4.1 Integrate an Azure Active Directory (Azure AD) with existing directories

Implement Azure AD Connect and single sign-on with on-premises Windows Server 2012 R2, add custom domains, monitor Azure AD

4.1.1 Implement Azure AD Connect and single sign-on with on-premises Windows Server 2012 R2

Når vi skal integrere On-Premise kataloger med Azure Active Directory (Azure AD) bruker vi et verktøy fra Microsoft som heter Azure AD Connect. Dette verktøyet bidrar til at vi får en felles identitet i skyen og On-Premise for brukere enten det er Microsoft Azure, Office 365 eller SaaS-applikasjoner. Azure AD Connect er den beste metoden/verktøyet for å sette opp en kobling katalog i sky og på "jord", og det må nevnes at Microsoft har endret flere ganger og at den første utgaven het DirSync.

Hvis man har jobbet med sertifiseringen 70-346 for Office 365 har man vært innom dette tidligere. Derfor er dette punktet beskrevet i en annen Study Guide: https://www.penflip.com/Masdal/70-346-study-guide

4.1.1.1 Hva er Azure AD Connect?

Azure AD Connect består av tre hovedkomponenter.

Synchronization: Denne oppretter brukere, grupper eller andre objekter. Den er også ansvarlig for at informasjonen i disse objektene er lik mellom sky og On-Premise.
AD Federation Services: Føderasjon (eng. Federation) er valgfritt med Azure AD Connect, og kan benyttes for organisasjoner som bruker AD FS.
Health Monitoring: Kan gi oss god innsikt i synkroniseringen, og gjør det mulig å se dette fra Azure-portalen.

4.1.1.2 Prerequistes for Azure AD Connect

Vi skal nå se prosessen med å installere Azure AD Connect, men først må vi finne ut hvilke krav/forutsetninger vi trenger før vi kan sette opp synkronisering.

Azure AD

Azure Subscription: Enten Free Trial eller en betalt Subscription.
Enable Azure AD Premium: Gir oss flere muligheter enn vanlig. Kan benytte Free Trial her også.
Add Domain: Se 4.1.2 Add custom domains
Global Administrator: Oppretter en ny bruker som er Global Admin, siden den brukerne vi får under Free Trial ikke fungerer når vi prøver å koble oss til Azure Subscription.

On-Premise

On-Premise AD: Vi må ha en domenekontroller lokalt.
Azure AD Connect Server: Kan være på egen server, men legger denne på domenekontroller i mitt tilfelle.
IDFix: Må kan ta en helsesjekk av brukerne våre lokalt før vi starter synkronisering. Dette kan vi bruke IDFix til: https://support.office.com/en-us/article/Install-and-run-the-Office-365-IdFix-tool-f4bd2439-3e41-4169-99f6-3fabdfa326ac?ui=en-US&rs=en-US&ad=US
User Principal Name: Når man skal synkronisere On-premise AD og Azure AD, sammenligner man UPN (User Principal Name) og passordet til brukerne. Synkroniseringen skjer bare for brukere som er i et domene som er verifisert av Azure AD. Det betyr at domenet må være et gyldig internett domene (.no, .org, .com). Hvis man dermed har et non-routable domenenavn (.local), kan dette fikses med å legge til én eller flere UPN-suffix, eller vi kan endre det primære domenet. Å endre primærdomenet er en omfattende prosess, så det er lettere å legge til UPN-suffix. For å endre dette gjør man følgende:

Logger oss inn på server med AD DS og velger Tools > AD Domain and Trusts

Velger topp-nivået og Properties

Under fanen UPN Suffixes kan vi legge til et nytt domene. Jeg legger til mitt domene: mastech.no

Så må vi oppdatere UPN til å peke på det domenet vi nettopp la til. Dette gjør vi ved å gå inn på AD DS > AD Users and Computers > Velge en bruker > Properties > Fanen Account

Dette må gjøres for alle brukere som skal synkroniseres. Vi ønsker selvsagt ikke å bruke mye tid på å gjøre dette manuelt, så er kommer PowerShell godt med. Vi kan kjøre følgende script for å gjøre dette for flere brukere:

# Henter alle brukere med 'mastech.local'
$Users = Get-ADUser -Filter {UserPrincipalName -like '*mastech.local'} -Properties UserPrincipalName -ResultSize Unlimited

# Endrer UPN til 'mastech.no'
$Users | Foreach {
    Set-ADUser $_ -UserPrincipalName ("{0}@{1}" -f $_.Name, "mastech.no")
}

How to prepare a non-routable domain (such as .local domain) for directory synchronization: https://support.office.com/en-us/article/How-to-prepare-a-non-routable-domain-such-as-local-domain-for-directory-synchronization-e7968303-c234-46c4-b8b0-b5c93c6d57a7

Prerequisites for Azure AD Connect: https://docs.microsoft.com/nb-no/azure/active-directory/connect/active-directory-aadconnect-prerequisites

4.1.1.3 Installing Azure AD Connect

Når vi har gjort forberedelsene er vi klare for installasjon av Azure AD Connect. Dette gjøres ulikt basert på hvordan miljøet ditt ser ut fra før. Det finnes mange scenarioer, og de fleste er beskrevet her: https://docs.microsoft.com/nb-no/azure/active-directory/connect/active-directory-aadconnect-topologies

Med tanke på hvordan mitt lokale miljø ser ut (Single Domain, Single Forest) kunne jeg egentlig tatt Express Settings.

Men siden læremålet sier at vi skal enable Single Sign-On (SSO), må jeg bruke Custom Settings. https://docs.microsoft.com/nb-no/azure/active-directory/connect/active-directory-aadconnect-get-started-custom

Last ned Azure AD Connect: https://www.microsoft.com/en-us/download/details.aspx?id=47594
Installerer Azure AD Connect på Server, i mitt tilfelle blir det på domenekontroller.
Velger Custom Settings.
Under User Sign-In velger jeg Pass-through autentication og Enable single sign-on.

Kobler oss opp til Azure Subcription
Velger On-Premise AD Forest vi ønsker å synkronisere mot Azure AD. Dermed trenger vi å opprette en ny Service Account gjennom Azure AD Connect.

Venter på at domenet har blitt verifisert og matcher på User Principal Name (UPN).
Velger å synkronisere en egen OU hvor jeg har brukerne mine og ikke hele AD.
Går videre til Optional Features og huker av for Password synchronization + Password writeback
Skriver inn brukernavn og passord til den lokale domene-administrator under Single Sign-On.
Configurerer og starter en synkronisering med en gang.

Etter en liten stund kan vi se i Azure portalen at synkroniseringen er blitt vellykket og brukerne ligger under Users med riktig domene-navn: mastech.no

4.1.2 Add custom domains

Dette er en forutsetning for å kunne synkronsiere brukere mellom Azure AD og On-Premise AD. Kort oppsummert må man gjøre følgende:

Du må man ha et domene. Jeg harmastech.no.
Legge til domenet under Azure Active Directory i Azure portalen

Verifisere at du eier domenet med å legge inn TXT-record hos leverandøren av domenet ditt.
Vente til det er blitt verifisert og gjøre til Primary Domain.

MERK! Et domene kan bare være verifisert til en Azure AD. Jeg brukte mye tid på å finne ut hvilken Azure AD jeg hadde knyttet opp domenet mitt. Tilslutt fant jeg ut at det var knyttet til en gammel Office 365 Tenant som jeg brukte når jeg øvde til sertfiseringen. Så tips er å fjerne denne lenken etter man er ferdig med "Free Trial" Subscriptions.

Quickstart: Add a custom domain name to Azure Active Directory: https://docs.microsoft.com/nb-no/azure/active-directory/add-custom-domain

4.1.3 Monitor Azure AD

Azure Active Directory (Azure AD) Connect Health helps you monitor and gain insights into your on-premises identity infrastructure and the synchronization services. It enables you to maintain a reliable connection to Office 365 and Microsoft Online Services by providing monitoring capabilities for your key identity components such as Active Directory Federation Services (AD FS) servers, Azure AD Connect servers (also known as Sync Engine), Active Directory domain controllers, etc.

Som vi startet med i innledning av dette kapittelet er Monitorering av synkroniseringen innebygd i Azure AD Connect. Derfor er dette funksjonalitet man får ved å koble opp en lenke mellom Azure AD og On-Premise AD. Men det er også muligheter for å kunne sette opp Monitoring på Active Directory Federation Services (AD FS) eller Active Directory Domain Services (AD DS).

Monitor your on-premises identity infrastructure and synchronization services in the cloud: https://docs.microsoft.com/nb-no/azure/active-directory/connect-health/active-directory-aadconnect-health

4.1.3.1 Azure Active Directory Connect (Sync)

Dette ble etablert når vi opprettet synkronisering mellom Azure AD og On-Premise. Derfor eksisterer allerede Service på domenekontroller. Det er de to Azure AD Connect Health Sync som ble installert for dette formålet.

Og vi kan sjekke ut status på Azure AD Sync i Azure-portalen. Vi kan faktisk se vi har én Error. Denne sier oss at det var ett duplikat mellom Azure AD og On-Premise.

Derfor ble ikke denne brukeren synkronisert, siden UserPrincipalName er identisk. Derfor kan vi rydde opp i dette for å løse problemet.

Monitor Azure AD Connect sync with Azure AD Connect Health: https://docs.microsoft.com/nb-no/azure/active-directory/connect-health/active-directory-aadconnect-health-sync

4.1.3.2 Active Directory Federation Services (AD FS)

Siden jeg ikke har noe AD FS installert på mitt miljø, vil jeg ikke få installert monitorering av dette. Men prosessen er den samme som nedenfor, hvis det er installert.

Monitor AD FS using Azure AD Connect Health: https://docs.microsoft.com/nb-no/azure/active-directory/connect-health/active-directory-aadconnect-health-adfs

4.1.3.3 Active Directory Domain Services (AD DS)

Laster ned applikasjonen fra Azure-portalen

Installerer på domenekontroller

Under installsjon kobler vi opp mot Azure Subscription
Ser at det er blitt lagt til noen nye Services. Det er de to Azure AD Connect Health AD DS som ble installert.