Adreslijstsynchronisatie installeren en configureren met Microsoft Entra Connect
Microsoft Entra Connect vereist een computer die lid is van een domein om de synchronisatieservice te hosten. De meeste organisaties implementeren een toegewezen synchronisatieserver.
Vereisten
Nadat u Azure hebt ingesteld met een Active Directory-tenant, moet u de primaire taken uitvoeren om adreslijstsynchronisatie te implementeren met behulp van de volgende stappen:
- Voeg uw AD DS-domein toe aan Azure, verifieer het domein en stel het domein in als het primaire domein.
- Download en installeer Microsoft Entra Connect.
- Voer de wizard Microsoft Entra Connect-configuratie uit. (Optioneel kunt u Microsoft Entra Connect configureren voor het synchroniseren van specifieke OE's in de on-premises AD DS-omgeving).
- Schakel optionele functies in, zoals wachtwoord-hashsynchronisatie, wachtwoord terugschrijven en hybride exchange-implementatie.
- Voer Microsoft Entra Connect uit en laat deze de omgeving configureren voor adreslijstsynchronisatie
- Valideer de synchronisatieresultaten.
Nadat u Microsoft Entra Connect hebt ingesteld en de eerste synchronisatie hebt uitgevoerd, kunt u indien nodig de synchronisatieopties opnieuw configureren. De microsoft Entra Connect-software-installatie bevat verschillende toepassingen met betrekking tot adreslijstsynchronisatie. Wanneer u Microsoft Entra Connect uitvoert, hebt u de mogelijkheid om Express-installatie-instellingen te gebruiken, waarmee adreslijstsynchronisatie wordt ingesteld met de meest gebruikte instellingen, of u kunt ervoor kiezen om de installatieopties aan te passen.
Als u ervoor kiest om aangepaste installatie te gebruiken, kunt u aan het begin van de installatie ervoor kiezen om een aangepaste SQL-server te gebruiken in plaats van een lokale database. U kunt er ook voor kiezen om een bestaand serviceaccount te gebruiken in plaats van het account dat is gemaakt door het automatische installatieproces. Daarnaast kunt u aangepaste synchronisatiegroepen opgeven. De groepen Administrators, Operators, Bladeren en Wachtwoord opnieuw instellen worden standaard gemaakt door Microsoft Entra Connect, maar u kunt ervoor kiezen om hiervoor uw eigen aangepaste groepen te gebruiken.
Microsoft Entra Connect stelt standaard wachtwoord-hashsynchronisatie in voor de adreslijstsynchronisatiemodus. Als u een aangepaste installatie kiest, kunt u ook de optie Federatie met AD FS of passthrough-verificatie kiezen. U kunt adreslijstsynchronisatie ook handmatig configureren als u een niet-Microsoft-federatieserver of een andere bestaande oplossing hebt geïmplementeerd.
Met aangepaste Microsoft Entra Connect-installatie kunt u ook de manier kiezen waarop u uw gebruikers identificeert. Standaard wordt in Setup ervan uitgegaan dat uw gebruikers slechts één keer worden weergegeven in alle mappen. Als u echter een scenario hebt waarin gebruikersidentiteiten bestaan in meerdere mappen, moet u het overeenkomende kenmerk kiezen. U kunt kiezen tussen de opties die in de volgende tabel worden beschreven.
| Optie | Omschrijving |
|---|---|
| e-mailkenmerk | Deze optie koppelt gebruikers en contactpersonen als het e-mailkenmerk in verschillende forests dezelfde waarde heeft. |
| ObjectSID en msExchangeMasterAccountSID | Met deze optie wordt een ingeschakelde gebruiker in een accountforest samengevoegd met een uitgeschakelde gebruiker in een Exchange-resourceforest. In Exchange wordt dit ook wel gekoppeld postvak genoemd. |
| sAMAccountName en mailNickname | Met deze optie worden extra kenmerken toegevoegd op locaties in een map waar de aanmeldings-id voor de gebruiker naar verwachting wordt gevonden. |
| Mijn eigen kenmerk | Met deze optie kunt u uw eigen kenmerk selecteren. |
| Bronanker | Dit is een kenmerk dat onveranderbaar blijft tijdens de levensduur van een gebruikersobject. Met andere woorden, dit kenmerk is de primaire sleutel die het on-premises gebruikersobject koppelt aan het gebruikersobject in Microsoft Entra ID. Omdat dit kenmerk later niet kan worden gewijzigd, moet u zorgvuldig een kenmerk kiezen dat voor dit doel moet worden gebruikt. Een standaardkeuze is objectGUID, omdat dit kenmerk niet verandert, tenzij het gebruikersaccount wordt verplaatst tussen forests en domeinen. |
U kunt het UserPrincipalName kenmerk in hetzelfde venster configureren. Dit is het kenmerk dat gebruikers gebruiken wanneer ze zich aanmelden bij Microsoft Entra ID. De domeinen die voor dit doel worden gebruikt, ook wel het UPN-achtervoegsel genoemd, moeten worden geverifieerd in Microsoft Entra-id voordat de gebruikersobjecten worden gesynchroniseerd.
In sommige gevallen wilt u mogelijk alleen een subset van uw gebruikers synchroniseren vanuit uw lokale AD DS. Met Microsoft Entra Connect kunt u een specifieke groep gebruikers selecteren die u wilt synchroniseren met Microsoft Entra ID. U moet deze groep maken voordat u Microsoft Entra Connect uitvoert. Nadat u de installatie hebt voltooid, kunt u gebruikers toevoegen aan en verwijderen uit deze groep om de lijst met gebruikersobjecten te behouden die aanwezig moeten zijn in Microsoft Entra-id. U kunt OE's van uw lokale AD DS ook gebruiken als het bereik voor replicatie. In de laatste stap kunt u met Microsoft Entra Connect enkele optionele functies instellen die beschikbaar zijn in Microsoft Entra ID P1 of P2.