Labomgeving Azure Active Directory Connect

Inleiding

Voor mijn Office 365 certificering was Dirsync en Azure AD Sync iets waarop ik getoetst zou worden. Beide tools zullen komen te  vervallen en om die reden is Azure Active Directory Connect de opvolger waarmee ik gestudeerd heb. Wat ik probeer te maken is een synchronisatie van gebruikers uit mijn on-premises Active Directory naar Azure Active Directory. Om dit werkend te krijgen heb ik een Office 365 trial gebruikt.

In mijn lab heb ik blonkitlab.onmicrosoft.com als domein gebruikt van Microsoft en een custom-domein toegevoegd met als naam lab001.marcoblonk.nl.

De gebruikers die ik heb aangemaakt in mijn on-premises Active Directory zijn fictieve accounts. Deze moeten in een bepaalde groep aanwezig zijn. Zij moeten ExtensionAttribute1 ingevuld hebben, anders synchroniseer ik deze accounts niet naar Azure Active Directory.

In deze post laat ik je zien hoe ik het heb uitgevoerd.

Active Directory on-premises

Mijn on-premises Active Directory bestaat uit één forest. Hierin heb ik een domain: corp.blonkit.nl en een child-domain: prod.corp.blonkit.nl. Mijn forest en domain functional level is 2012r2 niveau. Dit is wat ik heb voorbereid:

 

  • Ik gebruik een enterprise-admin account voor AAD Connect, welke ik in corp.blonkit.nl heb aangemaakt.
  • Ik heb een OU gemaakt met de naam lab001.marcoblonk.nl in het domein prod.corp.blonkit.nl.
  • Met adsiedit heb ik een UPN Suffix toegevoegd van lab001.marcoblonk.nl op de OU lab001.marcoblonk.nl.
  • De nodige gebruikers zijn aangemaakt met een @lab001.marcoblonk.nl logon name.
  • Deze gebruikers heb ik voorzien van de ExtensionAttribute1 veld met dezelfde waarde als hun logon name.
  • Er is een global groep gemaakt O365_Lab001_Users en de gebruikers zijn hieraan toegevoegd.

Daarmee is het Active Directory voorwerk gedaan.

Een custom domain toevoegen aan Office 365

Ga in ‘beheer’ naar ‘domeinen’.

Klik op + domeinen toevoegen.

Klik op ‘aan de slag’.

Bij Stap 1 geef ik mijn domein op.

O365_AZUREADCONNECT_001

Vervolgens krijgen we het verzoek een TXT record aan te maken met een waarde welke Microsoft opgeeft. Dit is om aan te tonen dat je de eigenaar bent van het domein.

O365_AZUREADCONNECT_002

In de DNS entries bij mijn DNS hosting voeg ik lab001 met de TXT-Waarde toe.

Hoe dat er uit ziet kan per provider verschillen.

O365_AZUREADCONNECT_003

Ik klik vervolgens op Ja ik heb de record toegevoegd ->

O365_AZUREADCONNECT_004

Er wordt geverifieerd of het TXT record bestaat door Microsoft. Je kunt dit ook zelf, door in Powershell te typen:

Resolve-DnsName lab001.marcoblonk.nl -Type TXT

Je krijgt dan als output:

O365_AZUREADCONNECT_005

De wizard heeft dit ook gezien:

O365_AZUREADCONNECT_006

Vervolgens wordt er gevraagd welke gebruikers er mogen worden bijgewerkt naar het nieuwe domein:

O365_AZUREADCONNECT_007

Het is gelukt om mijn gebruiker bij te werken:

O365_AZUREADCONNECT_008

Ik moet afmelden:

O365_AZUREADCONNECT_009

En ik meld me aan met mijn nieuwe domein:

O365_AZUREADCONNECT_010

Nu is je custom domain toegevoegd in Office 365 en kunnen we beginnen aan de volgende stap.

Activeer domein voor AD Synchronisatie

Vanuit de portal kun je nu AD synchronisatie activeren.

O365_AZUREADCONNECT_011

Klik op Activeren

O365_AZUREADCONNECT_012

Het domein is nu geactiveerd voor synchronisatie.

IdFix draaien

In de wizard van Office 365 is de volgende stap het draaien van IdFix. Deze bekijkt of je on-premises Active Directory goed is ingericht voor een synchronisatie. Vanuit de portal is IdFix te downloaden.

Printscreens volgens wellicht later.

Installatie Azure Active Directory Connect

http://www.microsoft.com/en-us/download/details.aspx?id=47594

Start de installatie

O365_AZUREADCONNECT_013

 

O365_AZUREADCONNECT_014

O365_AZUREADCONNECT_015

 

Ik kies hier voor Password Synchronisation:

O365_AZUREADCONNECT_016

 

Geef hier je Azure Account op met global administrator rechten:

O365_AZUREADCONNECT_017

 

Onderstaand is het Enterprise Admin account in het domein corp.blonkit.nl:

O365_AZUREADCONNECT_018

Hier geef ik A specific Attribute: extensionAttribute1 aan.

O365_AZUREADCONNECT_020

 

Hier geef ik aan welke groep gesynchroniseerd moet worden:

O365_AZUREADCONNECT_021

 

Deze optional features vereisen bijna allemaal de premium Azure AD licenties welke ik niet wil gebruiken:

O365_AZUREADCONNECT_022

 

 

Doet dit niet in je productie omgeving. Als je het verkeerd hebt gedaan staat heel de boel in Azure Ad wat je misschien niet wilt. Ik heb een labomgeving en mag het vinkje wel aan hebben staan…

O365_AZUREADCONNECT_023

O365_AZUREADCONNECT_024

 

Resultaat

O365_AZUREADCONNECT_025

Mijn gebruikers worden gesynchroniseerd vanuit mijn on-premises Active Directory naar Azure Active Directory. Dat zie je ook, het wordt aangegeven met ‘Gesynchroniseerd met Active Directory’.

Als je in C:\Program Files\Microsoft Azure AD Sync\UIShell kijkt, dan staat daar een executable Miisclient. Met deze client kun je logs bekijken en zien wat er gebeurd.

Er is in je Windows Task Scheduler een taak aangemaakt die eens in de 3 uur een synchronisatie uitvoert. Deze kun je aanpassen naar andere frequenties als dit je wens is.

Ik moet het account beheer nu doen vanuit mijn on-premises Active Directory. Een gesynchroniseerde gebruiker beheer ik niet meer vanuit de web-gui.

Ik kan nu gebruik maken van Same-Sign-On. De credentials die mijn gebruikers opgeven in de on-premises omgeving, gebruiken zij ook in Office 365. De gebruikerservaring zal hierdoor een stuk beter zijn.

Ik kan veilig een hybride identiteit opbouwen op deze manier. Je moet lid zijn van een groep en je hebt de extensionattribute nodig om gesynchroniseerd te worden. Niet gelijk alle gebruikers worden dus gesynchroniseerd.

Ik vind het een goede oplossing, omdat de gebruikerservaring beter zal zijn. Ik hoop dat ik je heb kunnen helpen met het schrijven van deze blog. Als ik iets voor je kan betekenen, dan kun je me altijd mailen via info@blonkit.nl. Tevens ben ik actief op twitter @marcoblonk Je kunt me ook op Linkedin vinden: http://www.linkedin.com/pub/marco-blonk/16/b58/337

 

 

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *