Posted on

Azure Active Directory verbinden met een O365-domein

, Author

In mijn vorige bericht heb ik een demo gegeven over het gebruik van de nieuwe Azure AD-connectietool om uw lokale domein te integreren met Azure Active Directory. Het proces is vrij eenvoudig, maar een vraag die ik kreeg was: Hoe integreer ik mijn Office 365 abonnement en gebruikers met mijn on premise domein? Nou dankzij de tool, dit proces is vrij eenvoudig als je de stap hebt genomen van het waarborgen van uw Office 365-gebruikersaccounts nauw overeenkomen met uw bestaande domein accounts. Als dat niet het geval is, moet u waarschijnlijk nog wat handmatige opruiming uitvoeren voordat u gaat integreren. Ik zal een aantal van die handmatige stappen later in de post te behandelen.

Details

Wanneer u een Office 365-abonnement Microsoft daadwerkelijk provision een Azure Active Directory-instantie voor u achter de schermen. Als u een Azure Subscription heeft kunt u de twee aan elkaar koppelen zodat u uw O365 domein kunt beheren vanuit de Azure Management Portal. Dus in essentie is het proces heel dicht bij het vorige proces, afgezien van een paar kleine wijzigingen in de configuratie. De eerste verandering is tijdens de Identifying Users stap. Hier moet je een Active Directory attribuut selecteren dat de on premise en online accounts met elkaar vergelijkt. In mijn geval was dat heel eenvoudig omdat de e-mailadressen hetzelfde waren, dus koos ik het Mail attribuut. Voor Exchange-scenario’s kunt u ook kiezen voor SID’s.

Naar aanleiding van de stap “Optionele functies” kunt u het selectievakje naast “Azure AD app- en attribuutfiltering” inschakelen om de Connect-tool op de hoogte te stellen van andere toepassingen die moeten worden gesynchroniseerd.

Als u de optie Apps aanvinkt, wordt een nieuw gedeelte van de tool geactiveerd waarin u explicietere opties voor toepassingen en attributen kunt instellen. De tool is slim genoeg om extra AD-attributen in kaart te brengen om de toepassingen correct te integreren met uw domeingebruikers.

Ik heb gekozen voor alle standaardtoepassingen voor het geval ik in de toekomst Microsoft Online-tools wil toevoegen. U kunt ook specifieke AD-attributen fijnmaziger instellen, maar die heb ik zo gelaten. Nadat u de wizard hebt voltooid en de eerste synchronisatie hebt uitgevoerd, zouden uw gebruikers in O365 moeten worden weergegeven.

Dit is het makkelijke gedeelte als uw gebruikers en structuur vrij eenvoudig zijn. Productieomgevingen zijn echter vaak allesbehalve eenvoudig. Hier zijn een paar dingen waar u op moet letten:

  • Active Directory moet bepaalde instellingen hebben geconfigureerd om goed te kunnen werken met eenmalige aanmelding. In het bijzonder moet de user principal name (UPN), oftewel de aanmeldnaam, voor elke gebruiker op een specifieke manier zijn ingesteld. Gebruik het Microsoft Deployment Readiness Tool om uw Active Directory-omgeving te inspecteren en een rapport te genereren met informatie over de vraag of u al dan niet klaar bent om single sign-on in te stellen en welke wijzigingen u moet doorvoeren om u voor te bereiden op single sign-on.
  • Het domein dat u kiest om te federeren moet zijn geregistreerd als een openbaar domein bij een domeinregistrar of binnen uw eigen openbare DNS-servers.
  • Als u Active Directory-synchronisatie al hebt ingesteld, komt de UPN van de gebruiker mogelijk niet overeen met de on-premises UPN van de gebruiker die in Active Directory is gedefinieerd. Om dit op te lossen, hernoemt u de UPN van de gebruiker met het cmdlet Set-MsolUserPrincipalName in de Microsoft Azure Active Directory Module voor Windows PowerShell.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.