Aangepaste installatie van Azure Active Directory Connect

Gebruik aangepaste instellingen in Azure Active Directory (Azure AD) Connect als u meer opties voor de installatie wilt. Gebruik deze instellingen, bijvoorbeeld als u meerdere forests hebt of als u optionele functies wilt configureren. Gebruik aangepaste instellingen in alle gevallen waarin snelle installatie niet voldoet aan uw implementatie- of topologiebehoeften.

Vereisten:

Aangepaste installatie-instellingen

Als u een aangepaste installatie wilt instellen voor Azure AD Connect, gaat u door de wizardpagina's die in de volgende secties worden beschreven.

Snelle instellingen

Selecteer op de pagina Snelle instellingende optie Aanpassen om een installatie van aangepaste instellingen te starten. In de rest van dit artikel wordt u begeleid bij het aangepaste installatieproces. Gebruik de volgende koppelingen om snel naar de informatie voor een bepaalde pagina te gaan:

Vereiste onderdelen installeren

Wanneer u de synchronisatieservices installeert, kunt u de optionele configuratiesectie uitgeschakeld laten. Azure AD Connect stelt alles automatisch in. Er wordt een SQL Server 2019 Express LocalDB-exemplaar ingesteld, de juiste groepen gemaakt en machtigingen toegewezen. Als u de standaardinstellingen wilt wijzigen, selecteert u de juiste vakken. De volgende tabel bevat een overzicht van deze opties en koppelingen naar aanvullende informatie.

Schermopname van optionele selecties voor de vereiste installatieonderdelen in Azure AD Connect.

Optionele configuratie Beschrijving
Een aangepaste installatielocatie opgeven Hiermee kunt u het standaardinstallatiepad voor Azure AD Connect wijzigen.
Een bestaande SQL Server gebruiken Hiermee kunt u de naam van de SQL Server en de naam van het exemplaar opgeven. Kies deze optie als u al een databaseserver hebt die u wilt gebruiken. Voer bij Exemplaarnaam de naam van het exemplaar, een komma en het poortnummer in als browsen niet is ingeschakeld voor uw SQL Server-exemplaar. Geef vervolgens de naam op van de Azure AD Connect-database. Uw SQL-bevoegdheden bepalen of een nieuwe database kan worden gemaakt of dat uw SQL-beheerder de database van tevoren moet maken. Als u SQL Server beheerdersmachtigingen (SA) hebt, raadpleegt u Install Azure AD Connect by using an existing database (Install Azure AD Connect by using an existing database). Als u gedelegeerde machtigingen (DBO) hebt, raadpleegt u Install Azure AD Connect by using SQL delegated administrator permissions (Install Azure AD Connect by using SQL delegated administrator permissions).
Een bestaand serviceaccount gebruiken Azure AD Connect biedt standaard een virtueel serviceaccount voor de synchronisatieservices. Als u een extern exemplaar van SQL Server of een proxy gebruikt waarvoor verificatie is vereist, kunt u een beheerd serviceaccount of een met een wachtwoord beveiligd serviceaccount in het domein gebruiken. Voer in die gevallen het account in dat u wilt gebruiken. Als u de installatie wilt uitvoeren, moet u een SA in SQL zijn, zodat u aanmeldingsreferenties voor het serviceaccount kunt maken. Zie Azure AD Connect-accounts and -machtigingen voor meer informatie.

Met behulp van de nieuwste build kan de SQL-beheerder de database nu buiten band inrichten. Vervolgens kan de Azure AD Connect-beheerder deze installeren met database-eigenaarsrechten. Zie Azure AD Connect installeren met behulp van gedelegeerde SQL-beheerdersmachtigingen voor meer informatie.
Aangepaste synchronisatiegroepen opgeven Wanneer de synchronisatieservices zijn geïnstalleerd, maakt Azure AD Connect standaard vier groepen die lokaal op de server zijn. Deze groepen zijn Beheerders, Operators, Bladeren en Wachtwoord opnieuw instellen. U kunt hier uw eigen groepen opgeven. De groepen moeten lokaal op de server zijn. Ze kunnen zich niet in het domein bevinden.
Synchronisatie-instellingen importeren (preview) Hiermee kun je instellingen importeren uit andere versies van Azure AD Connect. Zie Configuratie-instellingen voor Azure AD Connect importeren en exporteren voor meer informatie.

Gebruikersaanmelding

Nadat u de vereiste onderdelen hebt geïnstalleerd, selecteert u de methode voor eenmalige aanmelding van uw gebruikers. In de volgende tabel worden de beschikbare opties kort beschreven. Zie voor een volledige beschrijving van de aanmeldmethodes User sign-in.

Schermopname van de pagina Gebruikersaanmelding. De optie Wachtwoord-hashsynchronisatie is geselecteerd.

Optie voor eenmalige aanmelding Beschrijving
Synchronisatie van wachtwoord-hashes Gebruikers kunnen zich aanmelden bij Microsoft cloudservices, zoals Microsoft 365, met hetzelfde wachtwoord dat ze in hun on-premises netwerk gebruiken. Gebruikerswachtwoorden worden gesynchroniseerd met Azure AD als een wachtwoordhash. Verificatie vindt plaats in de cloud. Zie Wachtwoord-hashsynchronisatie voor meer informatie.
Pass-through-verificatie Gebruikers kunnen zich aanmelden bij Microsoft cloudservices, zoals Microsoft 365, met hetzelfde wachtwoord dat ze in hun on-premises netwerk gebruiken. Gebruikerswachtwoorden worden gevalideerd door te worden doorgegeven aan de on-premises Active Directory domeincontroller.
Federatie met AD FS Gebruikers kunnen zich aanmelden bij Microsoft cloudservices, zoals Microsoft 365, met hetzelfde wachtwoord dat ze in hun on-premises netwerk gebruiken. Gebruikers worden omgeleid naar hun on-premises exemplaar van Azure Directory Federation Services (AD FS) om zich aan te melden. Verificatie vindt on-premises plaats.
Federatie met PingFederate Gebruikers kunnen zich aanmelden bij Microsoft cloudservices, zoals Microsoft 365, met hetzelfde wachtwoord dat ze in hun on-premises netwerk gebruiken. Gebruikers worden omgeleid naar hun on-premises PingFederate-exemplaar om zich aan te melden. Verificatie vindt on-premises plaats.
Niet configureren Er is geen gebruikersaanmeldingsfunctie geïnstalleerd of geconfigureerd. Kies deze optie als u al een federatieserver van derden of een andere oplossing hebt.
Eenmalige aanmelding inschakelen Deze optie is beschikbaar met zowel wachtwoord-hashsynchronisatie als passthrough-verificatie. Het biedt een ervaring voor eenmalige aanmelding voor bureaubladgebruikers in bedrijfsnetwerken. Zie Eenmalige aanmelding voor meer informatie.

Opmerking: Voor AD FS-klanten is deze optie niet beschikbaar. AD FS biedt al hetzelfde niveau van eenmalige aanmelding.

Verbinding maken met Azure AD

Voer op de pagina Verbinding maken met Azure AD een hybrid identity administrator-account en wachtwoord in. Als u Federatie met AD FS op de vorige pagina hebt geselecteerd, meldt u zich niet aan met een account dat zich in een domein bevindt dat u wilt inschakelen voor federatie.

Mogelijk wilt u een account gebruiken in het standaarddomein onmicrosoft.com, dat bij uw Azure AD-tenant wordt geleverd. Dit account wordt alleen gebruikt voor het maken van een serviceaccount in Azure AD. Deze wordt niet gebruikt nadat de installatie is voltooid.

Notitie

U kunt het beste voorkomen dat u on-premises gesynchroniseerde accounts gebruikt voor Azure AD roltoewijzingen. Als het on-premises account is gecompromitteerd, kan dit ook worden gebruikt om uw Azure AD resources in gevaar te komen. Raadpleeg Best practices voor Azure AD rollen voor een volledige lijst met best practices

Schermopname van de pagina Verbinding maken met Azure AD.

Als voor je globale beheerdersaccount meervoudige verificatie is ingeschakeld, moet je het wachtwoord opnieuw opgeven in het aanmeldingsvenster en de controle voor meervoudige verificatie voltooien. De controle kan bestaan uit een verificatiecode of uit een telefoongesprek.

Schermopname van de pagina Verbinding maken met Azure AD. Een veld voor meervoudige verificatie vraagt de gebruiker om een code.

Voor het globale beheerdersaccount kan ook privileged identity management zijn ingeschakeld.

Als u verificatieondersteuning wilt gebruiken voor scenario's zonder wachtwoord, zoals federatieve accounts, smartcards en MFA-scenario's, kunt u de switch /InteractiveAuth opgeven bij het starten van de wizard. Als u deze schakeloptie gebruikt, wordt de gebruikersinterface voor verificatie van de wizard overgeslagen en wordt de gebruikersinterface van de MSAL-bibliotheek gebruikt om de verificatie af te handelen.

Als u een fout ziet of problemen met de connectiviteit ondervindt, raadpleegt u Verbindingsproblemen oplossen.

Pagina's synchroniseren

In de volgende secties worden de pagina's in de sectie Synchroniseren beschreven.

Verbinding maken met uw directory’s

Om verbinding te maken met Active Directory Domain Services (AD DS), heeft Azure AD Connect de forestnaam en referenties nodig van een account met voldoende machtigingen.

Schermopname van de pagina Uw mappen verbinden.

Nadat u de naam van het forest hebt ingevoerd en Map toevoegen hebt geselecteerd, wordt er een venster weergegeven. In de volgende tabel worden uw opties beschreven.

Optie Beschrijving
Nieuw account maken Maak het AD DS-account dat Azure AD Connect nodig heeft om verbinding te maken met het Active Directory-forest tijdens adreslijstsynchronisatie. Nadat u deze optie hebt geselecteerd, voert u de gebruikersnaam en het wachtwoord voor een ondernemingsbeheerdersaccount in. Azure AD Connect gebruikt het opgegeven ondernemingsbeheerdersaccount om het vereiste AD DS-account te maken. U kunt het domeinonderdeel invoeren in de NetBIOS-indeling of FQDN-indeling. Voer dus FABRIKAM\administrator of fabrikam.com\administrator in.
Bestaand account gebruiken Geef een bestaand AD DS-account op dat Azure AD Connect kan gebruiken om tijdens adreslijstsynchronisatie verbinding te maken met het Active Directory-forest. U kunt het domeinonderdeel invoeren in de NetBIOS-indeling of FQDN-indeling. Dat wil gezegd, voer FABRIKAM\syncuser of fabrikam.com\syncuser in. Dit account kan een gewoon gebruikersaccount zijn omdat het alleen de standaard leesmachtigingen nodig heeft. Maar afhankelijk van uw scenario hebt u mogelijk meer machtigingen nodig. Zie Azure AD Connect-accounts and -machtigingen voor meer informatie.

Schermopname van de pagina 'Verbinding maken met map' en het AD-forestaccountvenster, waarin u kunt kiezen of u een nieuw account wilt maken of een bestaand account kunt gebruiken.

Notitie

Vanaf build 1.4.18.0 kunt u geen ondernemingsbeheerders- of domeinbeheerdersaccount gebruiken als het AD DS-connectoraccount. Wanneer u Bestaand account gebruiken selecteert en u probeert een ondernemingsbeheerdersaccount of domeinbeheerdersaccount in te voeren, ziet u de volgende fout: 'Het gebruik van een enterprise- of domeinbeheerdersaccount voor uw AD-forestaccount is niet toegestaan. Laat Azure AD Connect het account voor u maken of geef een synchronisatieaccount op met de juiste machtigingen op."

Aanmeldconfiguratie Azure AD

Controleer op de pagina Azure AD aanmeldingsconfiguratie de UPN-domeinen (User Principal Name) in on-premises AD DS. Deze UPN-domeinen zijn geverifieerd in Azure AD. Op deze pagina configureert u het kenmerk dat moet worden gebruikt voor de userPrincipalName.

Schermopname van niet-geverifieerde domeinen op de pagina Azure AD-aanmeldingsconfiguratie.

Controleer elk domein dat is gemarkeerd als Niet toegevoegd of Niet geverifieerd. Zorg ervoor dat de domeinen die u gebruikt, zijn geverifieerd in Azure AD. Nadat u uw domeinen hebt geverifieerd, selecteert u het pictogram voor kringvernieuwing. Zie Het domein toevoegen en verifiëren voor meer informatie.

Gebruikers gebruiken het kenmerk userPrincipalName wanneer ze zich aanmelden bij Azure AD en Microsoft 365. Azure AD moet de domeinen, ook wel het UPN-achtervoegsel genoemd, controleren voordat gebruikers worden gesynchroniseerd. Microsoft raadt u aan het standaardkenmerk userPrincipalName te behouden.

Als het kenmerk userPrincipalName niet kan worden omgeleid en niet kan worden geverifieerd, kunt u een ander kenmerk selecteren. U kunt bijvoorbeeld e-mail selecteren als het kenmerk dat de aanmeldings-id bevat. Wanneer u een ander kenmerk dan userPrincipalName gebruikt, wordt dit een alternatieve id genoemd.

De waarde van het alternatieve-id-kenmerk moet aan de standaard RFC822 voldoen. Een alternatieve id kan worden gebruikt met wachtwoord-hashsynchronisatie, passthrough-verificatie en federatie. In Active Directory kan het kenmerk niet worden gedefinieerd als met meerdere waarden, zelfs niet als het slechts één waarde heeft. Zie Passthrough-verificatie: veelgestelde vragen voor meer informatie over de alternatieve id.

Notitie

Wanneer u passthrough-verificatie inschakelt, moet u ten minste één geverifieerd domein hebben om door te gaan met het aangepaste installatieproces.

Waarschuwing

Alternatieve id's zijn niet compatibel met alle Microsoft 365-workloads. Zie Alternatieve aanmeldings-id's configureren voor meer informatie.

Domein en OE filteren

Standaard worden alle domeinen en organisatie-eenheden (OE's) gesynchroniseerd. Als u sommige domeinen of OE's niet wilt synchroniseren met Azure AD, kunt u de juiste selecties wissen.

Schermopname van de filterpagina Domein en O U.

Op deze pagina worden filteren op basis van domeinen en OE's geconfigureerd. Als u wijzigingen wilt aanbrengen, raadpleegt u Filteren op basis van domeinen en OE's. Sommige OE's zijn essentieel voor de functionaliteit. Laat ze daarom geselecteerd.

Als u OE-filtering gebruikt met een Azure AD Connect-versie ouder dan 1.1.524.0, worden nieuwe OE's standaard gesynchroniseerd. Als u niet wilt dat nieuwe OE's worden gesynchroniseerd, kunt u het standaardgedrag aanpassen na de filterstap op basis van de organisatie-eenheid . Voor Azure AD Connect 1.1.524.0 of hoger kunt u aangeven of nieuwe OE's moeten worden gesynchroniseerd.

Als u van plan bent om filteren op basis van groepen te gebruiken, moet u ervoor zorgen dat de organisatie-eenheid met de groep is opgenomen en niet wordt gefilterd met OE-filtering. OE-filtering wordt geëvalueerd voordat filteren op basis van groepen wordt geëvalueerd.

Het is ook mogelijk dat sommige domeinen onbereikbaar zijn vanwege firewallbeperkingen. Deze domeinen zijn standaard uitgeschakeld en er wordt een waarschuwing weergegeven.

Schermopname van onbereikbare domeinen.

Als u deze waarschuwing ziet, moet u ervoor zorgen dat deze domeinen inderdaad onbereikbaar zijn en dat de waarschuwing wordt verwacht.

Uw gebruikers een unieke id geven

Kies op de pagina Gebruikers identificeren hoe u gebruikers in uw on-premises directory's kunt identificeren en hoe u ze kunt identificeren met behulp van het kenmerk sourceAnchor.

Selecteren hoe gebruikers moeten worden aangeduid in uw on-premises directory’s

Met behulp van de functie Overeenkomen tussen forests kunt u definiëren hoe gebruikers uit uw AD DS-forests worden weergegeven in Azure AD. Een gebruiker wordt mogelijk slechts één keer weergegeven in alle forests of heeft een combinatie van ingeschakelde en uitgeschakelde accounts. De gebruiker kan in sommige forests ook worden weergegeven als een contactpersoon.

Schermopname van de pagina waar u uw gebruikers uniek kunt identificeren.

Instelling Beschrijving
Gebruikers worden slechts één keer weergegeven in alle forests Alle gebruikers worden als afzonderlijke objecten in Azure AD aangemaakt. De objecten worden niet samengevoegd in de metaverse.
E-mailkenmerk Deze optie koppelt gebruikers en contactpersonen als het e-mailkenmerk in verschillende forests dezelfde waarde heeft. Gebruik deze optie wanneer uw contactpersonen zijn gemaakt met behulp van GALSync. Als u deze optie kiest, worden gebruikersobjecten waarvan het e-mailkenmerk niet is ingevuld, niet gesynchroniseerd met Azure AD.
Kenmerken ObjectSID en msExchangeMasterAccountSID/msRTCSIP-OriginatorSID Deze optie koppelt een ingeschakelde gebruiker in een account-forest met een uitgeschakelde gebruiker in een bron-forest. In Exchange wordt deze configuratie een gekoppeld postvak genoemd. U kunt deze optie gebruiken als u alleen Lync gebruikt en exchange niet aanwezig is in het resourceforest.
SAMAccountName- en MailNickName-kenmerken Deze optie wordt toegevoegd aan kenmerken waarvan de aanmeldings-id voor de gebruiker naar verwachting wordt gevonden.
Een specifiek kenmerk kiezen Met deze optie kunt u uw eigen kenmerk selecteren. Als u deze optie kiest, worden gebruikersobjecten waarvan het (geselecteerde) kenmerk niet is ingevuld, niet gesynchroniseerd met Azure AD. Beperking: Alleen kenmerken die al in de metaverse staan, zijn beschikbaar voor deze optie.

Selecteren hoe gebruikers moeten worden geïdentificeerd met behulp van een bronanker

Het kenmerk sourceAnchor is onveranderbaar tijdens de levensduur van een gebruikersobject. Het is de primaire sleutel die de on-premises gebruiker koppelt aan de gebruiker in Azure AD.

Instelling Beschrijving
Azure het bronanker laten beheren Selecteer deze optie als u wilt dat Azure AD het kenmerk voor u selecteert. Als u deze optie selecteert, past Azure AD Connect de kenmerkselectielogica sourceAnchor toe die wordt beschreven in Ms-DS-ConsistencyGuid gebruiken als sourceAnchor. Nadat de aangepaste installatie is voltooid, ziet u welk kenmerk is gekozen als het kenmerk sourceAnchor.
Een specifiek kenmerk kiezen Selecteer deze optie als u een bestaand AD-kenmerk wilt opgeven als het kenmerk sourceAnchor.

Omdat het kenmerk sourceAnchor niet kan worden gewijzigd, moet u een geschikt kenmerk kiezen. Een goede kandidaat is objectGUID. Dit kenmerk wordt niet gewijzigd, tenzij het gebruikersaccount wordt verplaatst tussen forests of domeinen. Kies geen kenmerken die kunnen worden gewijzigd wanneer een persoon trouwt of opdrachten wijzigt.

U kunt geen kenmerken gebruiken die een at-teken (@) bevatten, dus u kunt geen e-mail en userPrincipalName gebruiken. Het kenmerk is ook hoofdlettergevoelig, dus wanneer u een object tussen forests verplaatst, moet u hoofdletters en kleine letters behouden. Binaire kenmerken zijn base64-gecodeerd, maar andere kenmerktypen blijven in hun niet-gecodeerde status.

In federatiescenario's en sommige Azure AD interfaces wordt het kenmerk sourceAnchor ook wel onveranderbare ID genoemd.

Zie Ontwerpconcepten voor meer informatie over het bronanker.

Synchronisatiefilters op basis van groepen

Met de functie filteren op groepen kunt u slechts een kleine subset van objecten synchroniseren voor een testfase. Als u deze functie wilt gebruiken, maakt u een groep voor dit doel in uw on-premises exemplaar van Active Directory. Voeg vervolgens gebruikers en groepen toe die naar Azure AD moeten worden gesynchroniseerd als directe leden. U kunt later gebruikers toevoegen of gebruikers verwijderen uit deze groep om de lijst met objecten bij te houden die aanwezig moeten zijn in Azure AD.

Alle objecten die u wilt synchroniseren, moeten directe leden van de groep zijn. Gebruikers, groepen, contactpersonen en computers of apparaten moeten allemaal directe leden zijn. Geneste groepslidmaatschap is niet opgelost. Wanneer u een groep als lid toevoegt, wordt alleen de groep zelf toegevoegd. De leden worden niet toegevoegd.

Schermopname van de pagina waar u kunt kiezen hoe u gebruikers en apparaten wilt filteren.

Waarschuwing

Deze functie is bedoeld om alleen een testimplementatie te ondersteunen. Gebruik deze niet in een volledige productie-implementatie.

In een volledige productie-implementatie is het moeilijk om één groep en alle bijbehorende objecten te synchroniseren. Gebruik in plaats van de functie filteren op groepen een van de methoden die worden beschreven in Filteren configureren.

Optionele functies

Op de volgende pagina kunt u optionele functies voor uw scenario selecteren.

Waarschuwing

Azure AD Connect-versies 1.0.8641.0 en eerder zijn afhankelijk van Azure Access Control Service voor wachtwoord terugschrijven. Deze service is op 7 november 2018 buiten gebruik gesteld. Als u een van deze versies van Azure AD Connect gebruikt en wachtwoord terugschrijven hebt ingeschakeld, kunnen gebruikers hun wachtwoorden mogelijk niet meer wijzigen of opnieuw instellen wanneer de service buiten gebruik wordt gesteld. Deze versies van Azure AD Connect bieden geen ondersteuning voor wachtwoord terugschrijven.

Zie Migreren vanuit Azure Access Control Service voor meer informatie.

Als u wachtwoord terugschrijven wilt gebruiken, downloadt u de nieuwste versie van Azure AD Connect.

Schermopname van de pagina Optionele functies.

Waarschuwing

Als Azure AD Sync of Directe synchronisatie (DirSync) actief zijn, activeert u geen write-backfuncties in Azure AD Connect.

Optionele functies Beschrijving
Hybride implementatie voor Exchange Met de hybride implementatiefunctie van Exchange kunnen exchange-postvakken zowel on-premises als in Microsoft 365 naast elkaar worden gebruikt. Azure AD Connect synchroniseert een specifieke set kenmerken van Azure AD terug naar uw on-premises directory.
Openbare mappen voor Exchange-e-mail Met de functie Openbare exchange-e-mailmappen kunt u objecten voor openbare mappen met e-mail synchroniseren vanuit uw on-premises exemplaar van Active Directory met Azure AD. Houd er rekening mee dat het synchroniseren van groepen met openbare mappen als leden niet wordt ondersteund. Als u dit probeert, resulteert dit in een synchronisatiefout.
Azure AD-app- en -kenmerkfilters Door Azure AD app- en kenmerkfiltering in te schakelen, kunt u de set gesynchroniseerde kenmerken aanpassen. Door deze optie worden twee extra configuratiepagina’s aan de wizard toegevoegd. Zie voor meer informatie Azure AD app and attribute filtering.
Synchronisatie van wachtwoord-hashes Als u federatie als aanmeldingsoplossing hebt geselecteerd, kunt u wachtwoord-hashsynchronisatie inschakelen. Vervolgens kunt u deze gebruiken als back-upoptie.

Als u passthrough-verificatie hebt geselecteerd, kunt u deze optie inschakelen om ondersteuning voor verouderde clients te garanderen en een back-up te bieden.

Zie Wachtwoord-hashsynchronisatie voor meer informatie.
Wachtwoord terugschrijven Gebruik deze optie om ervoor te zorgen dat wachtwoordwijzigingen die afkomstig zijn van Azure AD, worden teruggeschreven naar uw on-premises directory. Zie voor meer informatie Getting started with password management.
Groep terugschrijven Als u Microsoft 365 Groepen gebruikt, kunt u groepen vertegenwoordigen in uw on-premises exemplaar van Active Directory. Deze optie is alleen beschikbaar als u Exchange hebt in uw on-premises exemplaar van Active Directory. Zie write-back van Azure AD Connect-groep voor meer informatie.
Apparaat terugschrijven Voor scenario's met voorwaardelijke toegang gebruikt u deze optie om apparaatobjecten in Azure AD terug te schrijven naar uw on-premises exemplaar van Active Directory. Zie voor meer informatie Enabling device writeback in Azure AD Connect.
Synchronisatie van directory-extensiekenmerken Selecteer deze optie om opgegeven kenmerken te synchroniseren met Azure AD. Zie voor meer informatie Directory extensions.

Azure AD-app- en -kenmerkfilters

Als u wilt beperken welke kenmerken worden gesynchroniseerd met Azure AD, selecteert u eerst de services die u gebruikt. Als u de selecties op deze pagina wijzigt, moet u expliciet een nieuwe service selecteren door de installatiewizard opnieuw uit te voeren.

Schermopname van optionele Functies van Azure AD-apps.

Op basis van de services die u in de vorige stap hebt geselecteerd, worden op deze pagina alle kenmerken weergegeven die worden gesynchroniseerd. Deze lijst is een combinatie van alle objecttypen die worden gesynchroniseerd. Als u bepaalde kenmerken niet gesynchroniseerd wilt houden, kunt u de selectie uit deze kenmerken wissen.

Schermopname van optionele Functies van Azure AD-kenmerken.

Waarschuwing

Het verwijderen van kenmerken kan van invloed zijn op de functionaliteit. Zie Kenmerken die moeten worden gesynchroniseerd voor best practices en aanbevelingen.

Synchronisatie van directory-extensiekenmerken

U kunt het schema in Azure AD uitbreiden met behulp van aangepaste kenmerken die uw organisatie heeft toegevoegd of door andere kenmerken in Active Directory te gebruiken. Als u deze functie wilt gebruiken, selecteert u op de pagina Optionele functies de optie Kenmerksynchronisatie van directory-extensie. Op de pagina Directory-extensies kunt u meer kenmerken selecteren om te synchroniseren.

Notitie

Het veld Beschikbare kenmerken is hoofdlettergevoelig.

Schermopname van de pagina Mapextensies.

Zie voor meer informatie Directory extensions.

Eenmalige aanmelding inschakelen

Op de pagina Eenmalige aanmelding configureert u eenmalige aanmelding voor gebruik met wachtwoordsynchronisatie of passthrough-verificatie. U voert deze stap één keer uit voor elk forest dat wordt gesynchroniseerd met Azure AD. De configuratie bestaat uit twee stappen:

  1. Maak het benodigde computeraccount in uw on-premises exemplaar van Active Directory.
  2. Configureer de intranetzone van de clientcomputers voor ondersteuning van eenmalige aanmelding.

Het computeraccount maken in Active Directory

Voor elk forest dat is toegevoegd in Azure AD Connect, moet u de referenties van de domeinbeheerder opgeven, zodat het computeraccount in elk forest kan worden gemaakt. De referenties worden alleen gebruikt om het account te maken. Ze worden niet opgeslagen of gebruikt voor een andere bewerking. Voeg de referenties toe op de pagina Eenmalige aanmelding inschakelen , zoals in de volgende afbeelding wordt weergegeven.

Schermopname van de pagina 'Eenmalige aanmelding inschakelen'. Forestreferenties worden toegevoegd.

Notitie

U kunt forests overslaan waarvoor u eenmalige aanmelding niet wilt gebruiken.

De intranetzone voor clientcomputers configureren

Zorg ervoor dat de URL deel uitmaakt van de intranetzone om ervoor te zorgen dat de client zich automatisch aanmeldt in de intranetzone. Deze stap zorgt ervoor dat de computer die lid is van een domein automatisch een Kerberos-ticket verzendt naar Azure AD wanneer deze is verbonden met het bedrijfsnetwerk.

Op een computer met groepsbeleid beheerhulpprogramma's:

  1. Open de groepsbeleid-beheerhulpprogramma's.

  2. Bewerk het groepsbeleid dat wordt toegepast op alle gebruikers. Bijvoorbeeld het standaarddomeinbeleid.

  3. Ga naar de pagina Gebruikersconfiguratie>Beheersjablonen>Windows-onderdelen>Internet Explorer>Internet Configuratiescherm>Beveiliging. Selecteer vervolgens Site naar zonetoewijzingslijst.

  4. Schakel het beleid in. Voer vervolgens in het dialoogvenster een waardenaam in van https://autologon.microsoftazuread-sso.com en de waarde van 1. Uw installatie moet eruitzien zoals in de volgende afbeelding.

    Schermopname van intranetzones.

  5. Selecteer twee keer OK.

Federatie met AD FS configureren

U kunt AD FS configureren met Azure AD Connect in slechts een paar klikken. Voordat u begint, hebt u het volgende nodig:

  • Windows Server 2012 R2 of hoger voor de federatieserver. Extern beheer moet zijn ingeschakeld.
  • Windows Server 2012 R2 of hoger voor de Web toepassingsproxy-server. Extern beheer moet zijn ingeschakeld.
  • Een TLS/SSL-certificaat voor de naam van de federation-service die u wilt gebruiken (bijvoorbeeld sts.contoso.com).

Notitie

U kunt een TLS/SSL-certificaat voor uw AD FS-farm bijwerken met behulp van Azure AD Connect, zelfs als u dit niet gebruikt om uw federatieve vertrouwensrelatie te beheren.

Vereisten voor AD FS-configuratie

Als u uw AD FS-farm wilt configureren met behulp van Azure AD Connect, moet u ervoor zorgen dat WinRM is ingeschakeld op de externe servers. Zorg ervoor dat u de andere taken in Federatievereisten hebt voltooid. Zorg er ook voor dat u de vereisten voor poorten volgt die worden vermeld in de tabel Azure AD Connect- en Federation/WAP-servers.

Maak een nieuwe AD FS-farm aan of gebruik een bestaande AD FS-farm

U kunt een bestaande AD FS-farm gebruiken of een nieuwe maken. Als u ervoor kiest om een nieuw certificaat te maken, moet u het TLS/SSL-certificaat opgeven. Als het TLS/SSL-certificaat wordt beveiligd met een wachtwoord, wordt u gevraagd het wachtwoord op te geven.

Schermopname van de pagina A D F S Farm

Als u ervoor kiest om een bestaande AD FS-farm te gebruiken, ziet u de pagina waar u de vertrouwensrelatie tussen AD FS en Azure AD kunt configureren.

Notitie

U kunt Azure AD Connect gebruiken om slechts één AD FS-farm te beheren. Als u een bestaande federatieve vertrouwensrelatie hebt waarbij Azure AD is geconfigureerd op de geselecteerde AD FS-farm, maakt Azure AD Connect de vertrouwensrelatie opnieuw.

Geef de AD FS-servers op

Geef de servers op waarop u AD FS wilt installeren. U kunt een of meer servers toevoegen, afhankelijk van uw capaciteitsbehoeften. Voordat u deze configuratie instelt, voegt u alle AD FS-servers toe aan Active Directory. Deze stap is niet vereist voor de webservers toepassingsproxy.

Het wordt door Microsoft aangeraden om voor proefimplementaties één AD FS-server te installeren. Na de eerste configuratie kunt u meer servers toevoegen en implementeren om aan uw schaalbehoeften te voldoen door Azure AD Connect opnieuw uit te voeren.

Notitie

Voordat u deze configuratie instelt, moet u ervoor zorgen dat al uw servers zijn gekoppeld aan een Azure AD domein.

Schermopname van de pagina Federatieservers.

Geef de webtoepassingsproxyservers op

Geef uw webservers toepassingsproxy op. De Web toepassingsproxy-server wordt geïmplementeerd in uw perimeternetwerk, tegenover het extranet. Het ondersteunt verificatieaanvragen van het extranet. U kunt een of meer servers toevoegen, afhankelijk van uw capaciteitsbehoeften.

Microsoft raadt aan om één Web toepassingsproxy-server te installeren voor test- en testimplementaties. Na de eerste configuratie kunt u meer servers toevoegen en implementeren om aan uw schaalbehoeften te voldoen door Azure AD Connect opnieuw uit te voeren. U wordt aangeraden een gelijk aantal proxyservers te hebben om te voldoen aan de verificatie van het intranet.

Notitie

  • Als het account dat u gebruikt geen lokale beheerder op het web is toepassingsproxy servers, wordt u gevraagd om beheerdersreferenties.
  • Voordat u Web toepassingsproxy-servers opgeeft, moet u ervoor zorgen dat er HTTP-/HTTPS-connectiviteit is tussen de Azure AD Connect-server en de Web toepassingsproxy-server.
  • Zorg ervoor dat er HTTP/HTTPS-connectiviteit is tussen de webtoepassingsserver en de AD FS-server om verificatieaanvragen door te laten stromen.

Schermopname van de pagina Web toepassingsproxy servers.

U wordt gevraagd referenties in te voeren, zodat de webtoepassingsserver een beveiligde verbinding met de AD FS-server tot stand kan brengen. Deze referenties moeten voor een lokaal beheerdersaccount op de AD FS-server zijn.

Schermopname van de pagina Referenties. Beheerdersreferenties worden ingevoerd in het veld gebruikersnaam en het wachtwoordveld.

Geef het serviceaccount voor de AD FS-service op

De AD FS-service vereist een domeinserviceaccount om gebruikers te verifiëren en gebruikersgegevens op te zoeken in Active Directory. De service kan twee soorten serviceaccounts ondersteunen:

  • Door een groep beheerd serviceaccount: dit accounttype is door Windows Server 2012 geïntroduceerd in AD DS. Dit type account biedt services zoals AD FS. Het is één account waarin u het wachtwoord niet regelmatig hoeft bij te werken. Gebruik deze optie als u al Windows Server 2012-domeincontrollers hebt in het domein waarbij uw AD FS-servers horen.
  • Domeingebruikersaccount: Voor dit type account moet u een wachtwoord opgeven en dit regelmatig bijwerken wanneer het verloopt. Gebruik deze optie alleen als u geen Windows Server 2012 domeincontrollers hebt in het domein waartoe uw AD FS-servers behoren.

Als u Een beheerd serviceaccount voor een groep maken hebt geselecteerd en deze functie nog nooit is gebruikt in Active Directory, voert u de referenties van uw ondernemingsbeheerder in. Deze referenties worden gebruikt om de sleutelopslagplaats te beginnen en de functie in Active Directory in te schakelen.

Notitie

Azure AD Connect controleert of de AD FS-service al is geregistreerd als een SERVICE Principal Name (SPN) in het domein. AD DS staat niet toe dat dubbele SPN's tegelijkertijd worden geregistreerd. Als er een dubbele SPN wordt gevonden, kunt u niet verdergaan totdat de SPN is verwijderd.

Schermopname van de pagina A D F S-serviceaccount.

Selecteer het Azure AD domein dat u wilt federeren

Gebruik de pagina Azure AD Domein om de federatierelatie tussen AD FS en Azure AD in te stellen. Hier configureert u AD FS om beveiligingstokens te bieden aan Azure AD. U configureert ook Azure AD om de tokens van dit AD FS-exemplaar te vertrouwen.

Op deze pagina kunt u slechts één domein configureren tijdens de eerste installatie. U kunt later meer domeinen configureren door Azure AD Connect nogmaals uit te voeren.

Schermopname van de pagina 'Azure AD-domein'.

Controleer het Azure AD-domein dat voor federatie is geselecteerd

Wanneer u het domein selecteert dat u wilt federeren, biedt Azure AD Connect informatie die u kunt gebruiken om een niet-geverifieerd domein te verifiëren. Zie Het domein toevoegen en verifiëren voor meer informatie.

Schermopname van de pagina Azure AD-domein, met informatie die u kunt gebruiken om het domein te verifiëren.

Notitie

Azure AD Connect probeert het domein te verifiëren tijdens de configuratiefase. Als u niet de benodigde DNS-records (Domain Name System) toevoegt, kan de configuratie niet worden voltooid.

Federatie configureren met PingFederate

U kunt PingFederate met Azure AD Connect met slechts een paar klikken configureren. De volgende vereisten zijn vereist:

Het domein verifiëren

Nadat u ervoor hebt gekozen om federatie in te stellen met behulp van PingFederate, wordt u gevraagd om het domein te verifiëren dat u wilt federeren. Selecteer het domein in de vervolgkeuzelijst.

Schermopname van de pagina 'Azure AD-domein'. Het voorbeelddomein 'contoso.com' is geselecteerd.

De PingFederate-instellingen exporteren

Configureer PingFederate als de federatieserver voor elk federatief Azure-domein. Selecteer Instellingen exporteren om deze informatie te delen met uw PingFederate-beheerder. De beheerder van de federatieserver werkt de configuratie bij en geeft vervolgens de URL en poortnummer van de PingFederate-server op, zodat Azure AD Connect de metagegevensinstellingen kan verifiëren.

Schermopname van de pagina PingFederate-instellingen. De knop 'Instellingen exporteren' wordt boven aan de pagina weergegeven.

Neem contact op met de beheerder van PingFederate als er validatieproblemen zijn. In de volgende afbeelding ziet u informatie over een PingFederate-server die geen geldige vertrouwensrelatie met Azure heeft.

Schermopname met servergegevens: De PingFederate-server is gevonden, maar de verbinding van de serviceprovider voor Azure ontbreekt of is uitgeschakeld.

Federatieve connectiviteit verifiëren

Azure AD Connect probeert de verificatie-eindpunten te valideren die worden opgehaald uit de PingFederate-metagegevens in de vorige stap. Azure AD Connect probeert eerst de eindpunten op te lossen met behulp van uw lokale DNS-servers. Vervolgens wordt geprobeerd de eindpunten op te lossen met behulp van een externe DNS-provider. Neem contact op met de beheerder van PingFederate als er validatieproblemen zijn.

Schermopname van de pagina 'Connectiviteit controleren'.

Federatieve aanmelding controleren

Ten slotte kunt u de zojuist geconfigureerde federatieve aanmeldingsstroom verifiëren door u aan te melden bij het federatieve domein. Als uw aanmelding is geslaagd, is de federatie met PingFederate geconfigureerd.

Schermopname van de pagina Federatieve aanmelding verifiëren. Een bericht onderaan geeft aan dat de aanmelding is geslaagd.

Configureer en verifieer pagina 's

De configuratie vindt plaats op de pagina Configureren .

Notitie

Als u federatie hebt geconfigureerd, moet u ervoor zorgen dat u ook Naamomzetting voor federatieservers hebt geconfigureerd voordat u doorgaat met de installatie.

Schermopname van de pagina 'Gereed om te configureren'.

Faseringsmodus gebruiken

Het is mogelijk om parallel met de faseringsmodus een nieuwe synchronisatieserver in te stellen. Als u deze instelling wilt gebruiken, kan slechts één synchronisatieserver naar één map in de cloud exporteren. Maar als u wilt overstappen vanaf een andere server, bijvoorbeeld een server waarop DirSync wordt uitgevoerd, kunt u Azure AD Verbinding maken in de faseringsmodus inschakelen.

Wanneer u de faseringsinstallatie inschakelt, importeert en synchroniseert de synchronisatie-engine gegevens zoals normaal. Maar er worden geen gegevens geëxporteerd naar Azure AD of Active Directory. In de faseringsmodus zijn de functie wachtwoordsynchronisatie en de functie wachtwoord terugschrijven uitgeschakeld.

Schermopname van de optie 'Faseringsmodus inschakelen'.

In de faseringsmodus kunt u de vereiste wijzigingen aanbrengen in de synchronisatie-engine en controleren wat er wordt geëxporteerd. Voer de installatiewizard opnieuw uit en schakel de faseringsmodus uit wanneer de configuratie er goed uitziet.

Gegevens worden nu geëxporteerd naar Azure AD van de server. Schakel de andere server op hetzelfde moment uit, zodat slechts één server actief aan het exporteren is.

Zie Faseringsmodus voor meer informatie.

Controleer uw federatieconfiguratie

Azure AD Connect controleert de DNS-instellingen wanneer u de knop Verifiëren selecteert. De volgende instellingen worden gecontroleerd:

  • Intranetconnectiviteit
    • Federatie-FQDN oplossen: Azure AD Connect controleert of de DNS de federatie-FQDN kan oplossen om connectiviteit te garanderen. Als Azure AD Connect de FQDN niet kan oplossen, mislukt de verificatie. Als u de verificatie wilt voltooien, moet u ervoor zorgen dat er een DNS-record aanwezig is voor de FQDN van de federation-service.
    • DNS A-record: Azure AD Connect controleert of uw federation-service een A-record heeft. Als er geen A-record is, mislukt de verificatie. Als u de verificatie wilt voltooien, maakt u een A-record (geen CNAME-record) voor uw federatie-FQDN.
  • Extranetconnectiviteit
    • Federatie-FQDN oplossen: Azure AD Connect controleert of de DNS de federatie-FQDN kan oplossen om connectiviteit te garanderen.

      Schermopname van de pagina Installatie voltooid.

      Schermopname van de pagina Installatie voltooid. Een bericht geeft aan dat de intranetconfiguratie is geverifieerd.

Als u end-to-end-verificatie wilt valideren, voert u handmatig een of meer van de volgende tests uit:

  • Wanneer de synchronisatie is voltooid, gebruikt u in Azure AD Connect de aanvullende taak Federatieve aanmelding verifiëren om de verificatie te verifiëren voor een on-premises gebruikersaccount dat u kiest.
  • Zorg ervoor dat u zich kunt aanmelden vanuit een browser vanaf een computer die lid is van een domein op het intranet. Maak verbinding met https://myapps.microsoft.com. Gebruik vervolgens uw aangemelde account om de aanmelding te controleren. Het ingebouwde AD DS-beheerdersaccount wordt niet gesynchroniseerd en u kunt het niet gebruiken voor verificatie.
  • Zorg ervoor dat u zich kunt aanmelden vanaf een apparaat in het extranet. Maak op een thuiscomputer of een mobiel apparaat verbinding met https://myapps.microsoft.com. Geef vervolgens uw referenties op.
  • Aanmelding uitgebreide client controleren. Maak verbinding met https://testconnectivity.microsoft.com. Selecteer vervolgens Office 365>Office 365 Test met één Sign-On.

Problemen oplossen

Deze sectie bevat informatie over probleemoplossing die u kunt gebruiken als u een probleem ondervindt tijdens de installatie van Azure AD Connect.

Wanneer u een Azure AD Connect-installatie aanpast, kunt u op de pagina Vereiste onderdelen installeren de optie Een bestaande SQL Server gebruiken selecteren. Mogelijk ziet u de volgende fout: 'De ADSync-database bevat al gegevens en kan niet worden overschreven. Verwijder de bestaande database en probeer het opnieuw.'

Schermopname van de pagina Vereiste onderdelen installeren. Onder aan de pagina wordt een fout weergegeven.

Deze fout wordt weergegeven omdat er al een database met de naam ADSync bestaat op het SQL-exemplaar van SQL Server die u hebt opgegeven.

Deze fout wordt meestal weergegeven nadat u Azure AD Connect hebt verwijderd. De database wordt niet verwijderd van de computer waarop SQL Server wordt uitgevoerd wanneer u Azure AD Connect verwijdert.

U kunt dit probleem als volgt oplossen:

  1. Controleer de ADSync-database die Azure AD Connect gebruikt voordat deze werd verwijderd. Zorg ervoor dat de database niet meer wordt gebruikt.

  2. Maak een back-up van de database.

  3. De database verwijderen:

    1. Gebruik Microsoft SQL Server Management Studio om verbinding te maken met het SQL-exemplaar.
    2. Zoek de ADSync-database en klik er met de rechtermuisknop op.
    3. Selecteer Verwijderen in het snelmenu.
    4. Selecteer OK om de database te verwijderen.

Schermopname van Microsoft SQL Server Management Studio. Er is een D-synchronisatie geselecteerd.

Nadat u de ADSync-database hebt verwijderd, selecteert u Installeren om de installatie opnieuw uit te voeren.

Volgende stappen

Nadat de installatie is voltooid, meldt u zich af bij Windows. Meld u vervolgens opnieuw aan voordat u Synchronisatie Service Manager of Synchronisatieregeleditor gebruikt.

Nu u Azure AD Connect hebt geïnstalleerd, kunt u de installatie controleren en licenties toewijzen.

Zie Onbedoeld verwijderen voorkomen en Azure AD Connect Health voor meer informatie over de functies die u tijdens de installatie hebt ingeschakeld.

Zie Azure AD Connect sync: Scheduler en Integreer uw on-premises identiteiten met Azure AD voor meer informatie over andere veelvoorkomende onderwerpen.