Kompletní tutoriál pro Azure AD Connect a Microsoft Entra Connect

Azure AD Connect (nyní Microsoft Enter Connect) Je to klíč k propojení vaší místní služby Active Directory s cloudem od Microsoftu: Azure AD a Microsoft 365. Díky tomuto nástroji se vaši uživatelé mohou přihlašovat se stejným uživatelským jménem a heslem jak v místních, tak v cloudových službách, čímž se zabrání duplicitním účtům a sníží se problémy IT oddělení.

V celém tomto tutoriálu Uvidíte velmi podrobně celý cyklus: přípravu místního prostředí, vytvoření domény a doménové struktury Active Directory, konfiguraci Microsoft Entra ID, instalaci a konfiguraci Azure AD Connect, metody ověřování, filtrování objektů a pokročilé funkce, jako je synchronizace hash hesel, zpětný zápis nebo použití Microsoft Entra Connect Health k monitorování infrastruktury.

Co je Azure AD Connect a k čemu se používá?

Azure AD Connect je oficiální nástroj od společnosti Microsoft. Funguje jako „most“ mezi vaší místní službou Active Directory a Azure Active Directory a zároveň integruje Microsoft 365. Umožňuje synchronizaci identit, které již máte ve své místní doméně, s cloudem, takže uživatel používá stejné přihlašovací údaje v obou světech a v případě potřeby může využívat jednotné přihlašování (SSO).

Klient Azure AD Connect je nainstalován na členském serveru. domény a ačkoli jej lze technicky nainstalovat na řadič domény, společnost Microsoft doporučuje se tomu vyhnout z důvodů zabezpečení a izolace služeb. Tento server bude zodpovědný za synchronizaci uživatelů, skupin a dalších objektů z vaší služby Active Directory se službou Azure AD v pravidelných intervalech.

Po konfiguraci Azure AD Connect Může používat různé modely ověřování: synchronizaci hašů hesel (PHS), průchozí ověřování (PTA), federaci s AD FS nebo federaci s poskytovateli, jako je PingFederate. Nabízí také možnosti, jako je jednotné přihlašování (SSO), filtrování podle organizační jednotky nebo skupin, ochranu před hromadným mazáním a automatické aktualizace produktů.

V situacích, kdy již pracujete s Microsoft 365 A pokud máte uživatele „pouze v cloudu“, Azure AD Connect vám umožňuje sjednotit identity: pokud se hlavní název uživatele (UPN) a e-mailová adresa místního uživatele shodují s uživateli v cloudu, po synchronizaci tento uživatel přestane být „pouze v cloudu“ a stane se synchronizovaným uživatelem ze služby AD, čímž se centralizuje správa atributů ve vašem místním adresáři.

Příprava lokálního prostředí služby Active Directory

Než začnete uvažovat o synchronizaci čehokoli s AzurePotřebujete funkční prostředí služby Active Directory. Pokud již máte firemní doménu v produkčním prostředí, můžete ji použít; pokud ne, můžete si od základu nastavit testovací prostředí pro testování všech hybridních scénářů identity, aniž by to ovlivnilo vaše živé prostředí.

Myšlenkou této laboratoře je vytvořit server který bude fungovat jako řadič domény (DC) a bude hostovat služby AD DS, DNS a nástroje pro správu. To vše lze nastavit na virtuálním počítači Hyper-V se systémem Windows Server pomocí skriptů PowerShellu, které automatizují většinu práce.

Vytvoření virtuálního počítače pro řadič domény

Prvním krokem je vytvoření virtuálního stroje který bude fungovat jako místní server služby Active Directory. Chcete-li to provést, můžete otevřít prostředí PowerShell ISE jako správce na hostiteli Hyper-V a spustit skript, který definuje název virtuálního počítače, síťový přepínač, cestu VHDX, velikost disku a instalační médium (ISO systému Windows Server).

Tento skript vytvoří virtuální počítač generace 2.S pevnou pamětí se vytvoří nový virtuální disk a připojí se virtuální DVD mechanika odkazující na ISO soubor operačního systému. Firmware počítače se poté nakonfiguruje tak, aby se zpočátku spouštěl z DVD, což umožňuje interaktivní instalaci systému.

Jakmile je virtuální stroj vytvořenZ Hyper-V Manageru musíte spustit server, připojit se ke konzoli a provést standardní instalaci systému Windows Server: vyberte jazyk, zadejte produktový klíč, přijměte licenční podmínky, zvolte vlastní instalaci a použijte nově vytvořený disk. Po dokončení instalace restartujte počítač, přihlaste se a nainstalujte všechny dostupné aktualizace.

