinding maken de selectielogica van het kenmerk sourceAnchor toe die wordt beschreven in Ms-DS-ConsistencyGuid gebruiken als sourceAnchor. Nadat de aangepaste installatie is voltooid, ziet u welk kenmerk is gekozen als het kenmerk sourceAnchor.
Een specifiek kenmerk kiezen Selecteer deze optie als u een bestaand AD-kenmerk wilt opgeven als het kenmerk sourceAnchor.

Omdat het kenmerk sourceAnchor niet kan worden gewijzigd, moet u een geschikt kenmerk kiezen. Een goede kandidaat is objectGUID. Dit kenmerk wordt niet gewijzigd, tenzij het gebruikersaccount wordt verplaatst tussen forests of domeinen. Kies geen kenmerken die kunnen worden gewijzigd wanneer een persoon trouwt of toewijzingen wijzigt.

U kunt geen kenmerken gebruiken die een at sign (@) bevatten, zodat u geen e-mail en userPrincipalName kunt gebruiken. Het kenmerk is ook hoofdlettergevoelig, dus wanneer u een object tussen forests verplaatst, moet u hoofdletters en kleine letters behouden. Binaire kenmerken zijn Base64-gecodeerd, maar andere kenmerktypen blijven in hun niet-gecodeerde status.

In federatiescenario's en sommige Azure AD-interfaces wordt het kenmerk sourceAnchor ook wel immutableID genoemd.

Zie Ontwerpconcepten voor meer informatie over het bronanker.

Synchronisatiefilters op basis van groepen

Met de functie filteren op groepen kunt u slechts een kleine subset objecten synchroniseren voor een testfase. Als u deze functie wilt gebruiken, maakt u een groep voor dit doel in uw on-premises exemplaar van Active Directory. Voeg vervolgens gebruikers en groepen toe die naar Azure AD moeten worden gesynchroniseerd als directe leden. U kunt later gebruikers toevoegen of gebruikers uit deze groep verwijderen om de lijst met objecten te onderhouden die aanwezig moeten zijn in Azure AD.

Alle objecten die u wilt synchroniseren, moeten directe leden van de groep zijn. Gebruikers, groepen, contactpersonen en computers of apparaten moeten allemaal directe leden zijn. Genest groepslidmaatschap is niet opgelost. Wanneer u een groep als lid toevoegt, wordt alleen de groep zelf toegevoegd. De leden worden niet toegevoegd.

Screenshot showing the page where you can choose how to filter users and devices.

Waarschuwing

Deze functie is bedoeld ter ondersteuning van alleen een pilotimplementatie. Gebruik deze niet in een volledige productie-implementatie.

In een volledige productie-implementatie zou het moeilijk zijn om één groep en alle objecten te synchroniseren. Gebruik in plaats van de functie filteren op groepen een van de methoden die worden beschreven in Filteren configureren.

Optionele functies

Op de volgende pagina kunt u optionele functies voor uw scenario selecteren.

Waarschuwing

Azure AD Verbinding maken versies 1.0.8641.0 en eerdere versies zijn afhankelijk van Azure Access Control Service voor wachtwoord terugschrijven. Deze service is buiten gebruik gesteld op 7 november 2018. Als u een van deze versies van Azure AD Verbinding maken gebruikt en wachtwoord terugschrijven hebt ingeschakeld, kunnen gebruikers mogelijk hun wachtwoorden wijzigen of opnieuw instellen wanneer de service buiten gebruik wordt gesteld. Deze versies van Azure AD Verbinding maken bieden geen ondersteuning voor het terugschrijven van wachtwoorden.

Zie Migrate van Azure Access Control Service voor meer informatie.

Als u wachtwoord terugschrijven wilt gebruiken, downloadt u de nieuwste versie van Azure AD Verbinding maken.

Screenshot showing the

Waarschuwing

Als Azure AD Sync of Directe synchronisatie (DirSync) actief zijn, activeert u geen write-backfuncties in Azure AD Verbinding maken.

Optionele functies Description
Exchange hybride implementatie De functie Exchange hybride implementatie maakt co-existentie mogelijk van Exchange postvakken zowel on-premises als in Microsoft 365. Azure AD Verbinding maken synchroniseert een specifieke set kenmerken van Azure AD terug naar uw on-premises directory.
openbare mappen voor e-mail Exchange Met de functie Exchange openbare e-mailmappen kunt u objecten met openbare mappen met e-mail synchroniseren vanuit uw on-premises exemplaar van Active Directory naar Azure AD. Houd er rekening mee dat het niet wordt ondersteund voor het synchroniseren van groepen die openbare mappen als leden bevatten. Als u dit probeert, treedt er een synchronisatiefout op.
Azure AD-app- en -kenmerkfilters Door azure AD-app- en kenmerkfiltering in te schakelen, kunt u de set gesynchroniseerde kenmerken aanpassen. Door deze optie worden twee extra configuratiepagina’s aan de wizard toegevoegd. Zie voor meer informatie Azure AD app and attribute filtering.
Synchronisatie van wachtwoord-hashes Als u federatie hebt geselecteerd als aanmeldingsoplossing, kunt u wachtwoord-hashsynchronisatie inschakelen. Vervolgens kunt u deze gebruiken als back-upoptie.

Als u passthrough-verificatie hebt geselecteerd, kunt u deze optie inschakelen om ondersteuning voor verouderde clients te garanderen en een back-up te bieden.

Zie Wachtwoord-hashsynchronisatie voor meer informatie.
Wachtwoord terugschrijven Gebruik deze optie om ervoor te zorgen dat wachtwoordwijzigingen die afkomstig zijn uit Azure AD, worden teruggeschreven naar uw on-premises directory. Zie voor meer informatie Getting started with password management.
Groep terugschrijven Als u Microsoft 365 Groepen gebruikt, kunt u groepen vertegenwoordigen in uw on-premises exemplaar van Active Directory. Deze optie is alleen beschikbaar als u Exchange hebt in uw on-premises exemplaar van Active Directory. Zie Azure AD Verbinding maken terugschrijven van groepen voor meer informatie.
Apparaat terugschrijven Voor scenario's met voorwaardelijke toegang gebruikt u deze optie om apparaatobjecten in Azure AD terug te schrijven naar uw on-premises exemplaar van Active Directory. Zie voor meer informatie Enabling device writeback in Azure AD Connect.
Synchronisatie van directory-extensiekenmerken Selecteer deze optie om opgegeven kenmerken te synchroniseren met Azure AD. Zie voor meer informatie Directory extensions.

Azure AD-app- en -kenmerkfilters

Als u wilt beperken welke kenmerken worden gesynchroniseerd met Azure AD, begint u met het selecteren van de services die u gebruikt. Als u de selecties op deze pagina wijzigt, moet u expliciet een nieuwe service selecteren door de installatiewizard opnieuw uit te voeren.

Screenshot showing optional Azure A D apps features.

Op basis van de services die u in de vorige stap hebt geselecteerd, worden op deze pagina alle kenmerken weergegeven die worden gesynchroniseerd. Deze lijst is een combinatie van alle objecttypen die worden gesynchroniseerd. Als u bepaalde kenmerken nodig hebt om niet-gesynchroniseerd te blijven, kunt u de selectie van deze kenmerken wissen.

Screenshot showing optional Azure A D attributes features.

Waarschuwing

Het verwijderen van kenmerken kan van invloed zijn op de functionaliteit. Zie Kenmerken die u wilt synchroniseren voor aanbevolen procedures en aanbevelingen.

Synchronisatie van directory-extensiekenmerken

U kunt het schema in Azure AD uitbreiden met behulp van aangepaste kenmerken die uw organisatie heeft toegevoegd of door andere kenmerken in Active Directory te gebruiken. Als u deze functie wilt gebruiken, selecteert u op de pagina Optionele functieskenmerksynchronisatie van directory-extensie. Op de pagina Directory-extensies kunt u meer kenmerken selecteren die u wilt synchroniseren.

Notitie

Het veld Beschikbare kenmerken is hoofdlettergevoelig.

Screenshot showing the

Zie voor meer informatie Directory extensions.

Eenmalige aanmelding inschakelen

Op de pagina Eenmalige aanmelding configureert u eenmalige aanmelding voor gebruik met wachtwoordsynchronisatie of passthrough-verificatie. U voert deze stap één keer uit voor elk forest dat wordt gesynchroniseerd met Azure AD. Configuratie omvat twee stappen:

  1. Maak het benodigde computeraccount in uw on-premises exemplaar van Active Directory.
  2. Configureer de intranetzone van de clientcomputers ter ondersteuning van eenmalige aanmelding.

