[AzureAD Connect] Relatie van cloud-only naar cloud+OnPrem

Ja, dat kan. Vaker gedaan, maar het is niet mijn favoriet. Tot een tijdje geleden vereiste MS dan weer bv. een Exchange Server om je Exchange Online ondersteund te kunnen beheren...

Lees je ook even goed in wat tegenwoordig de requirements en consequenties zijn.

Je moet ook even gaan kijken of je Hybrid Azure AD Joined devices gaat hebben voor de workstations, dat is een absolute PITA! Maar wellicht wel nodig in je situatie.

Ik weet natuurlijk niet de redenen waarom deze lokale servers, maar ik heb vaker de lokale applicaties los gezet van AD/AAD. Dus losse server of een eigen AD laten draaien of geheel geen AD/AAD en gebruikers maken dan, afhankelijk of de applicatie dat op die manier ondersteund, gebruik van AAD SSO. Admins maken dan remote gebruik van aparte admin userids op die AD of losse servers. In mijn geval werd beheer van die servers sowieso al gedaan via RMM tooling.

Je kan de server ook via Azure Arc aan je Azure omgeving hangen.

Als je hier niet bekend mee bent is wellicht expertise inhuren een goed idee (I'm not available at the moment ).

Bron:
https://learn.microsoft.c...ect-install-prerequisites
https://learn.microsoft.c...cept-azure-ad-join-hybrid
https://learn.microsoft.c...ect-install-prerequisites

Urk schreef op woensdag 19 april 2023 @ 15:27:
Deze klant krijgt nu echter ook enkele eigen servers (Windows Server 2022) vanwege wat OnPremise applicaties en gebruikers gaan nu ook over van inloggen op AzureAD naar OnPrem AD (mede vanwege GPO's) en deze apps.

Die volg ik even niet... Wat is de raakvlak met eigen servers en GPO's?

Anders gesteld, heb je Kerberos authenticatie nodig voor deze nieuwe applicatie servers? Zou je ook niet uit de voeten kunnen met Azure Domain Services?

Urk schreef op woensdag 19 april 2023 @ 15:27:
Ik heb een klant welke ooit volledig is begonnen in Microsoft 365. Deze klant krijgt nu echter ook enkele eigen servers (Windows Server 2022) vanwege wat OnPremise applicaties en gebruikers gaan nu ook over van inloggen op AzureAD naar OnPrem AD (mede vanwege GPO's) en deze apps. Graag zou ik wel de OnPrem accounts in sync willen houden (vooral password sync) met de Microsoft 365 accounts.

Heeft iemand hier ervaring mee? Kan ik naderhand nog een AzureAD Connect relatie opzetten die de OnPrem accounts in sync houdt met de reeds bestaande cloud M365 accounts?

Heb je al een start gemaakt?
Wanneer de ImmutableID waarde nog niet gevuld is in de Cloud gebruiker eigenschappen, kun je op basis van het UPN heel eenvoudig een on-premise account synchroniseren vanaf een lokaal ad naar azure-ad. Het wachtwoord van de Cloud gebruiker wordt dan overschreven met die van het lokale ad.
Let wel op aliassen, want die verdwijnen als je ze niet in de attributen toevoegt aan de ad gebruiker.

Wanneer er al een ImmutableID bestaat (de Cloud gebruiker is ooit eerder met een local AD gesynct geweest maar later weer een Cloud gebruiker geworden) dan zijn er tools beschikbaar om de eigenschappen van de Cloud gebruiker aan de attributen van de local AD gebruiker toe te voegen zodat deze gematcht kunnen worden.

Hiervoor is genoeg informatie te vinden op Google met het woord ImmutableID en Azure ADSync.

Succes!