Zelfstudie: Federatie gebruiken voor hybride identiteit in één Active Directory-forest

In deze zelfstudie leert u hoe u een hybride identiteitsomgeving maakt in Azure met behulp van federatie en Windows Server Active Directory (Windows Server AD). U kunt de hybride identiteitsomgeving gebruiken die u maakt om te testen of om meer vertrouwd te raken met de werking van hybride identiteiten.

In deze zelfstudie leert u het volgende:

• Hiermee maakt u een virtuele machine.
• Maak een Windows Server Active Directory-omgeving.
• Maak een Windows Server Active Directory-gebruiker.
• Maak een certificaat.
• Maak een Microsoft Entra-tenant.
• Maak een Account voor hybride identiteitbeheerder in Azure.
• Voeg een aangepast domein toe aan uw directory.
• Microsoft Entra Connect instellen.
• Test en controleer of gebruikers zijn gesynchroniseerd.

Vereisten

U hebt deze items nodig om de zelfstudie te voltooien:

• Een computer waarop Hyper-V is geïnstalleerd. U wordt aangeraden Hyper-V te installeren op een Computer met Windows 10 of Windows Server 2016 .
• Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.
• Een externe netwerkadapter, zodat de virtuele machine verbinding kan maken met internet.
• Een kopie van Windows Server 2016.
• Een aangepast domein dat kan worden geverifieerd.

Notitie

In deze zelfstudie worden PowerShell-scripts gebruikt om snel de zelfstudieomgeving te maken. Elk script maakt gebruik van variabelen die aan het begin van het script worden gedeclareerd. Zorg ervoor dat u de variabelen wijzigt zodat deze overeenkomen met uw omgeving.

De scripts in de zelfstudie maken een algemene Windows Server Active Directory-omgeving (Windows Server AD) voordat ze Microsoft Entra Connect installeren. De scripts worden ook gebruikt in gerelateerde zelfstudies.

De PowerShell-scripts die in deze zelfstudie worden gebruikt, zijn beschikbaar op GitHub.

Maak een virtuele machine

Als u een hybride identiteitsomgeving wilt maken, moet u eerst een virtuele machine maken die moet worden gebruikt als een on-premises Windows Server AD-server.

Notitie

Als u nog nooit een script in PowerShell op uw hostcomputer hebt uitgevoerd voordat u scripts uitvoert, opent u Windows PowerShell ISE als beheerder en voert u deze uit Set-ExecutionPolicy remotesigned. Selecteer Ja in het dialoogvenster Beleidswijziging uitvoeren.

De virtuele machine maken:

1. Open Windows PowerShell ISE als beheerder.

2. Voer het volgende script uit:

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create a new virtual machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add a DVD drive to the virtual machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount installation media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure the virtual machine to boot from the DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Het besturingssysteem installeren

Installeer het besturingssysteem om het maken van de virtuele machine te voltooien:

1. Dubbelklik in Hyper-V-beheer op de virtuele machine.
2. Selecteer Starten.
3. Druk bij de prompt op een willekeurige toets om vanaf cd of dvd op te starten.
4. Selecteer uw taal in het startvenster van Windows Server en selecteer vervolgens Volgende.
5. Selecteer Nu installeren.
6. Voer uw licentiesleutel in en selecteer Volgende.
7. Schakel het selectievakje Ik ga akkoord met de licentievoorwaarden in en selecteer Volgende.
8. Selecteer Aangepast: Alleen Windows installeren (geavanceerd).
9. Selecteer Volgende.
10. Wanneer de installatie is voltooid, start u de virtuele machine opnieuw op. Meld u aan en controleer Windows Update. Installeer eventuele updates om ervoor te zorgen dat de VM volledig up-to-date is.

Vereisten voor Windows Server AD installeren

Voordat u Windows Server AD installeert, voert u een script uit waarmee vereisten worden geïnstalleerd:

1. Open Windows PowerShell ISE als beheerder.

2. Voer Set-ExecutionPolicy remotesigned uit. Selecteer Ja in alles in het dialoogvenster Wijziging van uitvoeringsbeleid.

3. Voer het volgende script uit:

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set a static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Een Windows Server AD-omgeving inrichten

Installeer en configureer nu Active Directory-domein Services om de omgeving te maken:

1. Open Windows PowerShell ISE als beheerder.

2. Voer het volgende script uit:

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomainNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force
   
   #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create a new Windows Server AD forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Een Windows Server AD-gebruiker maken

Maak vervolgens een testgebruikersaccount. Maak dit account in uw on-premises Active Directory-omgeving. Het account wordt vervolgens gesynchroniseerd met de Microsoft Entra-id.

1. Open Windows PowerShell ISE als beheerder.

2. Voer het volgende script uit:

   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Een certificaat voor AD FS maken

U hebt een TLS- of SSL-certificaat nodig dat Active Directory Federation Services (AD FS) gaat gebruiken. Het certificaat is een zelfondertekend certificaat en u maakt het alleen voor testdoeleinden. U wordt aangeraden geen zelfondertekend certificaat in een productieomgeving te gebruiken.

Een certificaat maken:

1. Open Windows PowerShell ISE als beheerder.

2. Voer het volgende script uit:

   #Declare variables
   $DNSname = "adfs.contoso.com"
   $Location = "cert:\LocalMachine\My"
   
   #Create a certificate
   New-SelfSignedCertificate -DnsName $DNSname -CertStoreLocation $Location
   

Een Microsoft Entra-tenant maken

Als u nog geen tenant hebt, volgt u de stappen in het artikel Een nieuwe tenant maken in Microsoft Entra ID om een nieuwe tenant te maken.

Een account voor hybride identiteitbeheerder maken in Microsoft Entra-id

De volgende taak is het maken van een account voor hybride identiteitsbeheerders. Dit account wordt gebruikt om het Microsoft Entra Connector-account te maken tijdens de installatie van Microsoft Entra Connect. Het Microsoft Entra Connector-account wordt gebruikt om informatie naar Microsoft Entra-id te schrijven.

Ga als volgende te werk om het account hybrid identity administrator te maken:

1. Meld u aan bij het Microsoft Entra-beheercentrum.

2. Bladeren naar identiteitsgebruikers>>Alle gebruikers

3. Selecteer Nieuwe gebruiker>Nieuwe gebruiker maken.

4. Voer in het deelvenster Nieuwe gebruiker maken een weergavenaam en een user principal name in voor de nieuwe gebruiker. U maakt uw account voor hybride identiteitsbeheerder voor de tenant. U kunt het tijdelijke wachtwoord weergeven en kopiëren.

   1. Selecteer onder Toewijzingen de optie Rol toevoegen en selecteer Hybride identiteitsbeheerder.

5. Selecteer vervolgens Beoordelen en maken>.

6. Meld u in een nieuw browservenster aan myapps.microsoft.com met het nieuwe account voor hybride identiteitsbeheerder en het tijdelijke wachtwoord.

7. Kies een nieuw wachtwoord voor het beheerdersaccount voor hybride identiteit en wijzig het wachtwoord.

Een aangepaste domeinnaam toevoegen aan uw directory

Nu u een tenant en een hybrid identity administrator-account hebt, voegt u uw aangepaste domein toe, zodat Azure dit kan verifiëren.

Een aangepaste domeinnaam toevoegen aan een directory:

1. Sluit in het [Microsoft Entra-beheercentrum](https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview) het deelvenster Alle gebruikers .

2. Selecteer aangepaste domeinnamen in het linkermenu onder Beheren.

3. Selecteer Aangepast domein toevoegen.

   

4. Voer in Aangepaste domeinnamen de naam van uw aangepaste domein in en selecteer vervolgens Domein toevoegen.

5. In aangepaste domeinnaam worden TXT- of MX-gegevens weergegeven. U moet deze informatie toevoegen aan de DNS-gegevens van de domeinregistrar onder uw domein. Ga naar uw domeinregistrar en voer de TXT- of MX-gegevens in de DNS-instellingen voor uw domein in.

   Door deze informatie toe te voegen aan uw domeinregistrar, kan Azure uw domein verifiëren. Domeinverificatie kan tot 24 uur duren.

   Zie Een aangepaste domeinnaam toevoegen voor meer informatie.

6. Selecteer Verifiëren om ervoor te zorgen dat het domein is geverifieerd.

   

Microsoft Entra Connect downloaden en installeren

Nu is het tijd om Microsoft Entra Connect te downloaden en te installeren. Nadat deze is geïnstalleerd, gebruikt u de snelle installatie.