Počáteční konfigurace Windows Serveru

S již nainstalovaným operačním systémemServer musí být připraven k přijetí role služby Active Directory Domain Services. To zahrnuje přiřazení konzistentního názvu (například DC1), konfiguraci statické IP adresy, definování nastavení DNS a přidání potřebných nástrojů pro správu pomocí funkcí systému Windows.

Použití jiného skriptu PowerShellu Tyto úlohy můžete automatizovat: nastavení IP adresy, masky, brány a DNS serverů (obvykle samotného serveru a sekundárně veřejného DNS serveru, například 8.8.8.8), přejmenování počítače a instalaci RSAT serverů služby Active Directory a zaznamenávání všeho do souboru protokolu pro audit.

Po aplikaci těchto změn Server se restartuje a bude připraven k povýšení na řadič domény v nové doménové struktuře, takže vaše místní prostředí AD bude funkční pro testování nebo pro skutečnou integraci s cloudem.

Vytvoření doménové struktury a domény služby Active Directory

Dalším krokem je instalace služby AD DS., DNS a konzolu pro správu skupinových zásad (GPMC) a poté vytvořte novou doménovou strukturu služby Active Directory. PowerShell opět umožňuje urychlit proces instalací potřebných funkcí a spuštěním rutiny Install-ADDSForest se všemi požadovanými parametry.

V definici doménové struktury zadáte název domény (například contoso.com), název NetBIOS, cesty k databázi Active Directory (NTDS), protokoly a SYSVOL, a také funkční úrovně domény a doménové struktury. Definuje se také heslo pro režim obnovení adresářových služeb (DSRM), které je nezbytné pro úlohy obnovy.

Po restartu serveru po povýšeníJiž máte prostředí Windows Server AD s provozní doménou, integrovaným DNS a všemi potřebnými nástroji pro správu uživatelů, skupin, organizačních jednotek a skupinových zásad.

Vytváření testovacích uživatelů v Active Directory

S běžící doménovou strukturou je užitečné mít k dispozici testovací účty. Chcete-li ověřit synchronizaci s Azure AD, můžete použít skript PowerShellu k vytvoření například uživatele „Allie McCray“ s přihlašovacím jménem (samAccountName), počátečním heslem, zobrazovaným jménem a možností zabránit vypršení platnosti hesla.

Skript může také uživatele označit. Povoleno, aby se uživatelům zabránilo v nutnosti měnit heslo při příštím přihlášení. Tato funkce je umístí do příslušné cesty kontejneru (například CN=Users,DC=contoso,DC=com). Tito uživatelé budou poté synchronizováni se svými Microsoft Entra ID prostřednictvím Azure AD Connect.

Příprava lokální domény k synchronizaci

Před nasazením služby Azure AD Connect je vhodné zkontrolovat vaši AD. Aby bylo zajištěno splnění požadavků společnosti Microsoft: správně nakonfigurované domény, správné přípony UPN, konzistentní atributy e-mailů a žádná konfliktní data. Pro tento úkol společnost Microsoft nabízí nástroj IdFix, který pomáhá detekovat problematické objekty.

V mnoha prostředích existuje lokální doména typu mydomain.local a na druhé straně veřejná e-mailová doména, například mydomain.com používaná v Microsoft 365. Pro zajištění čisté synchronizace se doporučuje přidat k lokální AD příponu UPN odpovídající veřejné e-mailové doméně.

Z „Domény a důvěryhodnosti služby Active Directory“ Můžete otevřít vlastnosti a přidat novou příponu UPN (například mojedomena.com). Poté ve vlastnostech uživatelského účtu na kartě „Účet“ změňte UPN uživatele z user@mojedomena.local na user@mojedomena.com a zarovnejte ho s e-mailovou adresou v Microsoft 365.

I když se změna UPN důrazně doporučuje Aby se usnadnilo následné přihlašování a případné SSO, tato změna nemění klasickou metodu přihlašování DOMÉNA/uživatel (před Windows 2000), takže neovlivní aplikace ani skripty, které tento formát nadále používají.

Důležité je také správně vyplnit atribut mail. uživatelských účtů s jejich primární e-mailovou adresou. Pokud již máte uživatele vytvořené přímo v cloudu, kombinace hlavního názvu uživatele (UPN) a odpovídajícího e-mailu mezi místním prostředím a službou Microsoft 365 umožní po synchronizaci tyto účty propojit a cloudový uživatel se stát synchronizovanou identitou ze služby AD.

Nastavení a konfigurace Microsoft Entra ID (Azure AD)

Aby se synchronizoval lokální adresář Potřebujete klienta Microsoft Entra ID. Tento klient je cloudový adresář, kde se budou vytvářet repliky vašich uživatelů, skupin a zařízení z místního prostředí.

Pokud ještě nemáte nájemníkaMůžete jej vytvořit v centru pro správu Microsoft. Přihlaste se pomocí účtu, který má dané předplatné. V části Přehled vyberte možnost Správa klientů a poté vytvořte nového klienta, zadejte název organizace a počáteční doménu (například something.onmicrosoft.com).

Po dokončení průvodce se vytvoří adresář. A můžete to spravovat z portálu. Později budete moci přiřadit vlastní domény (například contoso.com) a ověřit je pro použití jako primární domény v hlavních uživatelských jménech (UPN) vašich uživatelů synchronizovaných ze služby Active Directory.

Vytvoření hybridního účtu správce identity

V klientovi Microsoft Entra se doporučuje vytvořit Pro správu hybridní komponenty bude použit vyhrazený účet. Tento účet bude použit například pro počáteční konfiguraci Azure AD Connect a úlohy související s identitou.

Z sekce Uživatelé Vytvoříte nového uživatele, přiřadíte mu jméno a uživatelské jméno (UPN) a změníte jeho roli na „Správce hybridní identity“. Během vytváření si můžete zobrazit a zkopírovat dočasné heslo, které mu bylo přiřazeno.

Po vytvoření tohoto účtu je vhodné se přihlásit. Přejděte na stránku myapps.microsoft.com s tímto uživatelským jménem a dočasným heslem a vynuťte změnu hesla na trvalé. Toto bude identita správce, kterou budete používat v několika krocích hybridní instalace.

Instalace služby Azure AD Connect (Microsoft Entra Connect)

S připraveným lokálním prostředím a cloudovým klientemNyní můžete nainstalovat Azure AD Connect na místní členský server domény. Společnost Microsoft doporučuje nepoužívat řadič domény, aby se minimalizovala rizika zabezpečení a dostupnosti.

Stažení služby Azure AD Connect Je k dispozici na portálu Azure Active Directory, v části Azure AD Connect nebo přímo v centru pro stahování Microsoft Download Center. Po stažení instalačního programu jej spusťte na určeném serveru.

Licenční podmínky jsou přijaty během průvodce instalací. Máte dvě možnosti: rychlé nastavení nebo vlastní nastavení. Rychlé nastavení konfiguruje ve výchozím nastavení úplnou synchronizaci služby Active Directory pomocí metody „synchronizace hash hesel“, zatímco vlastní nastavení umožňuje mnohem větší kontrolu nad atributy, doménami, organizačními jednotkami, metodami ověřování a dalšími funkcemi.

V typických instalacích je to obvykle zajímavější Zvolte vlastní cestu, zejména pokud potřebujete omezit, které organizační jednotky se synchronizují, chcete vyhodnotit různé metody přihlášení nebo máte topologie s více doménovými strukturami.

Konfigurace metody přihlášení

Jedním z klíčových bodů asistenta Jde o volbu metody ověřování, kterou vaši uživatelé použijí při přístupu ke cloudovým prostředkům. Azure AD Connect nabízí několik integrovaných možností, z nichž každá má své vlastní výhody a požadavky.

1. Synchronizace hash hesel (PHS)Tato metoda se synchronizuje s Azure AD. další hash hesla uloženo ve vaší místní službě Active Directory. Uživatel se přihlašuje do cloudu přímo pomocí služby Azure AD pomocí stejného hesla jako v místním prostředí, ale spravováno pouze v AD. Je to nejjednodušší model k implementaci a nejrozšířenější.

2. Průchozí ověřování (PTA)V tomto případě se hesla neukládají v Azure AD; když se uživatel pokusí přihlásit, ověření se přepošle prostřednictvím místních agentů, kteří ověřují přihlašovací údaje v lokální službě AD. To vám umožňuje aplikovat lokální omezení přístupu, plány atd. a zároveň zachovat kontrolu ověřování v rámci vaší infrastruktury.

3. Federace s AD FSAzure AD deleguje ověřování na federační systém založený na službě Active Directory Federation Services. Vyžaduje nasazení serverů AD FS a obvykle i proxy webové aplikace. Je složitější na údržbu, ale nabízí maximální kontrolu a kompatibilitu s pokročilými scénáři.

4. Federace s PingFederate: podobné jako v předchozím případě, ale s použitím PingFederate jako federačního řešení namísto AD FS, pro organizace, které již tuto infrastrukturu identit mají.

5. Nekonfigurovat metodu přihlášení: navrženo pro situace, kdy již máte federační řešení od třetí strany a nechcete, aby Azure AD Connect v této oblasti cokoli automatizoval.

Kromě toho můžete povolit jednotné přihlašování (SSO). V kombinaci s PHS nebo PTA. S povoleným SSO a prostřednictvím skupinových zásad (GPO) se počítače připojené k doméně mohou přihlašovat pomocí UPN uživatele, obvykle stejného jako jeho e-mailová adresa, což jim zabrání opakovanému zadávání přihlašovacích údajů při přístupu ke službám, jako je portál Microsoft 365.

Připojení k Microsoft 365 a místní službě Active Directory

V průvodci Azure AD Connect budete muset zadat Nejprve budete potřebovat přihlašovací údaje správce klienta Microsoft Entra (například dříve vytvořený účet správce hybridní identity). To nástroji umožní nakonfigurovat cloudovou komponentu a zaregistrovat server jako zdroj synchronizace.

Poté jsou od účtu s oprávněními v lokální službě AD vyžádány přihlašovací údaje. pro vytvoření synchronizačního propojení s místní doménovou strukturou. Po ověření je lokální adresář přidán do seznamu zdrojů dat pro synchronizaci.

V dalším kroku si vyberete, který atribut použijete jako primární uživatelské jméno. U cloudových účtů je obvyklým přístupem použití pole userPrincipalName, ale v některých scénářích můžete zvolit pole email, pokud je konzistentní a správně nakonfigurované. Můžete také určit, zda budete pokračovat, aniž by byly všechny domény UPN ověřeny v Azure AD (užitečné, když je doména AD privátní).

Výběr organizační jednotky a filtrování objektů

Azure AD Connect umožňuje definovat, která podmnožina Vaše doménová struktura služby Active Directory je synchronizována s cloudem. Můžete vybrat celé domény, konkrétní organizační jednotky nebo dokonce filtrovat podle atributů a zúžit tak rozsah.

V praxi je to obvykle dobrý nápad Začněte synchronizací pouze organizačních jednotek, kde se nacházejí uživatelé účastnící se pilotního projektu, nebo použijte konkrétní skupinu zabezpečení, jejíž členové budou replikováni v Azure AD. Tím se sníží riziko synchronizace servisních účtů, zastaralých objektů nebo informací, které by neměly opustit místní prostředí.

Za zmínku stojí následné změny Změny struktury organizační jednotky (přejmenování, přesun kontejnerů atd.) mohou ovlivnit filtrování. Běžnou strategií je synchronizovat celou doménu, ale omezit filtrování na základě členství ve skupině, čímž se zabrání nadměrnému spoléhání na organizační strukturu.

Další možnosti konfigurace

Poslední obrazovky asistenta nabízejí Mezi další funkce patří zpětný zápis hesla, přepisování zařízení, hybridní integrace Exchange a ochrana před hromadným mazáním.

Odložené psaní hesla Umožňuje uživatelům změnit nebo resetovat heslo z cloudu (například ze samoobslužného portálu) a aby se tato změna projevila i v místní službě Active Directory s respektováním zásad pro hesla v organizaci. Pro mnoho společností je to významná výhoda z hlediska podpory.

Přepisování zařízení Umožňuje zpětné ukládání zařízení registrovaných v Microsoft Entra ID do lokální služby Active Directory, což usnadňuje scénáře podmíněného přístupu, kde je potřeba sledovat zařízení na obou stranách.

Funkce zabraňující nechtěnému smazání Ve výchozím nastavení je povolena a omezuje počet objektů, které lze odstranit v rámci jednoho synchronizačního spuštění (například na 500). Pokud je tato prahová hodnota překročena, synchronizace se zablokuje, aby se zabránilo náhodnému hromadnému odstranění, což je zásadní ve velkých prostředích.

Konečně automatické aktualizace V instalacích s rychlým nastavením je ve výchozím nastavení povolena a udržuje Azure AD Connect aktuální s nejnovějšími verzemi, opravuje chyby a přidává kompatibility, aniž byste museli ručně aktualizovat každý server.

Ověření synchronizace a denního provozu

Po dokončení instalace a průvodceAzure AD Connect může okamžitě zahájit úplnou synchronizaci, pokud jste ji zadali. Samotný průvodce nabízí možnost spustit počáteční cyklus ihned po jeho dokončení, což se doporučuje k ověření, že vše funguje správně.

Na serveru, kde jste nainstalovali Azure AD Connect Konzolu „Synchronizační služba“ můžete otevřít z nabídky Start. Zde uvidíte historii spuštění, včetně počáteční synchronizace, případných chyb a podrobností o importu, synchronizaci a exportu objektů.

Na portálu Microsoft 365 nebo na přihlašovacím portálu Microsoftu Můžete zkontrolovat seznam uživatelů a ověřit, zda se zobrazují jako „Synchronizováno s Active Directory“ namísto „Pouze cloud“. Od tohoto okamžiku jsou hlavní atributy (křestní jméno, příjmení, e-mailová adresa atd.) spravovány z místní služby Active Directory.

Azure AD Connect spouští výchozí cyklus. Synchronizace probíhá každých 30 minut, i když můžete vždy vynutit ruční synchronizaci pomocí PowerShellu, pokud potřebujete, aby se změna projevila okamžitě. Je vhodné toto chování zdokumentovat, aby tým podpory věděl, co může očekávat.

Pokročilé scénáře: více doménových struktur a další servery

Ve složitějších organizacích Můžete se setkat s více doménovými strukturami služby Active Directory, z nichž každá má svou vlastní doménu a uživatele. Mohou existovat také doménové struktury zdrojů, kde se nacházejí propojené poštovní schránky nebo jiné služby.

Azure AD Connect je připraven pro tyto topologie.To vám umožňuje přidat více doménových struktur jako zdroje synchronizace a použít deklarativní model zřizování. To znamená, že pravidla pro kombinování, transformaci a tok atributů jsou definována deklarativně a lze je upravit tak, aby odpovídala vašemu návrhu identity.

Pro pokročilejší laboratoře Druhý les (např. fabrikam.com) lze vytvořit s vlastním řadičem domény (CP1) opakováním kroků vytvoření virtuálního počítače, instalace systému, konfigurace IP a DNS, povýšení na řadič domény a vytvoření testovacích uživatelů. To umožňuje testování scénářů s více lesy a synchronizaci cloudu s různými doménami.

V produkčním prostředí se doporučuje mít Server Azure AD Connect je uveden do pohotovostního režimu nebo do pracovního režimu. Pracovní server uchovává kopii konfigurace a provádí interní import a synchronizaci, ale neexportuje změny do služby Azure AD. V případě selhání primárního serveru můžete s minimálním dopadem přepnout na pracovní server.

Microsoft Entra Connect Health: monitorování a upozornění

Udržet hybridní infrastrukturu identity pod kontrolouSpolečnost Microsoft nabízí Microsoft Entra Connect Health, prémiové řešení, které monitoruje klíčové komponenty, jako je Azure AD Connect (synchronizace), AD FS a AD DS, a poskytuje upozornění, metriky výkonu a analýzu využití.

Operace je založena na agentech. Tito agenti jsou nainstalováni na serverech identity: serverech AD FS, řadičích domény a serverech Azure AD Connect. Odesílají informace o stavu a výkonu do cloudové služby, kde si je můžete prohlédnout na vyhrazeném portálu Connect Health.

Pro začátek potřebujete mít licence. Z webu Microsoft zadejte ID P1 nebo P2 (nebo test). Poté si z portálu stáhněte agenty Connect Health a nainstalujte je na každý relevantní server. Po registraci služba automaticky detekuje, které role jsou monitorovány.

Na portálu Connect Health najdete různé panelyJeden pro synchronizační služby (Azure AD Connect), další pro federační služby (AD FS) a další pro doménové struktury služby AD DS. V každém z nich si můžete prohlédnout aktivní upozornění, stav replikace, potenciální problémy s certifikáty, chyby ověřování a trendy využití.

Kromě technických aspektů zahrnuje Connect Health i další možnosti Konfigurace přístupu na základě rolí (IAM) a volitelně autorizace přístupu společnosti Microsoft k diagnostickým datům pouze pro účely podpory. Tato možnost je ve výchozím nastavení zakázána, ale může být užitečná, pokud potřebujete pokročilou podporu společnosti Microsoft k řešení složitých problémů.

S celým tímto nastavením ekosystému – lokální AD, Microsoft Entra ID, Azure AD Connect a Connect Health – Máte k dispozici kompletní hybridní platformu identit, která je schopna poskytovat jednotné přihlašování, centralizovanou správu účtů a hesel, vysokou dostupnost a přehled o stavu infrastruktury; tato kombinace zjednodušuje život koncovému uživateli a poskytuje vám kontrolu potřebnou k bezpečnému a flexibilnímu provozu.