Verbinding van Active Directory met de Workspace ONE Access-service configureren

Geef in de Workspace ONE Access-console de informatie op die nodig is om verbinding te maken met uw Active Directory en selecteer de gebruikers en groepen om te synchroniseren met de Workspace ONE Access-directory. De verbindingsopties van de Active Directory zijn Active Directory via LDAP of Active Directory via geïntegreerde Windows-verificatie. De verbinding Active Directory via LDAP ondersteunt de opzoekfunctie DNS Service Location.

Voorwaarden

Installeer de directorysynchronisatieservice, die vanaf versie 20.01.0.0 beschikbaar is als onderdeel van de Workspace ONE Access Connector. Zie de nieuwste versie van VMware Workspace ONE Access Connector installeren voor meer informatie.
Als u de gebruikersverificatieservice wilt gebruiken om gebruikers van de directory te verifiëren, installeert u ook het onderdeel gebruikersverificatieservice.
Selecteer de gebruikerskenmerken die zijn vereist en voeg indien nodig aangepaste kenmerken toe op de pagina Instellingen > Gebruikerskenmerken in de Workspace ONE Access-console. Zie Gebruikerskenmerken beheren in Workspace ONE Access. Houd rekening met de volgende overwegingen:
- Als een gebruikerskenmerk is vereist, moet de waarde worden ingesteld voor alle gebruikers die u wilt synchroniseren. Gebruikers die geen waardeset hebben, worden niet gesynchroniseerd.
- Kenmerken zijn van toepassing op alle directory's.
- Nadat een of meer directory's zijn geconfigureerd in de Workspace ONE Access-service, kunnen kenmerken niet meer als vereist worden gemarkeerd.
Maak een lijst met de Active Directory-gebruikers en -groepen die u vanuit Active Directory wilt synchroniseren. Groepsnamen worden onmiddellijk gesynchroniseerd naar de directory. Leden van een groep worden niet gesynchroniseerd tot de groep rechten heeft voor bronnen of is toegevoegd aan een beleidsregel. Gebruikers die zich moeten verifiëren voordat groepsrechten worden geconfigureerd, moet worden toegevoegd tijdens de oorspronkelijke configuratie.
Opmerking: Workspace ONE Access Connector 19.03 en lagere versies ondersteunen de tekens / en $ niet in de naam of het distinguishedName-kenmerk van een groep. Deze beperking is van toepassing op groepen die u toevoegt aan de groeps-DN en op groepen die niet direct worden toegevoegd aan de groeps-DN, maar die worden gesynchroniseerd als onderdeel van een bovenliggende groep, wanneer geneste groepslidmaatschappen zijn geselecteerd.
Gebruik het teken / of $ niet in de naam of het distinguishedName-kenmerk van een groep als u van plan bent om de groep te synchroniseren met Workspace ONE Access en u Connector 19.03 of lagere versies gebruikt.
Als u een directory van het type Active Directory via LDAP maakt met behulp van de optie Global Catalog, moet u ervoor zorgen dat geen andere directory's in de Workspace ONE Access-tenant gebruikers van dezelfde domeinen synchroniseren als de Global Catalog-directory. Het conflict kan synchronisatiefouten veroorzaken.
Voor Active Directory via LDAP is onder andere de Base DN vereist en de Bind-gebruiker DN en het wachtwoord.
De Bind-gebruiker moet de volgende machtigingen in Active Directory hebben om toegang te verlenen aan gebruikers en groepsobjecten:
- Lezen
- Alle eigenschappen lezen
- Leesmachtigingen
Opmerking: U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt.
Voor Active Directory via geïntegreerde Windows-verificatie heeft u de gebruikersnaam en het wachtwoord nodig van de Bind-gebruiker die is gemachtigd om gebruikers en groepen voor de vereiste domeinen op te vragen.
De Bind-gebruiker moet de volgende machtigingen in Active Directory hebben om toegang te verlenen aan gebruikers en groepsobjecten:
- Lezen
- Alle eigenschappen lezen
- Leesmachtigingen
Opmerking: U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt.
Als uw Active Directory toegang via SSL/TLS vereist, zijn de tussenliggende en root-CA-certificaten van de domeincontrollers voor alle relevante Active Directory-domeinen vereist. Als de domeincontrollers certificaten hebben van meerdere tussenliggende en rootcertificeringsinstanties, zijn alle tussenliggende en root-CA-certificaten vereist.

Opmerking: Voor directory's van het type Active Directory via geïntegreerde Windows-verificatie wordt automatisch SASL Kerberos-binding gebruikt voor versleuteling. Een certificaat is niet vereist.
Voor Active Directory via geïntegreerde Windows-verificatie met een configuratie van meerdere forests voor Active Directory en een lokale domeingroep met meerdere leden van domeinen in verschillende forests, moet u ervoor zorgen dat de Bind-gebruiker wordt toegevoegd aan de groep Administrators van het domein waarin zich de lokale domeingroep bevindt. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep.
Voor Active Directory via geïntegreerde Windows-verificatie:
- Voor alle domeincontrollers in SRV-records en verborgen RODC's moeten nslookup van hostnaam en IP-adres werken.
- Alle domeincontrollers moeten via het netwerk bereikbaar zijn.
Als Workspace ONE Access Connector wordt uitgevoerd in de FIPS-modus, gelden extra vereisten. Zie Workspace ONE Access Connector en FIPS-modus voor uw versie van de connector.

Procedure

Selecteer in de Workspace ONE Access-console de optie Integraties > Directory's.
Klik op Directory toevoegen en selecteer Active Directory.
Voer een naam in voor de Workspace ONE Access-directory.
Selecteer het type Active Directory dat u integreert, Active Directory via LDAP of Active Directory via geïntegreerde Windows-verificatie.

Als u Active Directory via LDAP integreert, voert u de volgende stappen uit, anders gaat u verder met stap 6.

Maak in de sectie Directorysynchronisatie en -verificatie de volgende selecties.

Optie	Beschrijving
Hosts voor directorysynchronisatie	Selecteer een of meer service-instanties voor Directorysynchronisatie die u wilt gebruiken om deze directory te synchroniseren. Alle Directorysynchronisatieservice-instanties die zijn geregistreerd bij de tenant, worden weergegeven. U kunt alleen instanties selecteren die de status Actief hebben. Als u meerdere instanties selecteert, gebruikt Workspace ONE Access de eerste geselecteerde instantie in de lijst om de directory te synchroniseren. Als de eerste instantie niet beschikbaar is, wordt de tweede connector gebruikt, enzovoort. U kunt de lijst opnieuw rangschikken op de pagina met synchronisatie-instellingen van de directory nadat de directory is gemaakt.
Verificatie	Selecteer Ja als u gebruikers van deze directory wilt verifiëren met de gebruikersverificatieservice. De service Gebruikersverificatie moet al zijn geïnstalleerd. Als u Ja selecteert, worden de verificatiemethode Wachtwoord (cloudimplementatie) en een identiteitsprovider met de naam IDP voor `directorynaam` van het type Ingesloten automatisch gemaakt voor de directory. Selecteer Geen als u gebruikers van deze directory niet wilt verifiëren met de gebruikersverificatieservice. Als u ervoor kiest om de gebruikersverificatieservice later te gebruiken, kunt u de verificatiemethode wachtwoord (cloudimplementatie) en de identiteitsprovider handmatig voor de directory maken. Wanneer u dit doet, maakt u een nieuwe identiteitsprovider voor de directory door Identiteitsprovider toevoegen > Ingebouwde IdP maken te selecteren op de pagina Integraties > Identiteitsproviders. Het gebruik van de vooraf gemaakte identiteitsprovider met de naam Ingebouwd wordt niet aanbevolen.
