Wat is een Azure AD-adreslijst?

Bijgewerkt: 6 juli 2015

Van toepassing op: Azure, Office 365, Windows Intune

Notitie

Dit onderwerp bevat online-Help-inhoud voor cloudservices, zoals Microsoft Intune en Office 365, die afhankelijk zijn van Microsoft Azure Active Directory voor identiteits- en adreslijstservices.

In dit onderwerp worden belangrijke concepten en taken uitgelegd die betrekking hebben op het beheren van Azure AD mappen en bevat de volgende secties:

• Wat is een Azure AD-tenant?

• Een Azure AD-map ophalen

  • Een Azure AD-directory koppelen aan een nieuw Azure-abonnement

  • Een Azure AD directory maken door u aan te melden voor een service als organisatie

  • Een door Azure ingerichte standaarddirectory beheren

• Meerdere Azure AD mappen toevoegen en beheren

• Een Azure AD-map verwijderen

  • Voorwaarden voor het verwijderen van een Azure AD-directory

Wat is een Azure AD-tenant?

Met betrekking tot fysieke werklocaties kan het woord 'tenant' worden gedefinieerd als een groep die of een bedrijf dat een gebouw gebruikt. Uw organisatie is bijvoorbeeld eigenaar van een kantoorgebouw. Samen met de gebouwen van andere organisaties staat uw gebouw in een straat. Uw organisatie kan worden gezien als de 'huurder' tenant van het gebouw. Het gebouw maakt deel uit van de activa van uw organisatie, biedt uw organisatie onderdak en zorgt ervoor dat u veilig zaken kunt doen. Het gebouw is bovendien gescheiden van de andere bedrijfsgebouwen in uw straat. Er is een duidelijke scheiding tussen uw bedrijfsmiddelen en die van de andere organisaties in de straat.

Met betrekking tot werklocaties in de cloud kan een tenant worden gedefinieerd als een client of organisatie die een bepaald exemplaar van de gebruikte cloudservice in eigendom heeft en beheert. Met betrekking tot het identiteitsplatform dat door Microsoft Azure wordt geleverd, is een tenant het eigen exemplaar van Azure Active Directory (Azure AD) dat uw organisatie na aanmelding voor een Microsoft-cloudservice (zoals Azure of Office 365) krijgt toegewezen en in eigendom neemt.

Elke Azure AD-directory is uniek en werkt afzonderlijk van andere Azure AD-directory’s. Net zoals een kantoorgebouw een beveiligd bedrijfsmiddel is van uw organisatie, is ook een Azure AD-directory ontworpen als een beveiligd bedrijfsmiddel dat alleen door uw organisatie kan worden gebruikt. De Azure AD-architectuur isoleert klant- en identiteitsgegevens, zodat deze niet door elkaar worden gehaald. Dit betekent dat gebruikers en beheerders van een Azure AD-directory niet per ongeluk of opzettelijk gegevens in een andere directory kunnen openen.

Een Azure AD-map ophalen

U krijgt een Azure AD directory wanneer u zich registreert voor een Microsoft-cloudservice. U kunt naar behoefte aanvullende directory’s maken. Zo kunt u bijvoorbeeld uw eerste directory gebruiken als productiedirectory en nog een tweede directory maken voor testen en fasering.

Notitie

Nadat u zich voor uw eerste service hebt aangemeld, doet u er verstandig aan het organisatiespecifieke beheerdersaccount dat u hebt gemaakt, ook te gebruiken wanneer u zich aanmeldt voor andere Microsoft-cloudservices. Zie Wat is mijn gebruikers-id en waarom heb ik deze nodig? voor meer informatie over gebruikers-id's.

De eerste keer dat u zich registreert voor een Microsoft-cloudservice, zoals Azure, Microsoft Office 365 of Microsoft Intune, wordt u gevraagd om details over uw organisatie en de registratie van de internetdomeinnaam van uw organisatie op te geven. Deze gegevens worden vervolgens gebruikt voor het maken van een nieuw exemplaar van de Azure AD-directory voor uw organisatie. Wanneer u zich abonneert op meerdere Microsoft-cloudservices, wordt dezelfde directory gebruikt om aanmeldpogingen te verifiëren.

De aanvullende services maken volledig gebruik van bestaande gebruikersaccounts, beleidsregels, instellingen of on-premises adreslijstintegratie die u configureert om de efficiëntie tussen de on-premises en Azure AD van de identiteitsinfrastructuur van uw organisatie te verbeteren.

Als u zich bijvoorbeeld oorspronkelijk had aangemeld voor een Microsoft Intune-abonnement en u de stappen hebt voltooid die nodig zijn om uw on-premises Active Directory verder te integreren in uw Azure AD-directory door directorysynchronisatie en/of servers voor eenmalige aanmelding te implementeren, kunt u zich ook aanmelden voor een andere Microsoft-cloudservice, zoals Office 365. U profiteert dan van dezelfde directoryintegratievoordelen waarvan u al profiteert met Microsoft Intune.

Voor meer informatie over de integratie van uw on-premises directory in Azure AD raadpleegt u Directoryintegratie.

Een Azure AD-directory koppelen aan een nieuw Azure-abonnement

U kunt een nieuw Azure-abonnement koppelen aan dezelfde directory waarmee aanmeldingsbewerkingen voor een bestaand Office 365- of Microsoft Intune-abonnement worden geverifieerd. Meld u aan bij azure Management Portal met uw werk- of schoolaccount. Azure Management Portal retourneert een bericht dat het geen abonnementen voor dat account kan vinden. Selecteer Registreren voor Azure en uw directory is beschikbaar voor beheer in Azure Management Portal. Voor meer informatie raadpleegt u De directory voor uw Office 365-abonnement in Azure beheren.

Voor een video over veelgestelde vragen over het gebruik van Azure AD raadpleegt u Azure Active Directory - Veelgestelde vragen over registreren, aanmelden en gebruik.

Een Azure AD directory maken door u aan te melden voor een service als organisatie

Als u nog geen abonnement hebt op een Microsoft-cloudservice, gebruikt u een van onderstaande koppelingen om u te registreren. Wanneer u zich registreert voor uw eerste service, wordt er automatisch een Azure AD-directory gemaakt.

• Azure - Meld u nu aan.

• Office 365 – Meld u nu aan.

• - Microsoft Intune Meld u nu aan.

Een door Azure ingerichte standaarddirectory beheren

Er wordt tegenwoordig automatisch een directory gemaakt wanneer u zich registreert bij Azure. Uw abonnement wordt ook direct aan die directory gekoppeld. Als u zich vóór oktober 2013 bij Azure hebt geregistreerd, is er niet automatisch een directory gemaakt. In dat geval heeft Azure later mogelijk alsnog een standaarddirectory voor uw account ingericht. Uw abonnement is dan gekoppeld aan die standaarddirectory.

Deze standaarddirectory’s zijn in oktober 2013 toegevoegd in het kader van een algemene verbetering van het beveiligingsmodel van Azure. Dankzij deze maatregel kunnen er aan alle Azure-klanten zakelijke identiteitsfuncties worden aangeboden. Bovendien kunnen alle Azure-resources zo alleen worden geopend door gebruikers van een directory. U kunt Azure niet gebruiken zonder directory. Daarom moest er voor elke gebruiker die zich vóór 7 juli 2013 had geregistreerd, maar geen directory had, een directory worden gemaakt. Als u destijds al een directory hebt gemaakt, is uw abonnement aan die directory gekoppeld.

Aan het gebruik van Azure AD zijn geen kosten verbonden. De directory is een gratis resource. Er is een extra Azure Active Directory Premium laag die afzonderlijk is gelicentieerd en aanvullende functies biedt, zoals huisstijl en selfservice voor wachtwoordherstel.

Als u de weergavenaam van uw directory wilt wijzigen, klikt u op de map in de beheerportal en klikt u op Configureren. Zoals verderop in dit onderwerp wordt uitgelegd, kunt u een nieuwe directory toevoegen of een directory die u niet meer nodig hebt, verwijderen. Als u uw abonnement wilt koppelen aan een andere map, klikt u op Instellingen>Directory>bewerken. U kunt ook een aangepast domein maken met een DNS-naam die u hebt geregistreerd, in plaats van het standaarddomein *.onmicrosoft.com te gebruiken. Dit is mogelijk handiger wanneer u een service als SharePoint Online gebruikt.

Voor meer informatie over het beheren van uw directory, het beheren van uw Azure AD directory.

Meerdere Azure AD mappen toevoegen en beheren

U kunt een Azure AD-directory toevoegen via de Azure-beheerportal. Selecteer aan de linkerkant de Active Directory-extensie en klik op Toevoegen.

U kunt elke directory als volledig onafhankelijke resource beheren: elke directory is een peer, volledig uitgerust en logisch onafhankelijk van andere directory’s die u beheert. Er is geen sprake van een structuur met boven- en onderliggende directory’s. Onder deze onafhankelijkheid van uw directory’s vallen ook resourceonafhankelijkheid, beheeronafhankelijkheid en synchronisatieonafhankelijkheid.

• Onafhankelijkheid van resources. Wanneer u een resource maakt in of verwijdert uit de ene directory, heeft dat geen gevolgen voor de resources in andere directory’s. Externe gebruikers vormen hier een gedeeltelijke uitzondering op, zoals verderop wordt beschreven. Als u voor een bepaalde directory het aangepaste domein contoso.com gebruikt, kan dit domein niet meer voor andere directory’s worden gebruikt.

• Administratieve onafhankelijkheid. Als een gebruiker (geen beheerder) van de directory Contoso de testdirectory Test maakt:

  • De gebruiker die een map maakt, wordt standaard toegevoegd als een externe gebruiker in die nieuwe map en heeft de rol van globale beheerder in die map toegewezen.

  • De beheerders van de directory Contoso hebben geen directe beheerdersrechten voor de directory Test, tenzij de beheerder van Test hun deze rechten verleent. Beheerders van Contoso kunnen de toegang tot de directory Test beheren doordat ze het gebruikersaccount beheren waarmee Test is gemaakt.

  Wanneer u in één directory de beheerdersrol van een gebruiker wijzigt (toevoegt of verwijdert), heeft deze wijziging geen gevolgen voor de beheerdersrollen die de betreffende gebruiker mogelijk heeft in andere directory’s.

• Synchronisatie-onafhankelijkheid. U kunt elke Azure AD onafhankelijk zodanig configureren dat de gegevens worden gesynchroniseerd vanuit één exemplaar van een van de volgende opties:

  • Het hulpprogramma voor directorysynchronisatie, om de gegevens met één AD-forest te synchroniseren.

  • De Azure Active Directory-connector voor Forefront Identity Manager, om gegevens met één of meer on-premises forests en/of niet-AD-gegevensbronnen te synchroniseren.

In tegenstelling tot hoe dit bij andere Azure-resources werkt, zijn uw directory’s geen onderliggende resources van een Azure-abonnement. Dus als u uw Azure-abonnement annuleert of toestaat, hebt u nog steeds toegang tot uw directorygegevens met behulp van Azure PowerShell, de Azure-Graph API of andere interfaces, zoals het Office 365 Admin Center. U kunt ook een ander abonnement koppelen aan de directory.

Een Azure AD-map verwijderen

Een globale beheerder kan een Azure AD directory verwijderen uit azure Management Portal. Wanneer een directory wordt verwijderd, worden ook alle resources in de directory verwijderd. Daarom moet u er vóór het verwijderen zeker van zijn dat u de directory niet nodig hebt.

Notitie

Een gebruiker die is aangemeld met een werk- of schoolaccount, kan zijn of haar basisdirectory niet verwijderen. Als een gebruiker bijvoorbeeld is aangemeld als joe@contoso.onmicrosoft.com, kan deze niet de directory verwijderen die contoso.onmicrosoft.com als standaarddomein gebruikt.

Voorwaarden voor het verwijderen van een Azure AD-directory

Als u een Azure AD-directory wilt verwijderen, moet aan bepaalde voorwaarden worden voldaan. Dit vermindert het risico dat het verwijderen van een directory een negatieve invloed heeft op gebruikers of toepassingen, zoals op de mogelijkheid van gebruikers om zich aan te melden bij Office 365 of om resources te openen in Azure. Het per ongeluk verwijderen van een directory voor een abonnement leidt er bijvoorbeeld toe dat gebruikers geen toegang meer hebben tot de Azure-resources voor dat abonnement.

Er wordt gecontroleerd of aan de volgende voorwaarden is voldaan:

• De enige gebruiker in de directory is de hoofdbeheerder die de directory gaat verwijderen. Andere gebruikers moeten worden verwijderd voordat de directory kan worden verwijderd. Als gebruikers on-premises worden gesynchroniseerd, moet de synchronisatie worden uitgeschakeld. Gebruikers moeten vervolgens worden verwijderd uit de clouddirectory via de Beheerportal of de Azure-module voor Windows PowerShell. Verwijdering van groepen of contactpersonen, zoals contactpersonen die vanuit het Office 365-beheercentrum zijn toegevoegd, is geen vereiste.

• Er mogen in de directory geen toepassingen aanwezig zijn. Alle toepassingen moeten worden verwijderd om de directory te kunnen verwijderen.

• Aan de directory mogen geen abonnementen op Microsoft Online Services zijn gekoppeld, zoals een abonnement op Microsoft Azure, Office 365 of Azure AD Premium. Als er bijvoorbeeld een standaarddirectory voor u is gemaakt in Azure, kunt u deze directory niet verwijderen als uw Azure-abonnement deze directory gebruikt voor verificatie. Het is evenmin mogelijk om een directory te verwijderen als een andere gebruiker er een abonnement aan heeft gekoppeld. Als u uw abonnement wilt koppelen aan een andere map, meldt u zich aan bij Azure Management Portal en klikt u op Instellingen in het linkernavigatievenster. Klik vervolgens op Abonnementen en Bewerk map. Voor meer informatie over Azure-abonnementen raadpleegt u Hoe Azure-abonnementen worden gekoppeld aan Azure AD.

  Notitie

  Als uw abonnement is geannuleerd en u een map wilt verwijderen, meldt u zich aan met een ander abonnement en voegt u de globale beheerder van de directory toe als medebeheerder van het abonnement. Meld u vervolgens af en meld u weer aan met het co-beheerdersaccount van het abonnement. U moet vervolgens de map kunnen verwijderen als aan alle andere voorwaarden wordt voldaan.

• Aan de directory kunnen geen Multi-Factor Authentication-providers worden gekoppeld.

Communitybronnen

Azure AD inhoudsoverzicht Azure AD Forum voor IT-professionals Azure AD forum voor ontwikkelaars