Azure AD Connect: ontwerpconcepten

Het doel van dit document is het beschrijven van domeinen die moeten worden overwogen tijdens het configureren van Azure AD Connect. Dit document is een uitgebreide beschrijving van bepaalde domeinen en deze concepten worden ook kort beschreven in andere documenten.

sourceAnchor

Het kenmerk sourceAnchor is gedefinieerd als een kenmerk dat onveranderbaar is tijdens de levensduur van een gebruikersobject. Het wordt gedefinieerd als een object dat hetzelfde blijft on-premises en in Azure AD. Het kenmerk wordt ook wel immutableId genoemd en de twee namen worden door elkaar gebruikt.

Het woord onveranderbaar, dat wil zeggen 'kan niet worden gewijzigd', is belangrijk voor dit document. Omdat de waarde van dit kenmerk niet kan worden gewijzigd nadat het is ingesteld, is het belangrijk om een ontwerp te kiezen dat uw scenario ondersteunt.

Het kenmerk wordt gebruikt voor de volgende scenario's:

• Wanneer een nieuwe synchronisatie-engineserver wordt gebouwd of opnieuw wordt gebouwd na een noodherstelscenario, koppelt dit kenmerk bestaande objecten in Azure AD met on-premises objecten.
• Als u overstapt van een alleen-cloudidentiteit naar een gesynchroniseerd identiteitsmodel, staat dit kenmerk toe dat bestaande objecten in Azure AD weinig overeenkomsten met on-premises objecten kunnen hebben.
• Als u federatie gebruikt, wordt dit kenmerk samen met de userPrincipalName gebruikt in de claim om een gebruiker uniek te identificeren.

In dit onderwerp wordt alleen gesproken over sourceAnchor, omdat het betrekking heeft op gebruikers. Dezelfde regels zijn van toepassing op alle objecttypen, maar dit probleem is meestal alleen voor gebruikers een probleem.

Een goed sourceAnchor-kenmerk selecteren

De kenmerkwaarde moet voldoen aan de volgende regels:

• Minder dan 60 tekens lang
  • Tekens die geen a-z, A-Z of 0-9 zijn, worden gecodeerd en worden geteld als 3 tekens
• Bevatten geen speciaal teken: \ ! # $ % & * + / = ? ^ ` { } | ~ <> ( ) ' ; : , [ ] " @ _
• Moet wereldwijd uniek zijn
• Moet een tekenreeks, geheel getal of binair getal zijn
• Mag niet worden gebaseerd op de naam van de gebruiker, omdat deze kunnen worden gewijzigd
• Mag niet hoofdlettergevoelig zijn en vermijd waarden die per geval kunnen verschillen
• Moet worden toegewezen wanneer het object wordt gemaakt

Als de geselecteerde sourceAnchor niet van het type tekenreeks is, Azure AD Verbinding maken met Base64Codeer de kenmerkwaarde om ervoor te zorgen dat er geen speciale tekens worden weergegeven. Als u een andere federatieserver gebruikt dan ADFS, moet u ervoor zorgen dat uw server ook Base64Encode kan uitvoeren op het kenmerk.

Het kenmerk sourceAnchor is hoofdlettergevoelig. De waarde 'JohnDoe' is niet hetzelfde als 'johndoe'. Maar u moet niet twee verschillende objecten hebben met alleen een verschil in hoofdletters en kleine letters.

Als u één on-premises forest hebt, is objectGUID het kenmerk dat u moet gebruiken. Dit is ook het kenmerk dat wordt gebruikt wanneer u snelle instellingen gebruikt in Azure AD Connect en ook het kenmerk dat wordt gebruikt door DirSync.

Als u meerdere forests hebt en gebruikers niet verplaatst tussen forests en domeinen, is objectGUID zelfs in dit geval een goed kenmerk om te gebruiken.

Als u gebruikers verplaatst tussen forests en domeinen, moet u een kenmerk vinden dat niet verandert of kan worden verplaatst met de gebruikers tijdens de verplaatsing. Een aanbevolen benadering is het introduceren van een synthetisch kenmerk. Een kenmerk dat iets kan bevatten dat eruitziet als een GUID, zou geschikt zijn. Tijdens het maken van een object wordt een nieuwe GUID gemaakt en op de gebruiker gestempeld. Er kan een aangepaste synchronisatieregel worden gemaakt in de synchronisatie-engineserver om deze waarde te maken op basis van de objectGUID en het geselecteerde kenmerk bij te werken in AD DS. Wanneer u het object verplaatst, moet u ook de inhoud van deze waarde kopiëren.

Een andere oplossing is om een bestaand kenmerk te kiezen dat u weet dat deze niet verandert. Veelgebruikte kenmerken zijn onder meer employeeID. Als u een kenmerk overweegt dat letters bevat, moet u ervoor zorgen dat er geen kans is dat de hoofdletters (hoofdletters versus kleine letters) kunnen worden gewijzigd voor de waarde van het kenmerk. Ongeldige kenmerken die niet mogen worden gebruikt, zijn kenmerken met de naam van de gebruiker. In een huwelijk of echtscheiding wordt verwacht dat de naam verandert, wat niet is toegestaan voor dit kenmerk. Dit is ook een van de redenen waarom kenmerken zoals userPrincipalName, mail en targetAddress niet eens kunnen worden geselecteerd in de installatiewizard Azure AD Verbinding maken. Deze kenmerken bevatten ook het teken '@', wat niet is toegestaan in de sourceAnchor.

Het kenmerk sourceAnchor wijzigen

De kenmerkwaarde sourceAnchor kan niet worden gewijzigd nadat het object is gemaakt in Azure AD en de identiteit is gesynchroniseerd.

Daarom zijn de volgende beperkingen van toepassing op Azure AD Connect:

• Het kenmerk sourceAnchor kan alleen worden ingesteld tijdens de eerste installatie. Als u de installatiewizard opnieuw uitvoert, is deze optie alleen-lezen. Als u deze instelling wilt wijzigen, moet u de installatie ongedaan maken en opnieuw installeren.
• Als u een andere Azure AD Connect-server installeert, moet u hetzelfde sourceAnchor-kenmerk selecteren als u eerder hebt gebruikt. Als u eerder DirSync hebt gebruikt en naar Azure AD Connect gaat, moet u objectGUID gebruiken, omdat dit het kenmerk is dat door DirSync wordt gebruikt.
• Als de waarde voor sourceAnchor wordt gewijzigd nadat het object is geëxporteerd naar Azure AD, genereert Azure AD Verbindingssynchronisatie een fout en staat deze geen wijzigingen meer toe aan dat object voordat het probleem is opgelost en de sourceAnchor weer wordt gewijzigd in de bronmap.

Ms-DS-ConsistencyGuid gebruiken als sourceAnchor

Standaard gebruikt Azure AD Connect (versie 1.1.486.0 en ouder) objectGUID als het kenmerk sourceAnchor. ObjectGUID wordt door het systeem gegenereerd. U kunt de waarde niet opgeven bij het maken van on-premises AD-objecten. Zoals uitgelegd in sectie sourceAnchor, zijn er scenario's waarin u de sourceAnchor-waarde moet opgeven. Als de scenario's voor u van toepassing zijn, moet u een configureerbaar AD-kenmerk (bijvoorbeeld ms-DS-ConsistencyGuid) gebruiken als sourceAnchor-kenmerk.

Azure AD Connect (versie 1.1.524.0 en later) biedt nu de mogelijkheid van het gebruik van ms-DS-ConsistencyGuid als sourceAnchor-kenmerk. Wanneer u deze functie gebruikt, worden in Azure AD Connect automatisch de synchronisatieregels geconfigureerd voor:

1. het gebruik van ms-DS-ConsistencyGuid als sourceAnchor-kenmerk voor gebruikersobjecten. ObjectGUID wordt gebruikt voor andere objecttypen.

2. Voor elk on-premises AD-gebruikersobject waarvan het kenmerk ms-DS-ConsistencyGuid niet is ingevuld, retourneert Azure AD Connect de objectGUID-waarde naar het kenmerk ms-DS-ConsistencyGuid in on-premises Active Directory. Nadat het kenmerk ms-DS-ConsistencyGuid is ingevuld, exporteert Azure AD Connect het object vervolgens naar Azure AD.

Notitie

Zodra een on-premises AD-object is geïmporteerd in Azure AD Connect (dat wil zeggen, geïmporteerd in de AD-connectorruimte en geprojecteerd in de Metaverse), kunt u de sourceAnchor-waarde niet meer wijzigen. Als u de sourceAnchor-waarde voor een bepaald on-premises AD-object wilt opgeven, configureert u het kenmerk ms-DS-ConsistencyGuid voordat het wordt geïmporteerd in Azure AD Connect.

Machtiging is vereist

Deze functie werkt alleen als aan het AD DS-account dat wordt gebruikt voor synchronisatie met on-premises Active Directory schrijfmachtigingen worden verleend voor het kenmerk ms-DS-ConsistencyGuid in on-premises Active Directory.

De functie ConsistencyGuid inschakelen - Nieuwe installatie

U kunt het gebruik van ConsistencyGuid als sourceAnchor inschakelen tijdens de nieuwe installatie. In deze sectie worden zowel de snelle als aangepaste installatie uitgebreid behandeld.

Notitie

Alleen nieuwere versies van Azure AD Connect (1.1.524.0 en hoger) ondersteunen het gebruik van ConsistencyGuid als sourceAnchor tijdens de nieuwe installatie.

De functie ConsistencyGuid inschakelen

Snelle installatie

Bij het installeren van Azure AD Connect met snelle modus, bepaalt de Azure AD Connect-wizard automatisch het meest geschikte AD-kenmerk dat moet worden gebruikt als sourceAnchor-kenmerk met behulp van de volgende logica:

• Eerst voert de Azure AD Connect-wizard een query uit op uw Azure AD-tenant om het AD-kenmerk op te halen dat is gebruikt als sourceAnchor-kenmerk in de vorige Azure AD Connect-installatie (indien aanwezig). Als deze informatie beschikbaar is, gebruikt Azure AD Connect hetzelfde AD-kenmerk.

  Notitie

  Alleen nieuwere versies van Azure AD Connect (1.1.524.0 en later) slaan informatie op in uw Azure AD-tenant over het sourceAnchor-kenmerk dat tijdens de installatie wordt gebruikt. Oudere versies van Azure AD Connect niet.

• Als informatie over het gebruikte sourceAnchor-kenmerk niet beschikbaar is, controleert de wizard de status van het kenmerk ms-DS-ConsistencyGuid in uw on-premises Active Directory. Als het kenmerk niet is geconfigureerd voor een object in de map, gebruikt de wizard ms-DS-ConsistencyGuid als sourceAnchor-kenmerk. Als het kenmerk is geconfigureerd voor een of meer objecten in de map, concludeert de wizard dat het kenmerk wordt gebruikt door andere toepassingen en niet geschikt is als sourceAnchor-kenmerk...

• In dat geval valt de wizard terug op het gebruik van objectGUID als sourceAnchor-kenmerk.

• Zodra het sourceAnchor-kenmerk is bepaald, slaat de wizard de informatie op in uw Azure AD-tenant. De informatie wordt gebruikt voor een toekomstige installatie van Azure AD Connect.

De wizard geeft aan welk kenmerk is geselecteerd als sourceAnchor-kenmerk nadat de snelle installatie is voltooid.

Aangepaste installatie

Wanneer u Azure AD Connect met de aangepaste modus installeert, biedt de Azure AD Connect-wizard twee opties bij het configureren van het sourceAnchor-kenmerk:

Instelling	Beschrijving
Azure het bronanker voor mij laten beheren	Selecteer deze optie als u wilt dat Azure AD het kenmerk voor u selecteert. Als u deze optie selecteert, past de Azure AD Connect-wizard dezelfde selectielogica toe voor het sourceAnchor-kenmerk als die tijdens de snelle installatie wordt gebruikt. Net als bij de snelle installatie geeft de wizard aan welk kenmerk is geselecteerd als sourceAnchor-kenmerk nadat de aangepaste installatie is voltooid.
Een specifiek kenmerk	Selecteer deze optie als u een bestaand AD-kenmerk opgeeft als het kenmerk sourceAnchor.

De functie ConsistencyGuid inschakelen - Bestaande implementatie

Als u een bestaande Azure AD Connect-implementatie hebt die objectGUID als bronankerkenmerk gebruikt, kunt u in plaats daarvan overschakelen naar ConsistencyGuid.

Notitie

Alleen nieuwere versies van Azure AD Connect (1.1.552.0 en later) ondersteunen het overschakelen van ObjectGuid naar ConsistencyGuid als Source Anchor-kenmerk.

Overschakelen van objectGUID naar ConsistencyGuid als sourceAnchor-kenmerk:

1. Start de Azure AD Connect-wizard en klik op Configureren om naar het scherm Taken te gaan.

2. Selecteer de optie sourceAnchor configureren en klik op Volgende.

   

3. Voer uw Azure AD-referenties als beheerder in en klik op Volgende.

4. De Azure AD Connect-wizard geeft een analyse van de status van het kenmerk ms-DS-ConsistencyGuid in uw on-premises Active Directory. Als het kenmerk niet is geconfigureerd voor een object in de map, concludeert Azure AD Connect dat momenteel geen andere toepassing het kenmerk gebruikt en dat het veilig is om het te gebruiken als sourceAnchor-kenmerk. Klik op Volgende om verder te gaan.

   

5. Klik in het scherm Gereed om te configureren op Configureren om de configuratie te wijzigen.

   

6. Zodra de configuratie is voltooid, geeft de wizard aan dat ms-DS-ConsistencyGuid nu wordt gebruikt als sourceAnchor-kenmerk.

   

Als het kenmerk tijdens de analyse (stap 4) is geconfigureerd voor een of meer objecten in de map, wordt het kenmerk door een andere toepassing gebruikt en wordt een fout geretourneerd, zoals wordt geïllustreerd in het onderstaande diagram. Deze fout kan ook optreden als u de functie ConsistencyGuid eerder hebt ingeschakeld op uw primaire Azure AD Connect-server en u hetzelfde probeert te doen op uw faseringsserver.

Als u zeker weet dat het kenmerk niet wordt gebruikt door andere bestaande toepassingen, kunt u de fout onderdrukken door de wizard Azure AD Verbinding maken opnieuw te starten met de schakeloptie /SkipLdapSearch opgegeven. Voer hiervoor de volgende opdracht uit in de opdrachtprompt:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Invloed op de configuratie van AD FS of federatie van derden

Als u Azure AD Connect gebruikt voor het beheren van on-premises AD FS-implementatie, werkt de Azure AD Connect automatisch de claimregels bij om hetzelfde AD-kenmerk te gebruiken als sourceAnchor. Dit zorgt ervoor dat de immutableID-claim die door ADFS wordt gegenereerd, consistent is met de sourceAnchor-waarden die worden geëxporteerd naar Azure AD.

Als u AD FS buiten Azure AD Connect beheert of als u federatieservers van derden gebruikt voor verificatie, moet u de claimregels voor immutableID-claim handmatig bijwerken om consistent te zijn met de sourceAnchor-waarden die zijn geëxporteerd naar Azure AD zoals beschreven in de sectie AD FS-claimregels wijzigen. De wizard retourneert de volgende waarschuwing nadat de installatie is voltooid:

Nieuwe mappen toevoegen aan een bestaande implementatie

Stel dat u Azure AD Connect hebt geïmplementeerd met de functie ConsistencyGuid ingeschakeld en dat u nu een andere map aan de implementatie wilt toevoegen. Wanneer u de map probeert toe te voegen, controleert Azure AD Connect de status van het kenmerk ms-DS-ConsistencyGuid in de map. Als het kenmerk is geconfigureerd voor een of meer objecten in de map, wordt het kenmerk door andere toepassingen gebruikt en wordt een fout geretourneerd, zoals wordt geïllustreerd in het onderstaande diagram. Als u zeker weet dat het kenmerk niet wordt gebruikt door bestaande toepassingen, kunt u de fout onderdrukken door de wizard Azure AD Verbinding maken opnieuw te starten met de schakeloptie /SkipLdapSearch die is opgegeven zoals hierboven is beschreven. U kunt ook contact opnemen met de ondersteuning voor meer informatie.

Aanmelding bij Azure AD

Tijdens het integreren van uw on-premises directory met Azure AD is het belangrijk om te begrijpen hoe de synchronisatie-instellingen van invloed kunnen zijn op de manier waarop de gebruiker zich verifieert. Azure AD gebruikt userPrincipalName (UPN) om de gebruiker te verifiëren. Wanneer u uw gebruikers echter synchroniseert, moet u voorzichtig zijn met het kiezen van het kenmerk dat moet worden gebruikt voor de waarde van userPrincipalName.

Het kenmerk voor userPrincipalName kiezen

Wanneer u het kenmerk selecteert voor het opgeven van de waarde van UPN die moet worden gebruikt in Azure, moet u ervoor zorgen dat

• De kenmerkwaarden voldoen aan de UPN-syntaxis (RFC 822), deze moeten de indeling van username@domain
• het achtervoegsel in de waarden overeenkomt met een van de geverifieerde aangepaste domeinen in Azure AD.

Bij snelle instellingen is de veronderstelde keuze voor het kenmerk userPrincipalName. Als het kenmerk userPrincipalName niet de waarde bevat die uw gebruikers zich moeten aanmelden bij Azure, moet u Aangepaste installatie kiezen.

Notitie

Als best practice wordt aanbevolen dat het UPN-voorvoegsel meer dan één teken bevat.

Status van aangepast domein en UPN

Het is belangrijk om ervoor te zorgen dat er een geverifieerd domein is voor het UPN-achtervoegsel.

John is een gebruiker in contoso.com. U wilt dat John de on-premises UPN john@contoso.com gebruikt om zich aan te melden bij Azure nadat u gebruikers hebt gesynchroniseerd met uw Azure AD directory contoso.onmicrosoft.com. Hiervoor moet u contoso.com toevoegen en verifiëren als aangepast domein in Azure AD voordat u kunt beginnen met het synchroniseren van de gebruikers. Als het UPN-achtervoegsel van John, bijvoorbeeld contoso.com, niet overeenkomt met een geverifieerd domein in Azure AD, vervangt Azure AD het UPN-achtervoegsel door contoso.onmicrosoft.com.

Niet-routeerbare on-premises domeinen en UPN voor Azure AD

Sommige organisaties hebben niet-routeerbare domeinen, zoals contoso.local of eenvoudige domeinen met één label, zoals contoso. U kunt een niet-routeerbaar domein niet verifiëren in Azure AD. Azure AD Connect kan alleen worden gesynchroniseerd met een geverifieerd domein in Azure AD. Wanneer u een Azure AD-map maakt, wordt er een routeerbaar domein gemaakt dat het standaarddomein wordt voor uw Azure AD, bijvoorbeeld contoso.onmicrosoft.com. Daarom is het nodig om elk ander routeerbaar domein in een dergelijk scenario te verifiëren als u niet wilt synchroniseren met het standaarddomein onmicrosoft.com.

Lees De naam van uw aangepast domein toevoegen aan Azure Active Directory voor meer informatie over het toevoegen en verifiëren van domeinen.

Azure AD Connect detecteert of u wordt uitgevoerd in een niet-routeerbare domeinomgeving en waarschuwt u op de juiste manier om door te gaan met express-instellingen. Als u in een niet-routeerbaar domein werkt, is het waarschijnlijk dat de UPN van de gebruikers ook niet-routeerbare achtervoegsels heeft. Als u bijvoorbeeld onder contoso.local werkt, raadt Azure AD Connect u aan om aangepaste instellingen te gebruiken in plaats van expresinstellingen. Met behulp van aangepaste instellingen kunt u het kenmerk opgeven dat moet worden gebruikt als UPN om u aan te melden bij Azure nadat de gebruikers zijn gesynchroniseerd met Azure AD.

Volgende stappen

Lees meer over het integreren van uw on-premises identiteiten met Azure Active Directory.