Velen van jullie hebben Azure Active Directory Connect gebruikt om jullie hybride identiteiten te beheren en gebruikers te synchroniseren van Active Directory naar Azure Active Directory (recentelijk hernoemd naar Microsoft Entra ID). Deze moderne technologie wordt Azure AD Connect cloud sync genoemd. In dit artikel zal ik je door de installatie en basisconfiguratie van Azure AD Connect cloud sync leiden en uitleggen hoe je het kunt implementeren in je Active Directory/Azure AD-infrastructuur.
Wat is Azure Active Directory Connect cloud sync?
Veel IT-professionals zijn bekend met Azure AD Connect – de synchronisatiesoftware die u gebruikt om uw identiteiten van uw on-premises Active Directory naar Azure Active Directory te synchroniseren en naadloze single sign-on aan te bieden. De volgende evolutie is om alles naar de cloud te brengen.
Dus, Microsoft is overgestapt van een softwaretoepassing die is geïnstalleerd op een domein-verbonden server in uw on-premises omgeving naar een eenvoudige provisioning-agent. Een veel lichtere footprint omdat al het ‘zware werk’ nu wordt gedaan in Azure. Geen noodzaak meer voor een database on-premises – dit wordt allemaal in de cloud gedaan.
Lichtgewicht agents zijn recentelijk de weg gegaan. Dit is een zegen als u recentelijk een fusie of overname heeft doorgemaakt of als u er een plant.
Azure AD Connect cloud sync is ontworpen om aan uw hybride identiteitsdoelen te voldoen en deze te bereiken door uw gebruikers, contacten, groepen, apparaten en meer te synchroniseren met Azure AD. Belangrijke opmerking – u kunt Azure AD Connect zij aan zij gebruiken met de cloud sync provisioning agent!
Wat zijn de verschillen tussen Azure AD Connect-synchronisatie en Azure AD Connect cloudsynchronisatie?
Goede vraag! Hier is een tabel van Microsoft waarin de functies van beide producten worden vergeleken.
| Feature | Azure AD Connect sync | Azure AD Connect cloud sync |
|---|---|---|
| Connect to a single on-premises AD forest | ● | ● |
| Connect to multiple on-premises AD forests | ● | ● |
| Connect to multiple disconnected on-premises AD forests | ● | |
| Lightweight agent installation model | ● | |
| Multiple active agents for high availability | ● | |
| Connect to LDAP directories | ● | |
| Support for user objects | ● | ● |
| Support for group objects | ● | ● |
| Support for contact objects | ● | ● |
| Support for device objects | ● | |
| Allow basic customization for attribute flows | ● | ● |
| Synchronize Exchange online attributes | ● | ● |
| Synchronize extension attributes 1-15 | ● | ● |
| Synchronize customer-defined AD attributes (directory extensions) | ● | ● |
| Support for Password Hash Sync | ● | ● |
| Support for Pass-Through Authentication | ● | |
| Support for federation | ● | ● |
| Seamless Single Sign-on | ● | ● |
| Supports installation on a Domain Controller | ● | ● |
| Support for Windows Server 2016 | ● | ● |
| Filter on Domains/OUs/groups | ● | ● |
| Filter on objects’ attribute values | ● | |
| Allow a minimal set of attributes to be synchronized (MinSync) | ● | ● |
| Allow removing attributes from flowing from AD to Azure AD | ● | ● |
| Allow advanced customization for attribute flows | ● | |
| Support for password writeback | ● | ● |
| Support for device writeback | ● | Customers should use Cloud Kerberos trust for this moving forward |
| Support for group writeback | ● | |
| Support for merging user attributes from multiple domains | ● | |
| Azure AD Domain Services support | ● | |
| Exchange hybrid writeback | ● | |
| Unlimited number of objects per AD domain | ● | |
| Support for up to 150,000 objects per AD domain | ● | ● |
| Groups with up to 50,000 members | ● | ● |
| Large groups with up to 250,000 members | ● | |
| Cross-domain references | ● | ● |
| On-demand provisioning | ● | |
| Support for US Government | ● | ● |
Er is één belangrijk en veelvoorkomend scenario dat momenteel niet wordt ondersteund met de nieuwere functie voor Azure AD Connect-cloudsynchronisatie, en dat is Exchange Hybrid. Dit is het huidige antwoord uit de documentatie van Microsoft:
Met de functie voor hybride implementatie van Exchange kunnen Exchange-postvakken zowel on-premises als in Microsoft 365 bestaan. Met Azure AD Connect wordt een specifieke set kenmerken gesynchroniseerd van Azure AD terug naar uw on-premises directory. De agent voor cloudinrichting synchroniseert momenteel deze kenmerken niet terug naar uw on-premises directory en kan daarom niet worden gebruikt als vervanging voor Azure AD Connect.
Vereisten voor het installeren van Azure Active Directory Connect cloud sync
Microsoft noemt een aantal vereisten waar u rekening mee moet houden voordat u met de installatie begint. Laten we hier eens naar kijken.
- In het Azure-portal:
- Je moet toegang hebben tot een cloud-only Global Administrator-account.
- Je hebt een aangepaste domeinnaam nodig in Azure om overeen te komen met de UPN-domeinnaam in je Active Directory. Als je migreert vanuit Azure AD Connect, zou dit al moeten zijn ingesteld, maar het is het vermelden waard.
- In je on-premises omgeving
- Je hebt een domein-gebonden machine nodig die Windows Server 2016 of nieuwer draait. Je hebt minimaal 4 GB RAM nodig en .NET Framework 4.7.1 of hoger. De server heeft eenvoudigweg netwerktoegang nodig tot minstens één domeincontroller in je on-premises AD-forest.
- Je edge firewall moet uitgaande poorten 80 en 443 toestaan vanaf je server hier naar Azure AD.
De enige andere (optionele) stap is om eerst Azure AD Connect te deïnstalleren als je het hebt geïnstalleerd. Dit is niet vereist, maar voor het doel van dit artikel zal ik de eenvoudige stappen hieronder doornemen.
Oh, en het is heel eenvoudig om gebruik te maken van hoge beschikbaarheid met deze setup. Installeer eenvoudigweg de provisioning agent op meer dan één server in je netwerk. Je zult de stappen hieronder zien.
Azure AD Connect deïnstalleren (optioneel)
- Log in op je Azure AD Connect-server en open het Configuratiescherm.
- Open het menu ‘Programma’s verwijderen‘.
- Klik op de vermelding Microsoft Azure AD Connect en klik op de werkbalkknop Verwijderen.
Mijn suggestie hier is om ervoor te zorgen dat het selectievakje is aangevinkt om alles te verwijderen. Ik vind het altijd fijn om software zo schoon mogelijk te verwijderen, mijn best te doen om geen resten achter te laten.
- Klik op Verwijderen en laat het voltooien.
Zo, alles weg. Nu kunnen we verder gaan met de installatiestappen.
Hoe Azure AD Connect cloudsync implementeren in uw AD / AAD-infrastructuur
Zoals ik al zei, kunt u een Azure AD Connect cloudsync-agent installeren met of zonder een bestaande Azure AD Connect-installatie in uw omgeving. In dit geval heb ik zojuist mijn bestaande Azure AD Connect-software verwijderd, dus we beginnen met een schone lei. Laten we beginnen!
Installatie
We beginnen op mijn Windows Server 2022 domeingejoinde server, WS22-FS02.
- Log eerst in op de Azure Portal en ga naar de Azure Active Directory (Azure AD) site.
- Op het navigatiemenu aan de linkerkant scrolt u omlaag en klikt u op Azure AD Connect. Klik vervolgens nogmaals aan de linkerkant op Cloudsync.
- Het is niet verrassend dat we een mooie schone lei hebben. Klik op het menu Agents aan de linkerkant, klik vervolgens op Downloaden van on-premises agent.
- Nadat u de agent hebt gedownload, dubbelklikt u op het MSI-bestand. De installatie zal starten.
- Vink het vakje aan en klik op Installeren!
Volgende, gaan we verder met Configuratie.
Actieve Directory Configuratie
Na installatie van de initiële agent, wordt de wizard Microsoft Azure Active Directory Connect Provisioning Agent Configuration gestart. Zeg dat maar eens 5 keer snel achter elkaar. Oef, Microsoft. Altijd met die bijzondere productnamen!
- Op het welkomstscherm, klik op Volgende.
- Op het scherm ‘Selecteer Extensie‘, kies HR-gedreven provisioning (Workday en SuccessFactors) / Azure AD Connect Cloud Sync. Dit is waarschijnlijk het meest voorkomende scenario. Alleen als je van plan bent on-premises applicaties naar Azure te provisioneren, kies je de 2e optie.
- Klik op Volgende.
- Vervolgens komt het scherm Azure AD verbinden tevoorschijn, waar wordt gevraagd om de referenties voor je Azure AD Global Administrator. Voer die in en wees klaar voor MFA!
- Hierna komt het scherm Serviceaccount configureren. Hier accepteren we de standaardoptie, gMSA maken. Omdat we vragen om een gMSA-account te maken om de synchronisatie van AD naar Azure AD te beheren, moeten we een account met Domeinbeheerdersprivileges invoeren. Voer dat in en klik op Volgende.
- Verder komen we bij het scherm ‘Active Directory verbinden‘. Ja, je hebt gelijk. Dit lijkt nogal op de installatiewizard voor het installeren van Azure AD Connect.
- Hoe dan ook, controleer of het juiste Active Directory-domein is ingesteld. Als je fouten ziet, heb je mogelijk je referenties verkeerd getypt. Ga verder en corrigeer indien nodig en klik op Volgende.
- We zijn nu op het laatste Bevestigingsscherm. Controleer of alles er goed uitziet en klik op de Bevestigen-knop.
Azure AD-configuratie
We gaan nu verder met Azure Active Directory. Om Azure AD-cloudsynchronisatie te beheren, ga opnieuw naar het Azure-portal.
- Klik op Azure AD Connect en klik op Cloudsynchronisatie.
- Klik op de ‘Nieuwe configuratie‘ knop bovenaan om het configuratieproces in de cloud te starten.
- Hier hebben we de Nieuwe cloudsynchronisatieconfiguratie. De standaardinstellingen moeten goed zijn als je alleen het ene AD-domein synchroniseert – in mijn geval ‘reinders.local’. We houden ‘ Wachtwoordhash-synchronisatie inschakelen‘ aangevinkt om automatisch wachtwoordbeheer toe te staan.
- Klik onderaan op Aanmaken.
Nou, bekijk dit eens! We zijn klaar. Ik weet niet hoe het met jou zit, maar ik geef bijna ALTIJD de voorkeur aan cloudgebaseerde configuraties versus traditionele ‘zware’ clientsoftware. Het is schoner. Bovendien kunnen ze sneller itereren op de UI en functies toevoegen. En omdat het op de cloud is gebaseerd, hoef je je geen zorgen te maken over upgrades van de software, servers die uitvallen, enz. Het werkt gewoon. De cloud, 100% van de tijd, toch?
Testen – Verificatie
Laten we gewoon de configuratie inschakelen. We kunnen de scoping filters, attribuutmapping, enz. iets later aanpakken.
- Klik op de knop Beoordelen en configuratie inschakelen bovenaan, klik vervolgens op Configuratie inschakelen.
- Als dat klaar is, wacht dan ongeveer 2 minuten, vernieuw dan je browser en klik op het tabblad Overzicht bovenaan.
- Ten eerste wil je een meldings-e-mailadres invoeren. Klik op het tabblad Eigenschappen en klik op het pictogram bewerken (Potlood) naast Basis.
- Voer een beheerders-e-mailadres in om meldingen te ontvangen over de synchronisatie-infrastructuur. Klik onderaan op Toepassen.
Nu, met betrekking tot validatie en geavanceerde aanpassing, ga terug naar de weergave Gebruikers in het Azure AD-portal om al je gebruikers te bekijken. Ik merkte op dat het aantal gebruikers van 31 naar 32 is gegaan. Dus, ik weet DAT er iets is gebeurd. En, als je echt oplet, herinner je je misschien dat ik een gebruiker heb gefilterd in een specifieke OU toen ik Azure AD Connect configureerde. Omdat ik nog geen filtering heb gedaan, is er een nieuwe gebruiker gesynchroniseerd – John Reinders.
Laten we de drie kernconfiguratieschermen doornemen die je zult gebruiken om je synchronisatie-instellingen te onderhouden en aan te passen. De eerste is Scoping filters.
De standaardinstelling is om alle gebruikers in uw Active Directory te synchroniseren. U kunt ervoor kiezen om alleen geselecteerde beveiligingsgroepen OF geselecteerde organisatie-eenheden (OUs) te synchroniseren. En ja, dit is één voorbeeld van cloudsoftware die, op dit moment, minder configureerbaar is dan on-premises software. Maar dit verandert voortdurend. Uiteindelijk zullen ze ALLE functies en opties opnemen in Azure AD Connect cloud sync.
Volgende, laten we eens kijken naar Attribuuttoewijzing. Hier kunnen we ervoor kiezen om de standaardlijst van attributen aan te passen en hoe ze worden gesynchroniseerd vanuit Active Directory naar Azure AD, en zelfs extra items toevoegen door op ‘+ Attribute mapping toevoegen’ te klikken.
Wees gerust, er zijn hier veel opties. Zoals ik al zei, Microsoft voegt voortdurend meer functies toe aan deze functionaliteit. Dus, wees niet verbaasd als je merkt dat sommige van deze schermen veranderen of stukjes toevoegen/verwijderen. Dit is de cloud, mensen!
Ten slotte, laten we eens kijken naar de Expressiebouwer. Dit is waar u echt wat aanpassingen kunt toevoegen aan hoe bepaalde attributen worden gesynchroniseerd, en hoe u expressies kunt gebruiken om specifieke gebruikersattributen van het ene Active Directory-domein en andere attributen van een ander AD-domein te matchen om het beste enkele object in Azure AD te produceren. Opnieuw, hier is veel kracht en u zult bekend zijn met de algemene opzet als u aangepaste functies zoals synchronisatieregels in de Azure AD Connect-software heeft gebruikt.
Conclusie
Nou, dat is veel informatie. En, ik wil wel wijzen op het grootste nadeel van Azure AD Connect cloud sync – het heeft minder functies en kan minder scenario’s ondersteunen dan Azure AD Connect.
Dit is normaal en volgens ontwerp. Azure AD Connect bestaat al jaren en Azure AD Connect cloud sync werd ongeveer een jaar geleden uitgebracht. Dus, natuurlijk, is er meer functionaliteit in de oudere software.
Mijn advies: Zodra de ondersteunde scenario’s met Azure AD Connect cloud sync overeenkomen met uw omgeving, neem dan de stappen om ernaar te migreren. Na Azure AD Connect enkele jaren te hebben gebruikt in mijn ‘dagelijkse werk’, ziet de cloudfunctionaliteit er erg mooi uit – en VEEL minder om te beheren en bij te houden.
Voel u vrij om hieronder een opmerking of vraag achter te laten en bedankt voor het lezen!
Source:
https://petri.com/install-azure-ad-connect-cloud-sync/