4 minute read
AD-DS-versus-Azure-AD
Bij een kleiner bedrijf tot 300 werknemers waar Microsoft 365 Business Standaard op is gericht, werk je slechts met een paar collega-beheerders en is het minder zinvol beheerrechten uit te delen als je elkaars fallback wilt zijn. Takenscheiding zorgt dan voor onnodige bureaucratie. Toch zijn er zinvolle rollen om bij kleinere bedrijven te gebruiken.
Boekhouder
Als globale beheerder deel je licenties uit aan gebruikers. Komt er een nieuwe werknemer, dan koop je in het Microsoft 365 admin center het abonnement en die wordt afhankelijk van de ingestelde betaalwijze vanzelf afgeschreven van de rekening. Uitgaven die je doet of abonnementen die je als bedrijf aangaat, moeten vaak goedgekeurd worden. Door bijvoorbeeld de werknemer die de boekhouding verzorgt de rol factureringsbeheerder toe te kennen regelt hij de aanvragen van werknemers voor software en de aanschaf en betalingen.
Opdracht 6 MS365 - De andere beheerders a. Login in je tenant en zoek de gebruikers accounts op van Contoso. Deze heb je eerder als eens gevonden. Het zijn te veel beheerders, Microsoft meldt dat ook. Verwijder de admin rechten van Megan in Azure AD. Verwijder de admin rechten van Lidia in het admin center. Hoe heet de taak die je hiervoor gebruikt in Azure AD en hoe heet de taak in het admin center? Verwijder tot slot de Admin rechten van Nestor in de App op je smartphone. b. Zoek eens in Azure AD welke rollen je allemaal kunt toekennen. Hoeveel verschillende rollen tel je? c. Welke rollen heeft Contoso allemaal in gebruik? Kun je bedenken of vinden wat de toegekende rollen doen of waar ze voor zijn bedoeld? Exporteer de lijst en neem deze op in je logboek IT_Docs_Contoso.docx . d. Wat mag een bepaalde rol in het systeem? Dat is te zien door in het admin center de rol te selecteren. Er opent een venster met exact beschreven wat een rol mag. Open eens de Billing administrator. Wat zijn de rechten van personen die deze rol krijgen? AD DS versus Azure AD Active Directory Domain Services bestaat al meer dan 20 jaren is een service (een softwareonderdeel) die is te schakelen in op een systeem waarop een versie van het Inkijkexemplaar Windows Server besturingssysteem is geïnstalleerd, bijvoorbeeld Windows Server 2022.
AD DS domein
In elke domeinomgeving is minimaal één AD DS actief. Je zou je Active Directory kunnen voorstellen als een complexe database waarin alle werknemers, hun wachtwoorden, groepen, rechten, printers, werkplekken en servers zijn vastgelegd. AD DS zorgt voor beveiliging en je configureert er werkplekken en gebruikersomgevingen mee. Zo zorg je ervoor dat een Windows pc alleen kan inloggen in het domein van je bedrijf, dat er instellingen in Windows worden aangepast (met Group Policy), dat de gebruikers automatisch netwerkstations zien en er een default printer is ingesteld (met bijvoorbeeld login scripts). Organization Units en Group Policy In AD DS bestaan zogenaamde Organizational Units (OU’s) om afdelingen, groepen gebruikers of groepen computers onder te verdelen en hierop speciale rechten toe te kennen. Zo zou je een netwerkstation automatisch kunnen aankoppelen op computers in de ene OU, en een ander netwerkstation op computers in de andere OU. Alle taken in AD DS voer je uit met enkele beheerconsoles, de meeste zijn te starten op Windows, sommigen hebben ook een webinterface die je vanaf de werkplek bedient en die communiceert met de AD DS-server. De server waarop AD DS is ingeschakeld wordt Inkijkexemplaar een domain controller genoemd. Voor redundantie hebben veel bedrijven minimaal twee domain controllers draaien.
Boom beroepsonderwijs heeft afzonderlijk praktijkgerichte lesboeken over netwerken met Windows Server, waar deze terminologie uitgebreid wordt toegelicht. Voor het Microsoft 365 boek is kennis over AD DS niet nodig.
Bedrijven met een eigen infrastructuur, plaatsen soms een AD DS domain controller in de cloud als virtual machine (IaaS). Deze kan samenwerken met de lokale AD DS server, maar hoewel dit cloud computing is, heeft dit niets te maken met Azure AD en SaaS maar met IaaS. De virtuele AD DS server moet gewoon onderhouden en beheerd worden, net als de interne AD DS server.
Azure AD
Hoewel de naam het suggereert, is Azure AD geen cloud-versie van AD DS, het staat er zelfs heel ver vanaf. Het is niet mogelijk servers in Azure AD te koppelen of computer accounts te maken, er kan geen gebruik worden gemaakt van login scripts of Group Policy Objecten om instellingen te maken op Windows werkplekken. Azure AD kent geen forrests, geen Organization Units (OU’s), er is geen aanpasbaar directory schema, er is geen NTLM of Kerberos mogelijk voor authenticatie.
Azure AD wordt door de Microsoft SaaS-omgeving gebruikt voor beveiliging. Het bevat gebruikersaccount, gebruikersgroepen en moderne applicaties met applicatie instellingen. In AD DS bevinden zich juist weer geen applicaties. Azure AD maakt gebruik van moderne authenticatiemethodes als SAML en OAuth. Deze termen hoef je niet te onthouden en te kennen.
Azure AD is binnen Microsoft 365 de centrale plek voor het beheren van alle gebruikers, groepen, licenties en toegang tot Apps.
De directe link naar dit Azure admin center is hier te vinden. Maar meestal kom je in Azure AD doordat je vanuit het admin center wordt doorgestuurd.
Opdracht 7 MS365 - Azure AD datacenter, naam en ID a. Open het Azure AD admin center. Bekijk All services en open Tenant Properties. Voor welk land is deze tenant gemaakt? Waar bevinden zich de datacenter waar de data van je bedrijf Contoso is opgeslagen? b. In Nederland bevindt het datacenter zich vaak in "EU Model Clause compliant datacenters". Google wat dit betekent en bekijk de informatie van Microsoft bij de Inkijkexemplaar link. c. Elke tenant heeft een wereldwijd uniek nummer, een tenant ID. Kopieer deze ID in je logboek (helemaal vooraan). Je tenant heeft ook een naam. Kijk of je deze hier kunt vinden.
