Azure AD Connect: accounts en machtigingen

Machtiging Gebruikt voor
  • Directorywijzigingen repliceren
  • Directorywijzigingen repliceren
  • Wachtwoordhashsynchronisatie
    Alle eigenschappen Lezen/schrijven Gebruiker Importeren en Exchange hybride
    Alle eigenschappen iNetOrgPerson lezen/schrijven Importeren en Exchange hybride
    Alle eigenschappen Groep lezen/schrijven Importeren en Exchange hybride
    Alle eigenschappen Lezen/schrijven Contactpersoon Importeren en Exchange hybride
    Wachtwoord opnieuw instellen Voorbereiding voor het inschakelen van wachtwoord terugschrijven

    Samenvatting van de wizard voor express-installatie

    Express installation

    Hier volgt een samenvatting van de pagina's van de wizard voor express-installatie, de verzamelde referenties en waarvoor ze worden gebruikt.

    Wizardpagina Verzamelde referenties Vereiste machtigingen Wordt gebruikt voor
    N.v.t. Gebruiker die de installatiewizard uitvoeren Beheerder van de lokale server
  • Hiermee maakt ADSync serviceaccount dat wordt gebruikt om de synchronisatieservice uit te voeren.
  • Verbinding maken met Azure AD Azure AD-directoryreferenties Globale beheerder in Azure AD
  • Synchronisatie inschakelen in de Azure AD-directory.
  • Het Maken van het Azure AD Connector-account dat wordt gebruikt voor synchronisatiebewerkingen in Azure AD.
  • Verbinding maken met AD DS On-premises Active Directory-referenties Lid van de ea-groep (Enterprise Admins) in Active Directory
  • Hiermee maakt AD DS Connector-account in Active Directory en verleent u er machtigingen aan. Dit gemaakte account wordt gebruikt voor het lezen en schrijven van mapgegevens tijdens de synchronisatie.
  • Aangepaste installatie-instellingen

    Met de installatie van aangepaste instellingen biedt de wizard u meer opties en opties.

    Samenvatting van de wizard Aangepaste installatie

    Hier volgt een overzicht van de pagina's van de wizard voor aangepaste installatie, de verzamelde referenties en waarvoor ze worden gebruikt.

    Screenshot that shows the custom installation wizard pages.

    Wizardpagina Verzamelde referenties Vereiste machtigingen Wordt gebruikt voor
    N.v.t. Gebruiker die de installatiewizard uitvoeren
  • Beheerder van de lokale server
  • Als u een volledig SQL Server, moet de gebruiker systeembeheerder (SA) zijn in SQL
  • Hiermee maakt u standaard het lokale account dat wordt gebruikt als het serviceaccount van de synchronisatie-engine. Het account wordt alleen gemaakt wanneer de beheerder geen bepaald account opgeeft.
    Synchronisatieservices installeren, optie Serviceaccount Referenties voor AD- of lokaal gebruikersaccount Gebruiker: machtigingen worden verleend door de installatiewizard Als de beheerder een account op geeft, wordt dit account gebruikt als het serviceaccount voor de synchronisatieservice.
    Verbinding maken met Azure AD Azure AD-directoryreferenties Globale beheerder in Azure AD
  • Synchronisatie inschakelen in de Azure AD-directory.
  • Het Maken van het Azure AD Connector-account dat wordt gebruikt voor synchronisatiebewerkingen in Azure AD.
  • Verbinding maken met uw directory’s On-premises Active Directory-referenties voor elk forest dat is verbonden met Azure AD De machtigingen zijn afhankelijk van de functies die u inschakelen en vindt u in Het connectoraccount AD DS maken Dit account wordt gebruikt voor het lezen en schrijven van mapgegevens tijdens de synchronisatie.
    AD FS-Servers Voor elke server in de lijst verzamelt de wizard referenties wanneer de aanmeldingsreferenties van de gebruiker met de wizard onvoldoende zijn om verbinding te maken Domeinbeheerder Installatie en configuratie van de AD FS serverfunctie.
    Webtoepassingsproxyservers Voor elke server in de lijst verzamelt de wizard referenties wanneer de aanmeldingsreferenties van de gebruiker met de wizard onvoldoende zijn om verbinding te maken Lokale beheerder op de doelmachine Installatie en configuratie van WAP-serverfunctie.
    Referenties voor proxyvertrouwen Federatieservicevertrouwensreferenties (de referenties die de proxy gebruikt om in te schrijven voor een vertrouwenscertificaat van de FS Domeinaccount dat een lokale beheerder is van de AD FS server Initiële inschrijving van FS-WAP-vertrouwenscertificaat.
    AD FS de pagina Serviceaccount de optie Een domeingebruikersaccount gebruiken Referenties voor AD-gebruikersaccount Domeingebruiker Het Azure AD-gebruikersaccount waarvan de referenties zijn opgegeven, wordt gebruikt als het aanmeldingsaccount van de AD FS service.

    Het AD DS Connector-account maken

    Belangrijk

    Er is een nieuwe PowerShell-module met de naam ADSyncConfig.psm1 geïntroduceerd in build 1.1.880.0 (uitgebracht in augustus 2018) die een verzameling cmdlets bevat om u te helpen de juiste Active Directory-machtigingen voor het Azure AD DS Connector-account te configureren.

    Zie Azure AD Verbinding maken: AD DS Connector-accountmachtigingen configureren voor meer informatie

    Het account dat u opgeeft op de Verbinding maken uw directory's moeten aanwezig zijn in Active Directory vóór de installatie. Azure AD Verbinding maken versie 1.1.524.0 en hoger heeft de optie om de wizard Azure AD Verbinding maken het AD DS Connector-account te laten maken dat wordt gebruikt om verbinding te maken met Active Directory.

    Er moeten ook de vereiste machtigingen aan zijn verleend. De installatiewizard controleert de machtigingen niet en eventuele problemen zijn alleen te vinden tijdens de synchronisatie.

    Welke machtigingen u nodig hebt, is afhankelijk van de optionele functies die u inschakelen. Als u meerdere domeinen hebt, moeten de machtigingen worden verleend voor alle domeinen in het forest. Als u geen van deze functies inschakelen, zijn de standaardmachtigingen domeingebruiker voldoende.

    Functie Machtigingen
    Ms-DS-ConsistencyGuid-functie Schrijfmachtigingen voor het kenmerk ms-DS-ConsistencyGuid dat wordt beschreven in Ontwerpconcepten - ms-DS-ConsistencyGuid gebruiken als sourceAnchor.
    Wachtwoordhashsynchronisatie
  • Directorywijzigingen repliceren
  • Directorywijzigingen repliceren
  • Exchange hybride implementatie Schrijfmachtigingen voor de kenmerken die worden beschreven in Exchange voor hybride terugschrijven voor gebruikers, groepen en contactpersonen.
    Exchange Openbare map mail Leesmachtigingen voor de kenmerken die worden beschreven in Exchange Openbare map van e-mail voor openbare mappen.
    Wachtwoord terugschrijven Schrijfmachtigingen voor de kenmerken die worden beschreven in Aan de slag met wachtwoordbeheer voor gebruikers.
    Apparaat terugschrijven Machtigingen verleend met een PowerShell-script, zoals beschreven in write-back van apparaat.
    Groep terugschrijven Hiermee kunt u terugschrijven Microsoft 365 groepen naar een forest met Exchange geïnstalleerd.

    Upgraden

    Wanneer u een upgrade van één versie van Azure AD Verbinding maken naar een nieuwe release, hebt u de volgende machtigingen nodig:

    Belangrijk

    Vanaf build 1.1.484 heeft Azure AD Verbinding maken een regressie bug geïntroduceerd die sysadmin-machtigingen vereist om de SQL upgraden. Deze fout is gecorrigeerd in build 1.1.647. Als u een upgrade naar deze build wilt uitvoeren, hebt u sysadmin-machtigingen nodig. Dbo-machtigingen zijn niet voldoende. Als u Probeert Azure AD-Verbinding maken te upgraden zonder sysadmin-machtigingen, mislukt de upgrade en werkt Azure AD Verbinding maken daarna niet meer goed. Microsoft is hiervan op de hoogte en werkt er aan om dit te corrigeren.

    Principal Machtigingen vereist Gebruikt voor
    Gebruiker die de installatiewizard uitvoeren Beheerder van de lokale server Binaire bestanden bijwerken.
    Gebruiker die de installatiewizard uitvoeren Lid van ADSyncAdmins Wijzigingen aanbrengen in synchronisatieregels en andere configuratie.
    Gebruiker die de installatiewizard uitvoeren Als u een volledige SQL server: DBO (of vergelijkbaar) van de synchronisatie-enginedatabase Wijzigingen op databaseniveau aanbrengen, zoals het bijwerken van tabellen met nieuwe kolommen.

    Meer informatie over de gemaakte accounts

    AD DS Connector-account

    Als u snelle instellingen gebruikt, wordt er een account gemaakt in Active Directory dat wordt gebruikt voor synchronisatie. Het gemaakte account bevindt zich in het forest-hoofddomein in de container Gebruikers en heeft het voorvoegsel MSOL_. Het account wordt gemaakt met een lang complex wachtwoord dat niet verloopt. Als u een wachtwoordbeleid in uw domein hebt, moet u ervoor zorgen dat lange en complexe wachtwoorden zijn toegestaan voor dit account.

    AD account

    Als u aangepaste instellingen gebruikt, bent u verantwoordelijk voor het maken van het account voordat u de installatie start. Zie Het AD DS Connector-account maken.

    ADSync-serviceaccount

    De synchronisatieservice kan worden uitgevoerd onder verschillende accounts. Het kan worden uitgevoerd onder een virtueel serviceaccount (VSA), een door een groep beheerd serviceaccount (gMSA/sMSA) of een normaal gebruikersaccount. De ondersteunde opties zijn gewijzigd met de release van april 2017 van Verbinding maken wanneer u een nieuwe installatie doet. Als u een upgrade van een eerdere versie van Azure AD Verbinding maken, zijn deze extra opties niet beschikbaar.

    Type account Installatieoptie Description
    Virtueel serviceaccount Express en aangepast, 2017 april en hoger Dit is de optie die wordt gebruikt voor alle express-installaties, met uitzondering van installaties op een domeincontroller. Voor aangepast is dit de standaardoptie, tenzij er een andere optie wordt gebruikt.
    Door groep beheerd serviceaccount Aangepast, 2017 april en hoger Als u een externe SQL gebruikt, raden we u aan een door een groep beheerd serviceaccount te gebruiken.
    Gebruikersaccount Express en aangepast, 2017 april en hoger Een gebruikersaccount met het voorvoegsel AAD_ wordt alleen gemaakt tijdens de installatie bij installatie op Windows Server 2008 en bij installatie op een domeincontroller.
    Gebruikersaccount Express en aangepast, 2017 maart en eerder Er wordt tijdens de installatie een lokaal account AAD_ met het voorvoegsel wordt gemaakt. Wanneer u aangepaste installatie gebruikt, kan een ander account worden opgegeven.

    Als u Verbinding maken gebruikt met een build van maart 2017 of eerder, moet u het wachtwoord voor het serviceaccount niet opnieuw instellen omdat Windows de versleutelingssleutels om veiligheidsredenen vernietigt. U kunt het account niet wijzigen in een ander account zonder Azure AD-Verbinding maken. Als u een upgrade naar een build van 2017 april of hoger hebt uitgevoerd, wordt het wijzigen van het wachtwoord voor het serviceaccount ondersteund, maar u kunt het gebruikte account niet wijzigen.

    Belangrijk

    U kunt het serviceaccount alleen instellen bij de eerste installatie. Het wijzigen van het serviceaccount wordt niet ondersteund nadat de installatie is voltooid.

    Dit is een tabel met de standaardopties, aanbevolen en ondersteunde opties voor het synchronisatieserviceaccount.

    Legenda:

    • Vet geeft de standaardoptie aan en in de meeste gevallen de aanbevolen optie.
    • Italic geeft de aanbevolen optie aan wanneer dit niet de standaardoptie is.
    • 2008 - Standaardoptie bij installatie op Windows Server 2008
    • Niet-vetgedrukt: ondersteunde optie
    • Lokaal account: lokaal gebruikersaccount op de server
    • Domeinaccount - domeingebruikersaccount
    • sMSA - zelfstandig beheerd serviceaccount
    • gMSA - beheerd serviceaccount voor groepen
    LocalDB
    Express
    LocalDB/LocalSQL
    Aangepast
    Externe SQL
    aangepast
    computer die lid is van een domein VSA Lokaal account (2008) VSA Lokaal account (2008)
    Lokaal account
    Domeinaccount
    sMSA,gMSA
    gMSA Domeinaccount
    Domeincontroller Domeinaccount gMSADomeinaccount sMSA gMSADomeinaccount

    Virtueel serviceaccount

    Een virtueel serviceaccount is een speciaal type account dat geen wachtwoord heeft en wordt beheerd door Windows.

    Screenshot that shows the virtual service account (VSA).

    De VSA is bedoeld voor gebruik met scenario's waarin de synchronisatie-engine en SQL zich op dezelfde server. Als u externe SQL, raden we u aan in plaats daarvan een door een groep beheerd serviceaccount te gebruiken.

    Voor deze functie Windows Server 2008 R2 of hoger vereist. Als u Azure AD-Verbinding maken op Windows Server 2008 installeert, valt de installatie terug op het gebruik van een gebruikersaccount.

    Beheerd serviceaccount voor groepen

    Als u een externe SQL gebruikt, raden we u aan om een door een groep beheerd serviceaccount te gebruiken. Zie Overzicht van door groepen beheerde serviceaccounts voor meer informatie over het voorbereiden van uw Active Directory voor door groepen beheerde serviceaccounts.

    Als u deze optie wilt gebruiken, selecteert u op de pagina Vereiste onderdelen installeren de optie Een bestaand serviceaccount gebruikenen selecteert u Beheerd serviceaccount.
    VSA
    Het gebruik van een zelfstandig beheerd serviceaccount wordt ook ondersteund. Deze kunnen echter alleen worden gebruikt op de lokale computer en het heeft geen voordeel om ze te gebruiken via het standaardaccount van de virtuele service.

    Voor deze functie is Windows Server 2012 of hoger vereist. Als u een ouder besturingssysteem wilt gebruiken en externe SQL, moet u een gebruikersaccount gebruiken.

    Gebruikersaccount

    Er wordt een lokaal serviceaccount gemaakt door de installatiewizard (tenzij u het account opgeeft dat moet worden gebruikt in aangepaste instellingen). Het account heeft het voorvoegsel AAD_ en wordt gebruikt om de werkelijke synchronisatieservice als uit te voeren. Als u Azure AD-Verbinding maken een domeincontroller installeert, wordt het account in het domein gemaakt. Het AAD_ serviceaccount moet zich in het domein bevinden als:

    • u gebruikt een externe server met SQL server
    • u een proxy gebruikt die verificatie vereist

    Sync Service Account

    Het account wordt gemaakt met een lang complex wachtwoord dat niet verloopt.

    Dit account wordt gebruikt om de wachtwoorden voor de andere accounts op een veilige manier op te slaan. Deze wachtwoorden voor andere accounts worden versleuteld opgeslagen in de database. De persoonlijke sleutels voor de versleutelingssleutels worden beveiligd met de geheime sleutelversleuteling van cryptografische services met behulp Windows Data Protection API (DPAPI).

    Als u een volledige SQL Server gebruikt, is het serviceaccount de DBO van de gemaakte database voor de synchronisatie-engine. De service werkt niet zoals bedoeld met andere machtigingen. Er SQL ook een aanmeldingsgegevens gemaakt.

    Het account krijgt ook machtigingen voor bestanden, registersleutels en andere objecten met betrekking tot de synchronisatie-engine.

    Azure AD Connector-account

    Er wordt een account in Azure AD gemaakt voor het gebruik van de synchronisatieservice. Dit account kan worden geïdentificeerd aan de weergavenaam.

    Screenshot that shows the Azure AD account.

    De naam van de server waar het account op wordt gebruikt, kan worden geïdentificeerd in het tweede deel van de gebruikersnaam. In de afbeelding is de servernaam DC1. Als u faseringsservers hebt, heeft elke server een eigen account.

    Het account wordt gemaakt met een lang complex wachtwoord dat niet verloopt. Er wordt een speciale rol directorysynchronisatieaccounts verleend die alleen machtigingen heeft om adreslijstsynchronisatietaken uit te voeren. Deze speciale ingebouwde rol kan niet buiten de Azure AD-Verbinding maken worden verleend. De Azure Portal dit account met de rol Gebruiker.

    Er is een limiet van 20 synchronisatieserviceaccounts in Azure AD. Voer de volgende Azure AD PowerShell-cmdlet uit om de lijst met bestaande Azure AD-serviceaccounts in uw Azure AD op te halen: Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMember

    Voer de volgende Azure AD PowerShell-cmdlet uit om ongebruikte Azure AD-serviceaccounts te verwijderen: Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>

    Notitie

    Voordat u de bovenstaande PowerShell-opdrachten kunt gebruiken, moet u de Azure Active Directory PowerShell voor Graph-module installeren en verbinding maken met uw exemplaar van Azure AD met behulp van Verbinding maken-AzureAD

    Zie Het Azure AD-account voor Verbinding maken beheren voor meer informatie over het beheren of opnieuw instellen van het wachtwoord voor het Azure AD Connector-account

    Als u de documentatie over het integreren van uw on-premisesidentiteiten met Azure Active Directory niet hebt gelezen, bevat de volgende tabel koppelingen naar gerelateerde onderwerpen.

    Onderwerp Koppeling
    Azure AD Connect downloaden Azure AD-Verbinding maken
    Installeren met de snelle instellingen Snelle installatie van Azure AD Connect
    Installeren met behulp van aangepaste instellingen Aangepaste installatie van Azure AD Connect
    Upgrade van DirSync Upgrade van Azure AD-synchronisatiehulpprogramma (DirSync) (Engelstalig artikel)
    Na de installatie Controleer de installatie en wijs licenties toe

    Volgende stappen

    Lees meer over het integreren van uw on-premises identiteiten met Azure Active Directory.

    Accounts die worden gebruikt voor Azure AD-Verbinding maken

    accounts overview

    Azure AD Verbinding maken gebruikt drie accounts om informatie van on-premises of on-premises Windows Server Active Directory naar Azure Active Directory. Deze accounts zijn:

    • AD DS Connector-account:wordt gebruikt voor het lezen/schrijven van gegevens naar Windows Server Active Directory

    • ADSync serviceaccount:wordt gebruikt om de synchronisatieservice uit te voeren en toegang te krijgen tot SQL database

    • Azure AD Connector-account:wordt gebruikt om gegevens naar Azure AD te schrijven

    Naast deze drie accounts die worden gebruikt om Azure AD-Verbinding maken, hebt u ook de volgende extra accounts nodig om Azure AD-Verbinding maken. Deze zijn:

    • Lokaal administratoraccount:de beheerder die Azure AD Verbinding maken en die lokale beheerdersmachtigingen heeft op de computer.

    • AD DS Enterprise Administrator-account:optioneel gebruikt om het bovenstaande AD DS Connector-account te maken.

    • Azure AD Global Administrator-account:wordt gebruikt om het Azure AD Connector-account te maken en Azure AD te configureren. U kunt globale beheerdersaccounts weergeven in de Azure Portal. Zie Lijst met Azure AD-roltoewijzingen.

    • SQL SA-account (optioneel): wordt gebruikt om de ADSync database te maken wanneer u de volledige versie van SQL Server. Deze SQL Server lokaal of extern zijn voor de Installatie van Azure AD Verbinding maken installatie. Dit account kan hetzelfde account zijn als de ondernemingsbeheerder. Het inrichten van de database kan nu buiten band worden uitgevoerd door de SQL-beheerder en vervolgens worden geïnstalleerd door de Azure AD Verbinding maken beheerder met eigenaarsrechten voor de database. Zie Azure AD-Verbinding maken installeren met SQL gedelegeerde beheerdersmachtigingen voor meer informatie.

    Belangrijk

    Vanaf build 1.4.##.# wordt het niet meer ondersteund om een ondernemingsbeheerder of een domeinbeheerdersaccount te gebruiken als AD DS Connector-account. Als u probeert een account in te voeren dat een ondernemingsbeheerder of domeinbeheerder is wanneer u het bestaande account gebruikenopgeeft, wordt er een foutbericht weergegeven.

    Notitie

    Het beheer van de beheerdersaccounts die worden gebruikt in Azure AD Verbinding maken vanuit een ESAE-beheer forest (ook wel bekend als 'Red forest'). Speciale beheerforests bieden organisaties de mogelijkheid om administratoraccounts, -werkstations en -groepen te hosten in een omgeving die sterkere beveiligingsmechanismen heeft dan de productieomgeving. Raadpleeg ESAE Administrative Forest Design Approach (Ontwerpbenadering voor ESAE-beheer forests) voor meerinformatie over toegewezen beheer forests.

    Notitie

    De rol Globale beheerder is niet vereist na de eerste installatie en het enige vereiste account is het rolaccount Adreslijstsynchronisatieaccounts. Dit betekent niet noodzakelijkerwijs dat u alleen het account met de rol Globale beheerder wilt verwijderen. Het is beter om de rol te wijzigen in een minder krachtige rol, omdat het volledig verwijderen van het account problemen kan veroorzaken als u de wizard ooit opnieuw moet uitvoeren. Door de bevoegdheden van de rol te verminderen, kunt u de bevoegdheden altijd opnieuw verhogen als u de Azure AD-Verbinding maken opnieuw moet gebruiken.

    Azure AD-Verbinding maken

    De installatiewizard Verbinding maken Azure AD biedt twee verschillende paden:

    • In Express Instellingen vereist de wizard meer bevoegdheden. Zo kunt u eenvoudig uw configuratie instellen, zonder dat u gebruikers moet maken of machtigingen moet configureren.
    • In Aangepaste Instellingen biedt de wizard u meer opties en opties. Er zijn echter enkele situaties waarin u er zeker van moet zijn dat u zelf de juiste machtigingen hebt.

    Installatie van expresinstellingen

    In Express-instellingen vraagt de installatiewizard om het volgende:

    • AD DS Enterprise Administrator-referenties
    • Referenties van globale Azure AD-beheerder

    AD DS bedrijfsbeheerdersreferenties

    Het AD DS Enterprise Admin-account wordt gebruikt voor het configureren van uw on-premises Active Directory. Deze referenties worden alleen gebruikt tijdens de installatie en worden niet gebruikt nadat de installatie is voltooid. De ondernemingsbeheerder, niet de domeinbeheerder, moet ervoor zorgen dat de machtigingen in Active Directory in alle domeinen kunnen worden ingesteld.

    Als u een upgrade van DirSync wilt uitvoeren, worden de referenties AD DS Enterprise Admins gebruikt om het wachtwoord voor het account dat wordt gebruikt door DirSync opnieuw in te stellen. U hebt ook globale beheerdersreferenties voor Azure AD nodig.

    Globale beheerdersreferenties voor Azure AD

    Deze referenties worden alleen gebruikt tijdens de installatie en worden niet gebruikt nadat de installatie is voltooid. Het wordt gebruikt om het Azure AD Connector-account te maken dat wordt gebruikt voor het synchroniseren van wijzigingen in Azure AD. Het account maakt synchronisatie ook mogelijk als een functie in Azure AD.

    Zie Globale beheerder voor meer informatie over globale beheerdersaccounts.

    AD DS Connector-account vereiste machtigingen voor expresinstellingen

    Het AD DS Connector-account wordt gemaakt voor het lezen en schrijven naar Windows Server AD en heeft de volgende machtigingen bij het maken van express-instellingen: