Komplet vejledning til Azure AD Connect og Microsoft Entra Connect

Azure AD Connect (nu Microsoft Enter Connect) Det er nøglen til at forbinde din lokale Active Directory med Microsoft-skyen: Azure AD og Microsoft 365. Takket være dette værktøj kan dine brugere logge ind med det samme brugernavn og den samme adgangskode både lokalt og i cloud-tjenester, hvilket undgår dubletter af konti og reducerer hovedpine for IT-afdelingen.

Gennem hele denne vejledning Du vil se hele cyklussen i detaljer: forberedelse af det lokale miljø, oprettelse af domænet og Active Directory-skoven, konfiguration af Microsoft Entra ID, installation og konfiguration af Azure AD Connect, godkendelsesmetoder, objektfiltrering og avancerede funktioner såsom synkronisering af adgangskoder, tilbageskrivning eller brug af Microsoft Entra Connect Health til at overvåge infrastrukturen.

Hvad er Azure AD Connect, og hvad bruges det til?

Azure AD Connect er det officielle Microsoft-værktøj Den fungerer som en "bro" mellem dit lokale Active Directory og Azure Active Directory og integrerer også Microsoft 365. Den gør det muligt at synkronisere de identiteter, du allerede har i dit lokale domæne, med skyen, så brugeren bruger de samme legitimationsoplysninger i begge verdener og, hvis det ønskes, kan benytte sig af single sign-on (SSO).

Azure AD Connect-klienten er installeret på en medlemsserver af domænet, og selvom det teknisk set kan installeres på en domænecontroller, anbefaler Microsoft at undgå dette af sikkerheds- og tjenesteisolationsårsager. Denne server vil være ansvarlig for at synkronisere brugere, grupper og andre objekter fra dit Active Directory med Azure AD med jævne mellemrum.

Når den er konfigureret, er Azure AD Connect Den kan bruge forskellige godkendelsesmodeller: Password Hash Synchronization (PHS), Pass-Through Auth (PTA), federation med AD FS eller federation med udbydere som PingFederate. Den tilbyder også muligheder som SSO, filtrering efter OU eller grupper, beskyttelse mod massesletning og automatiske produktopdateringer.

I scenarier, hvor du allerede arbejder med Microsoft 365 Og hvis du har "kun-cloud"-brugere, giver Azure AD Connect dig mulighed for at forene identiteter: Hvis UPN og e-mailadresse for en lokal bruger matcher brugerens i skyen, vil brugeren ved synkronisering ophøre med at være "kun-cloud" og blive en synkroniseret bruger fra AD, hvilket centraliserer attributstyringen i din lokale mappe.

Forberedelse af det lokale Active Directory-miljø

Før du overvejer at synkronisere noget med AzureDu har brug for et funktionelt Active Directory-miljø. Hvis du allerede har et virksomhedsdomæne i produktion, kan du bruge det. Hvis ikke, kan du oprette et laboratorium fra bunden for at teste alle hybrididentitetsscenarier uden at påvirke dit livemiljø.

Ideen bag dette lab er at oprette en server som vil fungere som en domænecontroller (DC) og være vært for AD DS, DNS og administrationsværktøjer. Alt dette kan konfigureres på en virtuel Hyper-V-maskine, der kører Windows Server, ved hjælp af PowerShell-scripts, der automatiserer meget af arbejdet.

Oprettelse af den virtuelle maskine til domænecontrolleren

Det første trin er at oprette en virtuel maskine som vil fungere som en lokal Active Directory-server. For at gøre dette kan du åbne PowerShell ISE som administrator på Hyper-V-værten og køre et script, der definerer VM-navnet, netværksswitchen, VHDX-stien, diskstørrelsen og installationsmediet (Windows Server ISO).

Dette script opretter en VM af generation 2Med fast hukommelse oprettes en ny virtuel disk, og et virtuelt DVD-drev, der peger på operativsystemets ISO, tilsluttes. Maskinens firmware konfigureres derefter til at starte fra DVD'en i første omgang, så du kan udføre systeminstallationen interaktivt.

Når den virtuelle maskine er oprettetFra Hyper-V Manager skal du starte serveren, oprette forbindelse til dens konsol og udføre en standard Windows Server-installation: vælg dit sprog, indtast produktnøglen, accepter licensbetingelserne, vælg en brugerdefineret installation, og brug den nyoprettede disk. Når installationen er fuldført, skal du genstarte, logge ind og installere alle tilgængelige opdateringer.

Indledende konfiguration af Windows Server

Med operativsystemet allerede installeretServeren skal være forberedt til at modtage Active Directory Domain Services-rollen. Dette indebærer at tildele den et ensartet navn (f.eks. DC1), konfigurere en statisk IP-adresse, definere DNS-indstillinger og tilføje de nødvendige administrative værktøjer ved hjælp af Windows-funktioner.

Brug af et andet PowerShell-script Du kan automatisere disse opgaver: indstille IP-adresse, maske, gateway og DNS-servere (normalt selve serveren og, som en sekundær, en offentlig DNS som f.eks. 8.8.8.8), omdøbe computeren og installere Active Directory RSAT'er, registrere alt i en logfil til revision.

Efter at have anvendt disse ændringer Serveren genstarter og er klar til at blive forfremmet til en domænecontroller i en ny skov, så du har dit lokale AD-miljø operationelt til test eller til reel integration med skyen.

Oprettelse af Active Directory-skoven og -domænet

Det næste trin er at installere AD DS, DNS og Group Policy Management Console (GPMC), og opret derefter en ny Active Directory-skov. Igen giver PowerShell dig mulighed for at fremskynde processen ved at installere de nødvendige funktioner og køre cmdlet'en Install-ADDSForest med alle de nødvendige parametre.

I skovdefinitionen angiver du domænenavnet (for eksempel contoso.com), NetBIOS-navn, stier til Active Directory-databasen (NTDS), logfiler og SYSVOL, samt domæne- og skovfunktionsniveauer. Adgangskoden til Directory Services Restore Mode (DSRM), som er afgørende for gendannelsesopgaver, er også defineret.

Når serveren genstarter efter kampagnenDu har allerede et Windows Server AD-miljø med et operationelt domæne, integreret DNS og alle de nødvendige værktøjer til at administrere brugere, grupper, OU'er og gruppepolitikker.

Oprettelse af testbrugere i Active Directory

Når skoven er oppe at køre, er det nyttigt at have testkonti tilgængelige. For at bekræfte synkronisering med Azure AD kan du bruge et PowerShell-script til f.eks. at oprette brugeren "Allie McCray" med et loginnavn (samAccountName), en startadgangskode, et visningsnavn og muligheden for at forhindre, at adgangskoden udløber.

Scriptet kan også markere brugeren Aktiveret for at forhindre brugere i at skulle ændre deres adgangskode ved næste login, placeres de i den relevante containersti (f.eks. CN=Brugere,DC=contoso,DC=com). Disse brugere synkroniseres derefter med deres Microsoft Entra-id'er via Azure AD Connect.

Forberedelse af det lokale domæne til synkronisering

Før du implementerer Azure AD Connect, anbefales det at gennemgå din AD. For at sikre, at det opfylder Microsofts krav: korrekt konfigurerede domæner, korrekte UPN-suffikser, ensartede e-mailattributter og ingen modstridende data. Til denne opgave tilbyder Microsoft IdFix-værktøjet, som hjælper med at registrere problematiske objekter.

I mange miljøer er der et lokalt domæne af typen mydomain.local og på den anden side et offentligt e-maildomæne, for eksempel mydomain.com, der bruges i Microsoft 365. For at synkroniseringen kan være ren, anbefales det at tilføje UPN-suffikset, der svarer til det offentlige e-maildomæne, til den lokale AD.

Fra “Active Directory-domæner og -trusts” Du kan åbne egenskaberne og tilføje det nye UPN-suffiks (f.eks. mitdomæne.com). Derefter skal du i brugerkontoegenskaberne under fanen "Konto" ændre brugerens UPN fra bruger@mitdomæne.lokal til bruger@mitdomæne.com, så den stemmer overens med e-mailadressen i Microsoft 365.

Selvom det kraftigt anbefales at ændre UPN'en For at lette efterfølgende logins og eventuel SSO ændrer denne ændring ikke den klassiske DOMAIN\user-loginmetode (før Windows 2000), så den påvirker ikke programmer eller scripts, der fortsat bruger dette format.

Det er også vigtigt at udfylde mail-attributten korrekt. af brugerkontiene med deres primære e-mailadresse. Hvis du allerede har brugere oprettet direkte i skyen, vil kombinationen af ​​UPN og matchende e-mail mellem on-premises og Microsoft 365 tillade, at disse konti efter synkronisering forbindes, og at skybrugeren får en synkroniseret identitet fra AD.

Opsætning og konfiguration af Microsoft Entra ID (Azure AD)

For at den lokale mappe kan synkroniseres Du skal bruge en Microsoft Entra ID-lejer. Denne lejer er den cloudmappe, hvor replikaer af dine brugere, grupper og enheder fra det lokale miljø oprettes.

Hvis du ikke allerede har en lejerDu kan oprette den ved at gå til Microsoft Administration. Log ind med en konto, der har abonnementet. Fra afsnittet Oversigt skal du vælge muligheden for at administrere lejere og derefter oprette en ny, hvor du angiver et navn til organisationen og et startdomæne (f.eks. something.onmicrosoft.com).

Når guiden er færdig, oprettes mappen. Og du kan administrere det fra portalen. Senere vil du kunne tilknytte brugerdefinerede domæner (f.eks. contoso.com) og bekræfte dem, så de kan bruges som primære domæner i dine brugeres UPN'er, der er synkroniseret fra Active Directory.

Oprettelse af en administratorkonto for hybrididentitet

I Microsoft Entra-lejeren anbefales det at oprette En dedikeret konto vil blive brugt til at administrere hybridkomponenten. Denne konto vil f.eks. blive brugt til den indledende konfiguration af Azure AD Connect og identitetsrelaterede opgaver.

Fra brugersektionen Du opretter en ny bruger, tildeler dem et navn og brugernavn (UPN) og ændrer deres rolle til "Hybrid Identity Administrator". Under oprettelsen kan du se og kopiere den midlertidige adgangskode, der er tildelt dem.

Efter oprettelse af denne konto anbefales det at logge ind. Gå til myapps.microsoft.com med det brugernavn og den midlertidige adgangskode, og gennemtving en ændring af adgangskoden til en permanent. Dette vil være den administrative identitet, du skal bruge i flere af hybridopsætningstrinnene.

Installation af Azure AD Connect (Microsoft Entra Connect)

Med det lokale miljø klar og cloud-lejeren forberedtDu kan nu installere Azure AD Connect på en lokal domænemedlemsserver. Microsoft fraråder brug af en domænecontroller for at minimere sikkerheds- og tilgængelighedsrisici.

Download af Azure AD Connect Den er tilgængelig fra Azure Active Directory-portalen, i afsnittet Azure AD Connect eller direkte fra Microsoft Download Center. Når du har downloadet installationsprogrammet, skal du køre det på den angivne server.

Licensbetingelserne accepteres under installationsguiden. Du har to muligheder: hurtig opsætning eller brugerdefineret opsætning. Den hurtige indstilling konfigurerer fuld Active Directory-synkronisering som standard ved hjælp af metoden "adgangskode-hashsynkronisering", mens den brugerdefinerede indstilling giver langt større kontrol over attributter, domæner, OU'er, godkendelsesmetoder og yderligere funktioner.

I typiske installationer er det normalt mere interessant Vælg den brugerdefinerede sti, især hvis du har brug for at begrænse, hvilke organisationsenheder der synkroniseres, vil evaluere forskellige loginmetoder eller har multi-skov-topologier.

Konfiguration af loginmetoden

Et af nøglepunkterne i assistenten Det er den valgte godkendelsesmetode, dine brugere vil bruge, når de tilgår cloudressourcer. Azure AD Connect tilbyder flere indbyggede muligheder, hver med sine egne fordele og krav.

1. Synkronisering af adgangskodehash (PHS)Denne metode synkroniserer med Azure AD yderligere adgangskode-hash gemt i dit lokale Active Directory. Brugeren logger direkte ind i skyen med Azure AD med den samme adgangskode som i det lokale miljø, men administreres kun i AD. Det er den enkleste model at implementere og den mest anvendte.

2. Pass-through-godkendelse (PTA)I dette tilfælde gemmes adgangskoder ikke i Azure AD. Når en bruger forsøger at logge ind, videresendes valideringen via lokale agenter, der verificerer legitimationsoplysningerne mod den lokale AD. Dette giver dig mulighed for at anvende lokale adgangsbegrænsninger, tidsplaner osv., samtidig med at du opretholder godkendelseskontrol i din infrastruktur.

3. Federation med AD FSAzure AD delegerer godkendelse til et føderationssystem baseret på Active Directory Federation Services. Det kræver implementering af AD FS-servere og typisk en webapplikationsproxy. Det er mere komplekst at vedligeholde, men tilbyder maksimal kontrol og kompatibilitet med avancerede scenarier.

4. Federation med PingFederateSvarende til det foregående tilfælde, men med PingFederate som føderationsløsning i stedet for AD FS for organisationer, der allerede har den pågældende identitetsinfrastruktur.

5. Konfigurer ikke loginmetoden: designet til når du allerede har en tredjepartsløsning til føderation og ikke ønsker, at Azure AD Connect skal automatisere noget på dette område.

Derudover kan du aktivere single sign-on (SSO) I kombination med PHS eller PTA. Med SSO aktiveret og via en gruppepolitik (GPO) kan domænetilsluttede computere logge ind ved hjælp af brugerens UPN, typisk den samme som deres e-mailadresse, hvilket forhindrer dem i at skulle indtaste deres legitimationsoplysninger gentagne gange, når de tilgår tjenester som f.eks. Microsoft 365-portalen.

Oprettelse af forbindelse til Microsoft 365 og den lokale Active Directory

I Azure AD Connect-guiden skal du angive Først skal du bruge legitimationsoplysningerne til en Microsoft Entra-lejeradministrator (f.eks. den hybrididentitetsadministratorkonto, der blev oprettet tidligere). Dette gør det muligt for værktøjet at konfigurere cloudkomponenten og registrere serveren som en synkroniseringskilde.

Derefter anmodes der om legitimationsoplysninger fra en konto med tilladelser i den lokale AD. for at oprette synkroniseringslinket med den lokale skov. Når den lokale mappe er valideret, føjes den til listen over datakilder til synkronisering.

I næste trin vælger du hvilken attribut der skal bruges som primært brugernavn For cloud-konti er den sædvanlige fremgangsmåde at bruge userPrincipalName, men i nogle scenarier kan du vælge e-mail-feltet, hvis det er ensartet og korrekt konfigureret. Du kan også angive, om du vil fortsætte uden at have alle UPN-domæner verificeret i Azure AD endnu (nyttigt, når AD-domænet er privat).

OU-udvælgelse og objektfiltrering

Azure AD Connect giver dig mulighed for at definere, hvilket delmængde Din Active Directory-skov er synkroniseret med skyen. Du kan vælge hele domæner, specifikke organisationsenheder eller endda filtrere efter attributter for at indsnævre omfanget.

I praksis er det som regel en god idé Start med kun at synkronisere de OU'er, hvor de brugere, der deltager i pilotprojektet, befinder sig, eller brug en specifik sikkerhedsgruppe, hvis medlemmer vil blive replikeret i Azure AD. Dette reducerer risikoen for at synkronisere servicekonti, forældede objekter eller oplysninger, der ikke bør forlade det lokale miljø.

Det er værd at bemærke, at efterfølgende ændringer Ændringer i OU-strukturen (omdøbning, flytning af containere osv.) kan påvirke filtrering. En almindelig strategi er at synkronisere hele domænet, men begrænse filtrering baseret på gruppemedlemskab og dermed undgå overdreven afhængighed af organisationsstrukturen.

Yderligere konfigurationsmuligheder

Assistentens sidste skærmbilleder tilbyder Yderligere funktioner inkluderer tilbageskrivning af adgangskoder, omskrivning af enheder, hybrid Exchange-integration og beskyttelse mod massesletning.

Udskudt skrivning af adgangskode Det giver brugerne mulighed for at ændre eller nulstille deres adgangskode fra skyen (f.eks. fra selvbetjeningsportalen), og at denne ændring også anvendes i det lokale Active Directory, idet organisationens adgangskodepolitik respekteres. For mange virksomheder er dette en betydelig fordel i forhold til support.

Omskrivning af enhed Det gør det muligt at overføre enheder, der er registreret i Microsoft Entra ID, tilbage til den lokale Active Directory, hvilket muliggør betingede adgangsscenarier, hvor du skal holde styr på enheder på begge sider.

Funktionen til at forhindre utilsigtet sletning Den er aktiveret som standard og begrænser antallet af objekter, der kan slettes i en enkelt synkroniseringskørsel (f.eks. til 500). Hvis denne tærskel overskrides, blokeres synkroniseringen for at forhindre utilsigtet massesletning, hvilket er afgørende i store miljøer.

Endelig automatiske opdateringer Den er som standard aktiveret i installationer med hurtig opsætning og holder Azure AD Connect opdateret med de nyeste versioner, retter fejl og tilføjer kompatibiliteter uden at du manuelt behøver at opdatere hver server.

Verifikation af synkronisering og daglig drift

Efter at have afsluttet installationen og guidenAzure AD Connect kan straks starte en fuld synkronisering, hvis du har angivet det. Guiden giver mulighed for at køre en indledende cyklus, så snart den er færdig, hvilket anbefales for at validere, at alt fungerer korrekt.

På serveren, hvor du installerede Azure AD Connect Du kan åbne konsollen "Synkroniseringstjeneste" fra Start-menuen. Der kan du se udførelseshistorikken, inklusive den indledende synkronisering, eventuelle fejl og detaljer om objektimport, synkronisering og eksport.

På Microsoft 365-portalen eller Microsoft Login-portalen Du kan kontrollere brugerlisten for at bekræfte, at de vises som "Synkroniseret med Active Directory" i stedet for "Kun i skyen". Fra det tidspunkt administreres hovedattributterne (fornavn, efternavn, e-mailadresse osv.) fra den lokale Active Directory.

Azure AD Connect kører en standardcyklus Synkronisering sker hvert 30. minut, selvom du altid kan fremtvinge en manuel synkronisering ved hjælp af PowerShell, hvis du har brug for, at en ændring afspejles med det samme. Det er god praksis at dokumentere denne adfærd, så supportteamet ved, hvad de kan forvente.

Avancerede scenarier: flere skove og yderligere servere

I mere komplekse organisationer Du kan støde på flere Active Directory-skove, hver med sit eget domæne og brugere. Der kan også være ressourceskove, hvor der findes linkede postkasser eller andre tjenester.

Azure AD Connect er klar til disse topologierDette giver dig mulighed for at tilføje flere skove som synkroniseringskilder og anvende en deklarativ provisioneringsmodel. Det betyder, at reglerne for kombinering, transformering og flydende attributter er defineret deklarativt og kan justeres, så de passer til dit identitetsdesign.

For mere avancerede laboratorier En anden skov (f.eks. fabrikam.com) kan oprettes med sin egen domænecontroller (CP1) ved at gentage trinnene med oprettelse af VM, systeminstallation, IP- og DNS-konfiguration, oprykning til DC og oprettelse af testbrugere. Dette muliggør test af multi-skov-scenarier og cloud-synkronisering med forskellige domæner.

I produktionsmiljøer anbefales det at have En Azure AD Connect-server er sat i standby eller i staging-tilstand. Staging-serveren vedligeholder en kopi af konfigurationen og udfører intern import og synkronisering, men eksporterer ikke ændringer til Azure AD. I tilfælde af en fejl på den primære server kan du skifte til staging-serveren med minimal påvirkning.

Microsoft Entra Connect Health: overvågning og advarsler

For at holde den hybride identitetsinfrastruktur under kontrolMicrosoft tilbyder Microsoft Entra Connect Health, en premium-løsning, der overvåger nøglekomponenter som Azure AD Connect (synkronisering), AD FS og AD DS og leverer advarsler, ydeevnemålinger og brugsanalyser.

Operationen er baseret på agenter. Disse agenter er installeret på identitetsservere: AD FS-servere, domænecontrollere og Azure AD Connect-servere. De sender oplysninger om tilstand og ydeevne til cloudtjenesten, hvor du kan se dem i den dedikerede Connect Health-portal.

Til at begynde med skal du have licenser. Fra Microsoft skal du indtaste ID P1 eller P2 (eller en test). Download derefter Connect Health-agenterne fra portalen, og installer dem på hver relevant server. Når tjenesten er registreret, registrerer den automatisk, hvilke roller der overvåges.

På Connect Health-portalen finder du forskellige panelerEn til synkroniseringstjenester (Azure AD Connect), en anden til føderationstjenester (AD FS) og en anden til AD DS-skove. I hver kan du se aktive advarsler, replikeringsstatus, potentielle certifikatproblemer, godkendelsesfejl og brugstendenser.

Ud over de tekniske aspekter inkluderer Connect Health muligheder Til at konfigurere rollebaseret adgang (IAM) og eventuelt give Microsoft adgang til diagnosticeringsdata udelukkende til supportformål. Denne indstilling er som standard deaktiveret, men den kan være nyttig, hvis du har brug for avanceret Microsoft-support til at løse komplekse problemer.

Med hele denne økosystemopsætning – lokal AD, Microsoft Entra ID, Azure AD Connect og Connect Health – Du har en komplet hybrid identitetsplatform, der er i stand til at levere single sign-on, centraliseret konto- og adgangskodestyring, høj tilgængelighed og indsigt i infrastrukturens tilstand; en kombination, der forenkler livet for slutbrugeren og giver dig den kontrol, du har brug for til at operere sikkert og fleksibelt.