On-premises Active Directory-domeinen integreren met Azure Active DirectoryIntegrate on-premises Active Directory domains with Azure Active Directory

Azure Active Directory (Azure AD) is een cloud-gebaseerde multi tenant-Directory en identiteits service.Azure Active Directory (Azure AD) is a cloud-based multi-tenant directory and identity service. Deze referentiearchitectuur bevat best practices voor het integreren van on-premises Active Directory-domeinen met Azure AD om identiteitsverificatie in de cloud te bieden.This reference architecture shows best practices for integrating on-premises Active Directory domains with Azure AD to provide cloud-based identity authentication. Deze oplossing implementeren.Deploy this solution.

Cloud identiteits architectuur met Azure Active Directory

Een Visio-bestand van deze architectuur downloaden.Download a Visio file of this architecture.

Notitie

Voor de eenvoud laat dit diagram alleen de verbindingen zien die rechtstreeks gerelateerd zijn aan Azure AD en niet-protocolgebonden verkeer dat kan plaatsvinden als onderdeel van verificatie en identiteitsfederatie.For simplicity, this diagram only shows the connections directly related to Azure AD, and not protocol-related traffic that may occur as part of authentication and identity federation. Een webtoepassing kan bijvoorbeeld de browser doorsturen om de aanvraag via Azure AD te verifiëren.For example, a web application may redirect the web browser to authenticate the request through Azure AD. Eenmaal geverifieerd kan de aanvraag met de juiste identiteitsgegevens worden teruggestuurd naar de webtoepassing.Once authenticated, the request can be passed back to the web application, with the appropriate identity information.

Deze referentiearchitectuur wordt doorgaans gebruikt voor:Typical uses for this reference architecture include:

  • Webtoepassingen die zijn geïmplementeerd in Azure en die toegang bieden voor externe gebruikers die deel uitmaken van uw organisatie.Web applications deployed in Azure that provide access to remote users who belong to your organization.
  • Het implementeren van selfservice mogelijkheden voor eindgebruikers, zoals het opnieuw instellen van hun wachtwoord en het delegeren van het beheer van groepen.Implementing self-service capabilities for end-users, such as resetting their passwords, and delegating group management. Hiervoor is Azure AD Premium-editie vereist.This requires Azure AD Premium edition.
  • Architecturen waarin het on-premises netwerk en Azure VNet van de toepassing niet verbonden zijn via een VPN-tunnel of ExpressRoute-circuit.Architectures in which the on-premises network and the application's Azure VNet are not connected using a VPN tunnel or ExpressRoute circuit.

Notitie

Azure AD kan de identiteit van gebruikers en toepassingen die in de directory van een organisatie bestaan, verifiëren.Azure AD can authenticate the identity of users and applications that exist in an organization's directory. Sommige toepassingen en services, zoals SQL Server, kunnen computerverificatie vereisen. In dat geval is deze oplossing niet geschikt.Some applications and services, such as SQL Server, may require computer authentication, in which case this solution is not appropriate.

Zie Een oplossing kiezen voor het integreren van on-premises Active Directory met Azure voor aanvullende informatie.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArchitectuurArchitecture

De architectuur heeft de volgende onderdelen:The architecture has the following components.

  • Azure AD-Tenant.Azure AD tenant. Een instantie van Azure AD gemaakt door uw organisatie.An instance of Azure AD created by your organization. Deze fungeert als een directoryservice voor cloudtoepassingen door objecten op te slaan die gekopieerd zijn uit de on-premises Active Directory en biedt identiteitsservices.It acts as a directory service for cloud applications by storing objects copied from the on-premises Active Directory and provides identity services.

  • Subnet van de weblaag.Web tier subnet. Dit subnet bevat virtuele machines die een webtoepassing uitvoeren.This subnet holds VMs that run a web application. Azure AD kan fungeren als een identiteitsbroker voor deze toepassing.Azure AD can act as an identity broker for this application.

  • On-premises AD DS-server.On-premises AD DS server. Een on-premises Directory-en identiteits service.An on-premises directory and identity service. De AD DS Directory kan worden gesynchroniseerd met Azure AD om on-premises gebruikers te kunnen verifiëren.The AD DS directory can be synchronized with Azure AD to enable it to authenticate on-premises users.

  • Azure AD Connect-synchronisatieserver.Azure AD Connect sync server. Een on-premises computer waarop de Azure AD Connect-synchronisatieservice wordt uitgevoerd.An on-premises computer that runs the Azure AD Connect sync service. Deze service synchroniseert de informatie in de lokale Active Directory met Azure AD.This service synchronizes information held in the on-premises Active Directory to Azure AD. Als u bijvoorbeeld groepen en gebruikers on-premises wilt inrichten of de inrichting daarvan ongedaan wilt maken, worden deze wijzigingen doorgegeven naar Azure AD.For example, if you provision or deprovision groups and users on-premises, these changes propagate to Azure AD.

    Notitie

    Uit veiligheidsoverwegingen slaat Azure AD wachtwoorden van gebruikers op als een hash.For security reasons, Azure AD stores user's passwords as a hash. Als het wachtwoord van een gebruiker opnieuw moet worden ingesteld, moet dit on-premises worden uitgevoerd en moet de nieuwe hash naar Azure AD worden verzonden.If a user requires a password reset, this must be performed on-premises and the new hash must be sent to Azure AD. Azure AD Premium-versies bevatten functies waarmee deze taak kan worden geautomatiseerd zodat gebruikers hun eigen wachtwoorden opnieuw kunnen instellen.Azure AD Premium editions include features that can automate this task to enable users to reset their own passwords.

  • Virtuele machines voor N-laag-toepassing.VMs for N-tier application. De implementatie omvat een infrastructuur voor een N-laag-toepassing.The deployment includes infrastructure for an N-tier application. Zie Run VMs for an N-tier architecture (Virtuele machines uitvoeren voor een N-laag-architectuur) voor meer informatie over deze resources.For more information about these resources, see Run VMs for an N-tier architecture.

AanbevelingenRecommendations

De volgende aanbevelingen gelden voor de meeste scenario's.The following recommendations apply for most scenarios. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.Follow these recommendations unless you have a specific requirement that overrides them.

Azure AD Connect-synchronisatieserviceAzure AD Connect sync service

De Azure AD Connect-synchronisatieservice zorgt ervoor dat in de cloud opgeslagen identiteitsgegevens consistent zijn met de gegevens die lokaal worden bewaard.The Azure AD Connect sync service ensures that identity information stored in the cloud is consistent with that held on-premises. U installeert deze service met behulp van de Azure AD Connect-software.You install this service using the Azure AD Connect software.

Voordat u Azure AD Connect-synchronisatie implementeert, moet u de synchronisatievereisten van uw organisatie bepalen.Before implementing Azure AD Connect sync, determine the synchronization requirements of your organization. Wat wilt u bijvoorbeeld synchroniseren, vanuit welke domeinen en hoe vaak?For example, what to synchronize, from which domains, and how frequently. Zie Determine directory synchronization (Vereisten voor directory-synchronisatie bepalen) voor meer informatie.For more information, see Determine directory synchronization requirements.

U kunt de Azure AD Connect-synchronisatieservice uitvoeren op een virtuele machine of computer die lokaal wordt gehost.You can run the Azure AD Connect sync service on a VM or a computer hosted on-premises. Afhankelijk van de veranderlijkheid van de informatie in uw Active Directory-map is de belasting van de Azure AD Connect-synchronisatieservice waarschijnlijk niet hoog na de initiële synchronisatie met Azure AD.Depending on the volatility of the information in your Active Directory directory, the load on the Azure AD Connect sync service is unlikely to be high after the initial synchronization with Azure AD. Door de service uit te voeren op een virtuele machine is het eenvoudiger om de server te schalen, mocht dat nodig blijken.Running the service on a VM makes it easier to scale the server if needed. Controleer de activiteit op de virtuele machine zoals beschreven in de sectie Afwegingen bij de controle om te bepalen of schalen nodig is.Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.

Als u meerdere lokale domeinen in een forest hebt, is het raadzaam gegevens voor het hele forest op te slaan en te synchroniseren naar één Azure AD-tenant.If you have multiple on-premises domains in a forest, we recommend storing and synchronizing information for the entire forest to a single Azure AD tenant. Filter op gegevens voor identiteiten die in meer dan één domein voorkomen, zodat elke identiteit slechts één keer in Azure AD wordt weergegeven, in plaats van identiteiten te dupliceren.Filter information for identities that occur in more than one domain, so that each identity appears only once in Azure AD, rather than being duplicated. Duplicatie kan leiden tot inconsistenties wanneer gegevens worden gesynchroniseerd.Duplication can lead to inconsistencies when data is synchronized. Zie de sectie Topologie hieronder voor meer informatie.For more information, see the Topology section below.

Gebruik filteren zodanig dat alleen de benodigde gegevens in Azure AD worden opgeslagen.Use filtering so that only necessary data is stored in Azure AD. Uw organisatie wil bijvoorbeeld geen informatie opslaan over inactieve accounts in Azure AD.For example, your organization might not want to store information about inactive accounts in Azure AD. Filteren kan worden uitgevoerd op basis van een groep, domein, organisatie-eenheid of kenmerk.Filtering can be group-based, domain-based, organization unit (OU)-based, or attribute-based. U kunt filters combineren om complexere regels te genereren.You can combine filters to generate more complex rules. U kunt bijvoorbeeld objecten in een domein synchroniseren die een specifieke waarde in een geselecteerd kenmerk hebben.For example, you could synchronize objects held in a domain that have a specific value in a selected attribute. Zie Azure AD Connect sync: Configure Filtering (Azure AD Connect-synchronisatie: filteren configureren) voor meer informatie.For detailed information, see Azure AD Connect sync: Configure Filtering.

Als u maximale beschikbaarheid voor de AD Connect-synchronisatieservice wilt implementeren, voert u een secundaire tijdelijke server uit.To implement high availability for the AD Connect sync service, run a secondary staging server. Zie de sectie Aanbevelingen voor topologie hieronder voor meer informatie.For more information, see the Topology recommendations section.

Aanbevelingen voor beveiligingSecurity recommendations

Beheer van gebruikers wachtwoorden.User password management. De Azure AD Premium-versies ondersteunen het terugschrijven van wachtwoorden, zodat uw lokale gebruikers hun wachtwoord zelf opnieuw kunnen instellen vanuit Azure Portal.The Azure AD Premium editions support password writeback, enabling your on-premises users to perform self-service password resets from within the Azure portal. Deze functie moet worden ingeschakeld nadat u het wachtwoord beveiligings beleid van uw organisatie hebt bekeken.This feature should be enabled only after reviewing your organization's password security policy. U kunt bijvoorbeeld instellen welke gebruikers hun wachtwoord niet mogen wijzigen en u kunt het wachtwoordbeheer naar wens aanpassen.For example, you can restrict which users can change their passwords, and you can tailor the password management experience. Zie Customizing Password Management to fit your organization's needs (Wachtwoordbeheer aanpassen aan de behoeften van uw organisatie) voor meer informatie.For more information, see Customizing Password Management to fit your organization's needs.

Beveilig lokale toepassingen die extern toegankelijk zijn.Protect on-premises applications that can be accessed externally. Gebruik de Azure AD-toepassingsproxy voor beheerde toegang tot lokale webtoepassingen voor externe gebruikers via Azure AD.Use the Azure AD Application Proxy to provide controlled access to on-premises web applications for external users through Azure AD. Alleen gebruikers met geldige referenties in uw Azure-map zijn gemachtigd om de toepassing te gebruiken.Only users that have valid credentials in your Azure directory have permission to use the application. Zie het artikel Enable Application Proxy in the Azure portal (Toepassingsproxy inschakelen in Azure Portal) voor meer informatie.For more information, see the article Enable Application Proxy in the Azure portal.

Controleer Azure AD actief op tekenen van verdachte activiteit.Actively monitor Azure AD for signs of suspicious activity. Overweeg het gebruik van de Azure AD Premium P2-versie, waarin Azure AD Identity Protection is opgenomen.Consider using Azure AD Premium P2 edition, which includes Azure AD Identity Protection. Identity Protection maakt gebruik van geavanceerde algoritmen voor machine learning en methodieken voor het opsporen van afwijkingen en risicogebeurtenissen die mogelijk aangeven dat een identiteit in gevaar is.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that may indicate that an identity has been compromised. Identity Protection kan bijvoorbeeld ongebruikelijke activiteiten detecteren, zoals afwijkende aanmeldingen, aanmeldingen van onbekende bronnen of vanaf IP-adressen met verdachte activiteiten, of aanmeldingen vanaf apparaten die mogelijk geïnfecteerd zijn.For example, it can detect potentially unusual activity such as irregular sign-in activities, sign-ins from unknown sources or from IP addresses with suspicious activity, or sign-ins from devices that may be infected. Aan de hand van deze gegevens genereert Identity Protection rapporten en waarschuwingen waarmee u deze risicogebeurtenissen kunt onderzoeken en de juiste actie kunt ondernemen.Using this data, Identity Protection generates reports and alerts that enables you to investigate these risk events and take appropriate action. Zie Azure Active Directory Identity Protection voor meer informatie.For more information, see Azure Active Directory Identity Protection.

U kunt de rapportagefunctie van Azure AD in Azure Portal gebruiken voor het bewaken van beveiligingsgerelateerde activiteiten die in uw systeem plaatsvinden.You can use the reporting feature of Azure AD in the Azure portal to monitor security-related activities occurring in your system. Zie Azure Active Directory-rapportage voor meer informatie over het gebruik van deze rapporten.For more information about using these reports, see Azure Active Directory Reporting Guide.

Aanbevelingen voor topologieTopology recommendations

Configureer Azure AD Connect voor het implementeren van een topologie die nauw aansluit bij de vereisten van uw organisatie.Configure Azure AD Connect to implement a topology that most closely matches the requirements of your organization. De volgende topologieën die door Azure AD Connect worden ondersteund, zijn:Topologies that Azure AD Connect supports include:

  • Eén forest, één Azure AD-map.Single forest, single Azure AD directory. In deze topologie synchroniseert Azure AD Connect objecten en identiteitsgegevens uit een of meer domeinen in één lokaal forest naar één Azure AD-tenant.In this topology, Azure AD Connect synchronizes objects and identity information from one or more domains in a single on-premises forest into a single Azure AD tenant. Dit is de standaardtopologie die wordt geïmplementeerd door de snelle installatie van Azure AD Connect.This is the default topology implemented by the express installation of Azure AD Connect.

    Notitie

    Gebruik niet meerdere Azure AD Connect-synchronisatieservers om verschillende domeinen in hetzelfde on-premises forest te verbinden met dezelfde Azure AD-tenant, tenzij er een server in de faseringsmodus wordt uitgevoerd, zoals hieronder wordt beschreven.Don't use multiple Azure AD Connect sync servers to connect different domains in the same on-premises forest to the same Azure AD tenant, unless you are running a server in staging mode, described below.

  • Meerdere forests, één Azure AD-map.Multiple forests, single Azure AD directory. In deze topologie synchroniseert Azure AD Connect objecten en identiteitsgegevens uit meerdere forests naar één Azure AD-tenant.In this topology, Azure AD Connect synchronizes objects and identity information from multiple forests into a single Azure AD tenant. Gebruik deze topologie als uw organisatie meer dan één lokaal forest heeft.Use this topology if your organization has more than one on-premises forest. U kunt identiteitsgegevens samenvoegen zodat iedere unieke gebruiker één keer in de Azure AD-map wordt vermeld, zelfs als diezelfde gebruiker in meer dan één forest is opgenomen.You can consolidate identity information so that each unique user is represented once in the Azure AD directory, even if the same user exists in more than one forest. Alle forests gebruiken dezelfde Azure AD Connect-synchronisatieserver.All forests use the same Azure AD Connect sync server. De Azure AD Connect-synchronisatieserver hoeft geen deel uit te maken van een domein, maar moet wel vanuit alle forests bereikbaar zijn.The Azure AD Connect sync server does not have to be part of any domain, but it must be reachable from all forests.

    Notitie

    Maak in deze topologie geen gebruik van afzonderlijke Azure AD Connect-sync-servers om elke lokale forest te verbinden met één Azure AD-tenant.In this topology, don't use separate Azure AD Connect sync servers to connect each on-premises forest to a single Azure AD tenant. Dat kan resulteren in gedupliceerde identiteitsgegevens in Azure AD als gebruikers in meer dan één forest zijn opgenomen.This can result in duplicated identity information in Azure AD if users are present in more than one forest.

  • Meerdere forests, afzonderlijke topologieën.Multiple forests, separate topologies. Deze topologie voegt identiteitsgegevens uit afzonderlijke forests samen in één Azure AD-tenant, waarbij alle forests als afzonderlijke entiteiten worden behandeld.This topology merges identity information from separate forests into a single Azure AD tenant, treating all forests as separate entities. Deze topologie is handig als u forests uit verschillende organisaties wilt combineren en de identiteitsgegevens voor elke gebruiker in slechts één forest zijn opgenomen.This topology is useful if you are combining forests from different organizations and the identity information for each user is held in only one forest.

    Notitie

    Als de globale adreslijsten (GAL) in elk forest zijn gesynchroniseerd, kan een gebruiker in het ene forest ook als contactpersoon in een ander forest zijn opgenomen.If the global address lists (GAL) in each forest are synchronized, a user in one forest may be present in another as a contact. Dit kan gebeuren als uw organisatie GALSync heeft geïmplementeerd met Forefront Identity Manager 2010 of Microsoft Identity Manager 2016.This can occur if your organization has implemented GALSync with Forefront Identity manager 2010 or Microsoft Identity Manager 2016. In dit scenario kunt u opgeven dat gebruikers moeten worden aangeduid met hun Mail-kenmerk.In this scenario, you can specify that users should be identified by their Mail attribute. U kunt identiteiten ook aanduiden met de kenmerken ObjectSID en msExchMasterAccountSID.You can also match identities using the ObjectSID and msExchMasterAccountSID attributes. Dat is handig als u een of meer resourceforests met uitgeschakelde accounts hebt.This is useful if you have one or more resource forests with disabled accounts.

  • Faseringsserver.Staging server. In deze configuratie voert u een tweede instantie van de Azure AD Connect-synchronisatieserver parallel uit met de eerste.In this configuration, you run a second instance of the Azure AD Connect sync server in parallel with the first. Deze structuur ondersteunt scenario's zoals:This structure supports scenarios such as:

    • Hoge beschikbaarheid.High availability.

    • Testen en implementeren van een nieuwe configuratie van de Azure AD Connect-synchronisatieserver.Testing and deploying a new configuration of the Azure AD Connect sync server.

    • Introductie van een nieuwe server en het buiten gebruik stellen van een oude configuratie.Introducing a new server and decommissioning an old configuration.

      In deze scenario's wordt de tweede instantie uitgevoerd in faseringsmodus.In these scenarios, the second instance runs in staging mode. De server registreert geïmporteerde objecten en van synchronisatiegegevens in de eigen database, maar geeft de gegevens niet door aan Azure AD.The server records imported objects and synchronization data in its database, but does not pass the data to Azure AD. Als u de faseringsmodus uitschakelt, begint de server met het schrijven van gegevens naar Azure AD en met het uitvoeren van wachtwoord-write-backs naar de on-premises mappen, waar van toepassing.If you disable staging mode, the server starts writing data to Azure AD, and also starts performing password write-backs into the on-premises directories where appropriate. Zie Azure AD Connect sync: Operational tasks and considerations (Azure AD Connect-synchronisatie: operationele taken en afweging) voor meer informatie.For more information, see Azure AD Connect sync: Operational tasks and considerations.

  • Meerdere Azure AD-mappen.Multiple Azure AD directories. U wordt aanbevolen één Azure AD-map voor een organisatie te maken, maar mogelijk zijn er situaties waarin u gegevens over meerdere Azure AD-mappen moet verdelen.It is recommended that you create a single Azure AD directory for an organization, but there may be situations where you need to partition information across separate Azure AD directories. Voorkom in dat geval problemen met synchronisatie en write-back van wachtwoorden door ervoor te zorgen dat elk object uit het lokale forest in slechts één Azure AD-map wordt weergegeven.In this case, avoid synchronization and password write-back issues by ensuring that each object from the on-premises forest appears in only one Azure AD directory. Voor het implementeren van dit scenario configureert u afzonderlijke Azure AD Connect-synchronisatieservers voor elke Azure AD-map en gebruikt u filtering zodat elke Azure AD Connect-synchronisatieserver werkt met een reeks objecten die elkaar wederzijds uitsluiten.To implement this scenario, configure separate Azure AD Connect sync servers for each Azure AD directory, and use filtering so that each Azure AD Connect sync server operates on a mutually exclusive set of objects.

Zie Topologies for Azure AD Connect (Topologieën voor Azure AD Connect) voor meer informatie over deze topologieën.For more information about these topologies, see Topologies for Azure AD Connect.

GebruikersverificatieUser authentication

Standaard configureert de Azure AD Connect synchronisatie server wachtwoord hash-synchronisatie tussen het on-premises domein en Azure AD, en gaat de Azure AD-service ervan uit dat gebruikers worden geverifieerd door hetzelfde wacht woord op te geven dat ze on-premises gebruiken.By default, the Azure AD Connect sync server configures password hash synchronization between the on-premises domain and Azure AD, and the Azure AD service assumes that users authenticate by providing the same password that they use on-premises. Dit is geschikt voor veel organisaties, maar u moet wel rekening houden met de bestaande beleidsregels en infrastructuur van uw organisatie.For many organizations, this is appropriate, but you should consider your organization's existing policies and infrastructure. Bijvoorbeeld:For example:

  • Het beveiligings beleid van uw organisatie kan het synchroniseren van wacht woord-hashes naar de Cloud verbieden.The security policy of your organization may prohibit synchronizing password hashes to the cloud. In dit geval moet uw organisatie Pass-Through-verificatieoverwegen.In this case, your organization should consider pass-through authentication.
  • Misschien wilt u gebruikers een naadloze eenmalige aanmelding (SSO) bieden bij het openen van cloudresources vanaf machines die gekoppeld zijn aan het domein op het bedrijfsnetwerk.You might require that users experience seamless single sign-on (SSO) when accessing cloud resources from domain-joined machines on the corporate network.
  • Uw organisatie heeft mogelijk al Active Directory Federation Services (AD FS) of een Federatie provider van derden geïmplementeerd.Your organization might already have Active Directory Federation Services (AD FS) or a third-party federation provider deployed. U kunt Azure AD configureren voor gebruik van deze infrastructuur om verificatie en SSO te implementeren in plaats van wachtwoordgegevens in de cloud bij te houden.You can configure Azure AD to use this infrastructure to implement authentication and SSO rather than by using password information held in the cloud.

Zie Azure AD Connect opties voor gebruikers aanmeldingvoor meer informatie.For more information, see Azure AD Connect User Sign-on options.

Azure AD-toepassingsproxyAzure AD application proxy

Gebruik Azure AD voor toegang tot on-premises toepassingen.Use Azure AD to provide access to on-premises applications.

Geef uw lokale webtoepassingen weer met behulp van proxyconnectors die worden beheerd door de Azure AD-toepassingsproxy.Expose your on-premises web applications using application proxy connectors managed by the Azure AD application proxy component. De proxyconnector voor toepassingen opent een uitgaande netwerkverbinding naar de Azure AD-toepassingsproxy en aanvragen van externe gebruikers worden vanuit Azure AD via deze verbinding naar de web-apps doorgestuurd.The application proxy connector opens an outbound network connection to the Azure AD application proxy, and remote users' requests are routed back from Azure AD through this connection to the web apps. Daardoor hoeven er geen poorten voor inkomend verkeer in de lokale firewall geopend te blijven en neemt de kwetsbaarheid voor aanvallen op uw organisatie af.This removes the need to open inbound ports in the on-premises firewall and reduces the attack surface exposed by your organization.

Zie Publish applications using Azure AD Application proxy (Toepassingen publiceren met de Azure AD-toepassingsproxy) voor meer informatie.For more information, see Publish applications using Azure AD Application proxy.

ObjectsynchronisatieObject synchronization

De standaard configuratie voor Azure AD Connect synchroniseert objecten van uw lokale Active Directory Directory op basis van de regels die zijn opgegeven in het artikel Azure AD Connect Sync: informatie over de standaard configuratie.The default configuration for Azure AD Connect synchronizes objects from your local Active Directory directory based on the rules specified in the article Azure AD Connect sync: Understanding the default configuration. Objecten die voldoen aan deze regels worden gesynchroniseerd, terwijl alle andere objecten worden genegeerd.Objects that satisfy these rules are synchronized while all other objects are ignored. Enkele voorbeeldregels:Some example rules:

  • Gebruikersobjecten moet een uniek sourceAnchor-kenmerk hebben en het accountEnabled-kenmerk moet zijn ingevuld.User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.
  • Gebruikersobjecten moeten een sAMAccountName-kenmerk hebben en kunnen niet worden gestart met de tekst Azure AD_ of MSOL_.User objects must have a sAMAccountName attribute and cannot start with the text Azure AD_ or MSOL_.

Azure AD Connect past diverse regels toe op de objecten Gebruiker, Contactpersoon, Groep, ForeignSecurityPrincipal en Computer.Azure AD Connect applies several rules to User, Contact, Group, ForeignSecurityPrincipal, and Computer objects. Gebruik de Synchronization Rules Editor die bij Azure AD Connect wordt geïnstalleerd als u de standaardset regels wilt wijzigen.Use the Synchronization Rules Editor installed with Azure AD Connect if you need to modify the default set of rules. Zie Azure AD Connect sync: Understanding the default configuration (Azure AD Connect-synchronisatie: inzicht in de standaardconfiguratie) voor meer informatie.For more information, see Azure AD Connect sync: Understanding the default configuration).

