Bereiten Sie Azure Active Directory vor – SouToub


Azure-AnzeigeDas Vorbereiten von Azure Active Directory für die Integration in eine lokale Organisation ist nicht so kompliziert wie normalerweise dargestellt.… Tatsächlich ist es in zwei Phasen unterteilt: Vorbereitung der Cloud-Infrastruktur und Vorbereitung der lokalen Infrastruktur. In diesem Artikel werde ich detailliert auf den ersten Schritt eingehen und Ihnen Azure-Administratoren vorstellen (ja, es gibt derzeit mehrere).


Wenn Sie sich für das Thema Cloud-Technologien interessieren, empfehle ich, in meinem Blog auf das Cloud-Tag zu verweisen.


Vorbereiten von Azure Active Directory

Eine der wichtigsten Aufgaben bei der Vorbereitung von Azure AD ist das Erstellen und Überprüfen der Domäne Ihres Unternehmens. Dies sowie andere Aufgaben werden nachstehend erörtert.


UPD 24.11.2016: Informationen zum Einrichten Ihrer lokalen Infrastruktur finden Sie im nächsten Artikel – Lokale Infrastruktur und Azure AD.


Azure-Portal

Zum jetzigen Zeitpunkt das Azure-Portal hat zwei verschiedene Schnittstellen, die in ihrer Funktionalität am ähnlichsten sind, sich aber optisch grundlegend unterscheiden. Das alte Azure-Portal sieht folgendermaßen aus:

Bereiten Sie Azure Active Directory 01 vor

Und hier ist eine neue:

Bereiten Sie Azure Active Directory 02 vor

Es ist zu beachten, dass einige der Einstellungen auf der alten Schnittstelle einfacher durchzuführen sind. Im Folgenden werde ich auf die notwendigen Punkte eingehen.

AD-Verzeichnis und Organisationsdomäne

Wenn Sie Ihr Azure-Abonnement registrieren, wird automatisch ein Azure AD-Verzeichnis mit dem Namen erstellt Standardverzeichnis… Wenn Sie mit dem Namen nicht zufrieden sind, können Sie ihn umbenennen oder einfach löschen, was ich gerade getan habe. Dieses Verfahren ist schmerzlos und hat keine Auswirkungen auf die zukünftige Cloud / Hybrid-Infrastruktur.

Es sollte auch beachtet werden, dass eine technische AD-Domäne automatisch im Standardverzeichnis erstellt wird. Der Domainname entspricht dem Kontonamen (kann jedoch nur Buchstaben und Zahlen enthalten), für den Sie ein Azure-Abonnement registrieren (falls Sie noch keinen haben, besuchen Sie bitte die offizielle Website ) sowie den Namen .onmicrosoft.com. Wenn mein Konto beispielsweise esvasilyev heißt, lautet die technische Domäne esvasilyev.onmicrosoft.com. Da ich meine zukünftige Organisation bissquit.ru nennen möchte, wäre es für mich logischer, eine technische Domain bissquitru.onmicrosoft.com zu haben.

Erstellen Sie ein neues Azure AD-Verzeichnis

Beginnen wir mit der Erstellung eines neuen Verzeichnisses, indem wir das Standardverzeichnis löschen. Vorhandene löschen Standardverzeichnis Dies ist nur über die alte Azure-Oberfläche möglich (oder ich habe gerade nicht herausgefunden, wie es auf der neuen geht). Wählen Sie in der Liste links aus Active DirectoryLöschen Sie das Verzeichnis (dies kann lange dauern, worüber Sie gewarnt werden). Als nächstes erstellen wir eine neue:

Bereiten Sie Azure Active Directory 03 vor

Wir warten auf die Schöpfung. Damit ist die Arbeit mit Verzeichnissen abgeschlossen.

Hinzufügen der primären Domäne der Organisation

Wir aktualisieren die Azure-Seite und gehen auch zu Active DirectoryKlicken Sie auf das neu erstellte Verzeichnis und gehen Sie zu Domänen::

Bereiten Sie Azure Active Directory 04 vor

Fügen Sie eine benutzerdefinierte Domain hinzu:

Vorbereiten von Azure Active Directory 05

Sie müssen dieses Kontrollkästchen nicht aktivieren, da dies die Bereitstellung von AD FS in Ihrer Organisation impliziert. Nach dem Drücken der Taste hinzufügen Oben wird ein Fenster angezeigt:

Bereiten Sie Azure Active Directory 06 vor

Im nächsten Schritt müssen Sie den Besitz der neu erstellten Domain bestätigen. Sie können dies etwas später tun.

Bestätigung des Domainbesitzes

Wenn Sie in der vorherigen Phase den Assistenten zum Hinzufügen einer Domain nicht geschlossen haben, klicken Sie auf Des Weiteren (Pfeil rechts unten) und gehen Sie zur Phase der Domainbestätigung:

Bereiten Sie Azure Active Directory 07 vor

Das System muss sicherstellen, dass Sie der Eigentümer dieser Domain sind.

Um eine Domain zu bestätigen, müssen Sie im Admin-Bereich Ihres Registrars einen DNS-Eintrag erstellen (es wird davon ausgegangen, dass dies nur der Domaininhaber tun kann). Sobald der Datensatz erstellt wurde, müssen Sie auf seine Verteilung warten. Sie können dies mit dem bekannten nslookup überprüfen:

Bereiten Sie Azure Active Directory 08 vor

Grundsätzlich besteht die Möglichkeit, nichts in nslookup anzuzeigen, sondern einfach auf der Seite zum Hinzufügen einer Domain auf zu klicken Prüfen bis zu dem Moment, an dem die Inschrift oben nicht herauskommt:

Vorbereiten von Azure Active Directory 09

Schließen Sie danach das Fenster mit der Schaltfläche Fertigstellen (Häkchen unten rechts).

Sobald die Domain überprüft wurde, müssen Sie sie primär machen. Gehen Sie dazu zum Abschnitt Active DirectoryWechseln Sie in das zuvor erstellte Verzeichnis und überprüfen Sie die vorhandenen Domänen:

Bereiten Sie Azure Active Directory 11 vor

Unten befindet sich eine Schaltfläche Ändern der HauptdomäneKlicken Sie auf und sehen Sie das Fenster:

Vorbereiten von Azure Active Directory 12

drücken OK und wir warten darauf, dass Ihre Domain zur Hauptdomain wird. Dasselbe kann über die neue Azure-Oberfläche erfolgen, und die Verwaltungskonsole sieht dort moderner aus:

Vorbereiten von Azure Active Directory 13

Hinweis: Wenn Sie Probleme beim Zugriff auf das neu erstellte Verzeichnis über die neue Azure-Oberfläche haben, klicken Sie einfach oben rechts in Ihrem Konto auf und wählen Sie das gewünschte Verzeichnis aus:

Vorbereiten von Azure Active Directory 10

Wir haben ein neues Azure AD-Verzeichnis erstellt, die erforderliche Domäne hinzugefügt und jetzt ist es an der Zeit, einige der theoretischen Nuancen zu erläutern.

Warum brauche ich eine separate Public Domain?

Sie können eine technische Domäne verwenden, daran ist nichts beängstigend, aber eines muss geklärt werden. Der Punkt ist, dass die Authentifizierung bei Azure über eine E-Mail-Adresse wie ivan.ivanov@bissquitru.onmicrosoft.com erfolgt. Um die Vereinheitlichung und Bequemlichkeit für Benutzer zu gewährleisten, ist es logisch, dieselben Login-Passwort-Paare für die Authentifizierung sowohl in lokalen als auch in den Cloud-Ressourcen zu verwenden.

In diesem Fall muss die Domain in der E-Mail-Adresse weltweit eindeutig sein. Aus diesem Grund wird bissquitru.onmicrosoft.com standardmäßig ersetzt (nicht umsonst überprüft die Abbildung am Anfang des Artikels die Eindeutigkeit von die Domain bissquitru.onmicrosoft.com und setzt ein grünes Häkchen davor, wenn alles in Ordnung ist).

Ihre alten Anmeldungen verbleiben jedoch weiterhin in der lokalen Infrastruktur. Wie soll man in diesem Fall sein? Die Antwort ist einfach: Sie können ein zusätzliches UPN-Suffix hinzufügen und setzen Sie dieses Suffix in den Eigenschaften von Benutzerkonten auf das Hauptsuffix (für Massenänderungen kann dies natürlich mit einem Skript erfolgen). Es bleibt die Frage zu beantworten: Wird ein UPN-Suffix wie bissquitru.onmicrosoft.com zu Ihnen passen?

Persönlich bin ich nicht. Aus diesem Grund habe ich den Weg gewählt, eine neue Domain (bissquit.ru) zu kaufen, ein UPN-Suffix im lokalen AD zu erstellen und den Benutzernamen zu ändern. Wenn Sie bereits die Hauptdomäne der Organisation haben (die beispielsweise die offizielle Website des Unternehmens hostet), vereinfacht dies die Situation.

Ein bisschen voraus rennen

Ich möchte einen Punkt hervorheben: Die neu erstellte Organisationsdomäne ist, auch wenn sie mithilfe eines DNS-Eintrags bestätigt wurde, nicht die Hauptarbeitsdomäne, beispielsweise für Office365. Für Office365 müssen Sie die Konfiguration dieser Domäne abschließen. Dies erfolgt über das Office365-Portal … Dies wird in anderen Artikeln diskutiert.

Ich möchte auch sofort sagen, dass Sie sich nicht unter Ihrem üblichen Microsoft-Konto beim Office365-Portal anmelden können (auf dem Azure-Portal haben wir alles unter diesem Konto ausgeführt). Sie müssen ein separates Cloud-Konto in Azure AD und darunter erstellen es, um die Infrastruktur weiter zu konfigurieren.

Erstellen Sie ein globales Azure-Administratorkonto

Nun ist es an der Zeit, einen Benutzer mit der globalen Azure-Administratorrolle zu erstellen, mit dem ich weiterhin alle verbleibenden Aufgaben ausführen werde. Um ein Konto zu erstellen, gehen Sie zu Active Directory – Benutzer und Gruppen – Alle Benutzer – + Hinzufügen::

podgotovka-azure-active-directory-14

Es öffnet sich ein zusätzliches Fenster, in das Sie alle notwendigen Daten eingeben können. Zu diesem Zeitpunkt können Sie die Organisationsdomäne, die Sie manuell hinzugefügt haben, als Hauptdomäne verwenden (für mich ist es bissquit.ru):

podgotovka-azure-active-directory-15

drücken OK und Ein … kreieren… Der Benutzer wurde erstellt. Wenn Sie sich zum ersten Mal anmelden, müssen Sie Ihr Passwort ändern.

Wie viel kostet ein Abonnement?

Derzeit ist die Verwendung von Azure AD kostenlos (natürlich ohne zusätzliche Funktionen, z. B. die Multi-Faktor-Authentifizierung). Dies ist verständlich, da Azure AD selbst keinen wirklichen Vorteil hat, es sei denn, Sie verwenden Azure-Anwendungen, und dies kostet bereits Geld.

Sie können ein Testkonto registrieren und dafür 12.500 Rubel bekommen. um die Anwendungen und Funktionen zu testen, die Sie benötigen.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *