Azure AD Connect: accounts en machtigingen

Accounts die worden gebruikt voor Azure AD Connect

een overzicht van accounts

Azure AD Connect gebruikt drie accounts om on-premises gegevens of Windows Server Active Directory-gegevens te synchroniseren met Azure Active Directory. Deze accounts zijn:

  • AD DS Connector-account: dit account wordt gebruikt voor het lezen/schrijven van gegevens in/naar Windows Server Active Directory

  • ADSync-serviceaccount: dit account wordt gebruikt voor het uitvoeren van de synchronisatieservice en voor toegang tot de SQL-database

  • Azure AD Connector-account: dit account wordt gebruikt voor het wegschrijven van gegevens naar Microsoft Azure Active Directory

Naast deze drie accounts die worden gebruikt om Azure AD Connect uit te voeren, hebt u ook de volgende aanvullende accounts nodig om Azure AD Connect te installeren. Deze zijn:

  • Lokaal beheerdersaccount: de beheerder die Azure AD Connect installeert en die over lokale beheerdersmachtigingen beschikt op de computer.

  • AD DS-account voor de bedrijfsbeheerder: optioneel gebruikt om het bovenstaande AD DS Connector-account te maken.

  • Azure AD-account voor globale beheerder: wordt gebruikt om het Azure AD Connector-account te maken en Azure AD te configureren. U kunt hybride identiteitsbeheerdersaccounts weergeven in de Azure Portal. Zie Lijst met Azure AD-roltoewijzingen.

  • SQL SA-account (optioneel): wordt gebruikt om de ADSync-database te maken wanneer u de volledige versie van SQL Server gebruikt. Deze SQL Server kan lokaal of extern zijn voor de Azure AD Connect-installatie. Dit account kan hetzelfde account zijn als dat van de bedrijfsbeheerder. Het inrichten van de database kan nu out-of-band worden uitgevoerd door de SQL-beheerder en vervolgens worden geïnstalleerd door de Azure AD Connect-beheerder met eigendomsrechten voor de database. Raadpleeg Azure AD Connect installeren met gedelegeerde beheerdersmachtigingen voor SQL voor meer informatie

Belangrijk

Vanaf build 1.4.##.# wordt het niet meer ondersteund om een bedrijfsbeheerders- of een domeinbeheerdersaccount te gebruiken als het AD DS Connector-account. Als u een bedrijfsbeheerders- of domeinbeheerdersaccount probeert in te voeren bij het opgeven van een bestaand account, krijgt u een foutmelding.

Notitie

Het wordt ondersteund om de beheeraccounts, die worden gebruikt in Azure AD Connect, te beheren vanuit een ESAE-beheerforest (ook wel bekend als 'rood forest'). Speciale beheerforests bieden organisaties de mogelijkheid om administratoraccounts, -werkstations en -groepen te hosten in een omgeving die sterkere beveiligingsmechanismen heeft dan de productieomgeving. Raadpleeg de Ontwerpmethode voor ESAE-beheerforests voor meer informatie over toegewezen beheerforests.

Notitie

De rol Globale beheerder is niet vereist na de eerste instelling en het enige vereiste account is het rolaccount voor accounts voor directorysynchronisatie. Dat betekent niet noodzakelijkerwijs dat u het account met de rol Globale beheerder moet verwijderen. Het is beter om de rol te wijzigen in een rol met minder bevoegdheden, omdat het volledig verwijderen van het account mogelijk problemen veroorzaakt als u de wizard ooit opnieuw moet uitvoeren. Door de bevoegdheden van de rol te verminderen, kunt u de bevoegdheden altijd opnieuw uitbreiden als u de Azure AD Connect-wizard opnieuw moet gebruiken.

Azure AD Connect installeren

De Azure AD Connect-installatiewizard biedt twee verschillende trajecten:

  • In Expresinstellingen zijn voor de wizard meer bevoegdheden vereist. Op die manier kan uw configuratie eenvoudig worden ingesteld, zonder dat u gebruikers hoeft te maken of machtigingen hoeft te configureren.
  • In Aangepaste instellingen biedt de wizard u meer keuzemogelijkheden en opties. Er zijn echter enkele situaties waarin u er zelf voor moet zorgen dat u over de juiste machtigingen beschikt.

Installatie van Expresinstellingen

In Expresinstellingen vraagt de installatiewizard om het volgende:

  • Bedrijfsbeheerdersreferenties van AD DS
  • Referenties voor de globale beheerder voor Azure AD

Bedrijfsbeheerdersreferenties van AD DS

Het AD DS-bedrijfsbeheerdersaccount wordt gebruikt om uw on-premises Active Directory te configureren. Deze referenties worden alleen gebruikt tijdens de installatie en worden niet gebruikt nadat de installatie is voltooid. De bedrijfsbeheerder, en niet de domeinbeheerder, moet ervoor zorgen dat de machtigingen in Active Directory in alle domeinen kunnen worden ingesteld.

Als u een upgrade uitvoert van DirSync, worden de AD DS-bedrijfsbeheerdersreferenties gebruikt om het wachtwoord voor het account dat wordt gebruikt door DirSync opnieuw in te stellen. U hebt ook de referenties van de globale beheerder voor Azure AD nodig.

Referenties voor de globale beheerder voor Azure AD

Deze referenties worden alleen gebruikt tijdens de installatie en worden niet gebruikt nadat de installatie is voltooid. Het wordt gebruikt om het Azure AD Connector-account te maken dat wordt gebruikt voor het synchroniseren van wijzigingen in Azure AD. Met het account wordt ook synchronisatie ingeschakeld als een functie in Azure AD.

Zie Globale beheerder voor meer informatie over accounts voor globale beheerders.

Vereiste machtigingen voor AD DS Connector-account voor expresinstellingen

Het AD DS Connector-account wordt gemaakt voor het lezen in en schrijven naar Windows Server AD en heeft de volgende machtigingen wanneer het wordt gemaakt door expresinstellingen:

Machtiging Gebruikt voor
  • Directorywijzigingen repliceren
  • Alle directorywijzigingen repliceren
  • Hash-synchronisatie wachtwoord
    Alle eigenschappen lezen/schrijven - gebruiker Importeren en hybride implementatie van Exchange
    Alle eigenschappen lezen/schrijven - iNetOrgPerson Importeren en hybride implementatie van Exchange
    Alle eigenschappen lezen/schrijven - groep Importeren en hybride implementatie van Exchange
    Alle eigenschappen lezen/schrijven - contactpersoon Importeren en hybride implementatie van Exchange
    Wachtwoord opnieuw instellen Voorbereiding voor het inschakelen van wachtwoord terugschrijven

    Overzicht wizard snelle installatie

    Snelle installatie

    Hier volgt een overzicht van de pagina's van de wizard voor snelle installatie, de verzamelde referenties en hun gebruiksdoeleinden.

    Wizardpagina Verzamelde referenties Vereiste machtigingen Gebruikt voor
    N.v.t. Gebruiker die de installatiewizard uitvoert Beheerder van de lokale server
  • Hiermee wordt het ADSync-serviceaccount gemaakt dat wordt gebruikt om de synchronisatieservice uit te voeren.
  • Verbinding maken met Azure AD Azure AD-directoryreferenties De rol Globale beheerder in Azure AD
  • Synchronisatie inschakelen in de Azure AD-directory.
  • Het maken van het Azure AD Connector-account dat wordt gebruikt voor lopende synchronisatiebewerkingen in Azure AD.
  • Verbinding maken met AD DS Referenties on-premises Active Directory Lid van de groep bedrijfsbeheerders (Enterprise Admins of EA) in Active Directory
  • Deze maakt het AD DS Connector-account in Active Directory en kent hieraan machtigingen toe. Dit gemaakte account wordt gebruikt voor het lezen en schrijven van directorygegevens tijdens de synchronisatie.
  • Aangepaste installatie-instellingen

    Bij de installatie met aangepaste instellingen biedt de wizard u meer keuzemogelijkheden en opties.

    Overzicht wizard aangepaste installatie

    Hier volgt een overzicht van de pagina's van de wizard voor aangepaste installatie, de verzamelde referenties en hun gebruiksdoeleinden.

    Schermopname met de pagina's van de wizard voor een aangepaste installatie.

    Wizardpagina Verzamelde referenties Vereiste machtigingen Gebruikt voor
    N.v.t. Gebruiker die de installatiewizard uitvoert
  • Beheerder van de lokale server
  • Als de gebruiker de volledige versie van SQL Server wil gebruiken, moet deze systeembeheerder (System Administrator of SA) zijn in SQL
  • Hiermee wordt standaard het lokale account gemaakt dat wordt gebruikt als het serviceaccount voor de synchronisatie-engine. Het account wordt alleen gemaakt wanneer de beheerder geen specifiek account opgeeft.
    Synchronisatieservices installeren, optie voor serviceaccount Referenties voor AD-gebruikersaccount of lokaal gebruikersaccount Gebruiker, machtigingen worden toegekend door de installatiewizard Als de beheerder een account opgeeft, wordt dit account gebruikt als het serviceaccount voor de synchronisatieservice.
    Verbinding maken met Azure AD Azure AD-directoryreferenties De rol Globale beheerder in Azure AD
  • Synchronisatie inschakelen in de Azure AD-directory.
  • Het maken van het Azure AD Connector-account dat wordt gebruikt voor lopende synchronisatiebewerkingen in Azure AD.
  • Verbinding maken met uw directory’s On-premises Active Directory-referenties voor elk forest dat is verbonden met Azure AD De machtigingen zijn afhankelijk van de functies die u inschakelt en u kunt deze vinden in 'Het AD DS Connector-account maken' Dit account wordt gebruikt voor het lezen en schrijven van directorygegevens tijdens de synchronisatie.
    AD FS-Servers Voor elke server in de lijst verzamelt de wizard referenties, wanneer de aanmeldingsreferenties van de gebruiker die de wizard uitvoert onvoldoende zijn om verbinding te maken Domeinbeheerder Installatie en configuratie van de AD FS-serverfunctie.
    Proxyservers voor webtoepassingen Voor elke server in de lijst verzamelt de wizard referenties, wanneer de aanmeldingsreferenties van de gebruiker die de wizard uitvoert onvoldoende zijn om verbinding te maken Lokale beheerder op de doelcomputer Installatie en configuratie van de WAP-serverfunctie.
    Referenties voor proxyvertrouwen Referenties voor vertrouwen van de federatieservice (de referenties die de proxy gebruikt voor inschrijving voor een vertrouwenscertificaat van FS) Domeinaccount dat een lokale beheerder van de AD FS-server is Eerste inschrijving van FS-WAP-vertrouwenscertificaat.
    Pagina van AD FS-serviceaccount, 'Een optie van het domeingebruikersaccount gebruiken' Referenties AD-gebruikersaccount Domeingebruiker Het Azure AD-gebruikersaccount waarvan de referenties worden opgegeven, wordt gebruikt als het aanmeldingsaccount van de AD FS-service.

    Het AD DS Connector-account maken

    Belangrijk

    Er is een nieuwe PowerShell-module met de naam ADSyncConfig.psm1 geïntroduceerd met build 1.1.880.0 (uitgebracht in augustus 2018) met een verzameling cmdlets waarmee u de juiste Active Directory-machtigingen voor het Azure AD DS Connector-account kunt configureren.

    Zie Azure AD Connect: machtiging voor AD DS Connector-account configureren voor meer informatie

    Het account dat u opgeeft op de pagina Verbinding maken met uw directory's moet aanwezig zijn in Active Directory vóór de installatie. Azure AD Connect versie 1.1.524.0 en hoger beschikt over de optie om de Azure AD Connect-wizard het AD DS Connector-account te laten maken dat wordt gebruikt om verbinding te maken met Active Directory.

    Hiervoor moeten ook de vereiste machtigingen zijn toegekend. De installatiewizard controleert de machtigingen niet en eventuele problemen worden alleen tijdens de synchronisatie gevonden.

    Welke machtigingen u nodig hebt, is afhankelijk van de optionele functies die u inschakelt. Als u meerdere domeinen gebruikt, moeten de machtigingen worden toegekend voor alle domeinen in het forest. Als u geen van deze functies inschakelt, zijn de standaardmachtigingen voorDomeingebruiker voldoende.

    Functie Machtigingen
    De functie ms-DS-ConsistencyGuid Schrijfmachtigingen voor het kenmerk ms-DS-ConsistencyGuid beschreven in Ontwerpconcepten - ms-DS-ConsistencyGuid gebruiken als sourceAnchor.
    Hash-synchronisatie wachtwoord
  • Directorywijzigingen repliceren
  • Alle directorywijzigingen repliceren
  • Hybride implementatie voor Exchange Schrijfmachtigingen voor de kenmerken die worden beschreven in terugschrijven voor hybride implementatie van Exchange voor gebruikers, groepen en contactpersonen.
    Openbare e-mailmap van Exchange Leesmachtigingen voor de kenmerken die worden beschreven in Openbare e-mailmap van Exchange voor openbare mappen.
    Wachtwoord terugschrijven Schrijfmachtigingen voor de kenmerken die worden beschreven in Aan de slag met wachtwoordbeheer voor gebruikers.
    Apparaat terugschrijven Machtigingen die worden toegekend met een PowerShell-script, zoals beschreven in terugschrijven van apparaten.
    Groep terugschrijven Hiermee kunt u Microsoft 365-groepen terugschrijven naar een forest waarin Exchange is geïnstalleerd.

    Upgraden

    Wanneer u een upgrade uitvoert van één versie van Azure AD Connect naar een nieuwe versie, hebt u de volgende machtigingen nodig:

    Belangrijk

    Vanaf build 1.1.484 treedt er in Azure AD Connect een regressiefout op, waarvoor sysadmin-machtigingen zijn vereist om de SQL-database te upgraden. Deze fout is gecorrigeerd in build 1.1.647. Als u een upgrade wilt uitvoeren naar deze build, hebt u sysadmin-machtigingen nodig. Database-eigenaarmachtigingen zijn niet voldoende. Als u probeert voor Azure AD Connect een upgrade uit te voeren zonder dat u over sysadmin-machtigingen beschikt, mislukt de upgrade en werkt Azure AD Connect daarna niet meer correct. Microsoft is zich hiervan bewust en werkt aan de oplossing voor dit probleem.

    Principal Machtigingen vereist Gebruikt voor
    Gebruiker die de installatiewizard uitvoert Beheerder van de lokale server Het bijwerken van binaire bestanden.
    Gebruiker die de installatiewizard uitvoert Lid van ADSyncAdmins Het aanbrengen van wijzigingen in synchronisatieregels en andere configuraties.
    Gebruiker die de installatiewizard uitvoert Als u een volledige versie van SQL Server gebruikt: database-eigenaar (DBO), of vergelijkbaar, van de database voor de synchronisatie-engine Het aanbrengen van wijzigingen op databaseniveau, zoals het bijwerken van tabellen met nieuwe kolommen.

    Meer informatie over de gemaakte accounts

    AD DS Connector-account

    Als u expresinstellingen gebruikt, wordt er een account gemaakt in Active Directory dat wordt gebruikt voor synchronisatie. Het gemaakte account bevindt zich in het foresthoofddomein in de container Gebruikers en de naam ervan heeft het voorvoegsel MSOL_. Het account wordt gemaakt met een lang, complex wachtwoord dat niet verloopt. Als u een wachtwoordbeleid in uw domein toepast, moet u ervoor zorgen dat lange en complexe wachtwoorden zijn toegestaan voor dit account.

    Azure AD-account

    Als u aangepaste instellingen gebruikt, bent u verantwoordelijk voor het maken van het account voordat u met de installatie begint. Zie 'Het AD DS Connector-account maken'

    ADSync-serviceaccount

    De synchronisatieservice kan met verschillende accounts worden uitgevoerd. Deze kan worden uitgevoerd met een virtueel serviceaccount (VSA), een door een groep beheerd serviceaccount (gMSA/sMSA) of een standaardgebruikersaccount. De ondersteunde opties worden gewijzigd met de release van april 2017 van Connect wanneer u een nieuwe installatie uitvoert. Als u een upgrade uitvoert vanaf een eerdere versie van Azure AD Connect, zijn deze extra opties niet beschikbaar.

    Type account Installatieoptie Description
    Virtueel serviceaccount Snel en aangepast, april 2017 en later Dit is de optie die wordt gebruikt voor alle snelle installaties, met uitzondering van installaties op een domeincontroller. Voor een aangepaste installatie is dit de standaardoptie, tenzij er een andere optie wordt gebruikt.
    Door groep beheerd serviceaccount Aangepast, april 2017 en later Als u een externe SQL-server gebruikt, raden we u aan een door een groep beheerd serviceaccount te gebruiken.
    Gebruikersaccount Snel en aangepast, april 2017 en later Een gebruikersaccount met het voorvoegsel AAD_ wordt alleen gemaakt tijdens de installatie wanneer de toepassing wordt geïnstalleerd in Windows Server 2008 en wanneer het wordt geïnstalleerd op een domeincontroller.
    Gebruikersaccount Snel en aangepast, maart 2017 en eerder Er wordt tijdens de installatie een lokaal account gemaakt met het voorvoegsel AAD_. Wanneer u gebruikmaakt van een aangepaste installatie, kan er een ander account worden opgegeven.

    Als u Connect gebruikt met een build van maart 2017 of eerder, moet u het wachtwoord voor het serviceaccount niet opnieuw instellen, omdat Windows dan de versleutelingssleutels om veiligheidsredenen vernietigd. U kunt het account alleen in een ander account wijzigen wanneer u Azure AD Connect opnieuw installeert. Als u een upgrade uitvoert naar een build van april 2017 of later, is het mogelijk om het wachtwoord voor het serviceaccount te wijzigen, maar kunt u het gebruikte account niet wijzigen.

    Belangrijk

    U kunt het serviceaccount alleen bij de eerste installatie instellen. Het is niet mogelijk om het serviceaccount te wijzigen na de installatie.

    Hier ziet u een tabel met de standaard, aanbevolen en ondersteunde opties voor het synchronisatieserviceaccount.

    Legenda:

    • Vetgedrukte opties zijn de standaardopties en in de meeste gevallen ook de aanbevolen opties.
    • Cursieve opties zijn de aanbevolen opties wanneer dit niet de standaardopties zijn.
    • 2008: standaardoptie bij installatie in Windows Server 2008
    • Niet-vetgedrukt: ondersteunde optie
    • Lokaal account: lokaal gebruikersaccount op de server
    • Domeinaccount: domeingebruikersaccount
    • sMSA: zelfstandig beheerd serviceaccount
    • gMSA: beheerd serviceaccount voor groepen
    LocalDB
    snel
    LocalDB/LocalSQL
    aangepast
    Externe SQL
    aangepast
    aan domein toevoegde computer VSA
    lokaal account (2008)
    VSA
    lokaal account (2008)
    lokaal account
    domeinaccount
    sMSA,gMSA
    gMSA
    domeinaccount
    Domeincontroller Domeinaccount gMSA
    domeinaccount
    sMSA
    gMSA
    domeinaccount

    Virtueel serviceaccount

    Een virtueel serviceaccount is een speciaal type lokaal account dat geen wachtwoord heeft en wordt beheerd door Windows.

    Schermopname met het virtuele serviceaccount (VSA).

    Het VSA is bedoeld voor scenario's waarin de synchronisatie-engine en SQL zich op dezelfde server bevinden. Als u een externe SQL gebruikt, raden we u aan een beheerd serviceaccount voor groepen te gebruiken.

    Voor deze functie is Windows Server 2008 R2 of hoger vereist. Als u Azure AD Connect installeert in Windows Server 2008, valt de installatie terug op het gebruik van een gebruikersaccount.

    Beheerd serviceaccount voor groepen

    Als u een externe SQL-server gebruikt, raden we u aan een beheerd serviceaccount voor groepen te gebruiken. Zie het overzicht van beheerde serviceaccounts voor groepen voor meer informatie over het voorbereiden van uw Active Directory voor een beheerd serviceaccount voor groepen.

    Als u deze optie wilt gebruiken, selecteert u op de pagina Vereiste onderdelen installeren de optie Een bestaand serviceaccount gebruiken en vervolgens Beheerd serviceaccount.
    VSA
    Het gebruik van een zelfstandig beheerd serviceaccount wordt ook ondersteund. Deze kunnen echter alleen op de lokale computer worden gebruikt en het heeft geen zin om ze via het standaard virtuele serviceaccount te gebruiken.

    Voor deze functie is Windows Server 2012 of hoger vereist. Als u een ouder besturingssysteem wilt gebruiken en externe SQL gebruikt, moet u een gebruikersaccount gebruiken.

    Gebruikersaccount

    Er wordt een lokaal serviceaccount gemaakt door de installatiewizard, tenzij u in de aangepaste instellingen het account opgeeft dat moet worden gebruikt. Het account heeft het voorvoegsel AAD_ en wordt gebruikt om de huidige synchronisatieservice uit te voeren. Als u Azure AD Connect op een domeincontroller installeert, wordt het account in het domein gemaakt. Het serviceaccount met AAD_ moet zich in het domein bevinden als:

    • u een externe server gebruikt waarop SQL Server wordt uitgevoerd
    • u een proxy gebruikt waarvoor verificatie is vereist

    Synchronisatieserviceaccount

    Het account wordt gemaakt met een lang, complex wachtwoord dat niet verloopt.

    Dit account wordt gebruikt om de wachtwoorden voor de andere accounts op een veilige manier op te slaan. De wachtwoorden van deze andere accounts worden versleuteld opgeslagen in de database. De persoonlijke sleutels voor de versleutelingssleutels worden beveiligd met de versleuteling met geheime sleutels van de cryptografische services met behulp van Windows Data Protection API (DPAPI).

    Als u een volledige versie van SQL Server gebruikt, is het serviceaccount de database-eigenaar van de gemaakte database voor de synchronisatie-engine. Met andere machtigingen werkt de service niet zoals het hoort. Er wordt ook een SQL-aanmelding gemaakt.

    Aan het account worden ook machtigingen toegekend voor bestanden, registersleutels en andere objecten die betrekking hebben op de synchronisatie-engine.

    Azure AD Connector-account

    Er wordt een account in Azure AD gemaakt voor het gebruik van de synchronisatieservice. Dit account kan worden herkend aan de weergavenaam.

    Schermopname met het Azure AD-account.

    De naam van de server waarop het account wordt gebruikt, is opgenomen in het tweede deel van de gebruikersnaam. In de afbeelding is de servernaam DC1. Als u faseringsservers gebruikt, heeft elke server een eigen account.

    Het account wordt gemaakt met een lang, complex wachtwoord dat niet verloopt. Er wordt een speciale rol Directorysynchronisatieaccounts aan toegekend met alleen machtigingen voor het uitvoeren van directorysynchronisatietaken. Deze speciale ingebouwde rol kan niet worden toegekend buiten de Azure AD Connect-wizard. In Azure Portal wordt dit account weergegeven met de rol Gebruiker.

    Het aantal synchronisatieserviceaccounts in Azure AD is beperkt tot 20. Voer de Azure AD PowerShell-cmdlet Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMember uit om de lijst met bestaande Azure AD serviceaccounts in uw Azure AD op te halen

    Voer de Azure AD PowerShell-cmdlet Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove> uit om ongebruikte Azure AD serviceaccounts te verwijderen

    Notitie

    Voordat u de bovenstaande PowerShell-opdrachten kunt gebruiken, moet u de Azure Active Directory PowerShell voor Graph-module installeren en verbinding maken met uw instantie van Azure AD met behulp van Connect-AzureAD

    Zie Het Azure AD Connect-account gebruiken voor meer informatie over het beheren of opnieuw instellen van het wachtwoord voor het Azure AD Connect-account

    Als u de documentatie over het integreren van uw on-premises id's met Azure Active Directory niet hebt gelezen, vindt u in de volgende tabel koppelingen naar gerelateerde onderwerpen.

    Onderwerp Koppeling
    Azure AD Connect downloaden Azure AD Connect downloaden
    Installeren met de snelle instellingen Snelle installatie van Azure AD Connect
    Installeren met behulp van aangepaste instellingen Aangepaste installatie van Azure AD Connect
    Upgrade van DirSync Upgrade van Azure AD-synchronisatiehulpprogramma (DirSync) (Engelstalig artikel)
    Na de installatie Controleer de installatie en wijs licenties toe

    Volgende stappen

    Lees meer over het integreren van uw on-premises identiteiten met Azure Active Directory.