Date post: | 13-Apr-2017 |
Category: |
Documents |
Upload: | ronny-de-jong |
View: | 284 times |
Download: | 1 times |
EMS
AZURE
OFFICE 365
ENTERPRISE MOBILITY SUITE
OPERATIONS MANAGEMENT SUITE
AZURE STACK
HYPER-V
WINDOWS
Hybrid Identity in vier makkelijke
stappen
Ronny de Jong
Sander Berkouwer
EMS
Ronny de JongConsultant en MVP bij
INOVATIV Nederland
vTSP Enterprise Mobility
vTSP Windows 10
Blogger op ronnydejong.com
Community lead scug.nl
EMS
Sander BerkouwerMCSA, MCSE, MCITP, MCT,
Microsoft MVP sinds 2009
Blogger op dirteam.com
Identity consultant bij
INOVATIV Nederland
EMSAgendaIntroductie van Hybrid Identity
Azure AD Connect en -Sync
■ Upgraden van DirSync
■ Express Settings
■ Custom Settings
Azure AD Connect Health
■ Azure AD Connect Health for AD FS
■ Azure AD Connect Health for Sync
EMSHybrid Identity overzicht
Self-service Eenmaligeaanmelding
•••••••••••
Username
Eenduidigeconnectie
Cloud
SaaSAzure
Office 365Publiccloud
Other Directories
Windows ServerActive Directory
On-premises Microsoft Azure Active Directory
@RonnydeJong
EMSOn-premises? Off-premiseIDC predicts that 70 percent of organizations will embrace a
cloud-first strategy by 2016, getting there on their own pace
over a number of years, with many living in a hybrid
environment for quite some time. That flexibility— living in
both worlds—even with a cloud-first strategy, is
nonnegotiable.1
1 Source: IDC CIO Agenda Webinar, 2013.
@RonnydeJong
EMSHybrid Identity weer simpelAzure AD Connect■ Implementatie van
Hybrid Identity geconsolideerd in één stuk gereedschap
■ Implementatieworkflowsvoor de vaakst voorkomende identiteits-topologieën
■ Eén stuk gereedschap met onderliggende techniek voor alle ‘bridge’ methoden
@RonnydeJong
EMSMomenteel ondersteunde ToolsDirSync
■ Beschikbaar via Office365 portal
■ Nog geen aankondiging voor einde ondersteuning
■ Na aankondiging nog minimaal 1 jaar ondersteuning
Windows Azure AD Connector voor FIM en MIM■ Beschikbaar voor download
■ Nog geen aankondiging voor einde ondersteuning
Azure AD Connect en -Sync■ Standaard tool voor Hybrid Identity implementaties
■ Enige tool waarin wordt geïnvesteerd vanuit Microsoft
@RonnydeJong
EMSUpgrade vanaf DirSyncOrganisaties met minder dan 50.000 objecten
■ In-place upgrade ondersteund
■ Ondersteuning voor alle ‘custom’ configuraties
■ Geen ondersteuning voor eigen aanpassingen(bijvoorbeeld verwijderde attribute flows)
Organisaties met meer dan 50.000 objecten■ Side-by-side implementatie ondersteund
■ Exporteer de DirSync configuratie
■ Importeer de configuratie metAzureADConnect.exe /migrate ConfigFile
■ Voer een full import en full sync uit
■ De-installeer DirSync
■ Schakel Staging Mode uit op Azure AD Connect
@RonnydeJong
EMSHybrid Identity simpel maken
■ Eén tool ipv meerdere
tools om Hybrid
Identity te
implementeren
■ Vier keer klikken voor
Express Settings
■ Begin met één tool,
breid uit met AD FS, etc.
■ Custom settings
beschikbaar voor de
meeste topologieën
Azure AD Connect met Express Settings
EMSExpress SettingsFunctionaliteit
■ Een-weg object synchronisatie ■ met standaard synchronisatie regels
■ met standaard attributen (143)
■ Wachtwoord synchronisatie op basis OrgID hash
■ Zonder federatie
■ Azure AD Connect Health for Sync*
Topologie■ Geen hoge beschikbaarheid
■ Azure AD Sync en Azure AD Connect op hetzelfde systeem
■ Windows Internal Database (WID) op systeem volume
■ Automatisch gegenereerd synchronisatie account in AD
@RonnydeJong
EMSCustom SettingsCustom settings bieden de volgende mogelijkheden:
■ Ondersteuning voor multi-forest topologieën
■ Volledige SQL Server als Sync database
■ SQL Server Fail-over Cluster ondersteuning
■ Initiële groepsfiltering (handig voor een pilot)
■ Staging Mode (voor cold stand-by installaties)
■ Aanmelding met Federatie i.p.v. Password Sync
■ Ondersteuning voor Azure AD Premium features
■ Password write-back
■ Group write-back
■ Device write-back
■ Synchronisatie van eigen objectattributen
@SanderBerkouwer
EMSGeautomatiseerd, behalve…Voor alle scenario’s
■ Aanwezigheid van Office 365 / Azure AD (trial) abonnement
■ Configureer publiek DNS voor elk custom Azure AD domain
■ Gebruikersaccounts met publiek routeerbare UPNs (IdFix)
Voor scenario’s met AD FS■ SSL Certificaat, geïnstalleerd op alle STSs en Proxies
■ WinRM geconfigureerd op alle hosts
■ DNS records intern en extern voor de federation service name
Voor scenario’s met write-back■ Aanwezigheid van Azure AD Premium (trial) abonnement
■ Active Directory Domain Services voorbereid@SanderBerkouwer
EMSAD FS en/of Password SyncPassword Sync voldoet voor de meeste implementaties
Federatie met AD FS biedt meer mogelijkheden (optioneel)■ Voor organisaties die reeds AD FS geïmplementeerd hebben
■ Voor organisaties met stringente informatiebeveiligingseisen rondom wachtwoorden in de cloud
■ Voor organisaties die eenmalige aanmelding wensen op domain-joined apparaten en/of workplace-joined apparaten
■ Voor organisatie die functionaliteit zoeken:
■ On-premises Multi-factor Authentication of smart card support
■ Soft account lockout of Active Directory work hours support
■ Conditional access zowel on-premises als in de cloud
@SanderBerkouwer
EMSPassword Sync inschakelenVolg deze stappen om Password Sync in te schakelen:
■ Upgrade DirSync naar Azure AD Connect
■ Voer de volgende Windows PowerShell one-liners uit:
■ Voor inschakelen in de cloud:$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>“
Set-ADSyncAADPasswordSyncState -ConnectorName $aadConnector
-Enable
■ Voor inschakelen on-premises zijde (per forest):$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>“
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector
$adConnector -TargetConnector $aadConnector -Enable $true
@SanderBerkouwer
EMSPassword Sync internalsPassword Sync synchroniseert de OrgID hash van de NT hash
■ Wachtwoorden verlaten on-premises niet
■ On-premises wachtwoordbeleid blijft gelden■ Password complexity policy
■ Password expiration policy
Wachtwoorden zijn beschermd tegen Pass-the-Hash■ OrgIDhashes kunnen niet worden gebruikt om on-premises aan
te melden
Password Sync kan worden ingezet als fall-back voor AD FS■ Per domein in Azure AD kan worden geschakeld tussen AD FS en
Password Sync
@SanderBerkouwer
EMSPassword write-back
Azure AD
Tenant specific
endpoint, encrypted
connection from
password reset
endpoint on sync
service
Sync engine
Forest 1
Forest 2
@SanderBerkouwer
EMSMulti-forest topologieënVerschillende AD Forests
■ Elk object in elk forest verschijnt in Azure AD
AD Forests met GALSync■ Userobjecten en Contactobjecten
worden samengevoegd met met mail attribuut en verschijnen slechts één keer
AD account resource forests■ Enabled userobjecten en disabled
userobjecten worden samengevoegd met het objectSID en msExchMasterAccountSID attribuut
EMSSourceAnchor en
userPrincipalNameSourceAnchor (ImmutableID)
■ Immutable gedurende de gehele levensduur van een object
■ Kan niet worden veranderd na creatie in Azure AD
■ Slimme waarden: ObjectGUID, EmployeeID
■ Niet de meest briljante waarden: mail, userPrincipalName
userPrincipalName■ Houdt de userPrincipalName standaard, waar mogelijk
■ Gebruik van ander attribuut is niet ondersteund met Office 365
@SanderBerkouwer
EMSFilteren van objectenVoordelen
■ Evalueren van Azure AD en Office 365
■ Pilot-omgevingen
Filteropties■ Vanuit Active Directory voor users, groups en contacts
■ CloudFiltered set to TRUE if not in group
■ Toevoegen aan groep: verschijnen in Azure AD
■ Verwijderen uit groep: verwijderen uit Azure AD
■ Alleen directe groepslidmaatschappen geevalueerd
Verwijder het filter voor go-live■ Bij opnieuw uitvoeren van de wizard
@SanderBerkouwer
EMSOptionele features, Write-back
Password Write-back■ Wijzig wachtwoorden in Azure AD
■ On-premises wachtwoordbeleid van toepassing
■ Minimale en maximale wachtwoordduur
■ Minimale lengte van wachtwoord
■ Wachtwoordcomplexiteit
■ Onthouden wachtwoorden
■ Verificatie in on-premises Active Directory
User Write-back■ Nieuwe useraccounts in Azure AD verschijnen in AD
■ Kan niet worden gebruikt in combinatie met Password Sync *
@SanderBerkouwer
EMSOptionele features, Write-back
Group Write-back■ Groepen van Office 365 verschijnen in on-premises Exchange
■ Vereist Exchange Server 2013 CU8 of hoger on-premises
■ Groepen hebben hun oorsprong in Office 365
■ Groepen worden beheerd in Azure AD
■ Geen ondersteuning voor security of distribution groups
Device Write-back■ Azure-gebaseerde Device Registration Services (DRS)
■ Ondersteunt Windows 8.1, Windows 10, iOS en Android
■ Vereist Windows Server 2012 R2 schema (versie 69)
■ Vereist de Registed Devices container en -objecten
@SanderBerkouwer
EMSDevice write-back stappen1. Inschakelen
in Azure AD Portal
2. DNS configureren■ enterpriseregistration.domain.tld verwijst naar
enterpriseregistration.windows.net
3. Azure AD Connect configureren■ Uit de MSI: Voer ADSyncPrep.psm1 helper script uit
■ Kies AD FS als aanmeldmethode
■ Schakel device write-back in
4. Apparaten toevoegen aan Azure AD@SanderBerkouwer
EMSAD voorbereidenUpgrade Active Directory schema naar Windows Server 2012 R2 (69)
Pak AzureADConnect.msi uit of installeer deze
Voer vervolgens de volgende one-liners uit:
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"
Import-Module ActiveDirectory
$cred = Get-Credential
Voer de aanmeldgegevens in voor het AD Serviceaccount
Initialize-ADSyncDeviceWriteBack -DomainName domain.contoso.com-AdConnectorAccount $cred
@SanderBerkouwer
EMSOptionele features, extensiesVoordelen
■ Breng Active Directory attributen naar Azure AD
Opties■ Alleen attributen voor userobjecten en groepobjecten
■ Alleen single-valued attributen
■ Integer, LargeInteger, DateTime, Binary, Boolean en String waarden
Limieten ■ 100 extensieattribuutwaarden per object
■ 256 karakters per string extensieattribuutwaarde
■ 256 bytes per binary extensieattribuutwaarde
@SanderBerkouwer
EMSStaging ModeVoordelen
■ Een ingerichte Azure AD Connect implementatie als stand-by
■ Warme stand-by voor Disaster Recovery
■ Mogelijkheid om van Azure AD Sync server te migreren
■ Van DirSync naar Azure AD Connect
■ Van Windows Azure AD Connector (FIM) naar Azure AD Connect
Staging Mode specifics■ Servers in Staging Mode exporteren niet
■ Servers in Staging Mode gebruiken eigen service accounts
■ Servers in Staging Mode synchroniseren geen rules
@SanderBerkouwer
EMSOpnieuw…Voordelen
■ Snel synchronisatieopties instellen
■ Group filter(s) verwijderen
■ Staging Mode in- of uitschakelen
■ Write-back opties in- of uitschakelen
■ Additionele domeinen toevoegen
■ Active Directory forests voor Sync
■ Domeinen voor federatie
■ AD FS Servers en/of Web App Proxies toevoegen
@SanderBerkouwer
EMSHoog beschikbaarheidAzure AD Connect is niet hoog beschikbaar
■ Azure AD Sync is technisch vergelijkbaar met FIM Sync■ Slechts één Sync installatie per Azure AD Connect
■ Installatie niet mogelijk op Windows Failover Cluster
■ Eén actieve Azure AD Sync per Azure AD tenant ondersteund
■ “Oplossing is Staging Mode”■ Staging Mode biedt hoogstens een fall-back oplossing
■ Downtime afhankelijk van detectie en response beheerders
SQL Server voor Azure AD Sync■ Standalone SQL Servers ondersteund
■ SQL Server Failover Cluster ondersteund■ AlwaysOn en Log shipping modi niet ondersteund
@SanderBerkouwer
EMSSync en Primary ServersAzure AD Topologie
■ Azure AD is gebaseerd op ADLDS
■ Azure AD maakt gebruik van Primary en Secondary servers■ Objecten worden initieel slechts op Primary servers gecreëerd
■ Azure AD instances geografisch verspreid over datacenters■ Elk object leeft in minimaal drie datacenterparen
(Bijvoorbeeld West-Europe, North-Europe)
Initial Sync■ Initial Sync van Azure AD Sync vindt altijd plaats naar East-US
■ Na creatie objecten vindt sync plaats in Azure AD■ Naar datacenter van keuze (bijvoorbeeld West-Europe)
■ Naar een derde datacenter (voor redundantie)
@SanderBerkouwer
EMSCredentials en accountsAzure AD credentials
■ Specifieer een account met global administrator rol in Azure AD
■ Schakelt Sync in en creëert het Azure AD account voor Sync■ Azure Sync account heeft niet de global administrator rol in Azure AD
Express Settings: On-premises Active Directory credentials■ Specifieer een account dat lid is van Enterprise Admins
■ Creëert het AD Connector account en het lokale service account
■ Deelt de noodzakelijke permissies uit voor sync en password sync
Custom Settings: On-premises Active Directory credentials■ Gegevens worden hergebruikt voor het AD Connector account
■ Domain user is de minimum vereiste binnen wizard■ Password sync en write-back sync opties vereisen additionele permissies
■ Federatie op basis van AD FS inschakelen vereist AD domain admin ■ Deze gegevens worden slechts gebruikt voor configuratie
@SanderBerkouwer
EMSAzure AD Connect Health■ Monitor de AD FS service voor
betrouwbare en beschikbareauthenticatie
■ Monitor de Sync service
■ E-mailnotificaties bij kritiekesituaties
■ Analyse van AD FS logins voor gebruiks- en capaciteitsplanninggebaseerd op app, authenticatie, netwerklocatie en fouten
■ Analyse van de Sync status
■ Voer forensische analyses uit op gebruikersaccounts en gedrag
■ Troubleshooten
@RonnydeJong
EMSAzure AD Connect AgentsAgent installaties
■ Download en installeer op alle AD FS Servers en Web Application Proxies
■ Ingebakken in Azure AD Connect *
De agent wordt lokaal uitgevoerd■ Vergaart gegevens
■ Voert configuratiechecks uit
Gegevens worden verstuurd naar de cloud■ URLs in Azure dienen beschikbaar te zijn vanaf de servers
■ Firewall dient uitgaand verkeer op TCP 5671 toe te staan
Health Service verwerkt de gegevens
Azure Portal toont de rapportage@RonnydeJong
EMSConcluderendAzure AD Connect vervangt DirSync
Azure AD Connect vervangt de Windows Azure AD Connector
Deze oplossingen kunnen gemigreerd worden
Azure AD Connect biedt Express Settings
Azure AD Connect biedt Custom Settings
Azure AD Connect Health biedt monitoring
■ Monitoring van de AD FS Servers en Web Application Proxies
■ Monitoring van de Azure AD Connect en -Sync implementatie