Microsoft 365-adreslijstsynchronisatie implementeren in Microsoft Azure
Microsoft Entra Connect (voorheen bekend als het hulpprogramma Adreslijstsynchronisatie, directorysynchronisatie of het hulpprogramma DirSync.exe) is een toepassing die u installeert op een server die lid is van een domein om uw on-premises Active Directory Domeinservices -gebruikers (AD DS) te synchroniseren met de Microsoft Entra tenant van uw Microsoft 365-abonnement. Microsoft 365 gebruikt Microsoft Entra ID voor de adreslijstservice. Uw Microsoft 365-abonnement bevat een Microsoft Entra tenant. Deze tenant kan ook worden gebruikt voor het beheer van de identiteiten van uw organisatie met andere cloudworkloads, waaronder andere SaaS-toepassingen en -apps in Azure.
U kunt Microsoft Entra Connect installeren op een on-premises server, maar u kunt het ook installeren op een virtuele machine in Azure om de volgende redenen:
- U kunt cloudservers sneller inrichten en configureren, waardoor de services sneller beschikbaar zijn voor uw gebruikers.
- Azure biedt een betere beschikbaarheid van sites met minder inspanning.
- U kunt het aantal on-premises servers in uw organisatie verminderen.
Deze oplossing vereist connectiviteit tussen uw on-premises netwerk en uw virtuele Azure-netwerk. Zie Een on-premises netwerk verbinden met een virtueel Microsoft Azure-netwerk voor meer informatie.
Opmerking
In dit artikel wordt de synchronisatie van één domein in één forest beschreven. Microsoft Entra Connect synchroniseert alle AD DS-domeinen in uw Active Directory-forest met Microsoft 365. Als u meerdere Active Directory-forests hebt om te synchroniseren met Microsoft 365, raadpleegt u Directory-synchronisatie met meerdere forests met één Sign-On scenario.
Overzicht van het implementeren van Microsoft 365-adreslijstsynchronisatie in Azure
In het volgende diagram ziet u Microsoft Entra Connect wordt uitgevoerd op een virtuele machine in Azure (de directorysynchronisatieserver) die een on-premises AD DS-forest synchroniseert met een Microsoft 365-abonnement.
In het diagram zijn er twee netwerken verbonden via een site-naar-site-VPN- of ExpressRoute-verbinding. Er is een on-premises netwerk waar AD DS-domeincontrollers zich bevinden en er is een virtueel Azure-netwerk met een directorysynchronisatieserver. Dit is een virtuele machine waarop Microsoft Entra Connect wordt uitgevoerd. Er zijn twee hoofdverkeersstromen die afkomstig zijn van de adreslijstsynchronisatieserver:
- Microsoft Entra Connect vraagt een domeincontroller op het on-premises netwerk naar wijzigingen in accounts en wachtwoorden.
- Microsoft Entra Connect verzendt de wijzigingen in accounts en wachtwoorden naar het Microsoft Entra exemplaar van uw Microsoft 365-abonnement. Omdat de adreslijstsynchronisatieserver zich in een uitgebreid gedeelte van uw on-premises netwerk bevindt, worden deze wijzigingen verzonden via de proxyserver van het on-premises netwerk.
Opmerking
Deze oplossing beschrijft de synchronisatie van één Active Directory-domein in één Active Directory-forest. Microsoft Entra Connect synchroniseert alle Active Directory-domeinen in uw Active Directory-forest met Microsoft 365. Als u meerdere Active Directory-forests hebt om te synchroniseren met Microsoft 365, raadpleegt u Directory-synchronisatie met meerdere forests met één Sign-On scenario.
Er zijn twee belangrijke stappen wanneer u deze oplossing implementeert:
Maak een virtueel Azure-netwerk en maak een site-naar-site-VPN-verbinding met uw on-premises netwerk. Zie Een on-premises netwerk verbinden met een virtueel Microsoft Azure-netwerk voor meer informatie.
Installeer Microsoft Entra Connect op een aan een domein gekoppelde virtuele machine in Azure en synchroniseer vervolgens de on-premises AD DS met Microsoft 365. Dit omvat:
Een virtuele Azure-machine maken om Microsoft Entra Connect uit te voeren.
Installeren en configureren van Microsoft Entra Connect.
Voor het configureren van Microsoft Entra Connect zijn de referenties (gebruikersnaam en wachtwoord) van een Microsoft Entra administrator-account en een AD DS Enterprise-beheerdersaccount vereist. Microsoft Entra Connect wordt onmiddellijk en doorlopend uitgevoerd om het on-premises AD DS-forest te synchroniseren met Microsoft 365.
Voordat u deze oplossing in productie implementeert, kunt u de instructies in De gesimuleerde ondernemingsbasisconfiguratie gebruiken om deze configuratie in te stellen als een proof of concept, voor demonstraties of voor experimenten.
Belangrijk
Wanneer Microsoft Entra Connect-configuratie is voltooid, worden de referenties van het AD DS Enterprise-beheerdersaccount niet opgeslagen.
Opmerking
In deze oplossing wordt beschreven hoe u één AD DS-forest synchroniseert met Microsoft 365. De topologie die in dit artikel wordt besproken, vertegenwoordigt slechts één manier om deze oplossing te implementeren. De topologie van uw organisatie kan verschillen op basis van uw unieke netwerkvereisten en beveiligingsoverwegingen.
Plan voor het hosten van een directorysynchronisatieserver voor Microsoft 365 in Azure
Voorwaarden
Voordat u begint, bekijkt u de volgende vereisten voor deze oplossing:
Bekijk de gerelateerde planningsinhoud in Uw virtuele Azure-netwerk plannen.
Zorg ervoor dat u voldoet aan alle vereisten voor het configureren van het virtuele Azure-netwerk.
Een Microsoft 365-abonnement met de Active Directory-integratiefunctie. Ga naar de microsoft 365-abonnementspagina voor informatie over Microsoft 365-abonnementen.
Richt één virtuele Azure-machine in waarop Microsoft Entra Connect wordt uitgevoerd om uw on-premises AD DS-forest te synchroniseren met Microsoft 365.
U moet de referenties (namen en wachtwoorden) hebben voor een AD DS Enterprise-beheerdersaccount en een Microsoft Entra Administrator-account.
Veronderstellingen voor het ontwerp van oplossingsarchitectuur
In de volgende lijst worden de ontwerpkeuzen voor deze oplossing beschreven.
Deze oplossing maakt gebruik van één virtueel Azure-netwerk met een site-naar-site-VPN-verbinding. Het virtuele Azure-netwerk host één subnet met één server, de directorysynchronisatieserver waarop Microsoft Entra Connect wordt uitgevoerd.
In het on-premises netwerk bestaan een domeincontroller en DNS-servers.
Microsoft Entra Connect voert wachtwoord-hashsynchronisatie uit in plaats van eenmalige aanmelding. U hoeft geen AD FS-infrastructuur (Active Directory Federation Services) te implementeren. Zie De juiste verificatiemethode kiezen voor uw Microsoft Entra hybride identiteitsoplossing voor meer informatie over wachtwoord-hashsynchronisatie en opties voor eenmalige aanmelding.
Er zijn andere ontwerpopties die u kunt overwegen wanneer u deze oplossing in uw omgeving implementeert. Deze omvatten de volgende:
Als er bestaande DNS-servers in een bestaand virtueel Azure-netwerk zijn, bepaalt u of u wilt dat uw directorysynchronisatieserver deze gebruikt voor naamomzetting in plaats van DNS-servers op het on-premises netwerk.
Als er domeincontrollers in een bestaand virtueel Azure-netwerk zijn, bepaalt u of het configureren van Active Directory-sites en -services een betere optie voor u is. De directorysynchronisatieserver kan op de domeincontrollers in het virtuele Azure-netwerk query's uitvoeren op wijzigingen in accounts en wachtwoorden in plaats van op domeincontrollers in het on-premises netwerk.
Implementatieschema
Het implementeren van Microsoft Entra Connect op een virtuele machine in Azure bestaat uit drie fasen:
Fase 1: Het virtuele Azure-netwerk maken en configureren
Fase 2: De virtuele Azure-machine maken en configureren
Fase 3: Microsoft Entra Connect installeren en configureren
Na de implementatie moet u ook locaties en licenties toewijzen voor de nieuwe gebruikersaccounts in Microsoft 365.
Fase 1: Het virtuele Azure-netwerk maken en configureren
Als u het virtuele Azure-netwerk wilt maken en configureren, voltooit u Fase 1: Uw on-premises netwerk voorbereiden en Fase 2: Het virtuele netwerk voor meerdere locaties in Azure maken in het implementatieschema van Een on-premises netwerk verbinden met een virtueel Microsoft Azure-netwerk.
