1. EMS
AZURE
OFFICE 365
ENTERPRISE MOBILITY SUITE
OPERATIONS MANAGEMENT SUITE
AZURE STACK
HYPER-V
WINDOWS
Hybrid Identity in vier makkelijke
stappen
Ronny de Jong
Sander Berkouwer

2. EMS
Ronny de Jong
Consultant en MVP bij
INOVATIV Nederland
vTSP Enterprise Mobility
vTSP Windows 10
Blogger op ronnydejong.com
Community lead scug.nl

3. EMS
Sander Berkouwer
MCSA, MCSE, MCITP, MCT,
Microsoft MVP sinds 2009
Blogger op dirteam.com
Identity consultant bij
INOVATIV Nederland

4. EMS
Agenda
Introductie van Hybrid Identity
Azure AD Connect en -Sync
■ Upgraden van DirSync
■ Express Settings
■ Custom Settings
Azure AD Connect Health
■ Azure AD Connect Health for AD FS
■ Azure AD Connect Health for Sync

5. EMSEMS
Hybrid Identity,
Een korte introductie
@RonnydeJong

6. EMS
Hybrid Identity, tot voor kort
@RonnydeJong

7. EMS
Hybrid Identity overzicht
Self-service Eenmalige
aanmelding
•••••••••••
Username
Eenduidige
connectie
Cloud
SaaS
Azure
Office 365Public
cloud
Other
Directories
Windows Server
Active Directory
On-premises Microsoft Azure Active Directory
@RonnydeJong

8. EMS
On-premises? Off-premise
IDC predicts that 70 percent of organizations will embrace a
cloud-first strategy by 2016, getting there on their own pace
over a number of years, with many living in a hybrid
environment for quite some time. That flexibility— living in
both worlds—even with a cloud-first strategy, is
nonnegotiable.1
1 Source: IDC CIO Agenda Webinar, 2013.
@RonnydeJong

9. EMSEMS
Azure AD Connect en -Sync
@RonnydeJong

10. EMS
Hybrid Identity weer simpel
Azure AD Connect
■ Implementatie van
Hybrid Identity
geconsolideerd in één
stuk gereedschap
■ Implementatieworkflows
voor de vaakst
voorkomende identiteits-
topologieën
■ Eén stuk gereedschap
met onderliggende
techniek voor alle
‘bridge’ methoden
@RonnydeJong

11. EMS
Momenteel ondersteunde Tools
DirSync
■ Beschikbaar via Office365 portal
■ Nog geen aankondiging voor einde ondersteuning
■ Na aankondiging nog minimaal 1 jaar ondersteuning
Windows Azure AD Connector voor FIM en MIM
■ Beschikbaar voor download
■ Nog geen aankondiging voor einde ondersteuning
Azure AD Connect en -Sync
■ Standaard tool voor Hybrid Identity implementaties
■ Enige tool waarin wordt geïnvesteerd vanuit Microsoft
@RonnydeJong

12. EMS
Upgrade vanaf DirSync
Organisaties met minder dan 50.000 objecten
■ In-place upgrade ondersteund
■ Ondersteuning voor alle ‘custom’ configuraties
■ Geen ondersteuning voor eigen aanpassingen
(bijvoorbeeld verwijderde attribute flows)
Organisaties met meer dan 50.000 objecten
■ Side-by-side implementatie ondersteund
■ Exporteer de DirSync configuratie
■ Importeer de configuratie met
AzureADConnect.exe /migrate ConfigFile
■ Voer een full import en full sync uit
■ De-installeer DirSync
■ Schakel Staging Mode uit op Azure AD Connect
@RonnydeJong

13. EMSEMS
Azure AD Connect en -Sync
Express settings
@RonnydeJong

14. EMS
Hybrid Identity simpel maken
■ Eén tool ipv meerdere
tools om Hybrid
Identity te
implementeren
■ Vier keer klikken voor
Express Settings
■ Begin met één tool,
breid uit met AD FS, etc.
■ Custom settings
beschikbaar voor de
meeste topologieën
Azure AD Connect met Express Settings

15. EMSEMS
Demo
@RonnydeJong

16. EMS
Express Settings
Functionaliteit
■ Een-weg object synchronisatie
■ met standaard synchronisatie regels
■ met standaard attributen (143)
■ Wachtwoord synchronisatie op basis OrgID hash
■ Zonder federatie
■ Azure AD Connect Health for Sync*
Topologie
■ Geen hoge beschikbaarheid
■ Azure AD Sync en Azure AD Connect op hetzelfde systeem
■ Windows Internal Database (WID) op systeem volume
■ Automatisch gegenereerd synchronisatie account in AD
@RonnydeJong

17. EMSEMS
Bedankt!
@SanderBerkouwer
@RonnydeJong
@Experts_Live
#ExpertsLive

18. EMSEMS
Azure AD Connect en -Sync
Custom Settings
@SanderBerkouwer

19. EMS
Custom Settings
Custom settings bieden de volgende mogelijkheden:
■ Ondersteuning voor multi-forest topologieën
■ Volledige SQL Server als Sync database
■ SQL Server Fail-over Cluster ondersteuning
■ Initiële groepsfiltering (handig voor een pilot)
■ Staging Mode (voor cold stand-by installaties)
■ Aanmelding met Federatie i.p.v. Password Sync
■ Ondersteuning voor Azure AD Premium features
■ Password write-back
■ Group write-back
■ Device write-back
■ Synchronisatie van eigen objectattributen
@SanderBerkouwer

20. EMS
Geautomatiseerd, behalve…
Voor alle scenario’s
■ Aanwezigheid van Office 365 / Azure AD (trial) abonnement
■ Configureer publiek DNS voor elk custom Azure AD domain
■ Gebruikersaccounts met publiek routeerbare UPNs (IdFix)
Voor scenario’s met AD FS
■ SSL Certificaat, geïnstalleerd op alle STSs en Proxies
■ WinRM geconfigureerd op alle hosts
■ DNS records intern en extern voor de federation service name
Voor scenario’s met write-back
■ Aanwezigheid van Azure AD Premium (trial) abonnement
■ Active Directory Domain Services voorbereid
@SanderBerkouwer

21. EMS
Sectie User sign-in
@SanderBerkouwer

22. EMS
Sectie User sign-in
@SanderBerkouwer

23. EMS
Sectie User sign-in
@SanderBerkouwer

24. EMS
AD FS en/of Password Sync
Password Sync voldoet voor de meeste implementaties
Federatie met AD FS biedt meer mogelijkheden (optioneel)
■ Voor organisaties die reeds AD FS geïmplementeerd hebben
■ Voor organisaties met stringente informatiebeveiligingseisen
rondom wachtwoorden in de cloud
■ Voor organisaties die eenmalige aanmelding wensen op domain-
joined apparaten en/of workplace-joined apparaten
■ Voor organisatie die functionaliteit zoeken:
■ On-premises Multi-factor Authentication of smart card support
■ Soft account lockout of Active Directory work hours support
■ Conditional access zowel on-premises als in de cloud
@SanderBerkouwer

25. EMS
Password Sync inschakelen
Volg deze stappen om Password Sync in te schakelen:
■ Upgrade DirSync naar Azure AD Connect
■ Voer de volgende Windows PowerShell one-liners uit:
■ Voor inschakelen in de cloud:
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>“
Set-ADSyncAADPasswordSyncState -ConnectorName $aadConnector
-Enable
■ Voor inschakelen on-premises zijde (per forest):
$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>“
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector
$adConnector -TargetConnector $aadConnector -Enable $true
@SanderBerkouwer

26. EMS
Password Sync internals
Password Sync synchroniseert de OrgID hash van de NT hash
■ Wachtwoorden verlaten on-premises niet
■ On-premises wachtwoordbeleid blijft gelden
■ Password complexity policy
■ Password expiration policy
Wachtwoorden zijn beschermd tegen Pass-the-Hash
■ OrgIDhashes kunnen niet worden gebruikt om on-premises aan
te melden
Password Sync kan worden ingezet als fall-back voor AD FS
■ Per domein in Azure AD kan worden geschakeld tussen AD FS en
Password Sync
@SanderBerkouwer

27. EMS
Password Sync
Forest 1
Azure AD
Sync engineagent(s)
Forest 2
@SanderBerkouwer

28. EMS
Password write-back
Azure AD
Tenant specific
endpoint, encrypted
connection from
password reset
endpoint on sync
service
Sync engine
Forest 1
Forest 2
@SanderBerkouwer

29. EMS
@SanderBerkouwer

30. EMS
Multi-forest topologieën
Verschillende AD Forests
■ Elk object in elk forest verschijnt in
Azure AD
AD Forests met GALSync
■ Userobjecten en Contactobjecten
worden samengevoegd met met mail
attribuut en verschijnen slechts één
keer
AD account resource forests
■ Enabled userobjecten en disabled
userobjecten worden samengevoegd
met het objectSID en
msExchMasterAccountSID attribuut

31. EMSSourceAnchor en
userPrincipalName
SourceAnchor (ImmutableID)
■ Immutable gedurende de gehele levensduur van een object
■ Kan niet worden veranderd na creatie in Azure AD
■ Slimme waarden: ObjectGUID, EmployeeID
■ Niet de meest briljante waarden: mail, userPrincipalName
userPrincipalName
■ Houdt de userPrincipalName standaard, waar mogelijk
■ Gebruik van ander attribuut is niet ondersteund met Office 365
@SanderBerkouwer

32. EMS
@SanderBerkouwer

33. EMS
Filteren van objecten
Voordelen
■ Evalueren van Azure AD en Office 365
■ Pilot-omgevingen
Filteropties
■ Vanuit Active Directory voor users, groups en contacts
■ CloudFiltered set to TRUE if not in group
■ Toevoegen aan groep: verschijnen in Azure AD
■ Verwijderen uit groep: verwijderen uit Azure AD
■ Alleen directe groepslidmaatschappen geevalueerd
Verwijder het filter voor go-live
■ Bij opnieuw uitvoeren van de wizard
@SanderBerkouwer

34. EMS
@SanderBerkouwer

35. EMSOptionele features, Write-back
Password Write-back
■ Wijzig wachtwoorden in Azure AD
■ On-premises wachtwoordbeleid van toepassing
■ Minimale en maximale wachtwoordduur
■ Minimale lengte van wachtwoord
■ Wachtwoordcomplexiteit
■ Onthouden wachtwoorden
■ Verificatie in on-premises Active Directory
User Write-back
■ Nieuwe useraccounts in Azure AD verschijnen in AD
■ Kan niet worden gebruikt in combinatie met Password Sync *
@SanderBerkouwer

36. EMSOptionele features, Write-back
Group Write-back
■ Groepen van Office 365 verschijnen in on-premises Exchange
■ Vereist Exchange Server 2013 CU8 of hoger on-premises
■ Groepen hebben hun oorsprong in Office 365
■ Groepen worden beheerd in Azure AD
■ Geen ondersteuning voor security of distribution groups
Device Write-back
■ Azure-gebaseerde Device Registration Services (DRS)
■ Ondersteunt Windows 8.1, Windows 10, iOS en Android
■ Vereist Windows Server 2012 R2 schema (versie 69)
■ Vereist de Registed Devices container en -objecten
@SanderBerkouwer

37. EMS
Device write-back stappen
1. Inschakelen
in Azure AD Portal
2. DNS configureren
■ enterpriseregistration.domain.tld verwijst naar
enterpriseregistration.windows.net
3. Azure AD Connect configureren
■ Uit de MSI: Voer ADSyncPrep.psm1 helper script uit
■ Kies AD FS als aanmeldmethode
■ Schakel device write-back in
4. Apparaten toevoegen aan Azure AD
@SanderBerkouwer

38. EMS
AD voorbereiden
Upgrade Active Directory schema naar Windows Server 2012 R2 (69)
Pak AzureADConnect.msi uit of installeer deze
Voer vervolgens de volgende one-liners uit:
Import-Module "C:Program FilesMicrosoft Azure Active Directory
ConnectAdPrepAdSyncPrep.psm1"
Import-Module ActiveDirectory
$cred = Get-Credential
Voer de aanmeldgegevens in voor het AD Serviceaccount
Initialize-ADSyncDeviceWriteBack -DomainName domain.contoso.com
-AdConnectorAccount $cred
@SanderBerkouwer

39. EMSOptionele features, extensies
Voordelen
■ Breng Active Directory attributen naar Azure AD
Opties
■ Alleen attributen voor userobjecten en groepobjecten
■ Alleen single-valued attributen
■ Integer, LargeInteger, DateTime, Binary, Boolean en String
waarden
Limieten
■ 100 extensieattribuutwaarden per object
■ 256 karakters per string extensieattribuutwaarde
■ 256 bytes per binary extensieattribuutwaarde
@SanderBerkouwer

40. EMS
@SanderBerkouwer

41. EMS
Staging Mode
Voordelen
■ Een ingerichte Azure AD Connect implementatie als stand-by
■ Warme stand-by voor Disaster Recovery
■ Mogelijkheid om van Azure AD Sync server te migreren
■ Van DirSync naar Azure AD Connect
■ Van Windows Azure AD Connector (FIM) naar Azure AD Connect
Staging Mode specifics
■ Servers in Staging Mode exporteren niet
■ Servers in Staging Mode gebruiken eigen service accounts
■ Servers in Staging Mode synchroniseren geen rules
@SanderBerkouwer

42. EMS
Opnieuw…
Voordelen
■ Snel synchronisatieopties instellen
■ Group filter(s) verwijderen
■ Staging Mode in- of uitschakelen
■ Write-back opties in- of uitschakelen
■ Additionele domeinen toevoegen
■ Active Directory forests voor Sync
■ Domeinen voor federatie
■ AD FS Servers en/of Web App Proxies toevoegen
@SanderBerkouwer

43. EMSEMS
Demo
@RonnydeJong

44. EMSEMS
De praktijk van
Azure AD Connect
@SanderBerkouwer

45. EMS
Hoog beschikbaarheid
Azure AD Connect is niet hoog beschikbaar
■ Azure AD Sync is technisch vergelijkbaar met FIM Sync
■ Slechts één Sync installatie per Azure AD Connect
■ Installatie niet mogelijk op Windows Failover Cluster
■ Eén actieve Azure AD Sync per Azure AD tenant ondersteund
■ “Oplossing is Staging Mode”
■ Staging Mode biedt hoogstens een fall-back oplossing
■ Downtime afhankelijk van detectie en response beheerders
SQL Server voor Azure AD Sync
■ Standalone SQL Servers ondersteund
■ SQL Server Failover Cluster ondersteund
■ AlwaysOn en Log shipping modi niet ondersteund
@SanderBerkouwer

46. EMS
Sync en Primary Servers
Azure AD Topologie
■ Azure AD is gebaseerd op ADLDS
■ Azure AD maakt gebruik van Primary en Secondary servers
■ Objecten worden initieel slechts op Primary servers gecreëerd
■ Azure AD instances geografisch verspreid over datacenters
■ Elk object leeft in minimaal drie datacenterparen
(Bijvoorbeeld West-Europe, North-Europe)
Initial Sync
■ Initial Sync van Azure AD Sync vindt altijd plaats naar East-US
■ Na creatie objecten vindt sync plaats in Azure AD
■ Naar datacenter van keuze (bijvoorbeeld West-Europe)
■ Naar een derde datacenter (voor redundantie)
@SanderBerkouwer

47. EMS
Credentials en accounts
Azure AD credentials
■ Specifieer een account met global administrator rol in Azure AD
■ Schakelt Sync in en creëert het Azure AD account voor Sync
■ Azure Sync account heeft niet de global administrator rol in Azure AD
Express Settings: On-premises Active Directory credentials
■ Specifieer een account dat lid is van Enterprise Admins
■ Creëert het AD Connector account en het lokale service account
■ Deelt de noodzakelijke permissies uit voor sync en password sync
Custom Settings: On-premises Active Directory credentials
■ Gegevens worden hergebruikt voor het AD Connector account
■ Domain user is de minimum vereiste binnen wizard
■ Password sync en write-back sync opties vereisen additionele permissies
■ Federatie op basis van AD FS inschakelen vereist AD domain admin
■ Deze gegevens worden slechts gebruikt voor configuratie
@SanderBerkouwer

48. EMSEMS
Azure AD Connect Health
@RonnydeJong

49. EMS
Azure AD Connect Health
■ Monitor de AD FS service voor
betrouwbare en beschikbare
authenticatie
■ Monitor de Sync service
■ E-mailnotificaties bij kritieke
situaties
■ Analyse van AD FS logins voor
gebruiks- en capaciteitsplanning
gebaseerd op app, authenticatie,
netwerklocatie en fouten
■ Analyse van de Sync status
■ Voer forensische analyses uit op
gebruikersaccounts en gedrag
■ Troubleshooten
@RonnydeJong

50. EMS
Azure AD Connect Agents
Agent installaties
■ Download en installeer op alle AD FS Servers en Web Application Proxies
■ Ingebakken in Azure AD Connect *
De agent wordt lokaal uitgevoerd
■ Vergaart gegevens
■ Voert configuratiechecks uit
Gegevens worden verstuurd naar de cloud
■ URLs in Azure dienen beschikbaar te zijn vanaf de servers
■ Firewall dient uitgaand verkeer op TCP 5671 toe te staan
Health Service verwerkt de gegevens
Azure Portal toont de rapportage
@RonnydeJong

51. EMSEMS
@RonnydeJong

52. EMSEMS
Concluderend
@SanderBerkouwer

53. EMS
Concluderend
Azure AD Connect vervangt DirSync
Azure AD Connect vervangt de Windows Azure AD Connector
Deze oplossingen kunnen gemigreerd worden
Azure AD Connect biedt Express Settings
Azure AD Connect biedt Custom Settings
Azure AD Connect Health biedt monitoring
■ Monitoring van de AD FS Servers en Web Application Proxies
■ Monitoring van de Azure AD Connect en -Sync implementatie

54. EMSEMS
Vragen?
@SanderBerkouwer
@RonnydeJong
@Experts_Live
#ExpertsLive

55. EMSEMS
Bedankt!
@SanderBerkouwer
@RonnydeJong
@Experts_Live
#ExpertsLive

56. EMS
Experts Live 2015 wordt mede mogelijk gemaakt door:

57. EMS
ExpertsLive App

58. EMS
AZURE
OFFICE 365
ENTERPRISE MOBILITY SUITE
OPERATIONS MANAGEMENT SUITE
AZURE STACK
HYPER-V
WINDOWS
Volgende sessie 11:30 – 12:30 uur
Publishing Applications with
Azure AD
Jan Vidar Elven