U kunt ook uw eigen filters definiëren om de objecten te beperken die moeten worden gesynchroniseerd op basis van domein of organisatie-eenheid.You can also define your own filters to limit the objects to be synchronized by domain or OU. U kunt ook complexere eigen filters implementeren, zoals wordt beschreven in Azure AD Connect sync: Configure Filtering (Azure AD Connect-synchronisatie: filteren configureren).Alternatively, you can implement more complex custom filtering such as that described in Azure AD Connect sync: Configure Filtering.

BewakingMonitoring

Statuscontrole wordt uitgevoerd door de volgende lokaal geïnstalleerde agents:Health monitoring is performed by the following agents installed on-premises:

  • Azure AD Connect installeert een agent die gegevens over synchronisatiebewerkingen vastlegt.Azure AD Connect installs an agent that captures information about synchronization operations. Gebruik de Azure AD Connect Health-blade in Azure Portal om de status en prestaties van de agent te controleren.Use the Azure AD Connect Health blade in the Azure portal to monitor its health and performance. Zie Azure AD Connect Health voor synchronisatie gebruiken voor meer informatie.For more information, see Using Azure AD Connect Health for sync.
  • Installeer Azure AD Connect Health voor AD DS-agent op een computer in het on-premises domein om de status van de AD DS-domeinen en -mappen te controleren vanuit Azure.To monitor the health of the AD DS domains and directories from Azure, install the Azure AD Connect Health for AD DS agent on a machine within the on-premises domain. Gebruik de Azure Active Directory Connect Health-blade in de Azure Portal voor statuscontrole.Use the Azure Active Directory Connect Health blade in the Azure portal for health monitoring. Zie Azure AD Connect Health gebruiken met AD DS voor meer informatie.For more information, see Using Azure AD Connect Health with AD DS
  • Installeer Azure AD Connect Health voor AD FS-agent om de status van lokaal uitgevoerde services te controleren en gebruik de Azure Active Directory Connect Health-blade in de Azure Portal om AD FS te controleren.Install the Azure AD Connect Health for AD FS agent to monitor the health of services running on on-premises, and use the Azure Active Directory Connect Health blade in the Azure portal to monitor AD FS. Zie Azure AD Connect Health gebruiken met AD FS voor meer informatie.For more information, see Using Azure AD Connect Health with AD FS

Zie De Azure AD Connect Health-agent installeren voor meer informatie over het installeren van de AD Connect Health-agents en de bijbehorende vereisten.For more information on installing the AD Connect Health agents and their requirements, see Azure AD Connect Health Agent Installation.

SchaalbaarheidsoverwegingenScalability considerations

De Azure AD-service ondersteunt schaalbaarheid op basis van replica's, met één primaire replica die verantwoordelijk is voor schrijfbewerkingen plus meerdere secundaire alleen-lezen replica's.The Azure AD service supports scalability based on replicas, with a single primary replica that handles write operations plus multiple read-only secondary replicas. Azure AD stuurt op transparante wijze alle uitgevoerde schrijfbewerkingen op secundaire replica's naar de primaire replica en zorgt voor uiteindelijke consistentie.Azure AD transparently redirects attempted writes made against secondary replicas to the primary replica and provides eventual consistency. Alle wijzigingen in de primaire replica worden doorgegeven aan de secundaire replica's.All changes made to the primary replica are propagated to the secondary replicas. Deze architectuur wordt goed geschaald omdat de meeste bewerkingen met Azure AD leesbewerkingen en geen schrijfbewerkingen zijn.This architecture scales well because most operations against Azure AD are reads rather than writes. Zie Azure AD: Under the hood of our geo-redundant, highly available, distributed cloud directory (Azure AD: inzicht in onze geografisch redundante, maximaal beschikbare, gedistribueerde clouddirectory) voor meer informatie.For more information, see Azure AD: Under the hood of our geo-redundant, highly available, distributed cloud directory.

Bepaal voor de Azure AD Connect-synchronisatieserver hoeveel objecten u denkt te gaan synchroniseren vanuit uw lokale map.For the Azure AD Connect sync server, determine how many objects you are likely to synchronize from your local directory. Als u minder dan 100.000 objecten hebt, kunt u de standaard SQL Server Express LocalDB-software gebruiken die bij Azure AD Connect wordt geleverd.If you have less than 100,000 objects, you can use the default SQL Server Express LocalDB software provided with Azure AD Connect. Als dat aantal groter is dan 100.000, moet u een productieversie van SQL Server installeren en een aangepaste installatie van Azure AD Connect uitvoeren, waarbij u aangeeft dat er een bestaand exemplaar van SQL Server moet worden gebruikt.If you have a larger number of objects, you should install a production version of SQL Server and perform a custom installation of Azure AD Connect, specifying that it should use an existing instance of SQL Server.

BeschikbaarheidsoverwegingenAvailability considerations

De Azure AD-service is geografisch gedistribueerd en wordt uitgevoerd in meerdere data centers verspreid over de hele wereld met automatische failover.The Azure AD service is geo-distributed and runs in multiple datacenters spread around the world with automated failover. Als een Data Center niet meer beschikbaar is, zorgt Azure AD ervoor dat uw Directory gegevens beschikbaar zijn voor toegang tot instanties in ten minste twee meer regionale verspreide data centers.If a datacenter becomes unavailable, Azure AD ensures that your directory data is available for instance access in at least two more regionally dispersed datacenters.

Notitie

De service level agreement (SLA) voor de Microsoft 365 apps AD-laag en Premium Services garanderen een Beschik baarheid van ten minste 99,9%.The service level agreement (SLA) for the Microsoft 365 Apps AD tier and Premium services guarantees at least 99.9% availability. Er is geen SLA voor de gratis versie van Azure AD.There is no SLA for the Free tier of Azure AD. Zie Dienstovereenkomst voor Azure Active Directory voor meer informatie.For more information, see SLA for Azure Active Directory.

U zou gebruik van een tweede instantie van de Azure AD Connect-synchronisatieserver in de faseringsmodus kunnen overwegen om de beschikbaarheid te vergroten, zoals beschreven in de sectie voor aanbevelingen voor de netwerktopologie.Consider provisioning a second instance of Azure AD Connect sync server in staging mode to increase availability, as discussed in the topology recommendations section.

Als u niet werkt met de SQL Server Express LocalDB-instantie die deel uitmaakt van Azure AD Connect, kunt u het gebruik van SQL-clustering overwegen om een maximale beschikbaarheid te realiseren.If you are not using the SQL Server Express LocalDB instance that comes with Azure AD Connect, consider using SQL clustering to achieve high availability. Oplossingen zoals spiegeling en AlwaysOn worden niet ondersteund door Azure AD Connect.Solutions such as mirroring and Always On are not supported by Azure AD Connect.

Zie Azure AD Connect sync: Operational tasks and considerations (Azure AD Connect-synchronisatie: operationele taken en afweging) voor extra afwegingen voor het realiseren van maximale beschikbaarheid van de Azure AD Connect-synchronisatieserver en voor informatie over herstellen na een storing.For additional considerations about achieving high availability of the Azure AD Connect sync server and also how to recover after a failure, see Azure AD Connect sync: Operational tasks and considerations - Disaster Recovery.

BeheerbaarheidsoverwegingenManageability considerations

Het beheer van Azure AD kent twee aspecten:There are two aspects to managing Azure AD:

  • Beheer van Azure AD in de cloud.Administering Azure AD in the cloud.
  • Onderhoud van de Azure AD Connect-synchronisatieservers.Maintaining the Azure AD Connect sync servers.

Azure AD biedt de volgende opties voor het beheren van domeinen en mappen in de cloud:Azure AD provides the following options for managing domains and directories in the cloud:

  • Azure Active Directory Power shell-module.Azure Active Directory PowerShell Module. Gebruik deze module als u algemene Azure AD-beheertaken zoals gebruikersbeheer, domeinbeheer en het configureren van eenmalige aanmelding wilt definiëren met een script.Use this module if you need to script common Azure AD administrative tasks such as user management, domain management, and configuring single sign-on.
  • Blade voor Azure AD-beheer in de Azure Portal.Azure AD management blade in the Azure portal. Met deze blade beschikt u over een interactieve beheerweergave van de map en kunt u de meeste aspecten van Azure AD regelen en configureren.This blade provides an interactive management view of the directory, and enables you to control and configure most aspects of Azure AD.

Azure AD Connect installeert de volgende hulpprogramma's voor het onderhouden van Azure AD Connect-synchronisatieservices vanaf uw lokale computers:Azure AD Connect installs the following tools to maintain Azure AD Connect sync services from your on-premises machines:

  • Microsoft Azure Active Directory Connect-console.Microsoft Azure Active Directory Connect console. Met dit hulpprogramma kunt u de configuratie van de Azure AD-synchronisatieserver wijzigen, aanpassen hoe synchronisatie plaatsvindt, de faseringsmodus in- en uitschakelen en overschakelen naar de aanmeldingsmodus voor gebruikers.This tool enables you to modify the configuration of the Azure AD Sync server, customize how synchronization occurs, enable or disable staging mode, and switch the user sign-in mode. U kunt Active Directory FS-aanmelding inschakelen met uw on-premises infra structuur.You can enable Active Directory FS sign-in using your on-premises infrastructure.
  • Synchronization Service Manager.Synchronization Service Manager. Gebruik het tabblad Bewerkingen in dit hulpprogramma om het synchronisatieproces te beheren en vast te stellen of er storingen zijn met onderdelen van het proces.Use the Operations tab in this tool to manage the synchronization process and detect whether any parts of the process have failed. U kunt synchronisatie handmatig met dit hulpprogramma activeren.You can trigger synchronizations manually using this tool. Met het tabblad Connectors kunt u de verbindingen beheren voor de domeinen waaraan de synchronisatie-engine is gekoppeld.The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.
  • Synchronization Rules Editor.Synchronization Rules Editor. Gebruik dit hulpprogramma voor het aanpassen van de manier waarop objecten worden getransformeerd wanneer ze worden gekopieerd tussen een lokale map en Azure AD.Use this tool to customize the way objects are transformed when they are copied between an on-premises directory and Azure AD. Met dit hulpprogramma kunt u extra kenmerken en objecten voor synchronisatie opgeven en vervolgens filters uitvoeren om te bepalen welke objecten wel of niet moeten worden gesynchroniseerd.This tool enables you to specify additional attributes and objects for synchronization, then executes filters to determine which objects should or should not be synchronized. Zie voor meer informatie de sectie Synchronization Rule Editor in het document Azure AD Connect sync: Understanding the default configuration (Azure AD Connect-synchronisatie: inzicht in de standaardconfiguratie).For more information, see the Synchronization Rule Editor section in the document Azure AD Connect sync: Understanding the default configuration.

Zie Azure AD Connect sync: Best practices for changing the default configuration (Azure AD Connect-synchronisatie: best practices voor het wijzigen van de standaardconfiguratie) voor meer informatie en tips voor het beheren van Azure AD Connect.For more information and tips for managing Azure AD Connect, see Azure AD Connect sync: Best practices for changing the default configuration.

BeveiligingsoverwegingenSecurity considerations

Gebruik beheer voor voorwaardelijke toegang om verificatieaanvragen van onverwachte bronnen te weigeren:Use conditional access control to deny authentication requests from unexpected sources:

  • Azure multi-factor Authentication (MFA) activeren als een gebruiker probeert verbinding te maken vanaf een niet-vertrouwde locatie, zoals via internet in plaats van een vertrouwd netwerk.Trigger Azure Multi-Factor Authentication (MFA) if a user attempts to connect from a untrusted location such as across the Internet instead of a trusted network.

  • Gebruik het type apparaatplatform van de gebruiker (iOS, Android, Windows Mobile, Windows) om te bepalen welk toegangsbeleid er geldt voor toepassingen en functies.Use the device platform type of the user (iOS, Android, Windows Mobile, Windows) to determine access policy to applications and features.

  • Registreer de status ingeschakeld/uitgeschakeld van de apparaten van gebruikers en neem deze informatie op in de controles voor het toegangsbeleid.Record the enabled/disabled state of users' devices, and incorporate this information into the access policy checks. Als bijvoorbeeld de telefoon van een gebruiker is zoekgeraakt of gestolen, moet deze worden geregistreerd als uitgeschakeld om te voorkomen dat de telefoon wordt gebruikt om toegang te verschaffen.For example, if a user's phone is lost or stolen it should be recorded as disabled to prevent it from being used to gain access.

  • Beheer gebruikerstoegang tot bronnen op basis van groepslidmaatschap.Control user access to resources based on group membership. Gebruik dynamische lidmaatschapsregels voor Azure AD om het beheer van groepen te vereenvoudigen.Use Azure AD dynamic membership rules to simplify group administration. Bekijk Introduction to Dynamic Memberships for Groups (Inleiding tot dynamisch lidmaatschap voor groepen) voor een kort overzicht van de manier waarop dit werkt.For a brief overview of how this works, see Introduction to Dynamic Memberships for Groups.

  • Gebruik risicobeleid voor voorwaardelijke toegang met Azure AD Identity Protection voor geavanceerde beveiliging op basis van ongebruikelijke aanmeldingsactiviteiten of andere gebeurtenissen.Use conditional access risk policies with Azure AD Identity Protection to provide advanced protection based on unusual sign-in activities or other events.

Zie Azure Active Directory conditional access (Voorwaardelijke toegang voor Azure Active Directory) voor meer informatie.For more information, see Azure Active Directory conditional access.

DevOps overwegingenDevOps considerations

Zie DevOps: extending Active Directory Domain Services (AD DS) to Azure (Engelstalig)voor DevOps overwegingen.For DevOps considerations, see DevOps: Extending Active Directory Domain Services (AD DS) to Azure.

KostenoverwegingenCost considerations

Gebruik de Azure-prijscalculator om een schatting van de kosten te maken.Use the Azure pricing calculator to estimate costs. Andere overwegingen worden beschreven in de sectie kosten in Microsoft Azure Well-Architected Framework.Other considerations are described in the Cost section in Microsoft Azure Well-Architected Framework.

Hier vindt u kosten overwegingen voor de services die in deze architectuur worden gebruikt.Here are cost considerations for the services used in this architecture.

Azure AD ConnectAzure AD Connect

Zie prijzen voor Azure ADvoor meer informatie over de edities die worden aangeboden door Azure Active Directory.For information about the editions offered by Azure Active Directory, see Azure AD pricing. De AD Connect-synchronisatie functie is beschikbaar in alle edities.The AD Connect sync feature is available in all editions.

Vm's voor toepassing met N-tierVMs for N-Tier application

De implementatie omvat een infrastructuur voor een N-laag-toepassing.The deployment includes infrastructure for an N-tier application. Voor informatie over de kosten van deze resources voert u Vm's uit voor een architectuur met meerdere lagen.For cost information about these resources, Run VMs for an N-tier architecture.

De oplossing implementerenDeploy the solution

Een implementatie voor een referentiearchitectuur waarmee deze aanbevelingen en afwegingen worden geïmplementeerd, is beschikbaar op GitHub.A deployment for a reference architecture that implements these recommendations and considerations is available on GitHub. Deze referentie architectuur implementeert een gesimuleerd on-premises netwerk in azure, dat u kunt gebruiken om te testen en te experimenteren.This reference architecture deploys a simulated on-premises network in Azure that you can use to test and experiment. Zie het Leesmij-bestand op github voor informatie over het implementeren van de oplossing.To deploy the solution, see the readme on GitHub.