Dit is uw resulterende configuratie.
In deze afbeelding ziet u een on-premises netwerk dat is verbonden met een virtueel Azure-netwerk via een site-naar-site-VPN- of ExpressRoute-verbinding.
Fase 2: De virtuele Azure-machine maken en configureren
Maak de virtuele machine in Azure aan de hand van de instructies Maak uw eerste virtuele Windows-machine in de Azure Portal. Gebruik de volgende instellingen:
Selecteer in het deelvenster Basisbeginselen hetzelfde abonnement, dezelfde locatie en dezelfde resourcegroep als uw virtuele netwerk. Noteer de gebruikersnaam en het wachtwoord op een veilige locatie. U hebt deze later nodig om verbinding te maken met de virtuele machine.
Kies in het deelvenster Kies een grootte de standaardgrootte A2 .
Selecteer in het deelvenster Instellingen in de sectie Opslaghet standaardopslagtype. Selecteer in de sectie Netwerk de naam van uw virtuele netwerk en het subnet voor het hosten van de directorysynchronisatieserver (niet het GatewaySubnet). Laat alle andere instellingen op hun standaardwaarden staan.
Controleer of de adreslijstsynchronisatieserver DNS correct gebruikt door uw interne DNS te controleren of er een adresrecord (A) is toegevoegd voor de virtuele machine met het IP-adres.
Gebruik de instructies in Verbinding maken met de virtuele machine en meld u aan om verbinding te maken met de directorysynchronisatieserver met een verbinding met extern bureaublad. Nadat u zich hebt aangemeld, voegt u de virtuele machine toe aan het on-premises AD DS-domein.
Voor Microsoft Entra Verbinding maken moet u de adreslijstsynchronisatieserver configureren voor het gebruik van de proxyserver van het on-premises netwerk. Neem contact op met uw netwerkbeheerder voor aanvullende configuratiestappen die u wilt uitvoeren.
Dit is uw resulterende configuratie.
In deze afbeelding ziet u de virtuele machine van de directorysynchronisatieserver in het cross-premises virtuele Azure-netwerk.
Fase 3: Microsoft Entra Connect installeren en configureren
Voer de volgende procedure uit:
Maak verbinding met de directorysynchronisatieserver met behulp van een verbinding met extern bureaublad met een AD DS-domeinaccount met lokale beheerdersbevoegdheden. Zie Verbinding maken met de virtuele machine en aanmelden.
Open op de adreslijstsynchronisatieserver het artikel Adreslijstsynchronisatie instellen voor Microsoft 365 en volg de aanwijzingen voor adreslijstsynchronisatie met wachtwoord-hashsynchronisatie.
Voorzichtigheid
Setup maakt het AAD_xxxxxxxxxxxx-account in de organisatie-eenheid Lokale gebruikers. Dit account niet verplaatsen of verwijderen, anders mislukt de synchronisatie.
Dit is uw resulterende configuratie.
In deze afbeelding ziet u de directorysynchronisatieserver met Microsoft Entra Connect in het cross-premises virtuele Azure-netwerk.
Locaties en licenties toewijzen aan gebruikers in Microsoft 365
Microsoft Entra Connect accounts aan uw Microsoft 365-abonnement toevoegt vanuit de on-premises AD DS, maar als gebruikers zich willen aanmelden bij Microsoft 365 en de services ervan kunnen gebruiken, moeten de accounts worden geconfigureerd met een locatie en licenties. Gebruik deze stappen om de locatie toe te voegen en licenties voor de juiste gebruikersaccounts te activeren:
Meld u aan bij de Microsoft 365-beheercentrum en klik op Beheer.
Klik in het linkernavigatievenster op Gebruikers>Actieve gebruikers.
Schakel in de lijst met gebruikersaccounts het selectievakje in naast de gebruiker die u wilt activeren.
Klik op de pagina voor de gebruiker op Bewerken voor Productlicenties.
Selecteer op de pagina Productlicenties een locatie voor de gebruiker voor Locatie en schakel vervolgens de juiste licenties voor de gebruiker in.
Wanneer u klaar bent, klikt u op Opslaan en vervolgens tweemaal op Sluiten .
Terug naar stap 3 voor extra gebruikers.
Zie ook
Microsoft 365-oplossings- en -architectuurcentrum
Een on-premises netwerk verbinden met een virtueel Microsoft Azure-netwerk
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor