EMS

AZURE

OFFICE 365

ENTERPRISE MOBILITY SUITE

OPERATIONS MANAGEMENT SUITE

AZURE STACK

HYPER-V

WINDOWS

Hybrid Identity in vier makkelijke

stappen

Ronny de Jong

Sander Berkouwer

EMS

Ronny de JongConsultant en MVP bij

INOVATIV Nederland

vTSP Enterprise Mobility

vTSP Windows 10

Blogger op ronnydejong.com

Community lead scug.nl

EMS

Sander BerkouwerMCSA, MCSE, MCITP, MCT,

Microsoft MVP sinds 2009

Blogger op dirteam.com

Identity consultant bij

INOVATIV Nederland

EMSAgendaIntroductie van Hybrid Identity

Azure AD Connect en -Sync

■ Upgraden van DirSync

■ Express Settings

■ Custom Settings

Azure AD Connect Health

■ Azure AD Connect Health for AD FS

■ Azure AD Connect Health for Sync

EMSEMS

Hybrid Identity,

Een korte introductie

@RonnydeJong

EMSHybrid Identity, tot voor kort

@RonnydeJong

EMSHybrid Identity overzicht

Self-service Eenmaligeaanmelding

•••••••••••

Username

Eenduidigeconnectie

Cloud

SaaSAzure

Office 365Publiccloud

Other Directories

Windows ServerActive Directory

On-premises Microsoft Azure Active Directory

@RonnydeJong

EMSOn-premises? Off-premiseIDC predicts that 70 percent of organizations will embrace a

cloud-first strategy by 2016, getting there on their own pace

over a number of years, with many living in a hybrid

environment for quite some time. That flexibility— living in

both worlds—even with a cloud-first strategy, is

nonnegotiable.1

1 Source: IDC CIO Agenda Webinar, 2013.

@RonnydeJong

EMSEMS

Azure AD Connect en -Sync

@RonnydeJong

EMSHybrid Identity weer simpelAzure AD Connect■ Implementatie van

Hybrid Identity geconsolideerd in één stuk gereedschap

■ Implementatieworkflowsvoor de vaakst voorkomende identiteits-topologieën

■ Eén stuk gereedschap met onderliggende techniek voor alle ‘bridge’ methoden

@RonnydeJong

EMSMomenteel ondersteunde ToolsDirSync

■ Beschikbaar via Office365 portal

■ Nog geen aankondiging voor einde ondersteuning

■ Na aankondiging nog minimaal 1 jaar ondersteuning

Windows Azure AD Connector voor FIM en MIM■ Beschikbaar voor download

■ Nog geen aankondiging voor einde ondersteuning

Azure AD Connect en -Sync■ Standaard tool voor Hybrid Identity implementaties

■ Enige tool waarin wordt geïnvesteerd vanuit Microsoft

@RonnydeJong

EMSUpgrade vanaf DirSyncOrganisaties met minder dan 50.000 objecten

■ In-place upgrade ondersteund

■ Ondersteuning voor alle ‘custom’ configuraties

■ Geen ondersteuning voor eigen aanpassingen(bijvoorbeeld verwijderde attribute flows)

Organisaties met meer dan 50.000 objecten■ Side-by-side implementatie ondersteund

■ Exporteer de DirSync configuratie

■ Importeer de configuratie metAzureADConnect.exe /migrate ConfigFile

■ Voer een full import en full sync uit

■ De-installeer DirSync

■ Schakel Staging Mode uit op Azure AD Connect

@RonnydeJong

EMSEMS

Azure AD Connect en -Sync

Express settings

@RonnydeJong

EMSHybrid Identity simpel maken

■ Eén tool ipv meerdere

tools om Hybrid

Identity te

implementeren

■ Vier keer klikken voor

Express Settings

■ Begin met één tool,

breid uit met AD FS, etc.

■ Custom settings

beschikbaar voor de

meeste topologieën

Azure AD Connect met Express Settings

EMSEMS

Demo

@RonnydeJong

EMSExpress SettingsFunctionaliteit

■ Een-weg object synchronisatie ■ met standaard synchronisatie regels

■ met standaard attributen (143)

■ Wachtwoord synchronisatie op basis OrgID hash

■ Zonder federatie

■ Azure AD Connect Health for Sync*

Topologie■ Geen hoge beschikbaarheid

■ Azure AD Sync en Azure AD Connect op hetzelfde systeem

■ Windows Internal Database (WID) op systeem volume

■ Automatisch gegenereerd synchronisatie account in AD

@RonnydeJong

EMSEMS

Bedankt!

@SanderBerkouwer

@RonnydeJong

@Experts_Live

#ExpertsLive

EMSEMS

Azure AD Connect en -Sync

Custom Settings

@SanderBerkouwer

EMSCustom SettingsCustom settings bieden de volgende mogelijkheden:

■ Ondersteuning voor multi-forest topologieën

■ Volledige SQL Server als Sync database

■ SQL Server Fail-over Cluster ondersteuning

■ Initiële groepsfiltering (handig voor een pilot)

■ Staging Mode (voor cold stand-by installaties)

■ Aanmelding met Federatie i.p.v. Password Sync

■ Ondersteuning voor Azure AD Premium features

■ Password write-back

■ Group write-back

■ Device write-back

■ Synchronisatie van eigen objectattributen

@SanderBerkouwer

EMSGeautomatiseerd, behalve…Voor alle scenario’s

■ Aanwezigheid van Office 365 / Azure AD (trial) abonnement

■ Configureer publiek DNS voor elk custom Azure AD domain

■ Gebruikersaccounts met publiek routeerbare UPNs (IdFix)

Voor scenario’s met AD FS■ SSL Certificaat, geïnstalleerd op alle STSs en Proxies

■ WinRM geconfigureerd op alle hosts

■ DNS records intern en extern voor de federation service name

Voor scenario’s met write-back■ Aanwezigheid van Azure AD Premium (trial) abonnement

■ Active Directory Domain Services voorbereid@SanderBerkouwer

EMSSectie User sign-in

@SanderBerkouwer

EMSSectie User sign-in

@SanderBerkouwer

EMSSectie User sign-in

@SanderBerkouwer

EMSAD FS en/of Password SyncPassword Sync voldoet voor de meeste implementaties

Federatie met AD FS biedt meer mogelijkheden (optioneel)■ Voor organisaties die reeds AD FS geïmplementeerd hebben

■ Voor organisaties met stringente informatiebeveiligingseisen rondom wachtwoorden in de cloud

■ Voor organisaties die eenmalige aanmelding wensen op domain-joined apparaten en/of workplace-joined apparaten

■ Voor organisatie die functionaliteit zoeken:

■ On-premises Multi-factor Authentication of smart card support

■ Soft account lockout of Active Directory work hours support

■ Conditional access zowel on-premises als in de cloud

@SanderBerkouwer

EMSPassword Sync inschakelenVolg deze stappen om Password Sync in te schakelen:

■ Upgrade DirSync naar Azure AD Connect

■ Voer de volgende Windows PowerShell one-liners uit:

■ Voor inschakelen in de cloud:$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>“

Set-ADSyncAADPasswordSyncState -ConnectorName $aadConnector

-Enable

■ Voor inschakelen on-premises zijde (per forest):$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>“

Set-ADSyncAADPasswordSyncConfiguration -SourceConnector

$adConnector -TargetConnector $aadConnector -Enable $true

@SanderBerkouwer

EMSPassword Sync internalsPassword Sync synchroniseert de OrgID hash van de NT hash

■ Wachtwoorden verlaten on-premises niet

■ On-premises wachtwoordbeleid blijft gelden■ Password complexity policy

■ Password expiration policy

Wachtwoorden zijn beschermd tegen Pass-the-Hash■ OrgIDhashes kunnen niet worden gebruikt om on-premises aan

te melden

Password Sync kan worden ingezet als fall-back voor AD FS■ Per domein in Azure AD kan worden geschakeld tussen AD FS en

Password Sync

@SanderBerkouwer

EMSPassword Sync

Forest 1

Azure AD

Sync engineagent(s)

Forest 2

@SanderBerkouwer

EMSPassword write-back

Azure AD

Tenant specific

endpoint, encrypted

connection from

password reset

endpoint on sync

service

Sync engine

Forest 1

Forest 2

@SanderBerkouwer

EMS

@SanderBerkouwer

EMSMulti-forest topologieënVerschillende AD Forests

■ Elk object in elk forest verschijnt in Azure AD

AD Forests met GALSync■ Userobjecten en Contactobjecten

worden samengevoegd met met mail attribuut en verschijnen slechts één keer

AD account resource forests■ Enabled userobjecten en disabled

userobjecten worden samengevoegd met het objectSID en msExchMasterAccountSID attribuut

EMSSourceAnchor en

userPrincipalNameSourceAnchor (ImmutableID)

■ Immutable gedurende de gehele levensduur van een object

■ Kan niet worden veranderd na creatie in Azure AD

■ Slimme waarden: ObjectGUID, EmployeeID

■ Niet de meest briljante waarden: mail, userPrincipalName

userPrincipalName■ Houdt de userPrincipalName standaard, waar mogelijk

■ Gebruik van ander attribuut is niet ondersteund met Office 365

@SanderBerkouwer

EMS

@SanderBerkouwer

EMSFilteren van objectenVoordelen

■ Evalueren van Azure AD en Office 365

■ Pilot-omgevingen

Filteropties■ Vanuit Active Directory voor users, groups en contacts

■ CloudFiltered set to TRUE if not in group

■ Toevoegen aan groep: verschijnen in Azure AD

■ Verwijderen uit groep: verwijderen uit Azure AD

■ Alleen directe groepslidmaatschappen geevalueerd

Verwijder het filter voor go-live■ Bij opnieuw uitvoeren van de wizard

@SanderBerkouwer

EMS

@SanderBerkouwer

EMSOptionele features, Write-back

Password Write-back■ Wijzig wachtwoorden in Azure AD

■ On-premises wachtwoordbeleid van toepassing

■ Minimale en maximale wachtwoordduur

■ Minimale lengte van wachtwoord

■ Wachtwoordcomplexiteit

■ Onthouden wachtwoorden

■ Verificatie in on-premises Active Directory

User Write-back■ Nieuwe useraccounts in Azure AD verschijnen in AD

■ Kan niet worden gebruikt in combinatie met Password Sync *

@SanderBerkouwer

EMSOptionele features, Write-back

Group Write-back■ Groepen van Office 365 verschijnen in on-premises Exchange

■ Vereist Exchange Server 2013 CU8 of hoger on-premises

■ Groepen hebben hun oorsprong in Office 365

■ Groepen worden beheerd in Azure AD

■ Geen ondersteuning voor security of distribution groups

Device Write-back■ Azure-gebaseerde Device Registration Services (DRS)

■ Ondersteunt Windows 8.1, Windows 10, iOS en Android

■ Vereist Windows Server 2012 R2 schema (versie 69)

■ Vereist de Registed Devices container en -objecten

@SanderBerkouwer

EMSDevice write-back stappen1. Inschakelen

in Azure AD Portal

2. DNS configureren■ enterpriseregistration.domain.tld verwijst naar

enterpriseregistration.windows.net

3. Azure AD Connect configureren■ Uit de MSI: Voer ADSyncPrep.psm1 helper script uit

■ Kies AD FS als aanmeldmethode

■ Schakel device write-back in

4. Apparaten toevoegen aan Azure AD@SanderBerkouwer

EMSAD voorbereidenUpgrade Active Directory schema naar Windows Server 2012 R2 (69)

Pak AzureADConnect.msi uit of installeer deze

Voer vervolgens de volgende one-liners uit:

Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

Import-Module ActiveDirectory

$cred = Get-Credential

Voer de aanmeldgegevens in voor het AD Serviceaccount

Initialize-ADSyncDeviceWriteBack -DomainName domain.contoso.com-AdConnectorAccount $cred

@SanderBerkouwer

EMSOptionele features, extensiesVoordelen

■ Breng Active Directory attributen naar Azure AD

Opties■ Alleen attributen voor userobjecten en groepobjecten

■ Alleen single-valued attributen

■ Integer, LargeInteger, DateTime, Binary, Boolean en String waarden

Limieten ■ 100 extensieattribuutwaarden per object

■ 256 karakters per string extensieattribuutwaarde

■ 256 bytes per binary extensieattribuutwaarde

@SanderBerkouwer

EMS

@SanderBerkouwer

EMSStaging ModeVoordelen

■ Een ingerichte Azure AD Connect implementatie als stand-by

■ Warme stand-by voor Disaster Recovery

■ Mogelijkheid om van Azure AD Sync server te migreren

■ Van DirSync naar Azure AD Connect

■ Van Windows Azure AD Connector (FIM) naar Azure AD Connect

Staging Mode specifics■ Servers in Staging Mode exporteren niet

■ Servers in Staging Mode gebruiken eigen service accounts

■ Servers in Staging Mode synchroniseren geen rules

@SanderBerkouwer

EMSOpnieuw…Voordelen

■ Snel synchronisatieopties instellen

■ Group filter(s) verwijderen

■ Staging Mode in- of uitschakelen

■ Write-back opties in- of uitschakelen

■ Additionele domeinen toevoegen

■ Active Directory forests voor Sync

■ Domeinen voor federatie

■ AD FS Servers en/of Web App Proxies toevoegen

@SanderBerkouwer

EMSEMS

Demo

@RonnydeJong

EMSEMS

De praktijk van

Azure AD Connect

@SanderBerkouwer

EMSHoog beschikbaarheidAzure AD Connect is niet hoog beschikbaar

■ Azure AD Sync is technisch vergelijkbaar met FIM Sync■ Slechts één Sync installatie per Azure AD Connect

■ Installatie niet mogelijk op Windows Failover Cluster

■ Eén actieve Azure AD Sync per Azure AD tenant ondersteund

■ “Oplossing is Staging Mode”■ Staging Mode biedt hoogstens een fall-back oplossing

■ Downtime afhankelijk van detectie en response beheerders

SQL Server voor Azure AD Sync■ Standalone SQL Servers ondersteund

■ SQL Server Failover Cluster ondersteund■ AlwaysOn en Log shipping modi niet ondersteund

@SanderBerkouwer

EMSSync en Primary ServersAzure AD Topologie

■ Azure AD is gebaseerd op ADLDS

■ Azure AD maakt gebruik van Primary en Secondary servers■ Objecten worden initieel slechts op Primary servers gecreëerd

■ Azure AD instances geografisch verspreid over datacenters■ Elk object leeft in minimaal drie datacenterparen

(Bijvoorbeeld West-Europe, North-Europe)

Initial Sync■ Initial Sync van Azure AD Sync vindt altijd plaats naar East-US

■ Na creatie objecten vindt sync plaats in Azure AD■ Naar datacenter van keuze (bijvoorbeeld West-Europe)

■ Naar een derde datacenter (voor redundantie)

@SanderBerkouwer

EMSCredentials en accountsAzure AD credentials

■ Specifieer een account met global administrator rol in Azure AD

■ Schakelt Sync in en creëert het Azure AD account voor Sync■ Azure Sync account heeft niet de global administrator rol in Azure AD

Express Settings: On-premises Active Directory credentials■ Specifieer een account dat lid is van Enterprise Admins

■ Creëert het AD Connector account en het lokale service account

■ Deelt de noodzakelijke permissies uit voor sync en password sync

Custom Settings: On-premises Active Directory credentials■ Gegevens worden hergebruikt voor het AD Connector account

■ Domain user is de minimum vereiste binnen wizard■ Password sync en write-back sync opties vereisen additionele permissies

■ Federatie op basis van AD FS inschakelen vereist AD domain admin ■ Deze gegevens worden slechts gebruikt voor configuratie

@SanderBerkouwer

EMSEMS

Azure AD Connect Health

@RonnydeJong

EMSAzure AD Connect Health■ Monitor de AD FS service voor

betrouwbare en beschikbareauthenticatie

■ Monitor de Sync service

■ E-mailnotificaties bij kritiekesituaties

■ Analyse van AD FS logins voor gebruiks- en capaciteitsplanninggebaseerd op app, authenticatie, netwerklocatie en fouten

■ Analyse van de Sync status

■ Voer forensische analyses uit op gebruikersaccounts en gedrag

■ Troubleshooten

@RonnydeJong

EMSAzure AD Connect AgentsAgent installaties

■ Download en installeer op alle AD FS Servers en Web Application Proxies

■ Ingebakken in Azure AD Connect *

De agent wordt lokaal uitgevoerd■ Vergaart gegevens

■ Voert configuratiechecks uit

Gegevens worden verstuurd naar de cloud■ URLs in Azure dienen beschikbaar te zijn vanaf de servers

■ Firewall dient uitgaand verkeer op TCP 5671 toe te staan

Health Service verwerkt de gegevens

Azure Portal toont de rapportage@RonnydeJong

EMSEMS

@RonnydeJong

EMSEMS

Concluderend

@SanderBerkouwer

EMSConcluderendAzure AD Connect vervangt DirSync

Azure AD Connect vervangt de Windows Azure AD Connector

Deze oplossingen kunnen gemigreerd worden

Azure AD Connect biedt Express Settings

Azure AD Connect biedt Custom Settings

Azure AD Connect Health biedt monitoring

■ Monitoring van de AD FS Servers en Web Application Proxies

■ Monitoring van de Azure AD Connect en -Sync implementatie

EMSEMS

Vragen?

@SanderBerkouwer

@RonnydeJong

@Experts_Live

#ExpertsLive

EMSEMS

Bedankt!

@SanderBerkouwer

@RonnydeJong

@Experts_Live

#ExpertsLive

EMS

Experts Live 2015 wordt mede mogelijk gemaakt door:

EMS

ExpertsLive App

EMS

AZURE

OFFICE 365

ENTERPRISE MOBILITY SUITE

OPERATIONS MANAGEMENT SUITE

AZURE STACK

HYPER-V

WINDOWS

Volgende sessie 11:30 – 12:30 uur

Publishing Applications with

Azure AD

Jan Vidar Elven