1. Download Microsoft Entra Connect.

2. Ga naar AzureADConnect.msi en dubbelklik om het installatiebestand te openen.

3. Schakel in Welkom het selectievakje in om akkoord te gaan met de licentievoorwaarden en selecteer Vervolgens Doorgaan.

4. Selecteer Aanpassen in Express-instellingen.

5. Selecteer Installeren in Vereiste onderdelen installeren.

6. Selecteer Federatie met AD FS in gebruikersaanmelding en selecteer vervolgens Volgende.

   

7. Voer in Verbinding maken met Microsoft Entra-id de gebruikersnaam en het wachtwoord in van het account hybrid identity Administrator dat u eerder hebt gemaakt en selecteer vervolgens Volgende.

8. Selecteer map toevoegen in Uw mappen verbinden. Selecteer vervolgens Nieuw AD-account maken en voer de gebruikersnaam en het wachtwoord van contoso\Administrator in. Selecteer OK.

9. Selecteer Volgende.

10. Selecteer Doorgaan in de aanmeldingsconfiguratie van Microsoft Entra zonder alle UPN-achtervoegsels te koppelen aan geverifieerde domeinen. Selecteer Volgende.

11. Selecteer Volgende in het filteren van domeinen en OE's.

12. Selecteer Volgende bij Unieke identificatie van uw gebruikers.

13. Selecteer Volgende in Gebruikers en apparaten filteren.

14. Selecteer Volgende in Optionele functies.

15. Voer in domeinbeheerdersreferenties de gebruikersnaam en het wachtwoord van contoso\Administrator in en selecteer vervolgens Volgende.

16. Zorg ervoor dat in DE AD FS-farm een nieuwe AD FS-farm is geselecteerd.

17. Selecteer Een certificaat gebruiken dat op de federatieservers is geïnstalleerd en selecteer Vervolgens Bladeren.

18. Typ DC1 in het zoekvak en selecteer deze in de zoekresultaten. Selecteer OK.

19. Selecteer voor het certificaatbestand adfs.contoso.com, het certificaat dat u hebt gemaakt. Selecteer Volgende.

    

20. Selecteer Bladeren in DE AD FS-server. Typ DC1 in het zoekvak en selecteer deze in de zoekresultaten. Selecteer OK en selecteer vervolgens Volgende.

    

21. Selecteer Volgende in webtoepassingsproxyservers.

22. Voer in het AD FS-serviceaccount de gebruikersnaam en het wachtwoord van contoso\Administrator in en selecteer vervolgens Volgende.

23. Selecteer in Het Microsoft Entra-domein uw geverifieerde aangepaste domein en selecteer vervolgens Volgende.

24. Selecteer Installeren in Gereed om te configureren.

25. Wanneer de installatie is voltooid, selecteert u Afsluiten.

26. Voordat u Synchronization Service Manager of Synchronization Rule Editor gebruikt, meldt u zich af en meldt u zich opnieuw aan.

Controleren op gebruikers in de portal

Nu controleert u of de gebruikers in uw on-premises Active Directory-tenant zijn gesynchroniseerd en zich nu in uw Microsoft Entra-tenant bevinden. Het kan enkele uren duren voordat deze sectie is voltooid.

Ga als volgt te werk om te controleren of de gebruikers zijn gesynchroniseerd:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.

2. Bladeren naar identiteitsgebruikers>>Alle gebruikers

3. Controleer of de nieuwe gebruikers worden weergegeven in uw tenant.

   

Aanmelden met een gebruikersaccount om synchronisatie te testen

Als u wilt testen of gebruikers van uw Windows Server AD-tenant worden gesynchroniseerd met uw Microsoft Entra-tenant, meldt u zich aan als een van de gebruikers:

1. Ga naar https://myapps.microsoft.com.

2. Meld u aan met een gebruikersaccount dat is gemaakt in uw nieuwe tenant.

   Gebruik de notatie user@domain.onmicrosoft.comvoor de gebruikersnaam. Gebruik hetzelfde wachtwoord dat de gebruiker gebruikt om u aan te melden bij on-premises Active Directory.

U hebt een hybride identiteitsomgeving ingesteld die u kunt gebruiken om te testen en vertrouwd te raken met wat Azure te bieden heeft.

Volgende stappen

• Controleer de hardware en vereisten van Microsoft Entra Connect.
• Meer informatie over het gebruik van aangepaste instellingen in Microsoft Entra Connect.
• Meer informatie over Microsoft Entra Connect en federatie.