Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Virtual Machines
Azure Virtual Network
Microsoft Entra ID
Microsoft Entra ID is een cloudgebaseerde directory- en identiteitsservice. Deze referentiearchitectuur bevat aanbevolen procedures voor het integreren van on-premises Active Directory-domeinen met Microsoft Entra ID om verificatie van cloudidentiteiten te bieden.
Architecture
Een Visio-bestand van deze architectuur downloaden.
Note
Ter vereenvoudiging toont dit diagram alleen de verbindingen die rechtstreeks zijn gerelateerd aan Microsoft Entra-id en niet protocolgerelateerd verkeer dat kan optreden als onderdeel van verificatie en identiteitsfederatie. Een webtoepassing kan bijvoorbeeld de webbrowser omleiden om de aanvraag te verifiëren via Microsoft Entra-id. Na verificatie kan de aanvraag worden doorgestuurd naar de webtoepassing, samen met de juiste identiteitsgegevens.
Components
Microsoft Entra-tenant: Een exemplaar van Microsoft Entra-id die door uw organisatie is gemaakt. Deze fungeert als een directoryservice voor cloudtoepassingen door objecten op te slaan die gekopieerd zijn uit de on-premises Active Directory en biedt identiteitsservices.
Subnet van weblaag: Dit subnet host virtuele machines (VM's) waarop een webtoepassing wordt uitgevoerd. Microsoft Entra ID fungeert als een identiteitsbroker voor deze toepassing.
On-premises AD DS-server (Active Directory Domain Services): Een on-premises adreslijst en identiteitsservice. De AD DS-directory kan worden gesynchroniseerd met Microsoft Entra ID om deze in te schakelen voor het verifiëren van on-premises gebruikers.
Microsoft Entra Connect Sync-server: Een on-premises computer waarop de Microsoft Entra Connect-synchronisatieservice wordt uitgevoerd. Deze service synchroniseert gegevens die zijn opgeslagen in de on-premises Active Directory met Microsoft Entra-id. Als u bijvoorbeeld gebruikers en groepen on-premises inricht of de inrichting ervan ongedaan wilt maken, worden deze wijzigingen automatisch gesynchroniseerd met Microsoft Entra-id.
Note
Om veiligheidsredenen slaat Microsoft Entra ID gebruikerswachtwoorden op als hashes. Als een gebruiker wachtwoordherstel vereist, moet de reset on-premises worden uitgevoerd en moet de bijgewerkte hash worden verzonden naar Microsoft Entra-id. Microsoft Entra ID P1- of P2-edities bevatten functies waarmee wachtwoordwijzigingen in de cloud kunnen worden gestart en vervolgens worden teruggeschreven naar de on-premises AD DS.
VM's voor toepassingen met N-lagen: VM's die schaalbare, tolerante en veilige toepassingen ondersteunen door workloads te scheiden in afzonderlijke lagen, zoals web, bedrijfslogica en gegevens. Zie N-tier-architectuur op VM's voor meer informatie over deze resources.
Scenario-details
Potentiële gebruikscases
Houd rekening met de volgende typische toepassingen voor deze referentiearchitectuur:
Webtoepassingen die zijn geïmplementeerd in Azure en die toegang bieden voor externe gebruikers die deel uitmaken van uw organisatie.
Het implementeren van selfservicemogelijkheden voor klanten, zoals het opnieuw instellen van hun wachtwoorden en het delegeren van groepsbeheer. Voor deze functionaliteit is Microsoft Entra ID P1 of P2 vereist.
Architecturen waarin het on-premises netwerk en het virtuele Azure-netwerk van de toepassing niet zijn verbonden met behulp van een VPN-tunnel of Een Azure ExpressRoute-circuit.
Note
Microsoft Entra ID kan de identiteit verifiëren van gebruikers en toepassingen die aanwezig zijn in de adreslijst van een organisatie. Voor sommige toepassingen en services, zoals SQL Server, is mogelijk computerverificatie vereist. In dat geval is deze oplossing niet geschikt.
Recommendations
U kunt de volgende aanbevelingen toepassen op de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.
Microsoft Entra Connect Sync-service configureren
De Microsoft Entra Connect Sync-service zorgt ervoor dat identiteitsgegevens die zijn opgeslagen in de cloud, consistent zijn met de identiteitsgegevens die on-premises zijn opgeslagen. U installeert deze service met behulp van de Microsoft Entra Connect-software.
Voordat u Microsoft Entra Connect Sync implementeert, moet u de synchronisatievereisten van uw organisatie bepalen. Denk bijvoorbeeld aan wat u wilt synchroniseren, welke domeinen moeten worden opgenomen en hoe vaak synchronisatie moet plaatsvinden.
U kunt de Microsoft Entra Connect Sync-service uitvoeren op een virtuele machine of een computer die on-premises wordt gehost. Afhankelijk van de volatiliteit van de informatie in uw Active Directory-directory, is de belasting van de Microsoft Entra Connect Sync-service waarschijnlijk niet hoog na de eerste synchronisatie met Microsoft Entra ID. Door de service uit te voeren op een virtuele machine is het eenvoudiger om de server te schalen, mocht dat nodig blijken. Bewaak de activiteit op de VIRTUELE machine, zoals beschreven in de sectie Bewakingsoverwegingen om te bepalen of schalen nodig is.
Als u meerdere on-premises domeinen in een forest hebt, raden we u aan informatie voor het hele forest op te slaan en te synchroniseren met één Microsoft Entra-tenant. Filter informatie voor identiteiten die voorkomen in meer dan één domein, zodat elke identiteit slechts één keer in Microsoft Entra-id wordt weergegeven in plaats van te worden gedupliceerd. Duplicatie kan leiden tot inconsistenties wanneer gegevens worden gesynchroniseerd. Zie de sectie Netwerktopologie valideren voor meer informatie.
Gebruik filters zodat alleen de benodigde gegevens worden opgeslagen in Microsoft Entra-id. Uw organisatie wil bijvoorbeeld geen informatie over inactieve accounts opslaan in Microsoft Entra-id. Filteren kan worden uitgevoerd op basis van een groep, domein, organisatie-eenheid of kenmerk. U kunt filters combineren om complexere regels te genereren. U kunt bijvoorbeeld objecten synchroniseren die zijn opgeslagen in een domein met een specifieke waarde in een geselecteerd kenmerk. Zie voor meer informatie Microsoft Entra Connect Sync: filtering configureren.
Voer een secundaire faseringsserver uit om hoge beschikbaarheid te implementeren voor de Active Directory Connect-synchronisatieservice. Zie faseringsmodus voor meer informatie.
Note
Microsoft Entra-cloudsynchronisatie is een aanbod van Microsoft dat is ontworpen om te voldoen aan uw hybride identiteitsdoelen voor synchronisatie van gebruikers, groepen en contactpersonen met Microsoft Entra ID. Met Microsoft Entra-cloudsynchronisatie wordt inrichting van Active Directory naar Microsoft Entra ID georganiseerd in Microsoft 365.
Beveiligingsconfiguratie en -beleid valideren
Gebruikerswachtwoordbeheer. De Microsoft Entra ID P1- of P2-edities ondersteunen het terugschrijven van wachtwoorden. Met deze functie kunnen uw on-premises gebruikers selfservice voor wachtwoordherstel uitvoeren vanuit Azure Portal. Deze functie moet alleen worden ingeschakeld nadat u het wachtwoordbeveiligingsbeleid van uw organisatie hebt bekeken. U kunt bijvoorbeeld beperken welke gebruikers hun wachtwoorden kunnen wijzigen en u kunt de ervaring voor wachtwoordbeheer aanpassen. Zie [De gebruikerservaring aanpassen voor selfservice voor wachtwoordherstel van Microsoft Entra] voor meer informatie.
Beveilig lokale toepassingen die extern toegankelijk zijn. Gebruik de Microsoft Entra-toepassingsproxy om beheerde toegang te bieden tot on-premises webtoepassingen voor gebruikers van buiten uw netwerk via Microsoft Entra-id. Alleen gebruikers met geldige referenties in uw Azure-directory zijn gemachtigd om de toepassing te gebruiken. Zie Toepassingsproxy inschakelen in Microsoft Entra ID voor meer informatie.
Controleer de Microsoft Entra-id actief op tekenen van verdachte activiteiten. Overweeg microsoft Entra ID P2-editie te gebruiken, waaronder Microsoft Entra ID Protection. ID Protection maakt gebruik van adaptieve machine learning-algoritmen en heuristiek om afwijkingen en risicogebeurtenissen te detecteren die erop kunnen wijzen dat een identiteit is aangetast. Het kan bijvoorbeeld ongebruikelijke activiteiten detecteren, zoals onregelmatige aanmeldingsactiviteiten, aanmeldingen van onbekende bronnen of van IP-adressen met verdachte activiteiten, of aanmeldingen van apparaten die mogelijk zijn geïnfecteerd. Identity Protection gebruikt deze gegevens om rapporten en waarschuwingen te genereren waarmee u deze risico-gebeurtenissen kunt onderzoeken en passende actie kunt ondernemen. Zie ID-beveiliging voor meer informatie.
U kunt de rapportagefunctie van Microsoft Entra ID in Azure Portal gebruiken om beveiligingsgerelateerde activiteiten in uw systeem te bewaken. Zie Microsoft Entra-bewaking en -status voor meer informatie over het gebruik van deze rapporten.
Netwerktopologie valideren
Configureer Microsoft Entra Connect om een topologie te implementeren die het meest overeenkomt met de vereisten van uw organisatie. Microsoft Entra Connect ondersteunt de volgende topologieën:
Eén forest, één Microsoft Entra-map: In deze topologie synchroniseert Microsoft Entra Connect objecten en identiteitsgegevens van een of meer domeinen in één on-premises forest in één Microsoft Entra-tenant. Deze topologie is de standaard implementatie door de snelle installatie van Microsoft Entra Connect.
Note
Gebruik niet meerdere Microsoft Entra Connect Sync-servers om verschillende domeinen in hetzelfde on-premises forest te verbinden met dezelfde Microsoft Entra-tenant. Deze configuratie is alleen geschikt als een van de servers wordt uitgevoerd in de faseringsmodus, zoals beschreven in de volgende sectie.
Meerdere forests, één Microsoft Entra-directory: In deze topologie synchroniseert Microsoft Entra Connect objecten en identiteitsgegevens van meerdere forests in één Microsoft Entra-tenant. Gebruik deze topologie als uw organisatie meer dan één lokaal forest heeft. U kunt identiteitsgegevens samenvoegen, zodat elke unieke gebruiker één keer wordt weergegeven in de directory van Microsoft Entra, zelfs als de gebruiker in meer dan één "forest" bestaat. Alle forests gebruiken dezelfde Microsoft Entra Connect Sync-server. De Microsoft Entra Connect Sync-server moet lid zijn van een domein en bereikbaar zijn vanuit alle forests. Zie Vereisten voor Microsoft Entra Connect voor meer informatie.
Note
Gebruik in deze topologie geen afzonderlijke Microsoft Entra Connect Sync-servers om elke on-premises forest te verbinden met één Microsoft Entra-tenant. Deze configuratie kan leiden tot dubbele identiteitsgegevens in Microsoft Entra-id als gebruikers aanwezig zijn in meer dan één forest.
Meerdere forests, afzonderlijke topologieën: Deze topologie voegt identiteitsgegevens van afzonderlijke forests samen in één Microsoft Entra-tenant en behandelt alle forests als afzonderlijke entiteiten. Deze topologie is handig als u forests van verschillende organisaties combineert en de identiteitsgegevens voor elke gebruiker in slechts één forest worden bewaard.
Note
Als de algemene adreslijsten in elk forest worden gesynchroniseerd, kan een gebruiker in het ene forest aanwezig zijn in een andere forest als contactpersoon. Dit gedrag kan optreden als uw organisatie GALSync heeft geïmplementeerd met Forefront Identity Manager 2010 of Microsoft Identity Manager 2016. In dit scenario kunt u opgeven dat gebruikers moeten worden geïdentificeerd door hun e-mailkenmerk . U kunt identiteiten ook vergelijken met behulp van de kenmerken ObjectSID en msExchMasterAccountSID . Deze methode is handig als u een of meer resource-forests hebt waarbij accounts zijn uitgeschakeld.
Faseringsserver: In deze configuratie voert u een tweede exemplaar van de Microsoft Entra Connect-synchronisatieserver parallel met de eerste uit. Deze structuur ondersteunt de volgende scenario's:
Hoge beschikbaarheid
Een nieuwe configuratie van de Microsoft Entra Connect Sync-server testen en implementeren
Introductie van een nieuwe server en het buiten gebruik stellen van een oude configuratie
In deze scenario's wordt het tweede exemplaar uitgevoerd in staging mode. De server registreert geïmporteerde objecten en synchronisatiegegevens in de database, maar geeft de gegevens niet door aan Microsoft Entra-id. Als u de faseringsmodus uitschakelt, begint de server met het schrijven van gegevens naar Microsoft Entra-id. Het voert ook wachtwoordterugschrijvingen uit in de on-premises directory's, indien van toepassing. Zie Microsoft Entra Connect Sync: Operationele taken en overwegingen voor meer informatie.
Meerdere Microsoft Entra-mappen: Doorgaans maakt u één Microsoft Entra-directory voor een organisatie. Maar er kunnen scenario's zijn waarin u gegevens moet partitioneren in afzonderlijke Microsoft Entra-mappen. Vermijd in dit geval synchronisatie- en wachtwoord terugschrijfproblemen door ervoor te zorgen dat elk object uit het on-premises forest slechts in één Microsoft Entra-map wordt weergegeven. Als u dit scenario wilt implementeren, configureert u afzonderlijke Microsoft Entra Connect Sync-servers voor elke Microsoft Entra-directory en gebruikt u filters, zodat elke Microsoft Entra Connect Sync-server werkt op een wederzijds exclusieve set objecten.
Zie Topologieën voor Microsoft Entra Connect voor meer informatie over deze topologieën.
Verificatiemethode voor gebruikers configureren
De Microsoft Entra Connect Sync-server configureert standaard wachtwoord-hashsynchronisatie tussen het on-premises domein en de Microsoft Entra-id. Bij de Microsoft Entra-service wordt ervan uitgegaan dat gebruikers zich verifiëren door hetzelfde wachtwoord op te geven dat ze on-premises gebruiken. Voor veel organisaties is deze strategie geschikt, maar u moet rekening houden met het bestaande beleid en de bestaande infrastructuur van uw organisatie. Houd rekening met de volgende factoren:
Het beveiligingsbeleid van uw organisatie kan het synchroniseren van wachtwoordhashes naar de cloud verbieden. In dit geval moet uw organisatie rekening houden met passthrough-verificatie.
Misschien wilt u gebruikers een naadloze eenmalige aanmelding (SSO) bieden bij het openen van cloudresources vanaf machines die gekoppeld zijn aan het domein op het bedrijfsnetwerk.
Uw organisatie heeft mogelijk al Active Directory Federation Services (AD FS) of een niet-Microsoft-federatieprovider geïmplementeerd. U kunt Microsoft Entra-id configureren voor het gebruik van deze infrastructuur om verificatie en eenmalige aanmelding te implementeren in plaats van wachtwoordgegevens in de cloud te gebruiken.
Zie de aanmeldingsopties van Microsoft Entra Connect voor meer informatie.
Configureren van de Microsoft Entra-toepassingsproxy
Gebruik De Microsoft Entra-id om toegang te bieden tot on-premises toepassingen.
Maak uw on-premises webtoepassingen beschikbaar met behulp van toepassingsproxyconnectors die door het Microsoft Entra-toepassingsproxyonderdeel worden beheerd. De toepassingsproxyconnector opent een uitgaande netwerkverbinding met de Microsoft Entra-toepassingsproxy. Aanvragen van externe gebruikers worden teruggeleid van Microsoft Entra ID via deze proxyverbinding met de web-apps. Deze configuratie verwijdert de noodzaak om binnenkomende poorten te openen in de on-premises firewall en vermindert de kwetsbaarheid voor aanvallen die door uw organisatie worden blootgesteld.
Zie Toepassingen publiceren met behulp van Microsoft Entra-toepassingsproxy voor meer informatie.
Synchronisatie van Microsoft Entra-objecten configureren
Met de standaardconfiguratie voor Microsoft Entra Connect worden objecten uit uw lokale Active Directory-adreslijst gesynchroniseerd op basis van de regels die zijn opgegeven in Microsoft Entra Connect Sync: de standaardconfiguratie begrijpen. Objecten die voldoen aan deze regels worden gesynchroniseerd, terwijl alle andere objecten worden genegeerd. Bekijk de volgende voorbeeldregels:
Gebruikersobjecten moeten een uniek kenmerk sourceAnchor hebben en het kenmerk accountEnabled moet worden ingevuld.
Gebruikersobjecten moeten een kenmerk sAMAccountName hebben en kunnen niet beginnen met de tekst Azure AD_ of MSOL_.
Microsoft Entra Connect past verschillende regels toe op de objecten Gebruiker, Contactpersoon, Groep, ForeignSecurityPrincipal en Computer. Gebruik de Editor voor synchronisatieregels die is geïnstalleerd met Microsoft Entra Connect als u de standaardset regels moet wijzigen.
U kunt ook uw eigen filters definiëren om de objecten te beperken die moeten worden gesynchroniseerd op basis van domein of organisatie-eenheid. U kunt ook complexere aangepaste filters implementeren.
Bewakingsagents configureren
De volgende agents die on-premises zijn geïnstalleerd, voeren gezondheidsmonitoring uit.
Microsoft Entra Connect installeert een agent die informatie over synchronisatiebewerkingen vastlegt. Gebruik de blade Microsoft Entra Connect Health in Azure Portal om de status en prestaties ervan te bewaken. Zie Microsoft Entra Connect Health gebruiken voor synchronisatie voor meer informatie.
Als u de status van de AD DS-domeinen en -mappen van Azure wilt bewaken, installeert u de Microsoft Entra Connect Health voor AD DS-agent op een computer binnen het on-premises domein. Gebruik de blade Microsoft Entra Connect Health in Azure Portal voor statuscontrole. Zie Microsoft Entra Connect Health gebruiken met AD DS voor meer informatie.
Installeer de Microsoft Entra Connect Health voor AD FS-agent om de status van services te bewaken die on-premises worden uitgevoerd en gebruik de blade Microsoft Entra Connect Health in Azure Portal om AD FS te bewaken. Zie Microsoft Entra Connect Health gebruiken met AD FS voor meer informatie.
Zie De installatie van de Microsoft Entra Connect Health-agent voor meer informatie.
Considerations
Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Well-Architected Framework voor meer informatie.
Reliability
Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Controlelijst ontwerpbeoordeling voor betrouwbaarheidvoor meer informatie.
De Microsoft Entra-service is geografisch gedistribueerd en wordt uitgevoerd in meerdere datacenters over de hele wereld met geautomatiseerde failover. Als een datacenter niet beschikbaar is, zorgt Microsoft Entra ID ervoor dat uw adreslijstgegevens beschikbaar zijn voor toegang tot minimaal twee geografisch gedistribueerde datacenters.
Note
De SERVICE Level Agreement (SLA) voor de Microsoft 365 Apps AD-laag en Premium-services garanderen ten minste 99,9% beschikbaarheid. Er is geen SLA voor de gratis laag van Microsoft Entra ID. Zie SLA voor Microsoft Entra ID voor meer informatie.
Overweeg om een tweede exemplaar van de Microsoft Entra Connect Sync-server in de faseringsmodus in te richten om de beschikbaarheid te verhogen.
Als u geen SQL Server Express LocalDB-exemplaar gebruikt dat bij Microsoft Entra Connect wordt geleverd, kunt u overwegen OM SQL-clustering te gebruiken om hoge beschikbaarheid te bereiken. Microsoft Entra Connect biedt geen ondersteuning voor oplossingen zoals spiegelen en AlwaysOn.
Zie Microsoft Entra Connect Sync: Operationele taken en overwegingen - Herstel na noodgeval voor andere overwegingen over het bereiken van hoge beschikbaarheid van de Microsoft Entra Connect-server en hoe u herstelt na een storing.
Security
Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie voor meer informatie controlelijst ontwerpbeoordeling voor Security.
Gebruik microsoft Entra-beheer voor voorwaardelijke toegang om verificatieaanvragen van onverwachte bronnen te weigeren:
Activeer Meervoudige Verificatie (MFA) van Microsoft Entra als een gebruiker verbinding probeert te maken vanaf een niet-vertrouwde locatie, zoals van internet in plaats van een vertrouwd netwerk.
Gebruik het platformtype van het apparaat van de gebruiker, zoals iOS, Android of Windows, om het toegangsbeleid voor toepassingen en functies te bepalen.
Noteer de ingeschakelde of uitgeschakelde status van apparaten van gebruikers. Neem deze informatie op in de controles van het toegangsbeleid. Als de telefoon van een gebruiker bijvoorbeeld verloren of gestolen is, moet deze worden opgenomen als uitgeschakeld om te voorkomen dat deze wordt gebruikt om toegang te krijgen.
Beheer gebruikerstoegang tot bronnen op basis van groepslidmaatschap. Gebruik dynamische lidmaatschapsregels van Microsoft Entra om groepsbeheer te vereenvoudigen.
Gebruik beleid op basis van risico's voor voorwaardelijke toegang met ID-beveiliging om geavanceerde beveiliging te bieden op basis van ongebruikelijke aanmeldingsactiviteiten of andere gebeurtenissen.
Zie Op risico gebaseerd toegangsbeleid voor meer informatie.
Kostenoptimalisatie
Kostenoptimalisatie richt zich op manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie controlelijst ontwerpbeoordeling voor kostenoptimalisatievoor meer informatie.
Gebruik de Azure-prijscalculator om een schatting van de kosten te maken.
Houd rekening met de volgende kostenoverwegingen:
Microsoft Entra Connect: De synchronisatiefunctie van Microsoft Entra Connect is beschikbaar in alle edities van Microsoft Entra ID.
Er zijn geen extra licentievereisten voor het gebruik van Microsoft Entra Connect. En deze is opgenomen in uw Azure-abonnement.
Zie voor prijsinformatie over de edities van Microsoft Entra ID Microsoft Entra-prijzen.
VMs voor N-Tier-toepassingen: Voor kosteninformatie over deze resources, zie architectuurrichtlijnen voor virtuele Azure-machines en schaalsets.
Operationele uitmuntendheid
Operational Excellence behandelt de operationele processen die een toepassing implementeren en deze in productie houden. Zie controlelijst ontwerpbeoordeling voor Operational Excellencevoor meer informatie.
Manageability
Er zijn twee aspecten voor het beheren van Microsoft Entra ID:
- Microsoft Entra-id beheren in de cloud
- De Microsoft Entra Connect Sync-servers onderhouden
Microsoft Entra ID biedt de volgende opties voor het beheren van domeinen en mappen in de cloud:
De Microsoft Graph PowerShell-module wordt gebruikt voor het uitvoeren van veelvoorkomende Microsoft Entra-beheertaken, zoals gebruikersbeheer, domeinbeheer en het configureren van eenmalige aanmelding.
De beheermodule Microsoft Entra in de Azure-portal biedt een interactieve beheeroverzicht van het directory. Hiermee kunt u ook de meeste aspecten van Microsoft Entra ID beheren en configureren.
Microsoft Entra Connect installeert de volgende hulpprogramma's voor het onderhouden van Microsoft Entra Connect Sync-services vanaf uw on-premises machines:
Met de Microsoft Entra Connect-console kunt u de configuratie van de Microsoft Entra Connect Sync-server wijzigen, aanpassen hoe synchronisatie plaatsvindt, faseringsmodus in- of uitschakelen en de aanmeldingsmodus van de gebruiker wijzigen. U kunt AD FS-aanmelding inschakelen met behulp van uw on-premises infrastructuur.
Synchronization Service Manager gebruikt het tabblad Operations in dit hulpprogramma om het synchronisatieproces te beheren en te detecteren of delen van het proces zijn mislukt. U kunt synchronisaties handmatig activeren met behulp van dit hulpprogramma. Op het tabblad Connectors kunt u de verbindingen beheren voor de domeinen waaraan de synchronisatie-engine is gekoppeld.
Met de editor voor synchronisatieregels kunt u aanpassen hoe objecten worden getransformeerd wanneer ze worden gekopieerd tussen een on-premises directory en Microsoft Entra-id. Met dit hulpprogramma kunt u extra kenmerken en objecten opgeven voor synchronisatie. Vervolgens worden filters geïmplementeerd om te bepalen welke objecten wel of niet moeten worden gesynchroniseerd. Zie Microsoft Entra Connect Sync voor meer informatie: Inzicht in de standaardconfiguratie en Microsoft Entra Connect Sync: Aanbevolen procedures voor het wijzigen van de standaardconfiguratie.
DevOps
Zie Operational Excellence in Deploy AD DS in een virtueel Azure-netwerk voor devOps-overwegingen.
Prestatie-efficiëntie
Prestatie-efficiëntie verwijst naar de mogelijkheid van uw workload om efficiënt te voldoen aan de behoeften van de gebruiker. Zie controlelijst ontwerpbeoordeling voor prestatie-efficiëntievoor meer informatie.
De Microsoft Entra-service ondersteunt schaalbaarheid op basis van replica's. Het heeft één primaire replica die schrijfbewerkingen verwerkt, en meerdere secundaire replica's die leesbewerkingen uitvoeren. Microsoft Entra ID leidt op transparante wijze pogingen tot schrijfbewerkingen die op secundaire replica's worden uitgevoerd om naar de primaire replica en onderhoudt de uiteindelijke consistentie. Alle wijzigingen in de primaire replica worden doorgegeven aan de secundaire replica's. Deze architectuur wordt effectief geschaald omdat de meeste bewerkingen die worden uitgevoerd op Microsoft Entra ID, leesbewerkingen zijn in plaats van schrijfbewerkingen. Zie De Architectuur van Microsoft Entra voor meer informatie.
Bepaal voor de Microsoft Entra Connect Sync-server hoeveel objecten u waarschijnlijk wilt synchroniseren vanuit uw lokale adreslijst. Als u minder dan 100.000 objecten hebt, kunt u de standaard sql Server Express LocalDB-software van Microsoft Entra Connect gebruiken. Als u een groter aantal objecten hebt, installeert u een productieversie van SQL Server. Voer vervolgens een aangepaste installatie van Microsoft Entra Connect uit en geef op dat deze een bestaand SQL Server-exemplaar moet gebruiken.
Contributors
Microsoft onderhoudt dit artikel. De volgende inzenders hebben dit artikel geschreven.
Hoofdauteur:
- Eric Woodruff | Producttechnisch specialist
Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.
Volgende stappen
- Bekijk topologieën voor Microsoft Entra Connect om ervoor te zorgen dat de hybride topologie voor Microsoft Entra Connect wordt geïmplementeerd in een ondersteunde configuratie.
- Meer informatie over het gebruik van de implementatie van voorwaardelijke toegang om de toegang tot uw toepassingen te beveiligen.
- Raadpleeg On-premises AD integreren met Microsoft Entra ID voor meer informatie over het leveren van AD DS in Azure als infrastructuur.
- Controleer de Microsoft Entra-toepassingsproxy als u Microsoft Entra-integraties wilt bieden met on-premises- of cloudinfrastructuur-als-een-diensttoepassingen.
- Overweeg de best practices voor identiteitsbeheer omdat identiteit het nieuwe controlevlak is voor beveiliging.
- Controleer beveiligde bevoegde toegang omdat voor het implementeren van deze oplossing zeer bevoegde accounts zijn vereist.