Hoe Azure AD Connect V2 downloaden, installeren en configureren

Handleidingen

In deze gids zal ik informatie verstrekken over waar u Azure Active Directory (recent hernoemd naar Microsoft Entra ID) Connect V2 kunt downloaden en u door de installatie en configuratie ervan leiden.

Microsoft geeft aan dat de meest voorkomende topologie een enkel on-premises forest is, met één of meerdere domeinen, en een enkele Azure AD tenant. Mijn gids zal deze topologie volgen, met gebruik van een nieuw Windows Server 2019 forest en domein, een Azure AD tenant met een Premium P2 trial licentie, en een geverifieerd aangepast domein.

Download Azure AD Connect en configureer het

Voordat we de details ingaan, zijn hier de 6 hoog-niveau stappen die vereist zijn om Azure AD Connect V2 op te zetten en te laten werken:

  1. Download Azure AD Connect
  2. Voer de installatie uit
  3. Configureer gebruiker aanmelding
  4. Verbind uw mappen
  5. Configureer geavanceerde opties
  6. Start directory synchronisatie

Wat is Azure AD Connect?

Kort gezegd, Azure AD Connect stelt u in staat om uw te synchroniseren Active Directory (AD) met Azure AD. Hiermee breidt u uw ouderwetse, maar nog steeds cruciale Windows Server Active Directory uit naar Microsoft’s cloud-gehoste Azure AD, en helpt u bij het bereiken van uw doel om een hybride identiteit te creëren.

Als u niet bekend bent met deze termen of een opfrisser nodig heeft, is dat prima. We raden aan om de tijd te nemen om onze vergelijking van Active Directory en Azure Active Directory te bekijken voordat u verder gaat.

Azure AD Connect bevat functies zoals wachtwoord-hash-synchronisatie (PHS), doorvoer-verificatie (PTA) en integratie met Active Directory Federation Services (AD FS). Deze en andere functies worden uitgelegd op de ondersteuningspagina van Microsoft’s Wat is Azure AD Connect.

Ook moet worden opgemerkt dat Azure Active Directory Domain Services (Azure AD DS) een ander aanbod is van Microsoft, en het wordt niet behandeld in deze handleiding.

Wat is er nieuw in Azure AD Connect V2

Azure AD Connect 2 brengt enkele significante wijzigingen met zich mee:

  • SQL Server 2019 LocalDB
  • MSAL authenticatiebibliotheek
  • Visual C++ Redist 14
  • TLS 1.2 (1.0 en 1.1 worden niet langer ondersteund)
  • Alle binaries ondertekend met SHA2
  • Windows Server 2012 en Windows Server 2012 R2 worden niet langer ondersteund
  • PowerShell 5.0

Microsoft heeft al aangekondigd dat alle Azure AD Connect V1 versies met pensioen zullen gaan op 31 augustus 2022. Dit alleen al zou een goede stimulans moeten zijn om te upgraden naar Azure AD Connect V2.

Bekijk alstublieft het artikel van Petri’s Russel Smith over wat is nieuw in Azure AD Connect V2 voor meer informatie over de grootste veranderingen in Azure AD Connect V2. Ook bevat de ondersteuningspagina van Microsoft’s Azure AD Connect: Versiegeschiedenis meer belangrijke details over nieuwe functies en functionaliteiten.

Vereisten voor Azure AD Connect V2

Voordat we Azure AD Connect V2 kunnen installeren, hebben we een paar dingen nodig:

  • Een Azure AD-tenant, die gratis of premium (betaald) kan zijn
  • Een lokaal of cloud-gehoste (op een Infrastructure as a Service virtuele machine) Windows Server die draait als een AD domeincontroller (oudere versies van Windows Server werken, maar sommige functies zoals wachtwoord terugschrijven vereisen 2016 of later)
  • Uw domeincontroller moet beschrijfbaar zijn, alleen-lezende domeincontrollers (RODC) worden niet ondersteund
  • Idealiter moet Azure AD Connect worden geïnstalleerd op een toegewijde server die is toegetreden tot het domein, maar je kunt het ook installeren op je domeincontroller (Windows Server 2016 of later met Desktop Experience is vereist voor Azure AD Connect V2)
  • . Maak AD– en AADaccounts aan voor je Azure AD Connect-server. Microsoft maakt onderscheid tussen accounts die worden gebruikt voor het bedienen van Azure AD Connect en die welke worden gebruikt voor de installatie en configuratie ervan.

Voor deze handleiding zullen we eenvoudigweg een Global Administrator-account gebruiken voor de Azure AD-tenant en een lid van de AD Enterprise Admins-groep voor de AD-connectiviteit. Zorg ervoor dat je in productieomgevingen toegewijde accounts gebruikt die alleen de minimale benodigde rechten voor jouw situatie dekken en houd je wachtwoord veilig. Zie de ondersteuningspagina van Microsoft’s Azure AD Connect: Accounts en rechten voor meer details.

Installeren en configureren van Azure AD Connect V2

Het eerste wat we moeten doen is de Azure AD Connect installer downloaden. Hier is hoe u te werk kunt gaan.

Download Azure AD Connect

  • Log in op uw Azure-portal
  • Navigeer naar Azure Active Directory
  • In de sectie Beheren, selecteert u Azure AD Connect en klikt u op de knop Azure AD Connect downloaden.
Download Azure AD Connect (Image Credit: Michael Taschler)

Voer de Azure AD Connect-installatie uit

Zodra gedownload zullen we deze installer (AzureADConnect.msi) uitvoeren op onze Azure AD Connect-server (domeincontroller of eigen server). Verhoogde rechten zijn vereist hiervoor, zorg er dus voor dat u Jakiest wanneer hierom wordt gevraagd.

Zodra de installer geladen is, wordt u begroet door het scherm Welkom bij Azure AD Connect. Nadat u de licentievoorwaarden en privacykennisgeving heeft geaccepteerd, klikt u op Doorgaan.

Azure AD Connect Welcome screen (Image Credit: Michael Taschler)

Kies aangepaste instellingen

Op het scherm Expressinstellingen moet u onderaan de pagina Aanpassen selecteren. De Expressinstellingen zijn misschien geschikt voor veel omgevingen, maar bepaalde instellingen kunnen alleen worden ingesteld met de installatie van Aangepaste instellingen.

Azure AD Connect Express Settings screen (Image Credit: Michael Taschler)

Op het scherm Installatie van vereiste componenten kunt u instellingen aanpassen die van invloed zijn op Azure AD Connect:

  • Specificeer een aangepaste installatielocatie
  • Gebruik een bestaande SQL Server (voor grotere omgevingen en hoge beschikbaarheidseisen)
  • Gebruik een bestaand serviceaccount (mogelijk moet u een vooraf aangemaakt account in uw omgeving gebruiken)
  • Specificeer aangepaste synchronisatiegroepen (waarmee u uw eigen lokale beveiligingsgroepen kunt instellen in plaats van de standaardgroepen)
  • Importeer synchronisatie-instellingen (die geëxporteerd zijn vanuit een andere installatie van Azure AD Connect)

Zodra u uw selectie heeft voltooid, klikt u op Installeren. De installateur zal de vereiste componenten installeren, zoals de Synchronisatieservice.

Azure AD Connect Install Required Components screen (Image Credit: Michael Taschler)

Gebruikersaanmelding configureren

Na enkele momenten wordt het scherm Gebruikersaanmelding weergegeven. U kunt een van de volgende opties kiezen:

  • Wachtwoord-hash-synchronisatie (standaard keuze)
  • Doorvoerauthenticatie
  • Federatie met AD FS
  • Federatie met PingFederate
  • Niet configureren

U kunt ook eenmalige aanmelding inschakelen voor uw gebruikers. Kies uw gewenste methode (we gebruiken Wachtwoord-hash-synchronisatie voor deze handleiding) en klik op Volgende.

Azure AD Connect User Sign-in screen (Image Credit: Michael Taschler)

Op het scherm Verbinding maken met Azure AD, voer uw Azure AD accountreferenties in (zie de vereisten in de vorige sectie). U wordt mogelijk gevraagd om uw wachtwoord te wijzigen als u nog niet eerder met dit account heeft ingelogd. Als MFA is ingeschakeld op uw account, kunt u ook worden uitgedaagd om te voldoen aan de vereisten die uw organisatie heeft ingesteld.

Klik op Volgende om door te gaan.

Azure AD Connect Connect to Azure AD screen (Image Credit: Michael Taschler)

Verbinding maken met uw mappen

Op het Verbinding maken met uw mappen scherm, onder FOREST, selecteert u uw map en klikt u op Map toevoegen.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

In een pop-up venster wordt u gevraagd om Een nieuw account aanmaken of Bestaand account gebruiken te selecteren. Dit account wordt gebruikt voor de map-synchronisatie.

Als u al een account heeft aangemaakt, zorg er dan voor dat het GEEN lid is van de Enterprise Admins of Domain Admins groep. Voor deze gids zullen we een nieuw account aanmaken.

U ziet uw toegevoegde map vermeld onder GECONFIGUREERDE MAP. U heeft ook de mogelijkheid om één of meer toegevoegde mappen te verwijderen als uw vereisten of omstandigheden zijn gewijzigd.

Zodra voltooid, klik op Volgende.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

Kies hoe uw gebruikers zullen worden geïdentificeerd in Azure AD

Op het scherm van de Azure AD Sign-in configuratie, zie je de Active Directory UPN-suffix en de corresponderende Status van het Azure AD-domein voor al je toegevoegde mappen. Als een van je domeinen niet geverifieerd of toegevoegd is, kun je dit oplossen en het scherm vernieuwen met behulp van het Vernieuwingspictogram onder de tabel.

Op dezelfde pagina kun je ook je Gebruikersprincipe-naam (UPN) aanpassen, het attribuut on-premises dat zal worden gebruikt als de Azure AD-gebruikersnaam.

Azure AD Connect Azure AD Sign-in Configuration screen (Image Credit: Michael Taschler)

Je moet een kritieke beslissing nemen over hoe je gebruikers worden geïdentificeerd in Azure AD. In tegenstelling tot Active Directory, staat Azure AD geen duplicaten toe.

Strikt genomen staat AD ook geen duplicaten toe, maar het handhaaft dit niet echt. Je kunt gedupliceerde UPNs hebben in je AD en ermee wegkomen, terwijl Azure AD alleen het eerste account zal synchroniseren en eventuele volgende accounts zal negeren. Je kunt ook dezelfde gebruikersnamen hebben in meerdere mappen en dezelfde beperking zal dan gelden.

Als je denkt dat dit op jou van toepassing kan zijn, kun je je AD verifiëren met idFix voordat je de Azure AD Connect-setup start. Zie de GitHub-pagina van Microsoft over idFix voor meer informatie.

Meestal kunt u deze instelling op de standaardwaarde userPrincipalName laten staan, maar uw specifieke omstandigheden kunnen anders zijn. Niet-routeerbare domeinnamen (veelvoorkomende zijn .local of .internal) zijn ook een goede reden om uw UPN te wijzigen, maar dit kan ook worden opgelost door een alternatieve (en routeerbare) UPN-suffix toe te voegen via Active Directory-domeinen en vertrouwensrelaties.

Klik op Volgende om door te gaan.

Kies de domeinen en OUs die u wilt synchroniseren

Op het scherm Domein- en OU-filtering kunt u ervoor kiezen om alle domeinen en Organizational Units (OUs) te synchroniseren of aan te passen welke u wilt synchroniseren. Microsoft geeft aan dat bepaalde OUs essentieel zijn voor de functionaliteit en dat u deze geselecteerd moet laten. Microsoft’s Filtering op basis van organisatie-eenheden bevat meer informatie over die OUs.

Klik op Volgende om door te gaan.

Azure AD Connect Domain and OU Filtering screen (Image Credit: Michael Taschler)

Op het scherm voor het Uniek identificeren van uw gebruikers, selecteer de opties die het beste aansluiten bij uw infrastructuur. Net als in het vorige gedeelte is het van cruciaal belang om dit goed te krijgen.

Hoewel de standaard waarden veel organisaties kunnen passen, kan het zijn dat uw omgeving vereist dat u wat tijd en moeite besteedt aan het identificeren van de waarden die het beste bij u passen. Zie de ondersteuningspagina van Microsoft over Het uniek identificeren van uw gebruikers voor meer informatie.

Zodra u klaar bent, klik op Volgende om door te gaan.

Azure AD Connect Uniquely Identifying Your Users screen (Image Credit: Michael Taschler)

Kies welke gebruikers en apparaten worden gesynchroniseerd met Azure AD

Op het scherm voor Filter gebruikers en apparaten kunt u beperken welke gebruikers en apparaten worden gesynchroniseerd met Azure AD door een enkele groep te specificeren. Dit is een handige manier om uw initiële pilot-implementatie te beperken.

Deze instellingen kunnen worden gewijzigd nadat u uw pilot hebt voltooid en alle problemen met uw implementatie hebt opgelost, mocht u die tegenkomen. Als u dit wilt gebruiken, voer dan eenvoudig de naam van uw pilotgroep in en klik op de Oplossen-knop.

Houd er rekening mee dat Microsoft waarschuwt dat deze functie niet bedoeld is voor gebruik in een productie-implementatie, dus zorg ervoor dat u dit wijzigt voordat u live gaat.

Voor deze handleiding heb ik een groep aangemaakt met de naam HybridUsers en al mijn testgebruikers eraan toegevoegd.

Klik op Volgende om door te gaan.

Azure AD Connect Filter Users and Devices screen (Image Credit: Michael Taschler)

Kies de optionele functies die jouw organisatie nodig heeft

Op het scherm Optionele functies kun je additionele instellingen configureren die uniek zijn voor de vereisten van jouw organisatie:

  • Exchange hybride implementatie (voor co-existentie met Exchange on-premises en Exchange Online)
  • Exchange Mail openbare mappen (om mail-enabled public-folder objecten te synchroniseren van jouw on-premises Active Directory naar Azure AD)
  • Azure AD-app en attribuutfiltering (om te beperken welke attributen worden gesynchroniseerd naar Azure AD)
  • Wachtwoord-hashesynchronisatie
  • Wachtwoord schrijven (om gebruikers in staat te stellen hun accounts zelfstandig opnieuw in te stellen, waardoor het aantal helpdeskoproepen wordt verminderd)
  • Groep schrijven (om specifieke Azure AD-groepen terug te schrijven naar jouw AD)
  • Apparaat schrijven (om Azure AD-geregistreerde apparaten terug te schrijven naar jouw AD)
  • Directory-uitbreidingsattribuutsynchronisatie (om aangepaste AD-attributen te synchroniseren naar jouw Azure AD)

Voor deze handleiding zal ik de standaardwaarden behouden. Voor jouw omgeving, zorg ervoor dat je de meest geschikte instellingen kiest en houd in gedachten dat sommige specifieke vereisten hebben. Microsoft heeft verdere informatie op haar Ondersteuningspagina voor optionele functies.

Klik op Volgende om door te gaan.

Azure AD Connect Optional Features screen (Image Credit: Michael Taschler)

Kies je opties voordat je het synchronisatieproces start

We zijn aangekomen bij het scherm Klaar om te configureren, dat je voorziet van een overzicht van je keuzes. Het stelt je ook in staat om de volgende twee opties in te stellen:

  • Start het synchronisatieproces wanneer de configuratie is voltooid (als je dit deselecteert, wordt het starten van het synchronisatieproces uitgesteld)
  • Inschakelen van staging-modus: Wanneer geselecteerd, zal de synchronisatie geen gegevens exporteren naar AD of Azure AD (deze Azure AD Connect-instantie zal nog steeds instellingen importeren)

Het kan handig zijn om een tweede Azure AD Connect-server gereed te hebben om jouw gegevens in te laden voor het geval dat jouw primaire onbeschikbaar wordt. Hiermee kun je de (tweede) server handmatig omzetten in degene die actief synchroniseert, waardoor je het hele installatieproces of de noodzaak om van een back-up te herstellen kunt overslaan. Jij bent de aangewezen persoon om te bepalen hoe je het beste jouw Azure AD Connect-server(s) kunt instellen.

Klik op Installeren zodra je hebt bevestigd dat alle instellingen correct zijn.

Azure AD Connect Ready To Configure Screen (Image Credit: Michael Taschler)

Azure AD Connect zal nu uw instellingen implementeren, verschillende onderdelen installeren en vervolgens de initiële synchronisatie tussen uw AD en uw Azure AD starten. Dit kan even duren, afhankelijk van de omvang van uw AD.

Once completed, the final screen will be displayed, providing you with the next steps and recommendations like the Active Directory Recycle Bin. Click Exit to close the installer, and make sure you sign out and back in again before launching any of the Azure AD Connect tools like the Synchronization Rules Editor.

Azure AD Connect Ready To Configure Configuration Complete Screen (Image Credit: Michael Taschler)

Controleren of Azure AD Connect goed werkt

Wat u nu ziet, is afhankelijk van de keuzes die u tijdens de installatie hebt gemaakt. Als u mijn instructies hebt gevolgd, zou uw omgeving er vergelijkbaar uit moeten zien.

In uw Azure-portal, navigeer naar Azure Active Directory, en selecteer in de Beheren-sectie Azure AD Connect. U zult zien dat de waarden voor SynchronisatiestatusLaatste synchronisatie en Wachtwoordhash-synchronisatie zijn gewijzigd, wat aangeeft dat de service is ingeschakeld.

Azure Portal Azure AD Connect Section (Image Credit: Michael Taschler)

Nog steeds in Azure Active Directory, in de Beheren-sectie, selecteer Gebruikers. U zult al uw geselecteerde lokale (AD) gebruikers gesynchroniseerd vinden met Azure AD. Let op de kolom Gesynchroniseerde directory, dit stelt u in staat eenvoudig te bepalen of een account is gesynchroniseerd vanuit uw lokale AD of is gemaakt in de cloud (Azure AD).

The UPNs are also in the format selected during the setup, so you might see a difference between your AD and Azure AD accounts. Also, bear in mind that these synced accounts are still managed from your on-premises AD. Unlike their born-in-the-cloud (Azure AD) counterparts, when clicking into a synced account in Azure AD, most settings are greyed out.

Azure Portal Synced Users (Image Credit: Michael Taschler)

Opnieuw configureren van uw Azure AD Connect en verdere tools

U zult een nieuwe snelkoppeling vinden (Azure AD Connect) op uw bureaublad, wat u in staat stelt om sommige van de Azure AD Connect-instellingen opnieuw te configureren. U ziet mogelijk een andere selectie van opties, afhankelijk van uw oorspronkelijke installatiekeuzes.

Bovendien maakt de taak Weergave of exporteren van de huidige configuratie het mogelijk om eenvoudig een back-up te maken van uw Azure AD Connect-instellingen, wat ook aan sommige van uw documentatievereisten kan voldoen. Probleemoplossing stelt u in staat om de Azure AD Connect Troubleshooting Tool te starten die wordt geopend in een PowerShell-venster.

De synchronisatieservicescheduler wordt onderbroken terwijl de wizard wordt uitgevoerd, zelfs als u geen wijzigingen aanbrengt, zorg er dus voor dat u deze niet per ongeluk open laat staan.

Azure AD Connect Reconfigure (Image Credit: Michael Taschler)

Azure AD Connect installeert en activeert verdere tools en portals die u zullen helpen het meeste uit uw hybride identiteitsconfiguratie te halen:

  • Azure AD Connect Health (een portal waarmee u waarschuwingen, prestatiebewaking, gebruiksanalyse en andere informatie kunt bekijken)
  • Synchronisatie Servicebeheerder (om meer geavanceerde aspecten van de synchronisatiemotor te configureren en de operationele aspecten van de service te bekijken)
  • Synchronisatieregels-editor (om synchronisatieregels te bekijken, maken en bewerken)
  • Connector voor webservices (om verbinding te maken met verschillende systemen zoals SAP ECC, Oracle PeopleSoft en eBusiness)

Nu we Azure AD Connect V2 hebben geïnstalleerd en gecontroleerd hebben of de twee mappen met elkaar gesynchroniseerd zijn, is het misschien tijd om enkele van de meer geavanceerde gebruiksscenario’s te bekijken, zoals het inschakelen van Single Sign-On (SSO) en doorvoerauthenticatie. Ook moet je op de hoogte blijven van nieuwe versies van Azure AD Connect, aangezien Microsoft graag nieuwe functies uitbrengt en af en toe enkele verwijdert die je mogelijk in je omgeving gebruikt.

Gerelateerd artikel:

Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/