Naar de hoofdinhoud
Alle collectiesGebruikersbeheerAutomatiseer gebruikersvoorziening met onze Azure AD-synchronisatietool.
Stap 3. Azure AD synctool configuratie UI
Stap 3. Azure AD synctool configuratie UI
Meer dan een week geleden bijgewerkt

Introductie

In deze stap configureren we de synctool zodat deze verbinding kan maken met zowel Microsoft Entra ID (voorheen Azure AD) als de Workspace.

Alle gegevens die je in de eerste twee stappen hebt verzameld, kunnen worden ingevuld in de configuratie-interface tool. Je kunt deze tool vinden in de gedownloade Workspace 365 synctool map. Wanneer je de map uitpakt, is de naam van het bestand:

xe2.png

Configuratie UI synctool

Laten we beginnen

Om de welkomstpagina uit te schakelen, deselecteer het selectievakje onderaan de pagina. Je kunt de standaardtaal wijzigen naar Nederlands of Engels. Klik op Volgende om door te gaan.

lets_get_started.PNG

Verbinding maken met Azure AD

Om de Azure AD synctool te verbinden met Microsoft Entra ID, vul je de onderstaande velden in. Klik op Volgende wanneer alle informatie is ingevoerd. Hier wordt de verbinding met de ingevoerde informatie/Microsoft Entra ID gevalideerd.

  • Tenant ID

  • Tenant naam

  • Applicatie (client) ID

  • Client secret (waarde)

connect_to_AAD.PNG

Omgevingsinstellingen

Om een nieuwe omgeving toe te voegen, vul je de volgende gegevens in en klik je op 'Opslaan' wanneer je klaar bent:

URL van je Workspace-site: dit is de basis-URL van de workspace waar alle omgevingen op gehost worden, meestal 'https://{bedrijfsnaam}.workspace365.net'.

Omgevingsnaam: dit moet exact overeenkomen met de omgevingsnaam in Workspace 365 en kan worden opgehaald uit de Workspace 365 URL, bijvoorbeeld 'https://portal.workspace365.net/john -> john'.

  • De omgevingsnaam moet in kleine letters zijn.

Sync API authenticatietoken: dit moet overeenkomen met de API-sleutel van de Workspace 365 omgeving onder 'Gebruikers & groepen' > 'Gebruikersprovisioning' > API-sleutel (stap 2).

environment_settings.PNG

Filtering

Per ongeluk de verkeerde groep en/of domein opgenomen in de filtering? Geen zorgen! Volg deze stappen:

  1. Vink het selectievakje voor die specifieke groep en/of domein uit.

  2. Klik op 'Opslaan'.

  3. Wacht tot de periodieke synchronisatie begint en is voltooid, of herstart de synctoolservice zelf.

De overeenkomstige gebruikers worden dan automatisch verwijderd en kunnen niet meer inloggen op Workspace. De verwijderde gebruikers zullen worden weergegeven onder de lijst "verwijderde gebruikers" onder 'Gebruikersbeheer' en worden permanent verwijderd na 30 dagen (deze gebruikers worden natuurlijk niet verwijderd uit Microsoft 365!).

Van gedachten veranderd of een specifieke groep en/of domein toevoegen?

Volg deze stappen:

  1. Vink het selectievakje voor die specifieke groep en/of domein aan.

  2. Klik op 'Opslaan'.

  3. Wacht tot de periodieke synchronisatie begint en is voltooid, of herstart de synctoolservice zelf.

De overeenkomstige gebruikers worden nu toegevoegd aan de Workspace-omgeving.

Domeinfiltering

Je kunt de gewenste filteropties kiezen. Als je beide opties, domein- en groepsfiltering, niet aanvinkt, worden alle gebruikers en groepen gesynchroniseerd.

Als je domeinfiltering wilt inschakelen, vink dan het selectievakje 'Domeinfiltering inschakelen' aan. Dit zal alle domeinen en subdomeinen binnen het huidige domein tonen.

domain_filtering_2.PNG

Je kunt een selectie maken van de gewenste domeinen die je wilt synchroniseren. Alle gebruikers met het geselecteerde domeinvoorvoegsel worden in dit geval gesynchroniseerd:

Niet gesynchroniseerd:

Groepsfiltering

Als je groepsfiltering wilt inschakelen, vink dan het selectievakje 'Groepsfiltering inschakelen' aan. Dit zal alle groepen binnen dit huidige domein tonen.

Let op: We ondersteunen geen geneste groepen.

group_filtering_2.PNG

Hier kun je een selectie maken van de gewenste groepen die je wilt synchroniseren. Alle gebruikers binnen de geselecteerde groep en de groep zelf worden in dit geval gesynchroniseerd:

  • Alle leden van 'Anton League'

  • Alle leden van 'prefix1demo_1'

  • Groep 'Anton League'

  • Groep 'prefix1demo_1'

Niet gesynchroniseerd:

  • Alle andere groepen die niet zijn aangevinkt, inclusief de gebruikers

Domein- en groepsfiltering

Het is mogelijk om zowel domein- als groepsfiltering te combineren, zoals hieronder weergegeven:

domain_group_filtering.PNG


We hebben de volgende Active Directory-structuur:

Als domeinfiltering is ingeschakeld en het volgende is aangevinkt:

  • onmicrosoft.com

Als groepsfiltering is ingeschakeld en het volgende is aangevinkt:

  • Anton League

  • prefix1demo_1

De volgende gebruikers en groepen worden gesynchroniseerd:

  • Alle leden van 'Anton League' met het ndawdev.onmicrosoft.com domein:

  • Alle leden van 'prefix1demo_1' met het ndawdev.onmicrosoft.com domein:

  • Groep 'Anton League'

  • Groep 'prefix1demo_1'

Worden niet gesynchroniseerd:

  • Alle andere groepen en domeinen die niet zijn aangevinkt, inclusief de gebruikers

Synchronisatie-instellingen

Klik op voorkeuren om het synchronisatie-instellingenmenu te openen.

Je kunt het synchronisatietype instellen op 'Periodiek' of 'Eenmaal per dag'. Als je ervoor kiest om het synchronisatietype op 'Periodiek' in te stellen, moet je het interval in uren en/of minuten definiëren. Als je ervoor kiest om het synchronisatietype op 'Eenmaal per dag' in te stellen, moet je het tijdstip definiëren waarop je de synchronisatie wilt uitvoeren.

  • Als je het synchronisatietype instelt op 'Eenmaal per dag', kun je geen handmatige synchronisatie uitvoeren.

  • Als je het instelt op 'Periodiek', kun je wel een handmatige synchronisatie uitvoeren.

synchronization_settings.PNG

Cache wissen

Wat is caching en hoe werkt het?

Waarom hebben we caching? Caching maakt processen veel sneller. In plaats van elke gebruikersobject vanaf nul te synchroniseren, zal de Azure AD-synctool alleen controleren op wijzigingen, en alleen deze wijzigingen zullen door de synctool worden verwerkt en in de cache worden geschreven. De cache kan worden gezien als het "geheugen" van de synctool. Wanneer je de cache van de synctool wist, wis je eigenlijk het geheugen van de synctool en daarmee de gehele gebruikersgeschiedenis. Helaas kun je de cachegeschiedenis niet inzien.

Wanneer je gebruikerswijzigingen aanbrengt, zoals het toevoegen of verwijderen van gebruikers in Microsoft Entra ID, worden deze wijzigingen in de cache van de synctool geschreven. Dit gebeurt wanneer de synchronisatie vanuit de gebruikers provisioneringsinstellingen in Workspace is ingeschakeld.

AD-synchronisatie in Workspace uitgeschakeld

Maar wat gebeurt er als je de synchronisatie uitschakelt en handmatige gebruikerswijzigingen aanbrengt in Workspace 365? Bijvoorbeeld, je verwijdert een gebruiker in Workspace uit een groep die wordt gesynchroniseerd terwijl de synchronisatie was uitgeschakeld in Workspace. Als gevolg hiervan zal deze gebruikerswijziging niet in de cache worden geschreven. Met andere woorden, de cache denkt nog steeds dat de gebruiker bestaat in Workspace.

Dus, wat gebeurt er als je een fout hebt gemaakt en diezelfde gebruiker opnieuw wilt toevoegen? Het maakt niet uit of je de gebruiker ook uit de lijst met verwijderde gebruikers hebt verwijderd, de cache denkt nog steeds dat de gebruiker bestaat in Workspace en daarom zal de synctool de gebruiker niet synchroniseren.

Waarom willen we het wissen van de cache vermijden?

Als gebruikers niet worden bijgewerkt of toegevoegd aan specifieke groepen, kan het wissen van de cache dit probleem oplossen. We hebben echter gezien dat het wissen van de cache later tot gebruikersverschillen kan leiden en het kan lang duren om alle gebruikersobjecten te synchroniseren, vooral in grote omgevingen, en dit is over het algemeen te intensief voor de resources.

Hoe kan ik problemen met gebruikerssynchronisatie oplossen zonder de cache te wissen?

  1. Zorg ervoor dat Microsoft Entra ID overeenkomt met Workspace. Als je een gebruiker uit een groep hebt verwijderd of toegevoegd in Workspace, moet je hetzelfde doen in je Microsoft Entra ID.

  2. Zorg ervoor dat de synchronisatie is ingeschakeld in Workspace onder de gebruikersprovisioneringsinstellingen.

  3. Herstart de Windows-service van de synctool.

  4. Wacht tot de synchronisatie is voltooid. Zodra dit is voltooid, is de cache up-to-date.

  5. Nu kun je gebruikerswijzigingen aanbrengen in Microsoft Entra ID. Als je filtering had uitgeschakeld, kun je een nieuwe groep gebruikers maken in Microsoft Entra ID en deze synchroniseren met Workspace.

Waar moet ik rekening mee houden als ik toch de cache wil wissen?

Wis de cache niet als eerste oplossing! Als je de cache wist, zorg er dan voor dat je de nieuwste versie van de Azure AD-synctool gebruikt. Neem contact op met de supportafdeling als je twijfelt.

Als groepen niet correct worden gesynchroniseerd, probeer dan eerst de filtering uit te schakelen en voer een volledige synchronisatie uit voordat je de cache wist. Wanneer de synchronisatie is voltooid, kun je de filtering opnieuw inschakelen en de geselecteerde groepen synchroniseren.

Cache wissen

  1. Zorg ervoor dat de checkbox van de synctool is ingeschakeld in Workspace.

    enablesync.png

  2. Stop de synctoolservice. (Op deze manier zorg je ervoor dat de synctoolknop niet wordt geactiveerd tijdens het uitvoeren van het cache wissen).

  3. In de synctoolconfiguratie-UI klik je op "Voorkeuren" linksonder.

  4. Klik vervolgens op de knop "Cache wissen" rechtsonder.

  5. Klik op "Ok" om te bevestigen.

  6. Voer de synctool handmatig uit in de synctooldirectory als beheerder.

    service.png

  7. Wacht tot de gebruiker is toegevoegd aan Workspace.

  8. Start de synctoolservice.

Ga verder naar stap 4.

Gerelateerde artikelen
Azure SCIM client setup
Over de Azure AD-synctool en vereisten
Over domein- of tenantmigraties in Microsoft Entra ID of Workspace 365
Problemen met SCIM oplossen
Problemen oplossen met de Azure AD-synchronisatietool
Was dit een antwoord op uw vraag?