Hosts voor gebruikersverificatie	Deze optie wordt weergegeven wanneer Verificatie is ingesteld op Ja. Selecteer een of meer service-instanties voor gebruikersverificatie die u wilt gebruiken om gebruikers van deze directory te verifiëren. Alle instanties voor gebruikersverificatieservice die zijn geregistreerd bij de Tenant en die zich in de status Actief bevinden, worden weergegeven. Als u meerdere instanties selecteert, verzendt Workspace ONE Access verificatieaanvragen in de Round-robin-volgorde naar de geselecteerde instanties.
Gebruikersnaam	Selecteer het accountkenmerk dat de gebruikersnaam bevat.
Externe ID	Het kenmerk dat moet worden gebruikt als unieke ID voor gebruikers in de Workspace ONE Access-directory. De standaardwaarde is objectGUID. U kunt Externe ID instellen op een van de volgende kenmerken: Een willekeurig tekenreekskenmerk zoals sAMAccountName of distinguishedName De binaire kenmerken objectSid, objectGUID of mS-DS-ConsistencyGuid De instelling Externe ID is alleen van toepassing op gebruikers in Workspace ONE Access. Voor groepen is Externe ID altijd ingesteld op objectGUID en kan deze instelling niet worden gewijzigd. Belangrijk: Voor alle gebruikers moet een unieke en niet-lege waarde zijn gedefinieerd voor het kenmerk. De naam moet uniek zijn voor de Workspace ONE Access-tenant. Als gebruikers geen waarde hebben voor het kenmerk, wordt de directory niet gesynchroniseerd. Belangrijk: Als u Externe ID instelt op het Active Directory-kenmerk objectGUID of mS-DS-ConsistencyGuid, moeten alle gebruikers een niet-lege waarde hebben voor het kenmerk dat precies 16 bytes lang is. Zorg er ook voor dat u de juiste Active Directory-kenmerknaam opgeeft (met het juiste hoofdlettergebruik) in het tekstvak Externe ID. Als de naam niet overeenkomt met de kenmerknaam in Active Directory, wordt een null-waarde geretourneerd en mislukt de directorysynchronisatie. Als u bijvoorbeeld het kenmerk mS-DS-ConsistencyGuid in Active Directory gebruikt en u Externe ID instelt op ms-DS-ConsistencyGuid, mislukt de directorysynchronisatie. Houd rekening met de volgende overwegingen bij het instellen van Externe ID: Als u Workspace ONE Access met Workspace ONE UEM integreert, moet u ervoor zorgen dat u Externe ID instelt op hetzelfde kenmerk in beide producten. U kunt Externe ID wijzigen nadat u de directory heeft gemaakt. U wordt echter aanbevolen Externe ID in te stellen voordat u gebruikers synchroniseert met Workspace ONE Access. Wanneer u Externe ID wijzigt, worden gebruikers opnieuw gemaakt. Hierdoor worden alle gebruikers afgemeld en moeten ze zich opnieuw aanmelden. U moet ook gebruikersrechten voor webapps en ThinApps opnieuw configureren. Rechten voor Horizon, Horizon Cloud en Citrix worden verwijderd en vervolgens opnieuw gemaakt bij de volgende synchronisatie van rechten. De optie Externe ID is beschikbaar met Workspace ONE Access-connectorversies 20.10 en hoger en 19.03.0.1. Alle connectoren die aan de Workspace ONE Access-service zijn gekoppeld, moeten versie 20.10 of hoger zijn of ze moeten allemaal versie 19.03.0.1 zijn. Als verschillende versies van de connector zijn gekoppeld aan de service, wordt de optie Externe ID niet weergegeven.

