Inleiding
Voor mijn Office 365 certificering was Dirsync en Azure AD Sync iets waarop ik getoetst zou worden. Beide tools zullen komen te vervallen en om die reden is Azure Active Directory Connect de opvolger waarmee ik gestudeerd heb. Wat ik probeer te maken is een synchronisatie van gebruikers uit mijn on-premises Active Directory naar Azure Active Directory. Om dit werkend te krijgen heb ik een Office 365 trial gebruikt.
In mijn lab heb ik blonkitlab.onmicrosoft.com als domein gebruikt van Microsoft en een custom-domein toegevoegd met als naam lab001.marcoblonk.nl.
De gebruikers die ik heb aangemaakt in mijn on-premises Active Directory zijn fictieve accounts. Deze moeten in een bepaalde groep aanwezig zijn. Zij moeten ExtensionAttribute1 ingevuld hebben, anders synchroniseer ik deze accounts niet naar Azure Active Directory.
In deze post laat ik je zien hoe ik het heb uitgevoerd.
Active Directory on-premises
Mijn on-premises Active Directory bestaat uit één forest. Hierin heb ik een domain: corp.blonkit.nl en een child-domain: prod.corp.blonkit.nl. Mijn forest en domain functional level is 2012r2 niveau. Dit is wat ik heb voorbereid:
- Ik gebruik een enterprise-admin account voor AAD Connect, welke ik in corp.blonkit.nl heb aangemaakt.
- Ik heb een OU gemaakt met de naam lab001.marcoblonk.nl in het domein prod.corp.blonkit.nl.
- Met adsiedit heb ik een UPN Suffix toegevoegd van lab001.marcoblonk.nl op de OU lab001.marcoblonk.nl.
- De nodige gebruikers zijn aangemaakt met een @lab001.marcoblonk.nl logon name.
- Deze gebruikers heb ik voorzien van de ExtensionAttribute1 veld met dezelfde waarde als hun logon name.
- Er is een global groep gemaakt O365_Lab001_Users en de gebruikers zijn hieraan toegevoegd.
Daarmee is het Active Directory voorwerk gedaan.
Een custom domain toevoegen aan Office 365
Ga in ‘beheer’ naar ‘domeinen’.
Klik op + domeinen toevoegen.
Klik op ‘aan de slag’.
Bij Stap 1 geef ik mijn domein op.
Vervolgens krijgen we het verzoek een TXT record aan te maken met een waarde welke Microsoft opgeeft. Dit is om aan te tonen dat je de eigenaar bent van het domein.
In de DNS entries bij mijn DNS hosting voeg ik lab001 met de TXT-Waarde toe.
Hoe dat er uit ziet kan per provider verschillen.
Ik klik vervolgens op Ja ik heb de record toegevoegd ->
Er wordt geverifieerd of het TXT record bestaat door Microsoft. Je kunt dit ook zelf, door in Powershell te typen:
Resolve-DnsName lab001.marcoblonk.nl -Type TXT
Je krijgt dan als output:
De wizard heeft dit ook gezien:
Vervolgens wordt er gevraagd welke gebruikers er mogen worden bijgewerkt naar het nieuwe domein:
Het is gelukt om mijn gebruiker bij te werken:
Ik moet afmelden:
En ik meld me aan met mijn nieuwe domein:
Nu is je custom domain toegevoegd in Office 365 en kunnen we beginnen aan de volgende stap.
Activeer domein voor AD Synchronisatie
Vanuit de portal kun je nu AD synchronisatie activeren.
Klik op Activeren
Het domein is nu geactiveerd voor synchronisatie.
IdFix draaien
In de wizard van Office 365 is de volgende stap het draaien van IdFix. Deze bekijkt of je on-premises Active Directory goed is ingericht voor een synchronisatie. Vanuit de portal is IdFix te downloaden.
Printscreens volgens wellicht later.
Installatie Azure Active Directory Connect
http://www.microsoft.com/en-us/download/details.aspx?id=47594
Start de installatie
Ik kies hier voor Password Synchronisation:
Geef hier je Azure Account op met global administrator rechten:
Onderstaand is het Enterprise Admin account in het domein corp.blonkit.nl:
Hier geef ik A specific Attribute: extensionAttribute1 aan.
Hier geef ik aan welke groep gesynchroniseerd moet worden:
Deze optional features vereisen bijna allemaal de premium Azure AD licenties welke ik niet wil gebruiken:
Doet dit niet in je productie omgeving. Als je het verkeerd hebt gedaan staat heel de boel in Azure Ad wat je misschien niet wilt. Ik heb een labomgeving en mag het vinkje wel aan hebben staan…
Resultaat
Mijn gebruikers worden gesynchroniseerd vanuit mijn on-premises Active Directory naar Azure Active Directory. Dat zie je ook, het wordt aangegeven met ‘Gesynchroniseerd met Active Directory’.
Als je in C:\Program Files\Microsoft Azure AD Sync\UIShell kijkt, dan staat daar een executable Miisclient. Met deze client kun je logs bekijken en zien wat er gebeurd.
Er is in je Windows Task Scheduler een taak aangemaakt die eens in de 3 uur een synchronisatie uitvoert. Deze kun je aanpassen naar andere frequenties als dit je wens is.
Ik moet het account beheer nu doen vanuit mijn on-premises Active Directory. Een gesynchroniseerde gebruiker beheer ik niet meer vanuit de web-gui.
Ik kan nu gebruik maken van Same-Sign-On. De credentials die mijn gebruikers opgeven in de on-premises omgeving, gebruiken zij ook in Office 365. De gebruikerservaring zal hierdoor een stuk beter zijn.
Ik kan veilig een hybride identiteit opbouwen op deze manier. Je moet lid zijn van een groep en je hebt de extensionattribute nodig om gesynchroniseerd te worden. Niet gelijk alle gebruikers worden dus gesynchroniseerd.
Ik vind het een goede oplossing, omdat de gebruikerservaring beter zal zijn. Ik hoop dat ik je heb kunnen helpen met het schrijven van deze blog. Als ik iets voor je kan betekenen, dan kun je me altijd mailen via info@blonkit.nl. Tevens ben ik actief op twitter @marcoblonk Je kunt me ook op Linkedin vinden: http://www.linkedin.com/pub/marco-blonk/16/b58/337