Aangepaste installatie van Azure Active Directory ConnectCustom installation of Azure Active Directory Connect

Gebruik aangepaste instellingen in azure Active Directory (Azure AD) verbinding maken als u meer opties voor de installatie wilt.Use custom settings in Azure Active Directory (Azure AD) Connect when you want more options for the installation. Gebruik deze instellingen, bijvoorbeeld als u meerdere forests hebt of als u optionele functies wilt configureren.Use these settings, for example, if you have multiple forests or if you want to configure optional features. Gebruik aangepaste instellingen in alle gevallen waarbij de snelle installatie niet voldoet aan de behoeften van uw implementatie of topologie.Use custom settings in all cases where express installation doesn't satisfy your deployment or topology needs.

Vereisten:Prerequisites:

Aangepaste installatie-instellingenCustom installation settings

Als u een aangepaste installatie voor Azure AD Connect wilt instellen, gaat u door de wizard pagina's die in de volgende secties worden beschreven.To set up a custom installation for Azure AD Connect, go through the wizard pages that the following sections describe.

Snelle instellingenExpress settings

Selecteer op de pagina snelle instellingen de optie aanpassen om een installatie met aangepaste instellingen te starten.On the Express Settings page, select Customize to start a customized-settings installation. De rest van dit artikel begeleidt u bij het aangepaste installatie proces.The rest of this article guides you through the custom installation process. Gebruik de volgende koppelingen om snel naar de informatie voor een bepaalde pagina te gaan:Use the following links to quickly go to the information for a particular page:

Vereiste onderdelen installerenInstall required components

Wanneer u de synchronisatie Services installeert, kunt u de sectie optionele configuratie uitgeschakeld laten.When you install the synchronization services, you can leave the optional configuration section unselected. Azure AD Connect alles automatisch worden ingesteld.Azure AD Connect sets up everything automatically. Hiermee wordt een SQL Server 2012 Express LocalDB-exemplaar ingesteld, worden de juiste groepen gemaakt en worden machtigingen toegewezen.It sets up a SQL Server 2012 Express LocalDB instance, creates the appropriate groups, and assign permissions. Als u de standaard instellingen wilt wijzigen, schakelt u de desbetreffende selectie vakjes uit.If you want to change the defaults, clear the appropriate boxes. De volgende tabel bevat een overzicht van deze opties en koppelingen naar aanvullende informatie.The following table summarizes these options and provides links to additional information.

Scherm afbeelding met optionele selecties voor de vereiste installatie onderdelen in Azure AD Connect.

Optionele configuratieOptional configuration DescriptionDescription
Een aangepaste installatie locatie opgevenSpecify a custom installation location Hiermee kunt u het installatiepad voor Azure AD Connect wijzigen.Allows you to change the default installation path for Azure AD Connect.
Een bestaande SQL Server gebruikenUse an existing SQL Server Hiermee kunt u de SQL Server naam en de naam van het exemplaar opgeven.Allows you to specify the SQL Server name and instance name. Kies deze optie als u al een database server hebt die u wilt gebruiken.Choose this option if you already have a database server that you want to use. Voer bij instantie naamde naam van het exemplaar, een komma en het poort nummer in als uw SQL Server-exemplaar geen Blader functie heeft ingeschakeld.For Instance Name, enter the instance name, a comma, and the port number if your SQL Server instance doesn't have browsing enabled. Geef vervolgens de naam op van de Azure AD Connect-Data Base.Then specify the name of the Azure AD Connect database. Uw SQL-bevoegdheden bepalen of een nieuwe Data Base kan worden gemaakt of dat de SQL-beheerder de data base vooraf moet maken.Your SQL privileges determine whether a new database can be created or your SQL administrator must create the database in advance. Zie Install Azure AD Connect met behulp van een bestaande data baseals u over SQL Server Administrator-machtigingen (SA) beschikt.If you have SQL Server administrator (SA) permissions, see Install Azure AD Connect by using an existing database. Zie Install Azure AD Connect met behulp van SQL delegated Administrator Permissions(Engelstalig) als u over gedelegeerde machtigingen (dbo) beschikt.If you have delegated permissions (DBO), see Install Azure AD Connect by using SQL delegated administrator permissions.
Een bestaand serviceaccount gebruikenUse an existing service account Azure AD Connect biedt standaard een virtueel service account voor de synchronisatie Services.By default, Azure AD Connect provides a virtual service account for the synchronization services. Als u een extern exemplaar van SQL Server gebruikt of een proxy gebruikt waarvoor authenticatie is vereist, kunt u een beheerd service account of een met een wacht woord beveiligd service account in het domein gebruiken.If you use a remote instance of SQL Server or use a proxy that requires authentication, you can use a managed service account or a password-protected service account in the domain. In die gevallen voert u het account in dat u wilt gebruiken.In those cases, enter the account you want to use. Als u de installatie wilt uitvoeren, moet u een SA in SQL hebben zodat u aanmeldings referenties voor het service account kunt maken.To run the installation, you need to be an SA in SQL so you can create sign-in credentials for the service account. Zie Azure AD Connect accounts en-machtigingenvoor meer informatie.For more information, see Azure AD Connect accounts and permissions.

Als u de nieuwste versie gebruikt, kan de SQL-beheerder de data base nu buiten-band inrichten.By using the latest build, the SQL administrator can now provision the database out of band. Vervolgens kan de Azure AD Connect-beheerder deze installeren met de rechten van de data base-eigenaar.Then the Azure AD Connect administrator can install it with database owner rights. Zie Install Azure AD Connect met behulp van SQL delegated Administrator Permissionsvoor meer informatie.For more information, see Install Azure AD Connect by using SQL delegated administrator permissions.
Aangepaste synchronisatiegroepen opgevenSpecify custom sync groups Wanneer de synchronisatie Services zijn geïnstalleerd, maakt Azure AD Connect standaard vier groepen die lokaal zijn voor de-server.By default, when the synchronization services are installed, Azure AD Connect creates four groups that are local to the server. Deze groepen zijn beheerders, Opera Tors, bladeren en wacht woord opnieuw instellen.These groups are Administrators, Operators, Browse, and Password Reset. U kunt hier uw eigen groepen opgeven.You can specify your own groups here. De groepen moeten lokaal op de server zijn.The groups must be local on the server. Ze kunnen zich niet in het domein bevinden.They can't be located in the domain.
Synchronisatie-instellingen importeren (preview-versie)Import synchronization settings (preview) Hiermee kunt u instellingen importeren uit andere versies van Azure AD Connect.Allows you to import settings from other versions of Azure AD Connect. Zie Azure AD Connect-configuratie- Instellingen importeren en exporterenvoor meer informatie.For more information, see Importing and exporting Azure AD Connect configuration settings.

GebruikersaanmeldingUser sign-in

Nadat u de vereiste onderdelen hebt geïnstalleerd, selecteert u de methode voor eenmalige aanmelding van uw gebruikers.After installing the required components, select your users' single sign-on method. De volgende tabel bevat een korte beschrijving van de beschik bare opties.The following table briefly describes the available options. Zie voor een volledige beschrijving van de aanmeldmethodes User sign-in.For a full description of the sign-in methods, see User sign-in.

Scherm opname waarin de pagina gebruikers aanmelding wordt weer gegeven.

Optie voor eenmalige aanmeldingSingle sign-on option DescriptionDescription
Synchronisatie van wachtwoord-hashesPassword hash synchronization Gebruikers kunnen zich aanmelden bij micro soft-Cloud Services, zoals Microsoft 365, door gebruik te maken van hetzelfde wacht woord dat ze gebruiken in hun on-premises netwerk.Users can sign in to Microsoft cloud services, such as Microsoft 365, by using the same password they use in their on-premises network. Gebruikers wachtwoorden worden als wacht woord-hash gesynchroniseerd met Azure AD.User passwords are synchronized to Azure AD as a password hash. Verificatie vindt plaats in de Cloud.Authentication occurs in the cloud. Zie Password Hash Synchronization(Engelstalig) voor meer informatie.For more information, see Password hash synchronization.
Pass-through-verificatiePass-through authentication Gebruikers kunnen zich aanmelden bij micro soft-Cloud Services, zoals Microsoft 365, door gebruik te maken van hetzelfde wacht woord dat ze gebruiken in hun on-premises netwerk.Users can sign in to Microsoft cloud services, such as Microsoft 365, by using the same password they use in their on-premises network. Gebruikers wachtwoorden worden gevalideerd door door te gegeven aan de on-premises Active Directory domein controller.User passwords are validated by being passed through to the on-premises Active Directory domain controller.
Federatie met AD FSFederation with AD FS Gebruikers kunnen zich aanmelden bij micro soft-Cloud Services, zoals Microsoft 365, door gebruik te maken van hetzelfde wacht woord dat ze gebruiken in hun on-premises netwerk.Users can sign in to Microsoft cloud services, such as Microsoft 365, by using the same password they use in their on-premises network. Gebruikers worden omgeleid naar hun on-premises Azure Directory Federation Services-exemplaar (AD FS) om zich aan te melden.Users are redirected to their on-premises Azure Directory Federation Services (AD FS) instance to sign in. Verificatie vindt plaats on-premises.Authentication occurs on-premises.
Federatie met PingFederateFederation with PingFederate Gebruikers kunnen zich aanmelden bij micro soft-Cloud Services, zoals Microsoft 365, door gebruik te maken van hetzelfde wacht woord dat ze gebruiken in hun on-premises netwerk.Users can sign in to Microsoft cloud services, such as Microsoft 365, by using the same password they use in their on-premises network. Gebruikers worden omgeleid naar hun on-premises PingFederate-exemplaar om zich aan te melden.Users are redirected to their on-premises PingFederate instance to sign in. Verificatie vindt plaats on-premises.Authentication occurs on-premises.
Niet configurerenDo not configure Er is geen functie voor het aanmelden van gebruikers geïnstalleerd of geconfigureerd.No user sign-in feature is installed or configured. Kies deze optie als u al een Federatie server van derden of een andere oplossing hebt.Choose this option if you already have a third-party federation server or another solution in place.
Eenmalige aanmelding inschakelenEnable single sign-on Deze optie is beschikbaar met zowel wachtwoord-hash-synchronisatie als Pass-Through-verificatie.This option is available with both password hash sync and pass-through authentication. Het biedt eenmalige aanmelding voor desktop gebruikers op bedrijfs netwerken.It provides a single sign-on experience for desktop users on corporate networks. Zie eenmalige aanmeldingvoor meer informatie.For more information, see Single sign-on.

Opmerking: Voor AD FS klanten is deze optie niet beschikbaar.Note: For AD FS customers, this option is unavailable. AD FS biedt al hetzelfde niveau van eenmalige aanmelding.AD FS already offers the same level of single sign-on.

Verbinding maken met Azure ADConnect to Azure AD

Voer op de pagina verbinding maken met Azure AD een globaal beheerders account en wacht woord in.On the Connect to Azure AD page, enter a global admin account and password. Als u Federatie met AD FS op de vorige pagina hebt geselecteerd, meldt u zich niet aan met een account in een domein dat u wilt inschakelen voor Federatie.If you selected Federation with AD FS on the previous page, don't sign in with an account that's in a domain you plan to enable for federation.

U kunt een account gebruiken in het standaard domein onmicrosoft.com , dat wordt geleverd bij uw Azure AD-Tenant.You might want to use an account in the default onmicrosoft.com domain, which comes with your Azure AD tenant. Dit account wordt alleen gebruikt voor het maken van een service account in azure AD.This account is used only to create a service account in Azure AD. Het wordt niet gebruikt nadat de installatie is voltooid.It's not used after the installation finishes.

Scherm afbeelding van de pagina verbinding maken met Azure AD.

Als voor uw globale beheerders account multi-factor Authentication is ingeschakeld, geeft u het wacht woord opnieuw op in het aanmeld venster en moet u de Challenge voor multi-factor Authentication volt ooien.If your global admin account has multifactor authentication enabled, you provide the password again in the sign-in window, and you must complete the multifactor authentication challenge. De uitdaging kan een verificatie code of een telefoon gesprek zijn.The challenge could be a verification code or a phone call.

Scherm afbeelding van de pagina verbinding maken met Azure AD.

Het account voor de globale beheerder kan ook privileged Identity Management hebben ingeschakeld.The global admin account can also have privileged identity management enabled.

Als u een fout melding krijgt of problemen hebt met de connectiviteit, raadpleeg dan verbindings problemen oplossen.If you see an error or have problems with connectivity, then see Troubleshoot connectivity problems.

Pagina's synchroniserenSync pages

In de volgende secties worden de pagina's in de sectie Sync beschreven.The following sections describe the pages in the Sync section.

Verbinding maken met uw directory’sConnect your directories

Azure AD Connect moet de forestnaam en referenties van een account met voldoende machtigingen hebben om verbinding te maken met Active Directory Domain Services (Azure AD DS).To connect to Active Directory Domain Services (Azure AD DS), Azure AD Connect needs the forest name and credentials of an account that has sufficient permissions.

Scherm opname van de pagina ' Connect your directory's '.

Nadat u de naam van het forest hebt ingevoerd en Directory toevoegenselecteert, wordt er een venster weer gegeven.After you enter the forest name and select Add Directory, a window appears. In de volgende tabel worden de opties beschreven.The following table describes your options.

OptieOption BeschrijvingDescription
Nieuw account makenCreate new account Maak het Azure AD DS-account dat Azure AD Connect nodig heeft om verbinding te maken met het Active Directory forest tijdens Directory synchronisatie.Create the Azure AD DS account that Azure AD Connect needs to connect to the Active Directory forest during directory synchronization. Nadat u deze optie hebt geselecteerd, voert u de gebruikers naam en het wacht woord in voor een ondernemings Administrator-account.After you select this option, enter the username and password for an enterprise admin account. Azure AD Connect maakt gebruik van het opgegeven account voor ondernemings Administrator om het vereiste Azure AD DS-account te maken.Azure AD Connect uses the provided enterprise admin account to create the required Azure AD DS account. U kunt het domein onderdeel invoeren in de NetBIOS-indeling of de FQDN-indeling.You can enter the domain part in either NetBIOS format or FQDN format. Dat wil zeggen, Voer FABRIKAM\administrator of FABRIKAM. com\administratorin.That is, enter FABRIKAM\administrator or fabrikam.com\administrator.
Bestaand account gebruikenUse existing account Geef een bestaand Azure AD DS-account op dat Azure AD Connect kan gebruiken om verbinding te maken met het Active Directory forest tijdens adreslijst synchronisatie.Provide an existing Azure AD DS account that Azure AD Connect can use to connect to the Active Directory forest during directory synchronization. U kunt het domein onderdeel invoeren in de NetBIOS-indeling of de FQDN-indeling.You can enter the domain part in either NetBIOS format or FQDN format. Dat wil zeggen, Voer FABRIKAM\syncuser of FABRIKAM. com\syncuserin.That is, enter FABRIKAM\syncuser or fabrikam.com\syncuser. Dit account kan een normaal gebruikers account zijn omdat het alleen de standaard machtigingen voor lezen nodig heeft.This account can be a regular user account because it needs only the default read permissions. Maar afhankelijk van uw scenario hebt u mogelijk meer machtigingen nodig.But depending on your scenario, you might need more permissions. Zie Azure AD Connect accounts en-machtigingenvoor meer informatie.For more information, see Azure AD Connect accounts and permissions.

Scherm opname van de pagina ' Connect Directory ' en het venster A D forest-account, waarin u kunt kiezen of u een nieuw account wilt maken of een bestaand account wilt gebruiken.

Notitie

Vanaf build 1.4.18.0 kunt u geen account voor ondernemings Administrator of domein beheerder gebruiken als het account van de Azure AD DS-connector.As of build 1.4.18.0, you can't use an enterprise admin or domain admin account as the Azure AD DS connector account. Als u een bestaand account gebruikenselecteert en u probeert om een ondernemings Administrator-account of een domein beheerders account in te voeren, ziet u de volgende fout: ' een ondernemings-of domein beheerders account voor uw AD-forest-account gebruiken is niet toegestaan.When you select Use existing account, if you try to enter an enterprise admin account or a domain admin account, you see the following error: "Using an Enterprise or Domain administrator account for your AD forest account is not allowed. Laat Azure AD Connect het account voor u maken of een synchronisatie account met de juiste machtigingen opgeven. "Let Azure AD Connect create the account for you or specify a synchronization account with the correct permissions."

Aanmeldconfiguratie Azure ADAzure AD sign-in configuration

Controleer op de pagina aanmeldings configuratie van Azure AD de User Principal Name (UPN)-domeinen in on-premises Azure AD DS.On the Azure AD sign-in configuration page, review the user principal name (UPN) domains in on-premises Azure AD DS. Deze UPN-domeinen zijn geverifieerd in azure AD.These UPN domains have been verified in Azure AD. Op deze pagina configureert u het kenmerk dat voor de userPrincipalName moet worden gebruikt.On this page, you configure the attribute to use for the userPrincipalName.

Scherm opname van niet-geverifieerde domeinen op de pagina "Azure A D aanmeld configuratie".

Controleer elk domein dat is gemarkeerd als niet toegevoegd of niet gecontroleerd.Review every domain that's marked as Not Added or Not Verified. Zorg ervoor dat de domeinen die u gebruikt, zijn geverifieerd in azure AD.Make sure that the domains you use have been verified in Azure AD. Nadat u uw domeinen hebt geverifieerd, selecteert u het pictogram voor het Vernieuwings interval.After you verify your domains, select the circular refresh icon. Zie voor meer informatie toevoegen en verifiëren van het domein.For more information, see Add and verify the domain.

Gebruikers gebruiken het kenmerk userPrincipalName wanneer ze zich aanmelden bij Azure AD en Microsoft 365.Users use the userPrincipalName attribute when they sign in to Azure AD and Microsoft 365. Azure AD moet de domeinen, ook wel bekend als het UPN-achtervoegsel, verifiëren voordat gebruikers worden gesynchroniseerd.Azure AD should verify the domains, also known as the UPN-suffix, before users are synchronized. Micro soft raadt u aan het standaard kenmerk userPrincipalName te hand haven.Microsoft recommends that you keep the default attribute userPrincipalName.

Als het kenmerk userPrincipalName nonroutable is en niet kan worden geverifieerd, kunt u een ander kenmerk selecteren.If the userPrincipalName attribute is nonroutable and can't be verified, then you can select another attribute. U kunt bijvoorbeeld e-mail selecteren als het kenmerk dat de aanmeldings-ID bevat.You can, for example, select email as the attribute that holds the sign-in ID. Wanneer u een ander kenmerk dan userPrincipalName gebruikt, wordt dit een alternatieve idgenoemd.When you use an attribute other than userPrincipalName, it's known as an alternate ID.

De waarde van het kenmerk alternatieve ID moet voldoen aan de RFC 822-norm.The alternate ID attribute value must follow the RFC 822 standard. U kunt een alternatieve ID gebruiken voor de synchronisatie van hashes van wacht woorden, Pass Through-verificatie en Federatie.You can use an alternate ID with password hash sync, pass-through authentication, and federation. In Active Directory kan het kenmerk niet worden gedefinieerd als meerdere waarden, zelfs als het slechts één waarde heeft.In Active Directory, the attribute can't be defined as multivalued, even if it has only a single value. Zie Pass-Through-verificatie: veelgestelde vragenvoor meer informatie over de alternatieve id.For more information about the alternate ID, see Pass-through authentication: Frequently asked questions.

Notitie

Als u Pass-Through-verificatie inschakelt, moet u ten minste één geverifieerd domein hebben om door te gaan met het aangepaste installatie proces.When you enable pass-through authentication, you must have at least one verified domain to continue through the custom installation process.

Waarschuwing

Alternatieve Id's zijn niet compatibel met alle Microsoft 365 workloads.Alternate IDs aren't compatible with all Microsoft 365 workloads. Zie alternatieve aanmeldings-Id's configurerenvoor meer informatie.For more information, see Configuring alternate sign-in IDs.

Domein en OE filterenDomain and OU filtering

Standaard worden alle domeinen en organisatie-eenheden (Ou's) gesynchroniseerd.By default, all domains and organizational units (OUs) are synchronized. Als u bepaalde domeinen of organisatie-eenheden niet wilt synchroniseren met Azure AD, kunt u de juiste selecties wissen.If you don't want to synchronize some domains or OUs to Azure AD, you can clear the appropriate selections.

Scherm afbeelding van de pagina domein en O U filteren.

Op deze pagina configureert u filteren op basis van een domein en op basis van een organisatie-eenheid.This page configures domain-based and OU-based filtering. Als u wijzigingen wilt aanbrengen, raadpleeg dan op domein gebaseerde filtering en filtering op basis van organisatie-eenheid.If you plan to make changes, then see Domain-based filtering and OU-based filtering. Sommige organisatie-eenheden zijn essentieel voor de functionaliteit. u moet deze dus ingeschakeld laten.Some OUs are essential for functionality, so you should leave them selected.

Als u filtering op basis van een organisatie-eenheid gebruikt met een Azure AD Connect oudere versie dan 1.1.524.0, worden nieuwe organisatie-eenheden standaard gesynchroniseerd.If you use OU-based filtering with an Azure AD Connect version older than 1.1.524.0, new OUs are synchronized by default. Als u niet wilt dat nieuwe organisatie-eenheden worden gesynchroniseerd, kunt u het standaard gedrag aanpassen na de stap voor het filteren op basis van een organisatie-eenheid .If you don't want new OUs to be synchronized, then you can adjust the default behavior after the OU-based filtering step. Voor Azure AD Connect 1.1.524.0 of hoger kunt u aangeven of u nieuwe organisatie-eenheden wilt synchroniseren.For Azure AD Connect 1.1.524.0 or later, you can indicate whether you want new OUs to be synchronized.

Als u van plan bent om filteren op basis van groepente gebruiken, moet u ervoor zorgen dat de organisatie-eenheid met de groep is opgenomen en niet wordt gefilterd met behulp van OE-filtering.If you plan to use group-based filtering, then make sure the OU with the group is included and isn't filtered by using OU-filtering. De OE wordt gefilterd voordat het filteren op basis van een groep wordt geëvalueerd.OU filtering is evaluated before group-based filtering is evaluated.

Het is ook mogelijk dat sommige domeinen onbereikbaar zijn vanwege firewall beperkingen.It's also possible that some domains are unreachable because of firewall restrictions. Deze domeinen zijn standaard uitgeschakeld en er wordt een waarschuwing weer gegeven.These domains are unselected by default, and they display a warning.

Scherm opname met onbereikbare domeinen.

Als u deze waarschuwing ziet, zorg er dan voor dat deze domeinen inderdaad onbereikbaar zijn en dat de waarschuwing wordt verwacht.If you see this warning, make sure that these domains are indeed unreachable and that the warning is expected.

Uw gebruikers een unieke id gevenUniquely identifying your users

Kies op de pagina gebruikers identificeren hoe gebruikers in uw on-premises directory's moeten worden geïdentificeerd en hoe ze kunnen worden geïdentificeerd met behulp van het kenmerk source Anchor.On the Identifying users page, choose how to identify users in your on-premises directories and how to identify them by using the sourceAnchor attribute.

Selecteren hoe gebruikers moeten worden aangeduid in uw on-premises directory’sSelect how users should be identified in your on-premises directories

Met de functie voor het vergelijken van verschillende forests kunt u definiëren hoe gebruikers van uw Azure AD DS-forests worden weer gegeven in azure AD.By using the Matching across forests feature, you can define how users from your Azure AD DS forests are represented in Azure AD. Een gebruiker kan slechts één keer worden weer gegeven in alle forests of kan een combi natie van ingeschakelde en uitgeschakelde accounts hebben.A user might be represented only once across all forests or might have a combination of enabled and disabled accounts. De gebruiker kan in sommige forests ook worden weergegeven als een contactpersoon.The user might also be represented as a contact in some forests.

Scherm opname van de pagina waar u uw gebruikers uniek kunt identificeren.

InstellingSetting BeschrijvingDescription
Gebruikers worden slechts één keer weer gegeven in alle forestsUsers are represented only once across all forests Alle gebruikers worden als afzonderlijke objecten in Azure AD aangemaakt.All users are created as individual objects in Azure AD. De objecten zijn niet gekoppeld aan de tekst.The objects aren't joined in the metaverse.
E-mailkenmerkMail attribute Deze optie koppelt gebruikers en contactpersonen als het e-mailkenmerk in verschillende forests dezelfde waarde heeft.This option joins users and contacts if the mail attribute has the same value in different forests. Gebruik deze optie wanneer uw contact personen zijn gemaakt met behulp van GALSync.Use this option when your contacts were created by using GALSync. Als u deze optie kiest, worden gebruikers objecten waarvan het e-mail kenmerk niet is ingevuld, niet gesynchroniseerd met Azure AD.If you choose this option, user objects whose mail attribute is unpopulated aren't synchronized to Azure AD.
ObjectSID en msExchangeMasterAccountSID/msRTCSIP-OriginatorSID kenmerkenObjectSID and msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID attributes Deze optie koppelt een ingeschakelde gebruiker in een account-forest met een uitgeschakelde gebruiker in een bron-forest.This option joins an enabled user in an account forest with a disabled user in a resource forest. In Exchange wordt deze configuratie een gekoppeld postvak genoemd.In Exchange, this configuration is known as a linked mailbox. U kunt deze optie gebruiken als u alleen Lync gebruikt en als Exchange niet aanwezig is in de bron-forest.You can use this option if you use only Lync and if Exchange isn't present in the resource forest.
SAMAccountName en mailnickname-kenmerkenSAMAccountName and MailNickName attributes Deze optie wordt toegevoegd aan kenmerken waarbij de aanmeldings-ID voor de gebruiker wordt verwacht.This option joins on attributes where the sign-in ID for the user is expected to be found.
Kies een specifiek kenmerkChoose a specific attribute Met deze optie kunt u uw eigen kenmerk selecteren.This option allows you to select your own attribute. Als u deze optie kiest, worden gebruikers objecten waarvan het kenmerk (geselecteerd) niet is gevuld, niet gesynchroniseerd met Azure AD.If you choose this option, user objects whose (selected) attribute is unpopulated aren't synchronized to Azure AD. Beperking: Alleen kenmerken die zich al in de omgekeerde tekst bevinden, zijn beschikbaar voor deze optie.Limitation: Only attributes that are already in the metaverse are available for this option.

Selecteren hoe gebruikers moeten worden geïdentificeerd met behulp van een bron ankerSelect how users should be identified by using a source anchor

Het kenmerk Source Anchor is onveranderbaar tijdens de levens duur van een gebruikers object.The sourceAnchor attribute is immutable during the lifetime of a user object. Het is de primaire sleutel die de on-premises gebruiker koppelt aan de gebruiker in azure AD.It's the primary key that links the on-premises user with the user in Azure AD.

InstellingSetting BeschrijvingDescription
Azure het bron anker laten beherenLet Azure manage the source anchor Selecteer deze optie als u wilt dat Azure AD het kenmerk voor u selecteert.Select this option if you want Azure AD to pick the attribute for you. Als u deze optie selecteert, past Azure AD Connect de source Anchor-kenmerk selectie logica toe die wordt beschreven in MS-DS-ConsistencyGuid als source Anchor.If you select this option, Azure AD Connect applies the sourceAnchor attribute selection logic that's described in Using ms-DS-ConsistencyGuid as sourceAnchor. Nadat de aangepaste installatie is voltooid, ziet u welk kenmerk is gekozen als het kenmerk source Anchor.After the custom installation finishes, you see which attribute was picked as the sourceAnchor attribute.
Kies een specifiek kenmerkChoose a specific attribute Selecteer deze optie als u een bestaand AD-kenmerk wilt opgeven als het kenmerk source Anchor.Select this option if you want to specify an existing AD attribute as the sourceAnchor attribute.

Omdat het kenmerk source Anchor niet kan worden gewijzigd, moet u een geschikt kenmerk kiezen.Because the sourceAnchor attribute can't be changed, you must choose an appropriate attribute. Een goede kandidaat is objectGUID.A good candidate is objectGUID. Dit kenmerk wordt alleen gewijzigd als het gebruikers account wordt verplaatst tussen forests of domeinen.This attribute isn't changed unless the user account is moved between forests or domains. Kies geen kenmerken die kunnen worden gewijzigd wanneer een persoon trouwt of een andere toewijzing wijzigt.Don't choose attributes that can change when a person marries or changes assignments.

U kunt geen kenmerken gebruiken die een apen staartje (@) bevatten, zodat u geen e-mail en userPrincipalName kunt gebruiken.You can't use attributes that include an at sign (@), so you can't use email and userPrincipalName. Het kenmerk is ook hoofdletter gevoelig, dus wanneer u een object tussen forests verplaatst, moet u hoofd letters en kleine letters behouden.The attribute is also case sensitive, so when you move an object between forests, make sure to preserve uppercase and lowercase. Binaire kenmerken zijn base64-gecodeerd, maar andere kenmerk typen blijven niet-versleutelde status.Binary attributes are Base64-encoded, but other attribute types remain in their unencoded state.

In Federatie scenario's en sommige Azure AD-interfaces wordt het kenmerk source Anchor ook wel immutableIDgenoemd.In federation scenarios and some Azure AD interfaces, the sourceAnchor attribute is also known as immutableID.

Zie ontwerp conceptenvoor meer informatie over het bron anker.For more information about the source anchor, see Design concepts.

Synchronisatiefilters op basis van groepenSync filtering based on groups

Met de functie filteren op groep kunt u slechts een kleine subset van objecten voor een pilot synchroniseren.The filtering-on-groups feature allows you to sync only a small subset of objects for a pilot. Als u deze functie wilt gebruiken, maakt u een groep voor dit doel in uw on-premises exemplaar van Active Directory.To use this feature, create a group for this purpose in your on-premises instance of Active Directory. Voeg vervolgens gebruikers en groepen toe die naar Azure AD moeten worden gesynchroniseerd als directe leden.Then add users and groups that should be synchronized to Azure AD as direct members. U kunt later gebruikers toevoegen of gebruikers uit deze groep verwijderen om de lijst met objecten te onderhouden die aanwezig moeten zijn in azure AD.You can later add users or remove users from this group to maintain the list of objects that should be present in Azure AD.

Alle objecten die u wilt synchroniseren, moeten direct lid zijn van de groep.All objects that you want to synchronize must be direct members of the group. Gebruikers, groepen, contact personen en computers of apparaten moeten allemaal direct leden zijn.Users, groups, contacts, and computers or devices must all be direct members. Het geneste groepslid maatschap is niet opgelost.Nested group membership isn't resolved. Wanneer u een groep als lid toevoegt, wordt alleen de groep zelf toegevoegd.When you add a group as a member, only the group itself is added. De leden zijn niet toegevoegd.Its members aren't added.

Scherm opname van de pagina waarop u kunt kiezen hoe gebruikers en apparaten moeten worden gefilterd.

Waarschuwing

Deze functie is bedoeld om alleen een pilot implementatie te ondersteunen.This feature is intended to support only a pilot deployment. Gebruik het niet in een volledige productie-implementatie.Don't use it in a full production deployment.

Bij een volledige productie-implementatie zou het lastig zijn om één groep en alle bijbehorende objecten te synchroniseren.In a full production deployment, it would be hard to maintain a single group and all of its objects to synchronize. Gebruik in plaats van de functie filteren op groep een van de methoden die worden beschreven in filtering configureren.Instead of the filtering-on-groups feature, use one of the methods described in Configure filtering.

Optionele functiesOptional features

Op de volgende pagina kunt u optionele functies voor uw scenario selecteren.On the next page, you can select optional features for your scenario.

Waarschuwing

Azure AD Connect versies 1.0.8641.0 en eerder zijn afhankelijk van Azure Access Control Service voor het terugschrijven van wacht woorden.Azure AD Connect versions 1.0.8641.0 and earlier rely on Azure Access Control Service for password writeback. Deze service is op 7 november 2018 buiten gebruik gesteld.This service was retired on November 7, 2018. Als u een van deze versies van Azure AD Connect gebruikt en wacht woord terugschrijven hebt ingeschakeld, kunnen gebruikers de mogelijkheid tot het wijzigen of opnieuw instellen van hun wacht woorden verliezen wanneer de service buiten gebruik wordt gesteld.If you use any of these versions of Azure AD Connect and have enabled password writeback, users might lose the ability to change or reset their passwords when the service is retired. Deze versies van Azure AD Connect bieden geen ondersteuning voor het terugschrijven van wacht woorden.These versions of Azure AD Connect don't support password writeback.

Zie Migrate from Azure Access Control servicevoor meer informatie.For more information, see Migrate from Azure Access Control Service.

Als u wacht woord terugschrijven wilt gebruiken, downloadt u de nieuwste versie van Azure AD Connect.If you want to use password writeback, download the latest version of Azure AD Connect.

Scherm afbeelding van de pagina optionele functies.

Waarschuwing

Als Azure AD Sync of direct synchroniseren (DirSync) actief is, activeert u geen write-functies in Azure AD Connect.If Azure AD Sync or Direct Synchronization (DirSync) are active, don't activate any writeback features in Azure AD Connect.

Optionele functiesOptional features DescriptionDescription
Hybride implementatie van ExchangeExchange hybrid deployment Met de functie hybride implementatie van Exchange kunnen Exchange-post vakken zowel on-premises als in Microsoft 365 worden uitgewisseld.The Exchange hybrid deployment feature allows for the coexistence of Exchange mailboxes both on-premises and in Microsoft 365. Azure AD Connect synchroniseert een specifieke set kenmerken van Azure AD terug naar uw on-premises Directory.Azure AD Connect synchronizes a specific set of attributes from Azure AD back into your on-premises directory.
Exchange-e-mail-open bare mappenExchange mail public folders Met de functie open bare mappen van Exchange mail kunt u e-mail berichten met open bare mappen synchroniseren van uw on-premises exemplaar van Active Directory naar Azure AD.The Exchange mail public folders feature allows you to synchronize mail-enabled public-folder objects from your on-premises instance of Active Directory to Azure AD.
Azure AD-app- en -kenmerkfiltersAzure AD app and attribute filtering Door Azure AD-app-en-kenmerk filtering in te scha kelen, kunt u de set gesynchroniseerde kenmerken aanpassen.By enabling Azure AD app and attribute filtering, you can tailor the set of synchronized attributes. Door deze optie worden twee extra configuratiepagina’s aan de wizard toegevoegd.This option adds two more configuration pages to the wizard. Zie voor meer informatie Azure AD app and attribute filtering.For more information, see Azure AD app and attribute filtering.
Synchronisatie van wachtwoord-hashesPassword hash synchronization Als u Federatie hebt geselecteerd als de aanmeldings oplossing, kunt u wachtwoord hash-synchronisatie inschakelen.If you selected federation as the sign-in solution, you can enable password hash synchronization. Vervolgens kunt u deze als back-upoptie gebruiken.Then you can use it as a backup option.

Als u Pass-Through-verificatie hebt geselecteerd, kunt u deze optie inschakelen om ondersteuning te bieden voor verouderde clients en een back-up te maken.If you selected pass-through authentication, you can enable this option to ensure support for legacy clients and to provide a backup.

Zie Password Hash Synchronization(Engelstalig) voor meer informatie.For more information, see Password hash synchronization.
Wachtwoord terugschrijvenPassword writeback Gebruik deze optie om ervoor te zorgen dat wachtwoord wijzigingen die afkomstig zijn van in azure AD, worden teruggeschreven naar uw on-premises Directory.Use this option to ensure that password changes that originate in Azure AD are written back to your on-premises directory. Zie voor meer informatie Getting started with password management.For more information, see Getting started with password management.
Groep terugschrijvenGroup writeback Als u Microsoft 365 groepen gebruikt, kunt u groepen vertegenwoordigen in uw on-premises exemplaar van Active Directory.If you use Microsoft 365 Groups, then you can represent groups in your on-premises instance of Active Directory. Deze optie is alleen beschikbaar als u Exchange hebt in uw on-premises exemplaar van Active Directory.This option is available only if you have Exchange in your on-premises instance of Active Directory. Zie Azure AD Connect Group writeing(Engelstalig) voor meer informatie.For more information, see Azure AD Connect group writeback.
Apparaat terugschrijvenDevice writeback Gebruik deze optie voor scenario's voor voorwaardelijke toegang om objecten in azure AD terug te schrijven naar uw on-premises exemplaar van Active Directory.For conditional-access scenarios, use this option to write back device objects in Azure AD to your on-premises instance of Active Directory. Zie voor meer informatie Enabling device writeback in Azure AD Connect.For more information, see Enabling device writeback in Azure AD Connect.
Synchronisatie van directory-extensiekenmerkenDirectory extension attribute sync Selecteer deze optie om de opgegeven kenmerken te synchroniseren met Azure AD.Select this option to sync specified attributes to Azure AD. Zie voor meer informatie Directory extensions.For more information, see Directory extensions.

Azure AD-app- en -kenmerkfiltersAzure AD app and attribute filtering

Als u wilt beperken welke kenmerken worden gesynchroniseerd met Azure AD, kunt u beginnen met het selecteren van de services die u gebruikt.If you want to limit which attributes synchronize to Azure AD, then start by selecting the services you use. Als u de selecties op deze pagina wijzigt, moet u expliciet een nieuwe service selecteren door de installatie wizard opnieuw uit te voeren.If you change the selections on this page, you have to explicitly select a new service by rerunning the installation wizard.

Scherm opname van de optionele functies van Azure A D apps.

Op basis van de services die u in de vorige stap hebt geselecteerd, worden op deze pagina alle kenmerken weer gegeven die zijn gesynchroniseerd.Based on the services you selected in the previous step, this page shows all attributes that are synchronized. Deze lijst is een combi natie van alle object typen die worden gesynchroniseerd.This list is a combination of all object types that are being synchronized. Als sommige kenmerken niet-gesynchroniseerd moeten blijven, kunt u de selectie uit deze kenmerken wissen.If you need some attributes to remain unsynchronized, you can clear the selection from those attributes.

Scherm opname van de optionele functies van Azure A D kenmerken.

Waarschuwing

Het verwijderen van kenmerken kan invloed hebben op de functionaliteit.Removing attributes can affect functionality. Zie kenmerken voor synchronisatievoor aanbevolen procedures en aanbevelingen.For best practices and recommendations, see Attributes to synchronize.

Synchronisatie van directory-extensiekenmerkenDirectory Extension attribute sync

U kunt het schema uitbreiden in azure AD met behulp van aangepaste kenmerken die uw organisatie heeft toegevoegd of door gebruik te maken van andere kenmerken in Active Directory.You can extend the schema in Azure AD by using custom attributes that your organization added or by using other attributes in Active Directory. Als u deze functie wilt gebruiken, selecteert u op de pagina optionele functies de optie synchronisatie van Directory-extensie kenmerken. Op de pagina Directory-extensies kunt u meer kenmerken selecteren om te synchroniseren.To use this feature, on the Optional Features page, select Directory Extension attribute sync. On the Directory Extensions page, you can select more attributes to sync.

Notitie

Het veld beschik bare kenmerken is hoofdletter gevoelig.The Available Attributes field is case sensitive.

Scherm afbeelding met de pagina Directory-extensies.

Zie voor meer informatie Directory extensions.For more information, see Directory extensions.

Eenmalige aanmelding inschakelenEnabling single sign-on

Op de pagina eenmalige aanmelding kunt u eenmalige aanmelding configureren voor gebruik met wachtwoord synchronisatie of Pass-Through-verificatie.On the Single sign-on page, you configure single sign-on for use with password synchronization or pass-through authentication. U voert deze stap één keer uit voor elk forest dat wordt gesynchroniseerd met Azure AD.You do this step once for each forest that's being synchronized to Azure AD. De configuratie bestaat uit twee stappen:Configuration involves two steps:

  1. Maak het benodigde computer account in uw on-premises exemplaar van Active Directory.Create the necessary computer account in your on-premises instance of Active Directory.
  2. Configureer de intranet zone van de client computers voor de ondersteuning van eenmalige aanmelding.Configure the intranet zone of the client machines to support single sign-on.

Het computeraccount maken in Active DirectoryCreate the computer account in Active Directory

Voor elk forest dat is toegevoegd in Azure AD Connect, moet u referenties voor de domein beheerder opgeven, zodat het computer account in elk forest kan worden gemaakt.For each forest that has been added in Azure AD Connect, you need to supply domain administrator credentials so that the computer account can be created in each forest. De referenties worden alleen gebruikt om het account te maken.The credentials are used only to create the account. Ze worden niet opgeslagen of gebruikt voor een andere bewerking.They aren't stored or used for any other operation. Voeg de referenties toe op de pagina eenmalige aanmelding inschakelen , zoals in de volgende afbeelding wordt weer gegeven.Add the credentials on the Enable single sign-on page, as the following image shows.

Scherm afbeelding met de pagina ' eenmalige aanmelding inschakelen '.

Notitie

U kunt forests overs Laan waarvoor u eenmalige aanmelding niet wilt gebruiken.You can skip forests where you don't want to use single sign-on.

De intranet zone voor client computers configurerenConfigure the intranet zone for client machines

Om ervoor te zorgen dat de client zich automatisch aanmeldt in de intranet zone, controleert u of de URL deel uitmaakt van de intranet zone.To ensure that the client signs in automatically in the intranet zone, make sure the URL is part of the intranet zone. Deze stap zorgt ervoor dat de computer die lid is van het domein automatisch een Kerberos-ticket naar Azure AD verzendt wanneer het is verbonden met het bedrijfs netwerk.This step ensures that the domain-joined computer automatically sends a Kerberos ticket to Azure AD when it's connected to the corporate network.

Op een computer met groepsbeleid-beheer hulpprogramma's:On a computer that has Group Policy management tools:

  1. Open de groepsbeleid-beheer hulpprogramma's.Open the Group Policy management tools.

  2. Bewerk het groeps beleid dat wordt toegepast op alle gebruikers.Edit the group policy that will be applied to all users. Bijvoorbeeld het standaard domein beleid.For example, the Default Domain policy.

  3. Ga naar gebruikers configuratie > Beheersjablonen > Windows-onderdelen > Internet ExplorerInternet > configuratie scherm > beveiligings pagina.Go to User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page. Selecteer vervolgens de lijst site naar zone toewijzing.Then select Site to Zone Assignment List.

  4. Schakel het beleid in.Enable the policy. Voer vervolgens in het dialoog venster de waarde naam https://autologon.microsoftazuread-sso.com en waarde van in 1 .Then, in the dialog box, enter a value name of https://autologon.microsoftazuread-sso.com and value of 1. Uw installatie kopie moet er als volgt uitzien.Your setup should look like the following image.

    Scherm opname met intranet zones.

  5. Selecteer twee keer op OK .Select OK twice.

Federatie met AD FS configurerenConfiguring federation with AD FS

U kunt in slechts enkele klikken AD FS met Azure AD Connect configureren.You can configure AD FS with Azure AD Connect in just a few clicks. Voordat u begint, hebt u het volgende nodig:Before you start, you need:

  • Windows Server 2012 R2 of hoger voor de federatieve server.Windows Server 2012 R2 or later for the federation server. Extern beheer moet zijn ingeschakeld.Remote management should be enabled.
  • Windows Server 2012 R2 of hoger voor de Web Application proxy-server.Windows Server 2012 R2 or later for the Web Application Proxy server. Extern beheer moet zijn ingeschakeld.Remote management should be enabled.
  • Een TLS/SSL-certificaat voor de naam van de Federation-service die u wilt gebruiken (bijvoorbeeld sts.contoso.com).A TLS/SSL certificate for the federation service name that you intend to use (for example, sts.contoso.com).

Notitie

U kunt een TLS/SSL-certificaat voor uw AD FS-farm bijwerken met behulp van Azure AD Connect, zelfs als u deze niet gebruikt voor het beheren van uw federatieve vertrouwens relatie.You can update a TLS/SSL certificate for your AD FS farm by using Azure AD Connect even if you don't use it to manage your federation trust.

Vereisten voor AD FS configuratieAD FS configuration prerequisites

Als u uw AD FS-farm wilt configureren met behulp van Azure AD Connect, moet u ervoor zorgen dat WinRM is ingeschakeld op de externe servers.To configure your AD FS farm by using Azure AD Connect, ensure that WinRM is enabled on the remote servers. Zorg ervoor dat u de andere taken in vereisten voor Federatiehebt voltooid.Make sure you've completed the other tasks in Federation prerequisites. Zorg er ook voor dat u de poort vereisten volgt die worden vermeld in de tabel Azure AD Connect en Federatie/WAP-servers .Also make sure you follow the ports requirements that are listed in the Azure AD Connect and Federation/WAP servers table.

Maak een nieuwe AD FS-farm aan of gebruik een bestaande AD FS-farmCreate a new AD FS farm or use an existing AD FS farm

U kunt een bestaande AD FS-farm gebruiken of een nieuwe maken.You can use an existing AD FS farm or create a new one. Als u ervoor kiest om een nieuw item te maken, moet u het TLS/SSL-certificaat opgeven.If you choose to create a new one, you must provide the TLS/SSL certificate. Als het TLS/SSL-certificaat wordt beveiligd met een wacht woord, wordt u gevraagd het wacht woord op te geven.If the TLS/SSL certificate is protected by a password, then you're prompted to provide the password.

Scherm afbeelding van de pagina A D F S Farm

Als u ervoor kiest om een bestaande AD FS-Farm te gebruiken, ziet u de pagina waar u de vertrouwens relatie tussen AD FS en Azure AD kunt configureren.If you choose to use an existing AD FS farm, you see the page where you can configure the trust relationship between AD FS and Azure AD.

Notitie

U kunt Azure AD Connect gebruiken om slechts één AD FS Farm te beheren.You can use Azure AD Connect to manage only one AD FS farm. Als u een bestaande federatieve vertrouwens relatie hebt waarbij Azure AD is geconfigureerd op de geselecteerde AD FS Farm, Azure AD Connect de vertrouwens relatie opnieuw te maken.If you have an existing federation trust where Azure AD is configured on the selected AD FS farm, Azure AD Connect re-creates the trust from scratch.

Geef de AD FS-servers opSpecify the AD FS servers

Geef de servers op waarop u AD FS wilt installeren.Specify the servers where you want to install AD FS. U kunt een of meer servers toevoegen, afhankelijk van de capaciteits behoeften.You can add one or more servers, depending on your capacity needs. Voordat u deze configuratie instelt, moet u alle AD FS-servers toevoegen aan Active Directory.Before you set up this configuration, join all AD FS servers to Active Directory. Deze stap is niet vereist voor de Web Application proxy-servers.This step isn't required for the Web Application Proxy servers.

Het wordt door Microsoft aangeraden om voor proefimplementaties één AD FS-server te installeren.Microsoft recommends installing a single AD FS server for test and pilot deployments. Na de eerste configuratie kunt u meer servers toevoegen en implementeren om te voldoen aan uw schaal behoeften door Azure AD Connect opnieuw uit te voeren.After the initial configuration, you can add and deploy more servers to meet your scaling needs by running Azure AD Connect again.

Notitie

Voordat u deze configuratie instelt, moet u ervoor zorgen dat al uw servers zijn gekoppeld aan een Azure AD-domein.Before you set up this configuration, ensure that all of your servers are joined to an Azure AD domain.

Scherm opname van de pagina ' Federatie servers '.

Geef de webtoepassingsproxyservers opSpecify the Web Application Proxy servers

Geef uw Web Application proxy-servers op.Specify your Web Application Proxy servers. De Web Application proxy-server wordt geïmplementeerd in het perimeter netwerk, gericht op het extranet.The Web Application Proxy server is deployed in your perimeter network, facing the extranet. Het ondersteunt verificatie aanvragen van het extranet.It supports authentication requests from the extranet. U kunt een of meer servers toevoegen, afhankelijk van de capaciteits behoeften.You can add one or more servers, depending on your capacity needs.

Micro soft raadt u aan om één Web Application proxy-server te installeren voor test-en proef implementaties.Microsoft recommends installing a single Web Application Proxy server for test and pilot deployments. Na de eerste configuratie kunt u meer servers toevoegen en implementeren om te voldoen aan uw schaal behoeften door Azure AD Connect opnieuw uit te voeren.After the initial configuration, you can add and deploy more servers to meet your scaling needs by running Azure AD Connect again. Het is raadzaam dat u een gelijkwaardig aantal proxy servers hebt om te voldoen aan verificatie van het intranet.We recommend that you have an equivalent number of proxy servers to satisfy authentication from the intranet.

Notitie

  • Als het account dat u gebruikt geen lokale beheerder is op de Web Application proxy-servers, wordt u gevraagd om beheerders referenties.If the account you use isn't a local admin on the Web Application Proxy servers, then you're prompted for admin credentials.
  • Voordat u Web Application proxy-servers opgeeft, moet u ervoor zorgen dat er een HTTP/HTTPS-verbinding is tussen de Azure AD Connect-server en de Web Application proxy-server.Before you specify Web Application Proxy servers, ensure that there's HTTP/HTTPS connectivity between the Azure AD Connect server and the Web Application Proxy server.
  • Zorg ervoor dat er een HTTP/HTTPS-verbinding tussen de webtoepassingsserver en de AD FS-server is om verificatie aanvragen toe te staan door te lopen.Ensure that there's HTTP/HTTPS connectivity between the Web Application Server and the AD FS server to allow authentication requests to flow through.

Scherm opname van de pagina Web Application proxy-servers.

U wordt gevraagd om referenties in te voeren, zodat de Web Application Server een beveiligde verbinding met de AD FS server tot stand kan brengen.You're prompted to enter credentials so that the web application server can establish a secure connection to the AD FS server. Deze referenties moeten voor een lokaal beheerders account op de AD FS server zijn.These credentials must be for a local administrator account on the AD FS server.

Scherm opname met de pagina referenties.

Geef het serviceaccount voor de AD FS-service opSpecify the service account for the AD FS service

De AD FS-service vereist een domein service account voor het verifiëren van gebruikers en het opzoeken van gebruikers gegevens in Active Directory.The AD FS service requires a domain service account to authenticate users and to look up user information in Active Directory. De service kan twee soorten serviceaccounts ondersteunen:It can support two types of service accounts:

  • Door de groep beheerde service account: dit account type is geïntroduceerd in AD DS door Windows Server 2012.Group managed service account: This account type was introduced into AD DS by Windows Server 2012. Dit type account biedt services als AD FS.This type of account provides services such as AD FS. Het is een enkel account waarin u het wacht woord niet regel matig hoeft bij te werken.It's a single account in which you don't need to update the password regularly. Gebruik deze optie als u al Windows Server 2012-domeincontrollers hebt in het domein waarbij uw AD FS-servers horen.Use this option if you already have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.
  • Domein gebruikers account: dit type account vereist dat u een wacht woord opgeeft en het regel matig bijwerkt wanneer het verloopt.Domain user account: This type of account requires you to provide a password and regularly update it when it expires. Gebruik deze optie alleen als u niet beschikt over Windows Server 2012-domein controllers in het domein waartoe uw AD FS-servers behoren.Use this option only when you don't have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.

Als u een beheerd service account voor een groep maken hebt geselecteerd en deze functie nooit is gebruikt in Active Directory, voert u de referenties voor uw ondernemings Administrator in.If you selected Create a group Managed Service Account and this feature has never been used in Active Directory, then enter your enterprise admin credentials. Deze referenties worden gebruikt om de sleutelopslagplaats te beginnen en de functie in Active Directory in te schakelen.These credentials are used to initiate the key store and enable the feature in Active Directory.

Notitie

Azure AD Connect controleert of de AD FS-service al is geregistreerd als een Service Principal Name (SPN) in het domein.Azure AD Connect checks whether the AD FS service is already registered as a service principal name (SPN) in the domain. Azure AD DS staat niet toe dat dubbele Spn's tegelijk worden geregistreerd.Azure AD DS doesn't allow duplicate SPNs to be registered at the same time. Als er een dubbele SPN wordt gevonden, kunt u verder gaan totdat de SPN wordt verwijderd.If a duplicate SPN is found, you can't proceed further until the SPN is removed.

Scherm afbeelding van de pagina A D F S service-account.

Selecteer het Azure AD-domein dat u wilt laten communicerenSelect the Azure AD domain that you want to federate

Gebruik de pagina Azure AD-domein om de Federatie relatie tussen AD FS en Azure AD in te stellen.Use the Azure AD Domain page to set up the federation relationship between AD FS and Azure AD. Hier configureert u AD FS voor het leveren van beveiligings tokens aan Azure AD.Here, you configure AD FS to provide security tokens to Azure AD. U kunt Azure AD ook zo configureren dat de tokens van dit AD FS exemplaar worden vertrouwd.You also configure Azure AD to trust the tokens from this AD FS instance.

Op deze pagina kunt u slechts één domein configureren tijdens de eerste installatie.On this page, you can configure only a single domain in the initial installation. U kunt later meer domeinen configureren door Azure AD Connect nogmaals uit te voeren.You can configure more domains later by running Azure AD Connect again.

Scherm opname van de pagina ' Azure A D domein '.

Controleer het Azure AD-domein dat voor federatie is geselecteerdVerify the Azure AD domain selected for federation

Wanneer u het domein selecteert dat u wilt deheffen, Azure AD Connect geeft u informatie op die u kunt gebruiken om een niet-geverifieerd domein te controleren.When you select the domain that you want to federate, Azure AD Connect provides information that you can use to verify an unverified domain. Zie voor meer informatie toevoegen en verifiëren van het domein.For more information, see Add and verify the domain.

Scherm opname van de pagina ' Azure A D domein ', met inbegrip van informatie die u kunt gebruiken om het domein te verifiëren.

Notitie

Azure AD Connect probeert het domein te verifiëren tijdens de configuratie fase.Azure AD Connect tries to verify the domain during the configuration stage. Als u de benodigde Domain Name System (DNS)-records niet toevoegt, kan de configuratie niet worden voltooid.If you don't add the necessary Domain Name System (DNS) records, the configuration can't be completed.

Federatie configureren met PingFederateConfiguring federation with PingFederate

U kunt met slechts enkele klikken PingFederate configureren met Azure AD Connect.You can configure PingFederate with Azure AD Connect in just a few clicks. De volgende vereisten zijn vereist:The following prerequisites are required:

Het domein verifiërenVerify the domain

Nadat u ervoor hebt gekozen om Federatie in te stellen met behulp van PingFederate, wordt u gevraagd om het domein te controleren dat u wilt gebruiken.After you choose to set up federation by using PingFederate, you're asked to verify the domain you want to federate. Selecteer het domein in de vervolg keuzelijst.Select the domain from the drop-down menu.

Scherm opname van de pagina ' Azure A D domein '.

De PingFederate-instellingen exporterenExport the PingFederate settings

Configureer PingFederate als de Federatie server voor elk federatieve Azure-domein.Configure PingFederate as the federation server for each federated Azure domain. Selecteer instellingen exporteren om deze informatie te delen met uw PingFederate-beheerder.Select Export Settings to share this information with your PingFederate administrator. De beheerder van de Federatie Server werkt de configuratie bij en geeft vervolgens de URL en het poort nummer van de PingFederate-server, zodat Azure AD Connect de meta gegevens instellingen kunt controleren.The federation server administrator updates the configuration and then provides the PingFederate server URL and port number so that Azure AD Connect can verify the metadata settings.

Scherm afbeelding met de pagina ' PingFederate-instellingen '.

Neem contact op met de beheerder van PingFederate als er validatieproblemen zijn.Contact your PingFederate administrator to resolve any validation issues. De volgende afbeelding toont informatie over een PingFederate-server die geen geldige vertrouwens relatie heeft met Azure.The following image shows information about a PingFederate server that has no valid trust relationship with Azure.

Scherm opname van de server informatie: de PingFederate-server is gevonden, maar de service provider verbinding voor Azure ontbreekt of is uitgeschakeld.

Federatieve connectiviteit verifiërenVerify federation connectivity

Azure AD Connect probeert de verificatie-eind punten te valideren die worden opgehaald uit de PingFederate-meta gegevens in de vorige stap.Azure AD Connect attempts to validate the authentication endpoints that it retrieves from the PingFederate metadata in the previous step. Azure AD Connect eerste pogingen om de eind punten op te lossen met behulp van uw lokale DNS-servers.Azure AD Connect first attempts to resolve the endpoints by using your local DNS servers. Vervolgens wordt geprobeerd de eind punten op te lossen met behulp van een externe DNS-provider.Next, it attempts to resolve the endpoints by using an external DNS provider. Neem contact op met de beheerder van PingFederate als er validatieproblemen zijn.Contact your PingFederate administrator to resolve any validation issues.

Scherm opname met de pagina connectiviteit controleren.

Federatie aanmelding controlerenVerify federation sign-in

Ten slotte kunt u de zojuist geconfigureerde federatieve aanmeldingsstroom verifiëren door u aan te melden bij het federatieve domein.Finally, you can verify the newly configured federated login flow by signing in to the federated domain. Als de aanmelding is gelukt, is de Federatie met PingFederate geconfigureerd.If your sign-in succeeds, then the federation with PingFederate is successfully configured.

Scherm afbeelding van de pagina "federatieve aanmelding controleren".

Configureer en verifieer pagina 'sConfigure and verify pages

De configuratie vindt plaats op de pagina configureren .The configuration happens on the Configure page.

Notitie

Als u Federatie hebt geconfigureerd, moet u ervoor zorgen dat u ook de naam omzetting voor Federatie servers hebt geconfigureerd voordat u doorgaat met de installatie.If you configured federation, then make sure that you have also configured Name resolution for federation servers before you continue the installation.

Scherm afbeelding met de pagina gereed om te configureren.

Faserings modus gebruikenUse staging mode

Het is mogelijk om een nieuwe synchronisatie server parallel in te stellen met de faserings modus.It's possible to set up a new sync server in parallel with staging mode. Als u deze installatie wilt gebruiken, kan slechts één synchronisatie server exporteren naar één map in de Cloud.If you want to use this setup, then only one sync server can export to one directory in the cloud. Maar als u wilt overstappen van een andere server, bijvoorbeeld een server met DirSync, kunt u Azure AD Connect inschakelen in de faserings modus.But if you want to move from another server, for example a server running DirSync, then you can enable Azure AD Connect in staging mode.

Wanneer u de faserings installatie inschakelt, wordt de synchronisatie-engine geïmporteerd en worden de gegevens als normaal gesynchroniseerd.When you enable the staging setup, the sync engine imports and synchronizes data as normal. Maar er worden geen gegevens naar Azure AD of Active Directory geëxporteerd.But it exports no data to Azure AD or Active Directory. In de faserings modus worden de functie voor wachtwoord synchronisatie en de functie voor het terugschrijven van wacht woorden uitgeschakeld.In staging mode, the password sync feature and password writeback feature are disabled.

Scherm afbeelding met de optie faserings modus inschakelen.

In de faserings modus kunt u de synchronisatie-engine vereiste wijzigingen aanbrengen en controleren wat er wordt geëxporteerd.In staging mode, you can make required changes to the sync engine and review what will be exported. Voer de installatiewizard opnieuw uit en schakel de faseringsmodus uit wanneer de configuratie er goed uitziet.When the configuration looks good, run the installation wizard again and disable staging mode.

Gegevens worden nu naar Azure AD geëxporteerd vanaf de-server.Data is now exported to Azure AD from the server. Schakel de andere server op hetzelfde moment uit, zodat slechts één server actief aan het exporteren is.Make sure to disable the other server at the same time so only one server is actively exporting.

Zie voor meer informatie Staging mode.For more information, see Staging mode.

Controleer uw federatieconfiguratieVerify your federation configuration

Azure AD Connect verifieert de DNS-instellingen wanneer u de knop verifiëren selecteert.Azure AD Connect verifies the DNS settings when you select the Verify button. Hiermee worden de volgende instellingen gecontroleerd:It checks the following settings:

  • Intranet verbindingIntranet connectivity
    • Federatieve FQDN omzetten: Azure AD Connect controleert of de Federatie-FQDN kan worden omgezet met DNS om verbinding te kunnen garanderen.Resolve federation FQDN: Azure AD Connect checks whether the DNS can resolve the federation FQDN to ensure connectivity. Als Azure AD Connect de FQDN niet kunt omzetten, mislukt de verificatie.If Azure AD Connect can't resolve the FQDN, then the verification fails. Zorg ervoor dat er een DNS-record aanwezig is voor de FQDN van de Federation service om de verificatie te volt ooien.To complete the verification, ensure that a DNS record is present for the federation service FQDN.
    • DNS A-record: Azure AD Connect controleert of uw Federation service een record bevat.DNS A record: Azure AD Connect checks whether your federation service has an A record. Als een record ontbreekt, mislukt de verificatie.In the absence of an A record, the verification fails. U kunt de verificatie volt ooien door een A-record (geen CNAME-record) te maken voor uw Federatie-FQDN.To complete the verification, create an A record (not a CNAME record) for your federation FQDN.
  • Extranet connectiviteitExtranet connectivity
    • Federatieve FQDN omzetten: Azure AD Connect controleert of de Federatie-FQDN kan worden omgezet met DNS om verbinding te kunnen garanderen.Resolve federation FQDN: Azure AD Connect checks whether the DNS can resolve the federation FQDN to ensure connectivity.

      Scherm afbeelding met de pagina installatie voltooid.

      Scherm afbeelding met de pagina installatie voltooid.

Als u end-to-end-verificatie wilt valideren, voert u hand matig een of meer van de volgende tests uit:To validate end-to-end authentication, manually perform one or more of the following tests:

  • Wanneer de synchronisatie is voltooid, gebruikt u in Azure AD Connect de aanvullende taak federatieve aanmelding verifiëren om verificatie te verifiëren voor een on-premises gebruikers account dat u kiest.When synchronization finishes, in Azure AD Connect, use the Verify federated login additional task to verify authentication for an on-premises user account that you choose.
  • Zorg ervoor dat u zich vanuit een computer die lid is van een domein op het intranet kunt aanmelden vanuit een browser.From a domain-joined machine on the intranet, ensure that you can sign in from a browser. Verbinding maken met https://myapps.microsoft.com .Connect to https://myapps.microsoft.com. Gebruik vervolgens uw aangemelde account om de aanmelding te controleren.Then use your logged-on account to verify the sign-in. Het ingebouwde beheerders account van Azure AD DS is niet gesynchroniseerd en u kunt het niet gebruiken voor verificatie.The built-in Azure AD DS administrator account isn't synchronized, and you can't use it for verification.
  • Zorg ervoor dat u zich kunt aanmelden vanaf een apparaat op het extranet.Ensure that you can sign in from a device on the extranet. Maak op een computer thuis of op een mobiel apparaat verbinding met https://myapps.microsoft.com .On a home machine or a mobile device, connect to https://myapps.microsoft.com. Geef vervolgens uw referenties op.Then provide your credentials.
  • Aanmelding uitgebreide client controleren.Validate rich client sign-in. Verbinding maken met https://testconnectivity.microsoft.com .Connect to https://testconnectivity.microsoft.com. Selecteer vervolgens de test Office 365 > Office 365 single Sign-On.Then select Office 365 > Office 365 Single Sign-On Test.

Problemen oplossenTroubleshoot

Deze sectie bevat informatie over het oplossen van problemen die u kunt gebruiken als u een probleem ondervindt tijdens de installatie van Azure AD Connect.This section contains troubleshooting information that you can use if you have a problem while installing Azure AD Connect.

Wanneer u een Azure AD Connect-installatie aanpast, kunt u op de pagina vereiste onderdelen installeren de optie een bestaande SQL Server gebruikenselecteren.When you customize an Azure AD Connect installation, on the Install required components page, you can select Use an existing SQL Server. Mogelijk wordt de volgende fout weer gegeven: ' de ADSync-Data Base bevat al gegevens en kan niet worden overschreven.You might see the following error: "The ADSync database already contains data and cannot be overwritten. Verwijder de bestaande data base en probeer het opnieuw. "Please remove the existing database and try again."

Scherm afbeelding met de pagina vereiste onderdelen installeren.

U ziet deze fout omdat er al een Data Base met de naam ADSync bestaat in het SQL-exemplaar van SQL Server dat u hebt opgegeven.You see this error because a database named ADSync already exists on the SQL instance of SQL Server that you specified.

Normaal gesp roken ziet u deze fout nadat u Azure AD Connect hebt verwijderd.You typically see this error after you have uninstalled Azure AD Connect. De data base wordt niet verwijderd van de computer waarop SQL Server wordt uitgevoerd wanneer u Azure AD Connect verwijdert.The database isn't deleted from the computer that runs SQL Server when you uninstall Azure AD Connect.

U kunt dit probleem als volgt oplossen:To fix this problem:

  1. Controleer de ADSync-data base die Azure AD Connect gebruikt voordat deze werd verwijderd.Check the ADSync database that Azure AD Connect used before it was uninstalled. Zorg ervoor dat de data base niet meer wordt gebruikt.Make sure that the database is no longer being used.

  2. Maak een back-up van de data base.Back up the database.

  3. De data base verwijderen:Delete the database:

    1. Gebruik Microsoft SQL Server Management Studio om verbinding te maken met het SQL-exemplaar.Use Microsoft SQL Server Management Studio to connect to the SQL instance.
    2. Zoek de ADSync -data base en klik er met de rechter muisknop op.Find the ADSync database and right-click it.
    3. Selecteer verwijderenin het context menu.On the context menu, select Delete.
    4. Selecteer OK om de data base te verwijderen.Select OK to delete the database.

Scherm opname met Microsoft SQL Server Management Studio.

Nadat u de ADSync-Data Base hebt verwijderd, selecteert u installeren om de installatie opnieuw uit te voeren.After you delete the ADSync database, select Install to retry the installation.

Volgende stappenNext steps

Nadat de installatie is voltooid, meldt u zich af bij Windows.After the installation finishes, sign out of Windows. Meld u vervolgens opnieuw aan voordat u Synchronization Service Manager of de editor voor synchronisatie regels gebruikt.Then sign in again before you use Synchronization Service Manager or Synchronization Rule Editor.

Nu u Azure AD Connect hebt geïnstalleerd, kunt u de installatie verifiëren en licenties toewijzen.Now that you have installed Azure AD Connect, you can verify the installation and assign licenses.

Zie voor meer informatie over de functies die u tijdens de installatie hebt ingeschakeld, onbedoeld verwijderen voor komen en Azure AD Connect Health.For more information about the features that you enabled during the installation, see Prevent accidental deletes and Azure AD Connect Health.

Zie Azure AD Connect Sync: scheduler en uw on-premises identiteiten integreren met Azure ADvoor meer informatie over andere algemene onderwerpen.For more information about other common topics, see Azure AD Connect sync: Scheduler and Integrate your on-premises identities with Azure AD.