Het computeraccount maken in Active Directory

Voor elk forest dat is toegevoegd in Azure AD Verbinding maken, moet u domeinbeheerdersreferenties opgeven, zodat het computeraccount in elk forest kan worden gemaakt. De referenties worden alleen gebruikt om het account te maken. Ze worden niet opgeslagen of gebruikt voor andere bewerkingen. Voeg de referenties toe op de pagina Eenmalige aanmelding inschakelen , zoals in de volgende afbeelding wordt weergegeven.

Screenshot showing the

Notitie

U kunt forests overslaan waarvoor u geen eenmalige aanmelding wilt gebruiken.

De intranetzone voor clientcomputers configureren

Om ervoor te zorgen dat de client zich automatisch aanmeldt in de intranetzone, moet u ervoor zorgen dat de URL deel uitmaakt van de intranetzone. Deze stap zorgt ervoor dat de computer die lid is van een domein automatisch een Kerberos-ticket naar Azure AD verzendt wanneer deze is verbonden met het bedrijfsnetwerk.

Op een computer met groepsbeleid beheerprogramma's:

  1. Open de groepsbeleid-beheerhulpprogramma's.

  2. Bewerk het groepsbeleid dat wordt toegepast op alle gebruikers. Bijvoorbeeld het standaarddomeinbeleid.

  3. Ga naar UserConfigurationAdministrative> Templates >Windows ComponentsInternet>ExplorerInternet> Configuratiescherm >Security Page. Selecteer vervolgens Site-naar-zonetoewijzingslijst.

  4. Schakel het beleid in. Voer vervolgens in het dialoogvenster een waardenaam in van https://autologon.microsoftazuread-sso.com en de waarde van 1. Uw installatie moet eruitzien als de volgende afbeelding.

    Screenshot showing intranet zones.

  5. Selecteer twee keer OK .

Federatie met AD FS configureren

U kunt AD FS configureren met Azure AD Verbinding maken in slechts een paar klikken. Voordat u begint, hebt u het volgende nodig:

  • Windows Server 2012 R2 of hoger voor de federatieserver. Extern beheer moet zijn ingeschakeld.
  • Windows Server 2012 R2 of hoger voor de web-toepassingsproxy-server. Extern beheer moet zijn ingeschakeld.
  • Een TLS/SSL-certificaat voor de naam van de federation-service die u wilt gebruiken (bijvoorbeeld sts.contoso.com).

Notitie

U kunt een TLS/SSL-certificaat voor uw AD FS-farm bijwerken met behulp van Azure AD Verbinding maken, zelfs als u dit niet gebruikt om uw federatieve vertrouwensrelatie te beheren.

Vereisten voor AD FS-configuratie

Als u uw AD FS-farm wilt configureren met behulp van Azure AD Verbinding maken, moet u ervoor zorgen dat WinRM is ingeschakeld op de externe servers. Zorg ervoor dat u de andere taken in federatievereisten hebt voltooid. Zorg er ook voor dat u voldoet aan de poortenvereisten die worden vermeld in de tabel Azure AD-Verbinding maken en federatie-/WAP-servers.

Maak een nieuwe AD FS-farm aan of gebruik een bestaande AD FS-farm

U kunt een bestaande AD FS-farm gebruiken of een nieuwe maken. Als u ervoor kiest om een nieuw certificaat te maken, moet u het TLS/SSL-certificaat opgeven. Als het TLS/SSL-certificaat wordt beveiligd met een wachtwoord, wordt u gevraagd het wachtwoord op te geven.

Screenshot showing the

Als u ervoor kiest om een bestaande AD FS-farm te gebruiken, ziet u de pagina waar u de vertrouwensrelatie tussen AD FS en Azure AD kunt configureren.

Notitie

U kunt Azure AD-Verbinding maken gebruiken om slechts één AD FS-farm te beheren. Als u een bestaande federatievertrouwensrelatie hebt waarin Azure AD is geconfigureerd op de geselecteerde AD FS-farm, Verbinding maken azure AD de vertrouwensrelatie helemaal opnieuw maken.

Geef de AD FS-servers op

Geef de servers op waar u AD FS wilt installeren. U kunt een of meer servers toevoegen, afhankelijk van uw capaciteitsbehoeften. Voordat u deze configuratie instelt, voegt u alle AD FS-servers toe aan Active Directory. Deze stap is niet vereist voor de web-toepassingsproxy-servers.

Het wordt door Microsoft aangeraden om voor proefimplementaties één AD FS-server te installeren. Na de initiële configuratie kunt u meer servers toevoegen en implementeren om te voldoen aan uw schaalbehoeften door Azure AD opnieuw Verbinding maken uit te voeren.

Notitie

Voordat u deze configuratie instelt, moet u ervoor zorgen dat al uw servers zijn gekoppeld aan een Azure AD-domein.

Screenshot showing the

Geef de webtoepassingsproxyservers op

Geef uw web-toepassingsproxy servers op. De Web toepassingsproxy-server wordt geïmplementeerd in uw perimeternetwerk, met het extranet. Het ondersteunt verificatieaanvragen van het extranet. U kunt een of meer servers toevoegen, afhankelijk van uw capaciteitsbehoeften.

Microsoft raadt aan om één web-toepassingsproxy-server te installeren voor test- en testimplementaties. Na de initiële configuratie kunt u meer servers toevoegen en implementeren om te voldoen aan uw schaalbehoeften door Azure AD opnieuw Verbinding maken uit te voeren. U wordt aangeraden een equivalent aantal proxyservers te hebben om te voldoen aan de verificatie van het intranet.

Notitie

  • Als het account dat u gebruikt geen lokale beheerder is op de web-toepassingsproxy servers, wordt u gevraagd om beheerdersreferenties.
  • Voordat u web-toepassingsproxy servers opgeeft, moet u ervoor zorgen dat er http-/HTTPS-connectiviteit is tussen de Azure AD-Verbinding maken-server en de web-toepassingsproxy server.
  • Zorg ervoor dat er HTTP/HTTPS-connectiviteit is tussen de webtoepassingsserver en de AD FS-server om verificatieaanvragen te laten doorlopen.

Screenshot showing the Web Application Proxy servers page.

U wordt gevraagd referenties in te voeren, zodat de webtoepassingsserver een beveiligde verbinding met de AD FS-server tot stand kan brengen. Deze referenties moeten voor een lokaal beheerdersaccount op de AD FS-server zijn.

Screenshot showing the

Geef het serviceaccount voor de AD FS-service op

De AD FS-service vereist een domeinserviceaccount om gebruikers te verifiëren en gebruikersgegevens op te zoeken in Active Directory. De service kan twee soorten serviceaccounts ondersteunen:

  • Door groepen beheerd serviceaccount: dit accounttype is door Windows Server 2012 geïntroduceerd in AD DS. Dit type account biedt services zoals AD FS. Het is één account waarin u het wachtwoord niet regelmatig hoeft bij te werken. Gebruik deze optie als u al Windows Server 2012-domeincontrollers hebt in het domein waarbij uw AD FS-servers horen.
  • Domeingebruikersaccount: Voor dit type account moet u een wachtwoord opgeven en het account regelmatig bijwerken wanneer het verloopt. Gebruik deze optie alleen als u geen Windows Server 2012 domeincontrollers hebt in het domein waartoe uw AD FS-servers behoren.

Als u een beheerd serviceaccount voor groepen maken hebt geselecteerd en deze functie nog nooit is gebruikt in Active Directory, voert u uw ondernemingsbeheerdersreferenties in. Deze referenties worden gebruikt om de sleutelopslagplaats te beginnen en de functie in Active Directory in te schakelen.

Notitie

Azure AD Verbinding maken controleert of de AD FS-service al is geregistreerd als een SPN (Service Principal Name) in het domein. Azure AD DS staat niet toe dat dubbele SPN's tegelijkertijd worden geregistreerd. Als er een dubbele SPN wordt gevonden, kunt u pas verdergaan als de SPN is verwijderd.

Screenshot showing the

Selecteer het Azure AD-domein dat u wilt federeren

Gebruik de pagina Azure AD-domein om de federatierelatie tussen AD FS en Azure AD in te stellen. Hier configureert u AD FS om beveiligingstokens te bieden aan Azure AD. U configureert Azure AD ook om de tokens van dit AD FS-exemplaar te vertrouwen.

Op deze pagina kunt u slechts één domein configureren in de eerste installatie. U kunt later meer domeinen configureren door Azure AD Connect nogmaals uit te voeren.

Screenshot that shows the

Controleer het Azure AD-domein dat voor federatie is geselecteerd

Wanneer u het domein selecteert dat u wilt federeren, biedt Azure AD Verbinding maken informatie die u kunt gebruiken om een niet-geverifieerd domein te verifiëren. Zie Het domein toevoegen en verifiëren voor meer informatie.

Screenshot showing the

Notitie

Azure AD Verbinding maken probeert het domein tijdens de configuratiefase te verifiëren. Als u de benodigde DNS-records (Domain Name System) niet toevoegt, kan de configuratie niet worden voltooid.

Federatie configureren met PingFederate

U kunt PingFederate met Azure AD configureren Verbinding maken in slechts een paar klikken. De volgende vereisten zijn vereist:

Het domein verifiëren

Nadat u ervoor hebt gekozen federatie in te stellen met PingFederate, wordt u gevraagd het domein te verifiëren dat u wilt federeren. Selecteer het domein in de vervolgkeuzelijst.

Screenshot that shows the

De PingFederate-instellingen exporteren

Configureer PingFederate als federatieserver voor elk federatief Azure-domein. Selecteer Exporteren Instellingen om deze informatie te delen met uw PingFederate-beheerder. De federatieserverbeheerder werkt de configuratie bij en geeft vervolgens de PingFederate-server-URL en het poortnummer op, zodat Azure AD-Verbinding maken de metagegevensinstellingen kan controleren.

Screenshot showing the

Neem contact op met de beheerder van PingFederate als er validatieproblemen zijn. In de volgende afbeelding ziet u informatie over een PingFederate-server die geen geldige vertrouwensrelatie met Azure heeft.

Screenshot showing server information: The PingFederate server was found, but the service provider connection for Azure is missing or disabled.

Federatieve connectiviteit verifiëren

Azure AD Verbinding maken probeert de verificatie-eindpunten te valideren die worden opgehaald uit de PingFederate-metagegevens in de vorige stap. Azure AD Verbinding maken probeert eerst de eindpunten op te lossen met behulp van uw lokale DNS-servers. Vervolgens wordt geprobeerd de eindpunten op te lossen met behulp van een externe DNS-provider. Neem contact op met de beheerder van PingFederate als er validatieproblemen zijn.

Screenshot showing the

Federatie-aanmelding verifiëren

Ten slotte kunt u de zojuist geconfigureerde federatieve aanmeldingsstroom verifiëren door u aan te melden bij het federatieve domein. Als uw aanmelding slaagt, wordt de federatie met PingFederate geconfigureerd.

Screenshot showing the

Configureer en verifieer pagina 's

De configuratie vindt plaats op de pagina Configureren .

Notitie

Als u federatie hebt geconfigureerd, moet u ervoor zorgen dat u ook naamomzetting hebt geconfigureerd voor federatieservers voordat u doorgaat met de installatie.

Screenshot showing the

Faseringsmodus gebruiken

Het is mogelijk om een nieuwe synchronisatieserver parallel in te stellen met de faseringsmodus. Als u deze installatie wilt gebruiken, kan slechts één synchronisatieserver exporteren naar één map in de cloud. Maar als u van een andere server wilt overstappen, bijvoorbeeld een server met DirSync, kunt u Azure AD-Verbinding maken inschakelen in de faseringsmodus.

Wanneer u de faseringsinstallatie inschakelt, importeert en synchroniseert de synchronisatie-engine gegevens als normaal. Maar er worden geen gegevens geëxporteerd naar Azure AD of Active Directory. In de faseringsmodus worden de functie wachtwoordsynchronisatie en de functie wachtwoord terugschrijven uitgeschakeld.

Screenshot showing the

In de faseringsmodus kunt u vereiste wijzigingen aanbrengen in de synchronisatie-engine en controleren wat er wordt geëxporteerd. Voer de installatiewizard opnieuw uit en schakel de faseringsmodus uit wanneer de configuratie er goed uitziet.

Gegevens worden nu vanaf de server geëxporteerd naar Azure AD. Schakel de andere server op hetzelfde moment uit, zodat slechts één server actief aan het exporteren is.

Zie voor meer informatie Staging mode.

Controleer uw federatieconfiguratie

Azure AD Verbinding maken controleert de DNS-instellingen wanneer u de knop Verifiëren selecteert. De volgende instellingen worden gecontroleerd:

  • Intranetconnectiviteit
    • Federatie-FQDN oplossen: Azure AD Verbinding maken controleert of de DNS de federatie-FQDN kan omzetten om de connectiviteit te garanderen. Als Azure AD Verbinding maken de FQDN niet kan omzetten, mislukt de verificatie. Als u de verificatie wilt voltooien, moet u ervoor zorgen dat er een DNS-record aanwezig is voor de FQDN van de federation-service.
    • DNS A-record: Azure AD Verbinding maken controleert of uw federation-service een A-record heeft. Als er geen A-record is, mislukt de verificatie. Als u de verificatie wilt voltooien, maakt u een A-record (geen CNAME-record) voor uw federatie-FQDN.
  • Extranetconnectiviteit
    • Federatie-FQDN oplossen: Azure AD Verbinding maken controleert of de DNS de federatie-FQDN kan omzetten om de connectiviteit te garanderen.

      Screenshot showing the

      Screenshot showing the

Voer handmatig een of meer van de volgende tests uit om end-to-end-verificatie te valideren:

  • Wanneer de synchronisatie is voltooid, gebruikt u in Azure AD Verbinding maken de aanvullende taak Federatieve aanmelding verifiëren om verificatie te verifiëren voor een on-premises gebruikersaccount dat u kiest.
  • Zorg ervoor dat u zich kunt aanmelden vanuit een computer die lid is van een domein op het intranet. Verbinding maken aan https://myapps.microsoft.com. Gebruik vervolgens uw aangemelde account om de aanmelding te verifiëren. Het ingebouwde Azure AD DS-beheerdersaccount wordt niet gesynchroniseerd en u kunt het niet gebruiken voor verificatie.
  • Zorg ervoor dat u zich kunt aanmelden vanaf een apparaat in het extranet. Maak verbinding met https://myapps.microsoft.comeen thuiscomputer of een mobiel apparaat. Geef vervolgens uw referenties op.
  • Aanmelding uitgebreide client controleren. Verbinding maken aan https://testconnectivity.microsoft.com. Selecteer vervolgens Office 365>Office 365 Single Sign-On Test.

Problemen oplossen

Deze sectie bevat informatie over probleemoplossing die u kunt gebruiken als u een probleem hebt tijdens het installeren van Azure AD Verbinding maken.

Wanneer u een Installatie van Een Azure AD-Verbinding maken aanpast, kunt u op de pagina Vereiste onderdelen installereneen bestaande SQL Server selecteren. Mogelijk ziet u de volgende fout: 'De ADSync database bevat al gegevens en kan niet worden overschreven. Verwijder de bestaande database en probeer het opnieuw.'

Screenshot that shows the

U ziet deze fout omdat er al een database met de naam ADSync bestaat in het SQL exemplaar van SQL Server die u hebt opgegeven.

Deze fout wordt meestal weergegeven nadat u Azure AD-Verbinding maken hebt verwijderd. De database wordt niet verwijderd van de computer waarop SQL Server wordt uitgevoerd wanneer u Azure AD-Verbinding maken verwijdert.

Ga als volgt te werk om dit probleem op te lossen:

  1. Controleer de ADSync database die Azure AD Verbinding maken gebruikt voordat deze is verwijderd. Zorg ervoor dat de database niet meer wordt gebruikt.

  2. Maak een back-up van de database.

  3. De database verwijderen:

    1. Gebruik Microsoft SQL Server Management Studio om verbinding te maken met het SQL exemplaar.
    2. Zoek de ADSync-database en klik er met de rechtermuisknop op.
    3. Selecteer Verwijderen in het contextmenu.
    4. Selecteer OK om de database te verwijderen.

Screenshot showing Microsoft SQL Server Management Studio. A D Sync is selected.

Nadat u de ADSync-database hebt verwijderd, selecteert u Installeren om de installatie opnieuw uit te voeren.

Volgende stappen

Nadat de installatie is voltooid, meldt u zich af bij Windows. Meld u vervolgens opnieuw aan voordat u Synchronisatie Service Manager of Synchronisatieregeleditor gebruikt.

Nu u Azure AD-Verbinding maken hebt geïnstalleerd, kunt u de installatie controleren en licenties toewijzen.

Zie Onopzettelijke verwijderingen en Azure AD Verbinding maken Health voorkomen voor meer informatie over de functies die u tijdens de installatie hebt ingeschakeld.

Zie Azure AD Verbinding maken synchroniseren voor meer informatie over andere algemene onderwerpen: Scheduler en integreer uw on-premises identiteiten met Azure AD.