Hulp is altijd dichtbij met Azure AD Connect Health

Hulp is altijd dichtbij met Azure AD Connect Health

Een typische Hybrid Identity bestaat uit Active Directory, Azure AD en Azure AD Connect. Soms is Active Directory Federation Services (AD FS) onderdeel van de mix, soms zijn er PTA-agentinstallaties aanwezig, maar meestal niet.

Een grote uitdaging binnen Hybrid Identity is het behouden van het overzicht; Wat vindt er plaats in de implementatie? Repliceren de Domain Controllers wel goed? Hoe lang doet Azure AD Connect over een replicatiecyclus? Welke applicaties zijn populair binnen AD FS?

Azure AD Connect Health

Azure AD Connect Health geeft aan antwoord op al deze vragen. Op deze manier varen beheerders niet meer blind en kunnen organisaties betrouwbaar gebruik maken van Azure AD en alle aan Azure AD gekoppelde diensten, zoals Microsoft 365.

Azure AD Connect Health maakt de status en belangrijkste kenmerken van de Hybrid Identity-componenten eenvoudig inzichtelijk in het Azure AD Connect Health-portal. Deze inzichten dienen prestatiebewaking, gebruiksanalyse en probleemoplossing. Een beheerder kan eigenlijk niet zonder!

Meer dan alleen Azure AD Connect

Azure AD Connect Health biedt meer dan alleen het bewaken van Azure AD Connect, ondanks de naam die lijkt op 80% van Azure AD Connect zelf. Het biedt mogelijkheden voor de volgende Hybrid Identity-componenten via Azure AD Connect-agent installaties voor:

• Azure Active Directory Connect-installaties
• (Active Directory Federation Services (AD FS)-servers
• Web Application Proxies, en
• Active Directory Domain Controllers

Deze systemen vormen de volledige Hybrid Identity-keten voor organisaties die Active Directory Federation Services (AD FS) en/of Password Hash Synchronization (PHS) gebruiken met of zonder Seamless Single Sign-on (S3O) als authenticatiemethode(s).

Eén portal voor Hybrid Identity

De Azure AD Connect Health-dienst ontvangt informatie van alle bovenstaande agents en geeft al die informatie weer in één dashboard als onderdeel van de Azure Management Portal.

Voordelen van Azure AD Connect-status

Azure AD Connect biedt de volgende voordelen:

Sneller Azure AD Connect-fouten oplossen

Aangezien Azure AD Connect niet op een hoog-beschikbare manier kan worden geïmplementeerd en een fail-over naar een Staging Mode-installatie handmatig is, is het noodzakelijk om uitval van Azure AD Connect zo snel mogelijk te detecteren.

Die informatie is beschikbaar in het Azure AD Connect Health-dashboard, maar geen enkele verstandige persoon zou de Azure Portal om de twee uur zonder reden controleren. Daarom waarschuwt Azure AD Connect Health personen met de Global Administrator rol in de Azure AD-tenant per e-mail, wanneer Azure AD Connect onbeschikbaar raakt. Andere personen en distributielijsten kunnen ook worden geconfigureerd om meldingen te ontvangen.

Na een melding kan een beheerder de koers bepalen: het probleem oplossen, de server opnieuw starten, overschakelen naar de Staging Mode-server of helemaal opnieuw beginnen (niet noodzakelijkerwijs in die volgorde van voorkeur…).

Garanderen van de beschikbaarheid van de keten

Azure AD Connect Health biedt geïntegreerde bewaking van de volledige Hybrid Identity-keten, wanneer Azure AD Connect-agents op alle componenten zijn geïnstalleerd en geconfigureerd.

Als de Azure AD Connect-agent voor AD FS is geïnstalleerd op zowel Web Application Proxies als AD FS-servers, voeren de agents synthetische authenticaties uit en controleren ze hun communicatie om problemen in een vroeg stadium op te sporen.

Informatieintegriteit in Azure AD verbeteren

Wanneer Azure AD Connect wordt gecontroleerd, worden in het Azure AD Connect Health-dashboard synchronisatiefouten weergegeven, gerelateerd aan dubbele kenmerken, gegevensmismatches, fouten in de gegevensvalidatie, te grote kenmerken, federatiegebonden domeinwijzigingen en bestaande beheerdersrolconflicten.

Licenseren van Azure AD Connect Health

Azure AD Connect is een gratis download. Azure AD Connect Health is echter niet gratis. Azure AD Connect vereist ten minste één Azure AD Premium-licentie in de Azure AD-tenant waarmee deze synchroniseert.

Deze ene licentie dekt de Azure AD Connect-installatie. Wanneer een beheerder meerdere Azure AD Connect-installaties implementeert (uiteraard in Staging Mode), dan vereist elke extra Azure AD Connect-installatie één extra Azure AD Premium-licentie in de tenant. Voor het monitoren van extra Hybrid Identity-componenten zijn vijfentwintig Azure AD Premium-licenties per host vereist.

Om een voorbeeld te geven: Voor monitoring van twee Azure AD Connect-installaties, vier AD FS-servers, vier Web Application Proxies en zes Domain Controllers, zijn minimaal 352 Azure AD Premium-licenties vereist.

Azure AD Premium-licenties hoeven niet aan medewerkers te zijn toegewezen, maar dat kunnen ze wel zijn, zonder problemen. Microsoft was van plan om Azure AD Connect Health licensing eenvoudig te maken. Dit wordt duidelijk in het bovenstaande voorbeeld, omdat de omvang van de bewaakte infrastructuur waarschijnlijk capaciteit zou bieden om Hybrid Identity te hosten voor zesduizend werknemers.

Nadelen van Azure AD Connect Health

Azure AD Connect Health is niet perfect. Er zijn een paar nadelen aan de huidige oplossing, die u zou willen weten, voordat u de dienstverlening omarmt:

Time-outs voor meldingen

Het is absoluut noodzakelijk dat Azure AD Connect-uitval zo snel mogelijk wordt gedetecteerd. Echter, aas na een paar gemiste synchronisatiecycli stuurt Azure AD Connect Health een melding. Aangezien Azure AD Connect elke 30 minuten synchroniseert, biedt dit standaard een vrij lange periode van onbeschikbaarheid, voordat een beheerder op de hoogte wordt gesteld.

In situaties waarin een persoon onmiddellijk wordt ontslagen, wanneer synchronisatie niet beschikbaar is, kan de persoon toegang houden tot het account, het Exchange Online-postvak, de teamsite en andere Azure AD-geïntegreerde toepassingen, diensten en systemen, totdat de synchronisatie opnieuw werkt, en de wijziging in het on-premises Active Directory-account wordt gesynchroniseerd om het Azure AD-accountobject uit te schakelen of te verwijderen.

Meervoudige verificatie op Server Core-installaties

De Azure AD Connect Health Agents ondersteunen moderne authenticatie om Multi-factor Authentication (MFA) mogelijk te maken voor bevoorrechte accounts voor de Azure AD-tenantconfiguratie.

De Azure AD Connect Health Agents doen echter een strikt beroep op Internet Explorer (iexplore.exe) om de multi-factor authenticatieervaring op het scherm weer te geven. Aangezien Internet Explorer niet beschikbaar is op Server Core-installaties van Windows Server, moeten agents voor dit soort installaties worden geconfigureerd met een Global Administrator-account dat (tijdelijk) is vrijgesteld van Conditional Access-beleidsregels die MFA voor beheerders vereisen.

PTA-agents

Pass-through Authentication (PTA) is de meest recente authenticatiemethode in Azure AD Connect. Gebruikmakend van (ten minste drie) PTA Agent-installaties, worden authenticatieverzoeken voor Azure AD-geïntegreerde applicaties, diensten en systemen doorgestuurd naar de on-premises Active Directory Domain Services-omgeving om te worden verwerkt. PTA-agents maken gebruik van de Azure Service Bus-dienst, waardoor ze hun magie alleen met behulp van uitgaande verbindingen kunnen gebruiken.

Hoewel de status van PTA-agents kan worden weergegeven in de Azure Management Portal, zijn de agents niet geïntegreerd met Azure AD Connect Health. De belofte van één dashboard om het gebruik te monitoren, te analyseren, problemen op te lossen en inzicht te krijgen in Hybrid Identity ontrafelt in dit scenario.

Concluderend

Azure AD Connect Health voegt integriteit en beschikbaarheid toe aan de meeste Hybrid Identity-implementaties. Het is niet perfect, maar elke helpende hand is welkom, toch?