Selecteer in de secties Serverlocatie en Versleuteling een van de volgende opties.

Optie	Beschrijving
Als u de opzoekfunctie voor DNS-servicelocatie voor Active Directory wilt gebruiken	Met deze optie vindt en gebruikt Workspace ONE Access optimale domeincontrollers. Selecteer deze optie niet als u geen gebruik wilt maken van de geoptimaliseerde selectie van domeincontrollers. Schakel in de sectie Serverlocatie het selectievakje Deze directory ondersteunt DNS-servicelocatie in. Als uw Active Directory toegang via SSL/TLS vereist, schakelt u het selectievakje STARTTLS is vereist voor alle verbindingen in de sectie Versleuteling in. Opmerking: Als deze optie Deze directory ondersteunt DNS-servicelocatie is geselecteerd, wordt STARTTLS gebruikt voor versleuteling via poort 389. Als de optie Deze directory ondersteunt DNS-servicelocatie is uitgeschakeld, wordt LDAPS gebruikt voor versleuteling via poort 636. Kopieer en plak de tussenliggende (indien gebruikt) en root-CA-certificaten van de domeincontrollers in het tekstvak SSL-certificaten. Voer eerst het tussen-CA-certificaat in en vervolgens het root-CA-certificaat. Zorg ervoor dat elk certificaat de PEM-indeling heeft en dat de regels BEGIN CERTIFICATE en END CERTIFICATE erin zijn opgenomen. Als de domeincontrollers certificaten hebben van meerdere tussen- en rootcertificaatautoriteiten, voert u alle ketens van tussen- en root-CA-certificaten een voor een in. Bijvoorbeeld: -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 2> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 2> ... -----END CERTIFICATE----- Opmerking: Als uw Active Directory toegang via SSL/TLS vereist en u de certificaten niet verstrekt, kunt u de directory niet maken.
Als u de opzoekfunctie voor DNS-servicelocatie voor Active Directory niet wilt gebruiken	In de sectie Serverlocatie controleert u of het selectievakje Deze directory ondersteunt DNS-servicelocatie niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in. Zie de sectie Multi-domein, Single Forest Active Directory-omgeving in Active Directory integreren met Workspace ONE Access om de directory als een algemene catalogus te configureren. Als uw Active Directory toegang via SSL/TLS vereist, schakelt u het selectievakje LDAPS is vereist voor alle verbindingen in de sectie Versleuteling in. Opmerking: Als deze optie Deze directory ondersteunt DNS-servicelocatie is geselecteerd, wordt STARTTLS gebruikt voor versleuteling via poort 389. Als de optie Deze directory ondersteunt DNS-servicelocatie is uitgeschakeld, wordt LDAPS gebruikt voor versleuteling via poort 636. Kopieer en plak het tussenliggende (indien gebruikt) en root-CA-certificaat van de domeincontroller naar het tekstvak SSL-certificaten. Voer eerst het tussen-CA-certificaat in en vervolgens het root-CA-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" erin zijn opgenomen. Opmerking: Als uw Active Directory SSL/TLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
Als u de directory integreert als Global Catalog	In de sectie Serverlocatie schakelt u het selectievakje Deze directory ondersteunt DNS-servicelocatie in. Selecteer de optie Deze directory heeft een Global Catalog. Voer in het tekstvak Serverhost de hostnaam van de Active Directory-server in. De serverpoort is ingesteld op 3268. Als u SSL/TLS selecteert in de sectie Versleuteling, is de poort ingesteld op 3269. Als uw Active Directory toegang via SSL/TLS vereist, selecteert u de optie LDAPS is vereist voor alle verbindingen in de sectie Versleuteling. Kopieer en plak het tussenliggende (indien gebruikt) en root-CA-certificaat van de domeincontroller naar het tekstvak SSL-certificaten. Voer eerst het tussen-CA-certificaat in en vervolgens het root-CA-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" erin zijn opgenomen.

Voer de volgende informatie in de sectie Details van BIND-gebruiker.

Optie	Beschrijving
Basis-DN	Voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld OU=myUnit,DC=myCorp,DC=com. Belangrijk: De Base DN wordt gebruikt voor verificatie. Alleen gebruikers onder de Base DN kunnen zich verifiëren. Zorg ervoor dat de groeps-DN's en gebruikers-DN's die u later opgeeft voor synchronisatie, onder deze Base DN vallen. Opmerking: Als u de directory toevoegt als Global Catalog, is de Base DN niet nodig en wordt de optie niet weergegeven.
DN van Bind-gebruiker	Voer het account in waarmee u kunt zoeken naar gebruikers. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com. Opmerking: U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt.
Bind-gebruikerswachtwoord	Voer het wachtwoord van de bind-gebruiker in.

Als u Active Directory via geïntegreerde Windows-verificatie integreert, voert u de volgende stappen uit.

Maak in de sectie Directorysynchronisatie en -verificatie de volgende selecties.

Optie	Beschrijving
Hosts voor directorysynchronisatie	Selecteer een of meer service-instanties voor Directorysynchronisatie die u wilt gebruiken om deze directory te synchroniseren. Alle instanties voor Directorysynchronisatieservices die zijn geregistreerd bij de tenant en die zich in de status Actief bevinden, worden weergegeven. Als u meerdere instanties selecteert, gebruikt Workspace ONE Access de eerste geselecteerde instantie in de lijst om de directory te synchroniseren. Als de eerste instantie niet beschikbaar is, wordt de tweede connector gebruikt, enzovoort. U kunt de lijst opnieuw rangschikken op de pagina met synchronisatie-instellingen van de directory nadat de directory is gemaakt.
Verificatie	Selecteer Ja als u gebruikers van deze directory wilt verifiëren met de gebruikersverificatieservice. De service Gebruikersverificatie moet al zijn geïnstalleerd. Als u Ja selecteert, worden de verificatiemethode Wachtwoord (cloudimplementatie) en een identiteitsprovider met de naam IDP voor `directory` van het type Ingesloten automatisch gemaakt voor de directory. Selecteer Geen als u gebruikers van deze directory niet wilt verifiëren met de gebruikersverificatieservice. Als u later van gedachten verandert, kunt u de verificatiemethode wachtwoord (cloudimplementatie) en de identiteitsprovider voor de directory handmatig maken. Wanneer u dit doet, maakt u een nieuwe identiteitsprovider voor de directory door Identiteitsprovider toevoegen > Ingebouwde IdP maken te selecteren op de pagina Integraties > Identiteitsproviders. Het gebruik van de vooraf gemaakte identiteitsprovider met de naam Ingebouwd wordt niet aanbevolen.
Hosts voor gebruikersverificatie	Deze optie wordt weergegeven wanneer Verificatie is ingesteld op Ja. Selecteer een of meer service-instanties voor gebruikersverificatie die u wilt gebruiken om gebruikers van deze directory te verifiëren. Alle instanties voor gebruikersverificatieservice die zijn geregistreerd bij de Tenant en die zich in de status Actief bevinden, worden weergegeven. Als u meerdere instanties selecteert, verzendt Workspace ONE Access verificatieaanvragen in de Round-robin-volgorde naar de geselecteerde instanties.
Gebruikersnaam	Selecteer het accountkenmerk dat de gebruikersnaam bevat.
Externe ID	Het kenmerk dat moet worden gebruikt als unieke ID voor gebruikers in de Workspace ONE Access-directory. De standaardwaarde is objectGUID. U kunt Externe ID instellen op een van de volgende kenmerken: Een willekeurig tekenreekskenmerk zoals sAMAccountName of distinguishedName De binaire kenmerken objectSid, objectGUID of mS-DS-ConsistencyGuid De instelling Externe ID is alleen van toepassing op gebruikers in Workspace ONE Access. Voor groepen is Externe ID altijd ingesteld op objectGUID en kan deze instelling niet worden gewijzigd. Belangrijk: Voor alle gebruikers moet een unieke waarde zijn gedefinieerd voor het kenmerk. De waarde moet uniek zijn voor de Workspace ONE Access-tenant. Belangrijk: Als u Externe ID instelt op het Active Directory-kenmerk objectGUID of mS-DS-ConsistencyGuid, moeten alle gebruikers een niet-lege waarde hebben die precies 16 bytes lang is. Zorg er ook voor dat u de juiste Active Directory-kenmerknaam opgeeft (met het juiste hoofdlettergebruik) in het tekstvak Externe ID. Als de naam niet overeenkomt met de kenmerknaam in Active Directory, wordt een null-waarde geretourneerd en mislukt de directorysynchronisatie. Als u bijvoorbeeld het kenmerk mS-DS-ConsistencyGuid in Active Directory gebruikt en u Externe ID instelt op ms-DS-ConsistencyGuid, mislukt de directorysynchronisatie. Houd rekening met de volgende overwegingen bij het instellen van Externe ID: Als u Workspace ONE Access met Workspace ONE UEM integreert, moet u ervoor zorgen dat u Externe ID instelt op hetzelfde kenmerk in beide producten. U kunt Externe ID wijzigen nadat u de directory heeft gemaakt. U wordt echter aanbevolen Externe ID in te stellen voordat u gebruikers synchroniseert met Workspace ONE Access. Wanneer u Externe ID wijzigt, worden gebruikers opnieuw gemaakt. Hierdoor worden alle gebruikers afgemeld en moeten ze zich opnieuw aanmelden. U moet ook gebruikersrechten voor webapps en ThinApps opnieuw configureren. Rechten voor Horizon, Horizon Cloud en Citrix worden verwijderd en vervolgens opnieuw gemaakt bij de volgende synchronisatie van rechten. De optie Externe ID is beschikbaar met Workspace ONE Access Connector-versie 20.10 en hoger en 19.03.0.1. Alle connectoren die aan de Workspace ONE Access-service zijn gekoppeld, moeten versie 20.10 of hoger zijn of ze moeten allemaal versie 19.03.0.1 zijn. Als verschillende versies van de connector zijn gekoppeld aan de service, wordt de optie Externe ID niet weergegeven.

Er is geen actie vereist in de sectie Versleuteling. Directory's van het type Active Directory via geïntegreerde Windows-verificatie gebruiken automatisch SASL Kerberos-binding en u hoeft LDAPS of STARTTLS niet te selecteren.
Voer in de sectie Gebruikersdetails Bind de gebruikersnaam en het wachtwoord in van de Bind-gebruiker die is gemachtigd om gebruikers en groepen voor de vereiste domeinen op te vragen. Voer de gebruikersnaam in als sAMAccountName@domain, waarbij domain de volledig gekwalificeerde domeinnaam is. Bijvoorbeeld: [email protected].

Opmerking: U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt.

Klik op Opslaan en Volgende.
Selecteer op de pagina Domeinen selecteren, de domeinen indien van toepassing, en klik vervolgens op volgende .
- Voor een directory van het type Active Directory via LDAP zijn de domeinen vermeld en al geselecteerd.
- Voor een directory van het type Active Directory via geïntegreerde Windows-verificatie selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding. Alle domeinen met een vertrouwensrelatie in twee richtingen met het basisdomein worden weergegeven.
  Als domeinen met een vertrouwensrelatie in twee richtingen met het basisdomein worden toegevoegd aan Active Directory nadat de Workspace ONE Access-directory is gemaakt, kunt u deze toevoegen via de pagina Synchronisatie-instellingen > Domeinen van de directory door op Vernieuwen te klikken om de meest recente lijst op te halen.
  
  Tip: Kies een of meer vertrouwde domeinen in plaats van alle domeinen tegelijk te selecteren. Dit zorgt ervoor dat het opslaan van het domein geen langdurige bewerking is die mogelijk een time-out kan veroorzaken. Als u de domeinen op de juiste wijze kiest, zorgt u ervoor dat de Directorysynchronisatieservice tijd besteedt aan het oplossen van alleen één domein.
- Als u een Active Directory via LDAP-directory maakt waarvoor de optie Globale catalogus is geselecteerd, wordt het tabblad domeinen niet weergegeven.
Controleer op de pagina Gebruikersattributen toewijzen of de kenmerknamen van de Workspace ONE Access-directory zijn toegewezen aan de juiste Active Directory-kenmerken en breng zo nodig wijzigingen aan. Klik vervolgens op Volgende.

Belangrijk: Als een kenmerk als vereist is gemarkeerd, moet de waarde worden ingesteld voor alle gebruikers die u wilt synchroniseren. Gebruikersrecords waarin waarden ontbreken voor de vereiste kenmerken, worden niet gesynchroniseerd.
Volg de instructies in Gebruikers en groepen selecteren om te synchroniseren met uw Workspace ONE Access-directory om groepen toe te voegen op de pagina Selecteer de groepen die u wilt synchroniseren en gebruikers toe te voegen op de pagina Selecteer de gebruikers die u wilt synchroniseren.
Stel op de pagina synchronisatiefrequentie een synchronisatieplanning in om gebruikers en groepen regelmatig te synchroniseren of selecteer Handmatig in de vervolgkeuzelijst Synchronisatiefrequentie als u geen planning wilt instellen.
De waarde is ingesteld in UTC.

Tip: Zorg voor langere synchronisatie-intervallen dan de tijd die nodig is om te synchroniseren. Als gebruikers en groepen naar de directory worden gesynchroniseerd wanneer de volgende synchronisatie is gepland, wordt de nieuwe synchronisatie gestart direct na het einde van de vorige synchronisatie.

Als u Handmatig wilt selecteren, klikt u op de knop Synchronisatie op de directorypagina wanneer u de directory wilt synchroniseren.
Klik op Opslaan om de directory te maken of Directory synchroniseren om de Directory te maken en het synchroniseren te starten.

resultaten

De verbinding met Active Directory is tot stand gebracht. Als u op Directory synchroniseren heeft geklikt, worden gebruikers- en groepsnamen gesynchroniseerd van Active Directory naar de Workspace ONE Access-directory.

Zie 'Gebruikers en groepen beheren' in VMware Workspace ONE Access beheren voor meer informatie over hoe groepen worden gesynchroniseerd.

Volgende stappen

Als u de Verificatie-optie op Ja instelt, wordt voor de Directory automatisch een identiteitsprovider met de naam IDP voor directoryname en een verificatiemethode Wachtwoord (cloudimplementatie) gemaakt. U kunt deze bekijken op de pagina's Integraties > Identiteitsproviders en Integraties > Verificatiemethoden. U kunt ook meer verificatiemethoden voor de directory maken vanaf de pagina Verificatiemethoden. Zie Verificatiemethoden voor gebruikers beheren in Workspace ONE Access voor informatie over het maken van verificatiemethoden.
Controleer het standaardtoegangsbeleid op de pagina Resources > Beleidsregels.
Controleer de standaardinstellingen voor synchronisatiebeveiligingen en wijzig die indien nodig. Raadpleeg Beveiligingsmaatregelen voor directorysynchronisatie in Workspace ONE Access instellen voor meer informatie.