Gebruikers en groepen beheren in (Azure) Active Directory? – mailbox – aanmaken
Gebruikers en groepen kan je beheren in Active Directory of in Azure Directory. In deze blog leg ik enkele basisprincipes uit. Daarna leg ik uit hoe je zelf aan de slag kan met groepen en gebruikers.
Wat is Azure Active Directory?
Ze hebben een soortgelijke naam, maar Azure AD is geen cloudversie van Windows Server Active Directory. Het is ook niet bedoeld als een volledige vervanging voor een on-premises Active Directory. Als je al een Windows AD-server gebruikt, kan je deze verbinden met Microsoft Azure Active Directory om je directory uit te breiden naar Azure. Met deze aanpak kunnen gebruikers dezelfde referenties (gebruikersnaam en wachtwoord) gebruiken om toegang te krijgen tot lokale en cloudresources.
Een gebruiker kan Azure AD ook onafhankelijk van Windows AD gebruiken. Kleinere bedrijven kunnen Azure AD gebruiken als enige directoryservice en het gebruiken om de toegang tot hun apps en SaaS-producten, zoals Microsoft 365, Salesforce en Dropbox, te beheren. Bron.
Azure Active Directory (AAD)
Azure Active Directory maakt een verbinding tussen on-premises active directory en Azure Active Directory. Dit is een praktische manier om gebruikers in synchronisatie te houden vanaf de on-premises omgeving.
Voordelen: Hetzelfde wachtwoord on-premises en in de cloud. Het beheer zit grotendeels in Active Directory.
Nadelen: Complexiteit, sommige zaken moet je on-premise doen, sommige in de cloud, je hebt veel dependencies in de ‘oude’ omgeving. In Azure AD lukt het vaak soms makkelijker om nieuwe zaken te implementeren.
Active Directory synchronisatie activeren kan via deze instructies of via het onderstaande filmpje.
Groepenbeheer in Azure Active Directory
Nadat je de synchronisatie hebt opgezet kan je gebruikers en groepen maken en beheren in zowel de on-premises Active Directory als in de Cloud Active Directory.
Met een Azure AD-groep kunnen gebruikers worden georganiseerd, zodat het beheren van machtigingen eenvoudiger wordt. Met behulp van groepen kan de resource-eigenaar (of de Azure AD-Directory-eigenaar) een reeks toegangsmachtigingen toewijzen aan alle leden van de groep.
Met groepen kan een beleid worden gedefinieerd en kunnen vervolgens specifieke gebruikers worden toegevoegd en verwijderd. Zo kan toegang met een minimale inspanning worden verleend of geweigerd.
Nog beter is dat Azure AD de mogelijkheid biedt om lidmaatschap te definiëren op basis van regels, zoals de afdeling waar een gebruiker werkt of de functie die deze heeft.
In Azure AD kan je twee verschillende soorten groepen definiëren:
- Beveiligingsgroepen. Dit zijn de meest voorkomende beveiligingsgroepen en deze worden gebruikt voor het beheren van toegang van leden en computers tot gedeelde resources voor een groep gebruikers. Je kan bijvoorbeeld een beveiligingsgroep voor een specifiek beveiligingsbeleid maken. Op deze manier kunt u in één keer een reeks machtigingen geven aan alle leden in plaats van machtigingen individueel voor elk lid toe te voegen. Voor deze optie is een Azure AD-beheerder vereist.
- Microsoft 365-groepen. Deze groepen bieden mogelijkheden voor samenwerking door leden toegang te geven tot een gedeeld postvak, agenda, bestanden, SharePoint-site en meer. Deze optie geeft u ook de mogelijkheid om mensen buiten uw organisatie toegang te geven tot de groep. Deze optie is beschikbaar voor zowel gebruikers als beheerders.
Navigeer naar Azure AD via deze portal. Druk vervolgens op groups.
Druk op: “New group”
Kies vervolgens welke groep je wenst aan te maken.
Maak een security groep aan als test.
Een dynamische groep aanmaken in Azure AD
Maak via https://portal.azure.com een securitygroep. klik op: nieuwe groep
Kies dynamisch gebruiker
De groep is in dit voorbeeld aangemaakt
Je kan werken met een regelbeleid zoals onderstaand. Dit betekend iedereen met het domein dat hieronder beschreven zit zal member worden. (user.userPrincipalName -contains “@jedomein.be”)
Een groep aanmaken in de on-premises Active Directory
Open Active Directory Users and Computers op de Active Directory Server.
Maak een groep aan in Active Directory via het aangeduid icoon in deze bovenstaande screenshot.
Start een synchronisatie via Azure AD Connect om deze zichtbaar te maken in Azure AD. (tip)
Voordelen van Azure AD groepen
Open Azure AD om de groepen te kunnen bekijken. Je kan zien aan de rechterkant dat de groep ledenbeheer uit de Windows Server AD komt en de andere groep rechtstreeks in Azure AD is aangemaakt.
Naar beheer ziet het er echt hetzelfde uit. Wanneer zijn Azure AD groepen handiger dan groepen uit je Windows Server AD.
- Groepenbeheer en delegeren: Als je groepen beheer in de cloud doet, dus in Azure AD kan je makkelijker rechten geven om het beheer te delegeren naar verantwoordelijken. (eigenaars) Gebruikers zijn in staat om zelf mensen toe te voegen in groepen. Meer hierover in deze blog.
- Exchange beheer en dynamische groepen: Ook is het mogelijk om dynamische groepen te maken via Exchange Online. Opnieuw hier zijn de groepen best via Azure AD in beheer.
- Naming policy en expiration policies: Het is handiger om automatische policies te activeren in Azure AD dan in Active Directory. Een screenshot hieronder. Praktische gids, hier.
Gebruikersbeheer in Active Directory of Azure Active Directory?
Vanuit Office 365 een nieuwe gebruiker aanmaken?
Een mailbox aanmaken voor een nieuwe gebruiker. Een mailbox, Teams, OneDrive en alle andere features die inbegrepen zitten in de licentie kunnen automatisch geactiveerd worden nadat een gebruiker aangemaakt zal worden in Office 365.
Als je gebruikers via Azure AD connect voorzien zijn in Office 365 dan is het niet mogelijk om eigenschappen van het AD object aan te passen. E-mail adressen en alle andere eigenschappen moeten on-premises gebeuren. Rechten en instellingen van alles behalve de gebruiker en mail instellingen moet via Azure AD gebeuren. Als je in de cloud je gebruiker hebt kan je alle eigenschappen ook daar beheren.
Groeplidschap beheren: Via https://admin.microsoft.com/AdminPortal/Home#/users is het mogelijk om je gebruiker op te zoeken en op Groups te klikken. Voeg via dit menu gebruikers toe aan de AD groepen.
Het is ook mogelijk om vanuit Azure AD een gebruiker aan te maken.
Via on-premises active Directory een gebruiker aanmaken?
Maak een nieuwe gebruiker aan via Active Directory Users and Computers en doe een manuele Azure AD synchronisatie.
De gebruiken komt na de syncronisatie in Azure AD aan. Daar kan je een licentie toewijzen.
Het resultaat
Gebruikers kunnen op 2 plaatsen aangemaakt worden.
- Ofwel via Azure AD – Testgebruiker-AAD@365tips.be
- Ofwel via Active Directory testgebruiker@365tips.be
Conclusies
Cloud beheer is in opmars. Een organisatie kan Azure AD ook onafhankelijk van Windows AD gebruiken.
Kleinere bedrijven kunnen Azure AD gebruiken als enige directoryservice en het gebruiken om de toegang tot hun apps en SaaS-producten, zoals Microsoft 365, Salesforce en Dropbox, te beheren. Maar ook als je focus ligt op de Cloud shift kan je afstappen en je printers, documenten en applicaties verhuizen zodat je misshien je on-premises Active Directory kan uitschakelen.
Gebruikers kunnen on-premises en in de cloud aangemaakt en in beheer genomen worden. In Azure AD zijn er enkele voordelen ten opzichte van Active Directory. Ben op op zoek naar een Cloud werkplaats lees dan zeker: In 15 stappen naar een digitale werkplaats!
Lees ook
Gastteam maken en het algemeen kanaal beperken in gebruik
Toestellen toevoegen in Endpoint Manager – Azure AD of Hybrid Join?
Office 365 in het onderwijs – Een klas inrichten – Startersgids
Hoe bestanden delen in Office 365 – 8 scenario’s