On-premises Active Directory-domeinen integreren met Microsoft Entra ID

Microsoft Entra ID
Azure Virtual Network
Azure Virtual Machines

Microsoft Entra ID is een cloudgebaseerde directory en identiteitsservice voor meerdere tenants. Deze referentiearchitectuur bevat aanbevolen procedures voor het integreren van on-premises Active Directory-domeinen met Microsoft Entra ID om verificatie van cloudidentiteiten te bieden.

Architectuur

Diagram of a hybrid cloud identity architecture that uses Microsoft Entra ID.

Open het Visio-diagram online via Microsoft 365. Houd er rekening mee dat u een Visio-licentie moet hebben om toegang te krijgen tot dit diagram. Of download een Visio-bestand van deze architectuur (zie Visio-tabblad 'Microsoft Entra-id').

Notitie

Ter vereenvoudiging toont dit diagram alleen de verbindingen die rechtstreeks zijn gerelateerd aan Microsoft Entra-id en niet protocolgerelateerd verkeer dat kan optreden als onderdeel van verificatie- en identiteitsfederatie. Een webtoepassing kan bijvoorbeeld de webbrowser omleiden om de aanvraag te verifiëren via Microsoft Entra-id. Eenmaal geverifieerd kan de aanvraag met de juiste identiteitsgegevens worden teruggestuurd naar de webtoepassing.

Zie Een oplossing kiezen voor het integreren van on-premises Active Directory met Azure voor aanvullende informatie.

Onderdelen

De architectuur heeft de volgende onderdelen:

  • Microsoft Entra-tenant. Een exemplaar van Microsoft Entra-id die door uw organisatie is gemaakt. Deze fungeert als een directoryservice voor cloudtoepassingen door objecten op te slaan die gekopieerd zijn uit de on-premises Active Directory en biedt identiteitsservices.

  • Subnet van de weblaag. Dit subnet bevat virtuele machines die een webtoepassing uitvoeren. Microsoft Entra ID kan fungeren als een identiteitsbroker voor deze toepassing.

  • On-premises AD DS-server. Een on-premises adreslijst en identiteitsservice. De AD DS-directory kan worden gesynchroniseerd met Microsoft Entra ID om deze in te schakelen voor het verifiëren van on-premises gebruikers.

  • Microsoft Entra Verbinding maken Sync-server. Een on-premises computer waarop de Microsoft Entra Verbinding maken-synchronisatieservice wordt uitgevoerd. Deze service synchroniseert informatie in de on-premises Active Directory met Microsoft Entra-id. Als u bijvoorbeeld groepen en gebruikers on-premises inricht of de inrichting ervan ongedaan wilt maken, worden deze wijzigingen doorgegeven aan Microsoft Entra-id.

    Notitie

    Om veiligheidsredenen slaat Microsoft Entra ID de wachtwoorden van gebruikers op als een hash. Als een gebruiker wachtwoordherstel vereist, moet dit on-premises worden uitgevoerd en moet de nieuwe hash worden verzonden naar Microsoft Entra-id. Microsoft Entra ID P1- of P2-edities bevatten functies waarmee wachtwoordwijzigingen in de cloud kunnen worden uitgevoerd en vervolgens worden teruggeschreven naar on-premises AD DS.

  • Virtuele machines voor N-laag-toepassing. Zie [VM's uitvoeren voor een architectuur met N-lagen][implementatie-a-multi-tier-architecture-on-Azure] voor meer informatie over deze resources.

Scenariodetails

Potentiële gebruikscases

Deze referentiearchitectuur wordt doorgaans gebruikt voor:

  • Webtoepassingen die zijn geïmplementeerd in Azure en die toegang bieden voor externe gebruikers die deel uitmaken van uw organisatie.
  • Het implementeren van selfservice mogelijkheden voor eindgebruikers, zoals het opnieuw instellen van hun wachtwoord en het delegeren van het beheer van groepen. Hiervoor is Microsoft Entra ID P1 of P2 vereist.
  • Architecturen waarin het on-premises netwerk en het Azure-VNet van de toepassing niet zijn verbonden met behulp van een VPN-tunnel of ExpressRoute-circuit.

Notitie

Microsoft Entra ID kan de identiteit verifiëren van gebruikers en toepassingen die aanwezig zijn in de adreslijst van een organisatie. Sommige toepassingen en services, zoals SQL Server, kunnen computerverificatie vereisen. In dat geval is deze oplossing niet geschikt.

Aanbevelingen

De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

Microsoft Entra Verbinding maken Sync-service configureren

De Microsoft Entra Verbinding maken Sync-service zorgt ervoor dat identiteitsgegevens die zijn opgeslagen in de cloud, consistent zijn met de identiteitsgegevens die on-premises zijn opgeslagen. U installeert deze service met behulp van de Microsoft Entra Verbinding maken-software.

Voordat u Microsoft Entra Verbinding maken Sync implementeert, moet u de synchronisatievereisten van uw organisatie bepalen. Wat wilt u bijvoorbeeld synchroniseren, vanuit welke domeinen en hoe vaak? Zie Determine directory synchronization (Vereisten voor directory-synchronisatie bepalen) voor meer informatie.

U kunt de Microsoft Entra Verbinding maken Sync-service uitvoeren op een virtuele machine of een computer die on-premises wordt gehost. Afhankelijk van de volatiliteit van de informatie in uw Active Directory-directory, is de belasting van de Microsoft Entra Verbinding maken Sync-service waarschijnlijk niet hoog na de eerste synchronisatie met Microsoft Entra ID. Door de service uit te voeren op een virtuele machine is het eenvoudiger om de server te schalen, mocht dat nodig blijken. Controleer de activiteit op de virtuele machine zoals beschreven in de sectie Afwegingen bij de controle om te bepalen of schalen nodig is.

Als u meerdere on-premises domeinen in een forest hebt, raden we u aan informatie voor het hele forest op te slaan en te synchroniseren met één Microsoft Entra-tenant. Filter informatie voor identiteiten die zich in meer dan één domein voordoen, zodat elke identiteit slechts één keer in Microsoft Entra-id wordt weergegeven in plaats van te worden gedupliceerd. Duplicatie kan leiden tot inconsistenties wanneer gegevens worden gesynchroniseerd. Zie de sectie Topologie hieronder voor meer informatie.

Gebruik filters zodat alleen de benodigde gegevens worden opgeslagen in Microsoft Entra-id. Uw organisatie wil bijvoorbeeld geen informatie over inactieve accounts opslaan in Microsoft Entra-id. Filteren kan worden uitgevoerd op basis van een groep, domein, organisatie-eenheid of kenmerk. U kunt filters combineren om complexere regels te genereren. U kunt bijvoorbeeld objecten in een domein synchroniseren die een specifieke waarde in een geselecteerd kenmerk hebben. Zie Microsoft Entra Verbinding maken Sync: Filtering configureren voor gedetailleerde informatie.

Als u maximale beschikbaarheid voor de AD Connect-synchronisatieservice wilt implementeren, voert u een secundaire tijdelijke server uit. Zie de sectie Aanbevelingen voor topologie hieronder voor meer informatie.

Notitie

Microsoft Entra Verbinding maken cloudsynchronisatie is een nieuw aanbod van Microsoft dat is ontworpen om te voldoen aan uw hybride identiteitsdoelen voor synchronisatie van gebruikers, groepen en contactpersonen met Microsoft Entra ID. Met Microsoft Entra Verbinding maken cloudsynchronisatie wordt inrichten van AD naar Microsoft Entra-id ingedeeld in Microsoft Online Services.

Beveiligingsconfiguratie en -beleid valideren

Beheer van gebruikerswachtwoorden. De Microsoft Entra ID P1- of P2-edities ondersteunen het terugschrijven van wachtwoorden, zodat uw on-premises gebruikers selfservice voor wachtwoordherstel kunnen uitvoeren vanuit Azure Portal. Deze functie moet alleen worden ingeschakeld nadat u het wachtwoordbeveiligingsbeleid van uw organisatie hebt bekeken. U kunt bijvoorbeeld instellen welke gebruikers hun wachtwoord niet mogen wijzigen en u kunt het wachtwoordbeheer naar wens aanpassen. Zie Customizing Password Management to fit your organization's needs (Wachtwoordbeheer aanpassen aan de behoeften van uw organisatie) voor meer informatie.

Beveilig lokale toepassingen die extern toegankelijk zijn. Gebruik de Microsoft Entra-toepassingsproxy om beheerde toegang te bieden tot on-premises webtoepassingen voor gebruikers van buiten uw netwerk via Microsoft Entra-id. Alleen gebruikers met geldige referenties in uw Azure-map zijn gemachtigd om de toepassing te gebruiken. Zie het artikel Enable Application Proxy in the Azure portal (Toepassingsproxy inschakelen in Azure Portal) voor meer informatie.

Controleer de Microsoft Entra-id actief op tekenen van verdachte activiteiten. Overweeg microsoft Entra ID P2-editie te gebruiken, waaronder Microsoft Entra ID Protection. Identity Protection maakt gebruik van geavanceerde algoritmen voor machine learning en methodieken voor het opsporen van afwijkingen en risicogebeurtenissen die mogelijk aangeven dat een identiteit in gevaar is. Identity Protection kan bijvoorbeeld ongebruikelijke activiteiten detecteren, zoals afwijkende aanmeldingen, aanmeldingen van onbekende bronnen of vanaf IP-adressen met verdachte activiteiten, of aanmeldingen vanaf apparaten die mogelijk geïnfecteerd zijn. Identity Protection gebruikt deze gegevens om rapporten en waarschuwingen te genereren waarmee u deze risico-gebeurtenissen kunt onderzoeken en passende actie kunt ondernemen. Zie Microsoft Entra ID Protection voor meer informatie.

U kunt de rapportagefunctie van Microsoft Entra ID in Azure Portal gebruiken om beveiligingsgerelateerde activiteiten in uw systeem te bewaken. Zie de Rapportagehandleiding voor Microsoft Entra-id's voor meer informatie over het gebruik van deze rapporten.

Netwerktopologie valideren

Configureer Microsoft Entra Verbinding maken om een topologie te implementeren die het meest overeenkomt met de vereisten van uw organisatie. Topologieën die Door Microsoft Entra Verbinding maken ondersteunt, zijn onder andere:

  • Eén forest, één Microsoft Entra-map. In deze topologie synchroniseert Microsoft Entra Verbinding maken objecten en identiteitsgegevens van een of meer domeinen in één on-premises forest in één Microsoft Entra-tenant. Deze topologie is de standaard implementatie door de snelle installatie van Microsoft Entra Verbinding maken.

    Notitie

    Gebruik niet meerdere Microsoft Entra Verbinding maken Sync-servers om verschillende domeinen in hetzelfde on-premises forest te verbinden met dezelfde Microsoft Entra-tenant, tenzij u een server in faseringsmodus uitvoert, zoals hieronder wordt beschreven.

  • Meerdere forests, één Microsoft Entra-map. In deze topologie synchroniseert Microsoft Entra Verbinding maken objecten en identiteitsgegevens uit meerdere forests in één Microsoft Entra-tenant. Gebruik deze topologie als uw organisatie meer dan één lokaal forest heeft. U kunt identiteitsgegevens samenvoegen, zodat elke unieke gebruiker eenmaal wordt weergegeven in de Microsoft Entra-directory, zelfs als de gebruiker in meer dan één forest bestaat. Alle forests gebruiken dezelfde Microsoft Entra Verbinding maken Sync-server. De Microsoft Entra Verbinding maken Sync-server hoeft geen deel uit te maken van een domein, maar moet bereikbaar zijn vanuit alle forests.

    Notitie

    Gebruik in deze topologie geen afzonderlijke Microsoft Entra Verbinding maken Sync-servers om elke on-premises forest te verbinden met één Microsoft Entra-tenant. Dit kan leiden tot gedupliceerde identiteitsgegevens in Microsoft Entra-id als gebruikers aanwezig zijn in meer dan één forest.

  • Meerdere forests, afzonderlijke topologieën. Deze topologie voegt identiteitsgegevens van afzonderlijke forests samen in één Microsoft Entra-tenant, waarbij alle forests als afzonderlijke entiteiten worden behandeld. Deze topologie is handig als u forests van verschillende organisaties combineert en de identiteitsgegevens voor elke gebruiker in slechts één forest worden bewaard.

    Notitie

    Als de globale adreslijsten (GAL) in elk forest zijn gesynchroniseerd, kan een gebruiker in het ene forest ook als contactpersoon in een ander forest zijn opgenomen. Dit kan gebeuren als uw organisatie GALSync heeft geïmplementeerd met Forefront Identity Manager 2010 of Microsoft Identity Manager 2016. In dit scenario kunt u opgeven dat gebruikers moeten worden aangeduid met hun Mail-kenmerk. U kunt identiteiten ook aanduiden met de kenmerken ObjectSID en msExchMasterAccountSID. Dat is handig als u een of meer resourceforests met uitgeschakelde accounts hebt.

  • Faseringsserver. In deze configuratie voert u een tweede exemplaar van de Microsoft Entra Verbinding maken Sync-server parallel met de eerste uit. Deze structuur ondersteunt scenario's zoals:

    • Hoge beschikbaarheid.

    • Testen en implementeren van een nieuwe configuratie van de Microsoft Entra Verbinding maken Sync-server.

    • Introductie van een nieuwe server en het buiten gebruik stellen van een oude configuratie.

      In deze scenario's wordt de tweede instantie uitgevoerd in faseringsmodus. De server registreert geïmporteerde objecten en synchronisatiegegevens in de database, maar geeft de gegevens niet door aan Microsoft Entra-id. Als u de faseringsmodus uitschakelt, begint de server met het schrijven van gegevens naar Microsoft Entra ID en begint de server waar nodig ook wachtwoord terugschrijven naar de on-premises directory's uit te voeren. Zie Microsoft Entra Verbinding maken Sync: Operationele taken en overwegingen voor meer informatie.

  • Meerdere Microsoft Entra-mappen. Doorgaans maakt u één Microsoft Entra-directory voor een organisatie, maar er kunnen situaties zijn waarin u gegevens moet partitioneren in afzonderlijke Microsoft Entra-mappen. Vermijd in dit geval problemen met synchronisatie en wachtwoord terugschrijven door ervoor te zorgen dat elk object uit het on-premises forest slechts in één Microsoft Entra-map wordt weergegeven. Als u dit scenario wilt implementeren, configureert u afzonderlijke Microsoft Entra Verbinding maken Sync-servers voor elke Microsoft Entra-directory en gebruikt u filters zodat elke Microsoft Entra Verbinding maken Sync-server werkt op een wederzijds exclusieve set objecten.

Zie Topologieën voor Microsoft Entra Verbinding maken voor meer informatie over deze topologieën.

Verificatiemethode voor gebruikers configureren

De Microsoft Entra Verbinding maken Sync-server configureert standaard wachtwoord-hashsynchronisatie tussen het on-premises domein en de Microsoft Entra-id. Bij de Microsoft Entra-service wordt ervan uitgegaan dat gebruikers zich verifiëren door hetzelfde wachtwoord op te geven dat ze on-premises gebruiken. Voor veel organisaties is deze strategie geschikt, maar u moet rekening houden met het bestaande beleid en de bestaande infrastructuur van uw organisatie. Bijvoorbeeld:

  • Het beveiligingsbeleid van uw organisatie kan het synchroniseren van wachtwoordhashes naar de cloud verbieden. In dit geval moet uw organisatie rekening houden met passthrough-verificatie.
  • Misschien wilt u gebruikers een naadloze eenmalige aanmelding (SSO) bieden bij het openen van cloudresources vanaf machines die gekoppeld zijn aan het domein op het bedrijfsnetwerk.
  • Uw organisatie heeft mogelijk al Active Directory Federation Services (AD FS) of een federatieprovider van derden geïmplementeerd. U kunt Microsoft Entra-id configureren voor het gebruik van deze infrastructuur om verificatie en eenmalige aanmelding te implementeren in plaats van wachtwoordgegevens in de cloud te gebruiken.

Zie Microsoft Entra Verbinding maken Aanmeldingsopties voor gebruikers voor meer informatie.

Microsoft Entra-toepassingsproxy configureren

Gebruik De Microsoft Entra-id om toegang te bieden tot on-premises toepassingen.

Maak uw on-premises webtoepassingen beschikbaar met behulp van toepassingsproxyconnectors die worden beheerd door het microsoft Entra-toepassingsproxyonderdeel. De toepassingsproxyconnector opent een uitgaande netwerkverbinding met de Microsoft Entra-toepassingsproxy. Aanvragen van externe gebruikers worden teruggeleid van Microsoft Entra ID via deze proxyverbinding met de web-apps. Deze configuratie verwijdert de noodzaak om binnenkomende poorten te openen in de on-premises firewall en vermindert de kwetsbaarheid voor aanvallen die door uw organisatie worden blootgesteld.

Zie Toepassingen publiceren met microsoft Entra-toepassingsproxy voor meer informatie.

Synchronisatie van Microsoft Entra-objecten configureren

Met de standaardconfiguratie voor Microsoft Entra Verbinding maken worden objecten uit uw lokale Active Directory-adreslijst gesynchroniseerd op basis van de regels die zijn opgegeven in het artikel Microsoft Entra Verbinding maken Sync: Informatie over de standaardconfiguratie. Objecten die voldoen aan deze regels worden gesynchroniseerd, terwijl alle andere objecten worden genegeerd. Enkele voorbeeldregels:

  • Gebruikersobjecten moet een uniek sourceAnchor-kenmerk hebben en het accountEnabled-kenmerk moet zijn ingevuld.
  • Gebruikersobjecten moeten een kenmerk sAMAccountName hebben en kunnen niet beginnen met de tekst Azure AD_ of MSOL_.

Microsoft Entra Verbinding maken past verschillende regels toe op objecten Gebruiker, Contactpersoon, Groep, ForeignSecurityPrincipal en Computer. Gebruik de Editor voor synchronisatieregels die is geïnstalleerd met Microsoft Entra Verbinding maken als u de standaardset regels wilt wijzigen. Zie Microsoft Entra Verbinding maken Sync: Inzicht in de standaardconfiguratie) voor meer informatie.

U kunt ook uw eigen filters definiëren om de objecten te beperken die moeten worden gesynchroniseerd op basis van domein of organisatie-eenheid. U kunt ook complexere aangepaste filters implementeren, zoals die worden beschreven in Microsoft Entra Verbinding maken Sync: Filteren configureren.

Bewakingsagents configureren

Statuscontrole wordt uitgevoerd door de volgende lokaal geïnstalleerde agents:

  • Microsoft Entra Verbinding maken installeert een agent die informatie over synchronisatiebewerkingen vastlegt. Gebruik de blade Microsoft Entra Verbinding maken Health in Azure Portal om de status en prestaties ervan te bewaken. Zie Microsoft Entra Verbinding maken Health gebruiken voor synchronisatie voor meer informatie.
  • Als u de status van de AD DS-domeinen en -mappen van Azure wilt bewaken, installeert u de Microsoft Entra Verbinding maken Health voor AD DS-agent op een computer binnen het on-premises domein. Gebruik de blade Microsoft Entra Verbinding maken Health in Azure Portal voor statuscontrole. Zie Microsoft Entra Verbinding maken Health gebruiken met AD DS voor meer informatie
  • Installeer de Microsoft Entra Verbinding maken Health voor AD FS-agent om de status van services die on-premises worden uitgevoerd te controleren en gebruik de blade Microsoft Entra Verbinding maken Health in Azure Portal om AD FS te bewaken. Zie Microsoft Entra Verbinding maken Health gebruiken met AD FS voor meer informatie

Zie Microsoft Entra Verbinding maken Health Agent Installeren voor meer informatie over het installeren van de AD-Verbinding maken Health-agents en hun vereisten.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

De Microsoft Entra-service is geografisch gedistribueerd en wordt uitgevoerd in meerdere datacenters over de hele wereld met geautomatiseerde failover. Als een datacenter niet beschikbaar is, zorgt Microsoft Entra ID ervoor dat uw adreslijstgegevens beschikbaar zijn voor bijvoorbeeld toegang in ten minste twee regionale verspreide datacenters.

Notitie

De SLA (Service Level Agreement) voor de Microsoft 365-apps AD-laag en Premium-services garanderen ten minste 99,9% beschikbaarheid. Er is geen SLA voor de gratis laag van Microsoft Entra ID. Zie SLA voor Microsoft Entra ID voor meer informatie.

Overweeg om een tweede exemplaar van Microsoft Entra Verbinding maken Sync-server in de faseringsmodus in te richten om de beschikbaarheid te verhogen, zoals beschreven in de sectie met aanbevelingen voor topologie.

Als u geen SQL Server Express LocalDB-exemplaar gebruikt dat bij Microsoft Entra Verbinding maken wordt geleverd, kunt u overwegen OM SQL-clustering te gebruiken om hoge beschikbaarheid te bereiken. Oplossingen zoals spiegelen en AlwaysOn worden niet ondersteund door Microsoft Entra Verbinding maken.

Zie Microsoft Entra Verbinding maken Sync: Operationele taken en overwegingen - Herstel na noodgeval voor aanvullende overwegingen over het bereiken van hoge beschikbaarheid van de Microsoft Entra Verbinding maken Sync-server en hoe u deze herstelt.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

Gebruik beheer voor voorwaardelijke toegang om verificatieaanvragen van onverwachte bronnen te weigeren:

  • Activeer Microsoft Entra meervoudige verificatie (MFA) als een gebruiker verbinding probeert te maken vanaf een niet-vertrouwde locatie, zoals via internet in plaats van een vertrouwd netwerk.

  • Gebruik het type apparaatplatform van de gebruiker (iOS, Android, Windows Mobile, Windows) om te bepalen welk toegangsbeleid er geldt voor toepassingen en functies.

  • Registreer de status ingeschakeld/uitgeschakeld van de apparaten van gebruikers en neem deze informatie op in de controles voor het toegangsbeleid. Als bijvoorbeeld de telefoon van een gebruiker is zoekgeraakt of gestolen, moet deze worden geregistreerd als uitgeschakeld om te voorkomen dat de telefoon wordt gebruikt om toegang te verschaffen.

  • Beheer gebruikerstoegang tot bronnen op basis van groepslidmaatschap. Gebruik dynamische lidmaatschapsregels van Microsoft Entra om groepsbeheer te vereenvoudigen. Bekijk Introduction to Dynamic Memberships for Groups (Inleiding tot dynamisch lidmaatschap voor groepen) voor een kort overzicht van de manier waarop dit werkt.

  • Gebruik risicobeleid voor voorwaardelijke toegang met Microsoft Entra ID Protection om geavanceerde beveiliging te bieden op basis van ongebruikelijke aanmeldingsactiviteiten of andere gebeurtenissen.

Zie Voorwaardelijke toegang van Microsoft Entra voor meer informatie.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Gebruik de Azure-prijscalculator om een schatting van de kosten te maken.

Kostenoverwegingen zijn onder andere:

  • Microsoft Entra Verbinding maken - De synchronisatiefunctie van Microsoft Entra Verbinding maken is beschikbaar in alle edities van Microsoft Entra ID.

  • VM's voor N-laag-toepassing : zie [VM's uitvoeren voor een architectuur met N-lagen][implementatie-a-multi-tier-architecture-on-Azure] voor kosteninformatie over deze resources.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

Beheerbaarheid

Er zijn twee aspecten voor het beheren van Microsoft Entra ID:

  • Beheer istering microsoft Entra ID in de cloud.
  • Onderhoud van de Microsoft Entra Verbinding maken Sync-servers.

Microsoft Entra ID biedt de volgende opties voor het beheren van domeinen en mappen in de cloud:

  • Microsoft Graph PowerShell-module : wordt gebruikt voor het uitvoeren van scripts voor algemene Microsoft Entra-beheertaken, zoals gebruikersbeheer, domeinbeheer en het configureren van eenmalige aanmelding.
  • De blade Microsoft Entra-beheer in Azure Portal biedt een interactieve beheerweergave van de map en stelt u in staat om de meeste aspecten van Microsoft Entra-id te beheren en te configureren.

Microsoft Entra Verbinding maken installeert de volgende hulpprogramma's voor het onderhouden van Microsoft Entra Verbinding maken Sync-services vanaf uw on-premises machines:

  • Microsoft Entra Verbinding maken-console: hiermee kunt u de configuratie van de Azure AD Sync-server wijzigen, aanpassen hoe synchronisatie plaatsvindt, faseringsmodus in- of uitschakelen en de aanmeldingsmodus van de gebruiker overschakelen. U kunt Active Directory FS-aanmelding inschakelen met behulp van uw on-premises infrastructuur.
  • Synchronisatieservicebeheer : gebruik het tabblad Bewerkingen in dit hulpprogramma om het synchronisatieproces te beheren en te detecteren of onderdelen van het proces zijn mislukt. U kunt synchronisatie handmatig met dit hulpprogramma activeren. Met het tabblad Connectors kunt u de verbindingen beheren voor de domeinen waaraan de synchronisatie-engine is gekoppeld.
  • Editor voor synchronisatieregels : hiermee kunt u de manier aanpassen waarop objecten worden getransformeerd wanneer ze worden gekopieerd tussen een on-premises directory en Microsoft Entra-id. Met dit hulpprogramma kunt u extra kenmerken en objecten voor synchronisatie opgeven en vervolgens filters uitvoeren om te bepalen welke objecten wel of niet moeten worden gesynchroniseerd. Zie de sectie Synchronisatieregeleditor in het document Microsoft Entra Verbinding maken Sync: Inzicht in de standaardconfiguratie voor meer informatie.

Zie Microsoft Entra Verbinding maken Sync voor meer informatie en tips voor het beheren van Microsoft Entra Verbinding maken: Aanbevolen procedures voor het wijzigen van de standaardconfiguratie.

DevOps

Zie Operationele uitmuntendheid in Het uitbreiden van Active Directory-domein Services (AD DS) naar Azure voor overwegingen met DevOps.

Prestatie-efficiëntie

Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. Zie overzicht van de pijler Prestatie-efficiëntie voor meer informatie.

De Microsoft Entra-service ondersteunt schaalbaarheid op basis van replica's, met één primaire replica die schrijfbewerkingen verwerkt plus meerdere secundaire replica's met het kenmerk Alleen-lezen. Microsoft Entra ID leidt op transparante wijze geprobeerde schrijfbewerkingen uit te voeren op secundaire replica's naar de primaire replica en zorgt voor uiteindelijke consistentie. Alle wijzigingen in de primaire replica worden doorgegeven aan de secundaire replica's. Deze architectuur wordt goed geschaald omdat de meeste bewerkingen op microsoft Entra-id leesbewerkingen zijn in plaats van schrijfbewerkingen. Zie Wat is de Architectuur van Microsoft Entra voor meer informatie ?

Bepaal voor de Microsoft Entra Verbinding maken-synchronisatieserver hoeveel objecten u waarschijnlijk wilt synchroniseren vanuit uw lokale adreslijst. Als u minder dan 100.000 objecten hebt, kunt u de standaard SQL Server Express LocalDB-software van Microsoft Entra Verbinding maken gebruiken. Als u een groter aantal objecten hebt, moet u een productieversie van SQL Server installeren en een aangepaste installatie van Microsoft Entra Verbinding maken uitvoeren, waarbij u opgeeft dat deze een bestaand exemplaar van SQL Server moet gebruiken.

Bijdragers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen