Tutorial lengkap untuk Azure AD Connect dan Microsoft Entra Connect

Azure AD Connect (sekarang Microsoft Enter Connect) Ini adalah kunci untuk menghubungkan Active Directory lokal Anda dengan cloud Microsoft: Azure AD dan Microsoft 365. Berkat alat ini, pengguna Anda dapat masuk dengan nama pengguna dan kata sandi yang sama baik di lingkungan lokal maupun di layanan cloud, menghindari akun ganda dan mengurangi masalah bagi departemen TI.

Sepanjang tutorial ini Anda akan melihat secara detail seluruh siklusnya: mempersiapkan lingkungan lokal, membuat domain dan forest Active Directory, mengkonfigurasi Microsoft Entra ID, menginstal dan mengkonfigurasi Azure AD Connect, metode autentikasi, pemfilteran objek, dan fitur-fitur canggih seperti sinkronisasi hash kata sandi, penulisan balik, atau menggunakan Microsoft Entra Connect Health untuk memantau infrastruktur.

Apa itu Azure AD Connect dan untuk apa digunakan?

Azure AD Connect adalah utilitas resmi Microsoft. Ini berfungsi sebagai "jembatan" antara Active Directory lokal Anda dan Azure Active Directory, serta mengintegrasikan Microsoft 365. Ini memungkinkan identitas yang sudah Anda miliki di domain lokal Anda untuk disinkronkan dengan cloud, sehingga pengguna menggunakan kredensial yang sama di kedua lingkungan dan, jika diinginkan, menikmati single sign-on (SSO).

Klien Azure AD Connect diinstal pada server anggota. dari domain tersebut, dan meskipun secara teknis dapat diinstal pada pengendali domain, Microsoft merekomendasikan untuk menghindari hal ini karena alasan keamanan dan isolasi layanan. Server ini akan bertanggung jawab untuk menyinkronkan pengguna, grup, dan objek lain dari Active Directory Anda dengan Azure AD secara berkala.

Setelah dikonfigurasi, Azure AD Connect Sistem ini dapat menggunakan berbagai model autentikasi: Sinkronisasi Hash Kata Sandi (PHS), Autentikasi Lewat (PTA), federasi dengan AD FS, atau federasi dengan penyedia seperti PingFederate. Sistem ini juga menawarkan opsi seperti SSO, pemfilteran berdasarkan OU atau grup, perlindungan terhadap penghapusan massal, dan pembaruan produk otomatis.

Dalam skenario di mana Anda sudah bekerja dengan Microsoft 365 Dan jika Anda memiliki pengguna "khusus cloud", Azure AD Connect memungkinkan Anda untuk menyatukan identitas: jika UPN dan email pengguna lokal cocok dengan pengguna di cloud, setelah sinkronisasi, pengguna tersebut akan berhenti menjadi "khusus cloud" dan akan menjadi pengguna yang disinkronkan dari AD, memusatkan tata kelola atribut di direktori lokal Anda.

Mempersiapkan lingkungan Active Directory lokal

Sebelum Anda berpikir untuk menyinkronkan apa pun dengan AzureAnda memerlukan lingkungan Active Directory yang berfungsi. Jika Anda sudah memiliki domain perusahaan yang beroperasi, Anda dapat menggunakannya; jika tidak, Anda dapat menyiapkan lab dari awal untuk menguji semua skenario identitas hibrida tanpa memengaruhi lingkungan produksi Anda.

Ide di balik lab ini adalah untuk membuat server. yang akan bertindak sebagai pengendali domain (DC) dan menjadi host AD DS, DNS, dan alat manajemen. Semua ini dapat diatur pada mesin virtual Hyper-V yang menjalankan Windows Server, menggunakan skrip PowerShell yang mengotomatiskan sebagian besar pekerjaan.

Membuat mesin virtual untuk pengendali domain.

Langkah pertama adalah membuat mesin virtual. yang akan berfungsi sebagai server Active Directory lokal. Untuk melakukan ini, Anda dapat membuka PowerShell ISE sebagai administrator di host Hyper-V dan menjalankan skrip yang menentukan nama VM, switch jaringan, jalur VHDX, ukuran disk, dan media instalasi (ISO Windows Server).

Skrip ini membuat VM generasi 2.Dengan memori tetap, disk virtual baru dibuat, dan drive DVD virtual yang mengarah ke ISO sistem operasi dipasang. Firmware mesin kemudian dikonfigurasi untuk melakukan booting dari DVD terlebih dahulu, memungkinkan Anda untuk melakukan instalasi sistem secara interaktif.

Setelah mesin virtual dibuatDari Hyper-V Manager, Anda harus meluncurkan server, terhubung ke konsolnya, dan melakukan instalasi Windows Server standar: pilih bahasa Anda, masukkan kunci produk, terima persyaratan lisensi, pilih instalasi kustom, dan gunakan disk yang baru dibuat. Setelah instalasi selesai, mulai ulang, masuk, dan terapkan semua pembaruan yang tersedia.

Konfigurasi awal Windows Server

Dengan sistem operasi yang sudah terpasangServer harus dipersiapkan untuk menerima peran Active Directory Domain Services. Ini melibatkan pemberian nama yang konsisten (misalnya, DC1), mengkonfigurasi alamat IP statis, menentukan pengaturan DNS, dan menambahkan alat administratif yang diperlukan menggunakan fitur Windows.

Menggunakan skrip PowerShell lain Anda dapat mengotomatiskan tugas-tugas ini: mengatur alamat IP, mask, gateway, dan server DNS (biasanya server itu sendiri dan, sebagai alternatif, DNS publik seperti 8.8.8.8), mengganti nama komputer dan menginstal RSAT Active Directory, serta merekam semuanya dalam file log untuk keperluan audit.

Setelah menerapkan perubahan ini Server akan dihidupkan ulang dan siap dipromosikan menjadi pengendali domain di forest baru, sehingga lingkungan AD lokal Anda akan beroperasi untuk pengujian atau untuk integrasi nyata dengan cloud.

Membuat forest dan domain Active Directory

Langkah selanjutnya adalah menginstal AD DS., DNS dan Konsol Manajemen Kebijakan Grup (GPMC), lalu buat forest Active Directory baru. Sekali lagi, PowerShell memungkinkan Anda untuk mempercepat proses dengan menginstal fitur yang diperlukan dan menjalankan cmdlet Install-ADDSForest dengan semua parameter yang dibutuhkan.

Dalam definisi forest, Anda menentukan nama domain. (misalnya, contoso.com), nama NetBIOS, jalur ke basis data Active Directory (NTDS), log, dan SYSVOL, serta tingkat fungsional domain dan forest. Kata sandi Directory Services Restore Mode (DSRM), yang penting untuk tugas pemulihan, juga ditentukan.

Saat server dimulai ulang setelah promosiAnda sudah memiliki lingkungan Windows Server AD dengan domain operasional, DNS terintegrasi, dan semua alat yang diperlukan untuk mengelola pengguna, grup, OU, dan kebijakan grup.

Membuat pengguna uji di Active Directory

Setelah hutan virtual beroperasi, ada baiknya memiliki akun uji coba yang tersedia. Untuk memverifikasi sinkronisasi dengan Azure AD, Anda dapat menggunakan skrip PowerShell untuk membuat, misalnya, pengguna "Allie McCray" dengan nama login (samAccountName), kata sandi awal, nama tampilan, dan opsi untuk mencegah kata sandi kedaluwarsa.

Skrip tersebut juga dapat menandai pengguna. Diaktifkan untuk mencegah pengguna mengubah kata sandi mereka saat login berikutnya, ini akan menempatkan mereka di jalur kontainer yang sesuai (misalnya, CN=Users,DC=contoso,DC=com). Pengguna ini kemudian akan disinkronkan dengan ID Microsoft Entra mereka melalui Azure AD Connect.

Mempersiapkan domain lokal untuk sinkronisasi

Sebelum menerapkan Azure AD Connect, sebaiknya tinjau terlebih dahulu Active Directory (AD) Anda. Untuk memastikan terpenuhi persyaratan Microsoft: domain yang dikonfigurasi dengan benar, akhiran UPN yang tepat, atribut email yang konsisten, dan tidak ada data yang saling bertentangan. Untuk tugas ini, Microsoft menawarkan alat IdFix, yang membantu mendeteksi objek yang bermasalah.

Di banyak lingkungan terdapat domain lokal. dengan tipe mydomain.local dan, di sisi lain, domain email publik, misalnya mydomain.com yang digunakan di Microsoft 365. Agar sinkronisasi berjalan lancar, disarankan untuk menambahkan akhiran UPN yang sesuai dengan domain email publik ke AD lokal.

Dari “Domain dan Kepercayaan Direktori Aktif” Anda dapat membuka properti dan menambahkan akhiran UPN baru (misalnya, mydomain.com). Kemudian, di properti akun pengguna, pada tab "Akun", ubah UPN pengguna dari user@mydomain.local menjadi user@mydomain.com, agar sesuai dengan alamat email di Microsoft 365.

Meskipun perubahan UPN sangat disarankan Untuk mempermudah login selanjutnya dan SSO di masa mendatang, perubahan ini tidak memodifikasi metode login DOMAIN\user klasik (sebelum Windows 2000), sehingga tidak memengaruhi aplikasi atau skrip yang terus menggunakan format tersebut.

Selain itu, penting juga untuk mengisi atribut email dengan benar. dari akun pengguna dengan alamat email utama mereka. Jika Anda sudah memiliki pengguna yang dibuat langsung di cloud, kombinasi UPN dan email yang cocok antara on-premises dan Microsoft 365 akan memungkinkan, setelah sinkronisasi, akun-akun tersebut untuk digabungkan dan pengguna cloud menjadi identitas yang disinkronkan dari AD.

Pengaturan dan konfigurasi Microsoft Entra ID (Azure AD)

Agar direktori lokal dapat disinkronkan Anda memerlukan tenant Microsoft Entra ID. Tenant ini adalah direktori cloud tempat replika pengguna, grup, dan perangkat Anda dari lingkungan lokal akan dibuat.

Jika Anda belum memiliki penyewaAnda dapat membuatnya dengan mengakses pusat admin Microsoft. Masuk dengan akun yang memiliki langganan tersebut. Dari bagian Gambaran Umum, pilih opsi untuk mengelola penyewa, lalu buat yang baru, berikan nama untuk organisasi dan domain awal (misalnya, something.onmicrosoft.com).

Setelah wizard selesai, direktori akan dibuat. Dan Anda dapat mengelolanya dari portal. Nantinya, Anda dapat mengaitkan domain khusus (seperti contoso.com) dan memverifikasinya untuk digunakan sebagai domain utama dalam UPN pengguna Anda yang disinkronkan dari Active Directory.

Membuat akun administrator identitas hibrida

Di tenant Microsoft Entra, disarankan untuk membuat Akun khusus akan digunakan untuk mengelola komponen hibrida. Akun ini akan digunakan, misalnya, untuk konfigurasi awal Azure AD Connect dan tugas-tugas terkait identitas.

Dari bagian Pengguna Anda membuat pengguna baru, menetapkan nama dan nama pengguna (UPN) kepada mereka, dan mengubah peran mereka menjadi "Administrator Identitas Hibrida". Selama pembuatan, Anda dapat melihat dan menyalin kata sandi sementara yang diberikan kepada mereka.

Setelah membuat akun ini, disarankan untuk masuk. Masuk ke myapps.microsoft.com dengan nama pengguna tersebut dan kata sandi sementara, lalu paksa perubahan kata sandi menjadi kata sandi permanen. Ini akan menjadi identitas administratif yang akan Anda gunakan di beberapa langkah pengaturan hybrid.

Instalasi Azure AD Connect (Microsoft Entra Connect)

Dengan lingkungan lokal yang siap dan penyewa cloud yang telah disiapkan.Anda sekarang dapat menginstal Azure AD Connect pada server anggota domain lokal. Microsoft tidak merekomendasikan penggunaan pengendali domain untuk meminimalkan risiko keamanan dan ketersediaan.

Mengunduh Azure AD Connect Anda dapat mengunduh penginstal dari portal Azure Active Directory, di bagian Azure AD Connect, atau langsung dari Pusat Unduhan Microsoft. Setelah mengunduh penginstal, jalankan di server yang ditunjuk.

Persyaratan lisensi diterima selama proses instalasi. Anda memiliki dua pilihan: pengaturan cepat atau pengaturan khusus. Opsi cepat secara default mengkonfigurasi sinkronisasi Active Directory penuh menggunakan metode "sinkronisasi hash kata sandi", sedangkan opsi khusus memungkinkan kontrol yang jauh lebih besar atas atribut, domain, OU, metode otentikasi, dan fitur tambahan.

Dalam instalasi tipikal, biasanya lebih menarik. Pilih jalur kustom, terutama jika Anda perlu membatasi unit organisasi mana yang disinkronkan, ingin mengevaluasi berbagai metode login, atau memiliki topologi multi-forest.

Mengonfigurasi metode login

Salah satu poin kunci dalam asisten Ini adalah pilihan metode autentikasi yang akan digunakan pengguna Anda saat mengakses sumber daya cloud. Azure AD Connect menawarkan beberapa opsi bawaan, masing-masing dengan keunggulan dan persyaratannya sendiri.

1. Sinkronisasi Hash Kata Sandi (PHS)Metode ini melakukan sinkronisasi dengan Azure AD. hash kata sandi tambahan Disimpan di Active Directory lokal Anda. Pengguna masuk ke cloud langsung dengan Azure AD, menggunakan kata sandi yang sama seperti di lingkungan lokal, tetapi dikelola hanya di AD. Ini adalah model yang paling sederhana untuk diimplementasikan dan paling banyak digunakan.

2. Autentikasi tembus (PTA)Dalam hal ini, kata sandi tidak disimpan di Azure AD; ketika pengguna mencoba masuk, validasi diteruskan melalui agen lokal yang memverifikasi kredensial terhadap AD lokal. Hal ini memungkinkan Anda untuk menerapkan pembatasan akses lokal, jadwal, dll., sambil mempertahankan kontrol autentikasi di dalam infrastruktur Anda.

3. Federasi dengan AD FSAzure AD mendelegasikan autentikasi ke sistem federasi berbasis Active Directory Federation Services. Hal ini memerlukan penyebaran server AD FS dan, biasanya, proksi aplikasi web. Meskipun lebih kompleks untuk dipelihara, Azure AD menawarkan kontrol dan kompatibilitas maksimal dengan skenario tingkat lanjut.

4. Federasi dengan PingFederate: Mirip dengan kasus sebelumnya, tetapi menggunakan PingFederate sebagai solusi federasi alih-alih AD FS, untuk organisasi yang sudah memiliki infrastruktur identitas tersebut.

5. Jangan konfigurasikan metode loginDirancang untuk situasi di mana Anda sudah memiliki solusi federasi pihak ketiga dan tidak ingin Azure AD Connect mengotomatiskan apa pun di area ini.

Selain itu, Anda dapat mengaktifkan single sign-on (SSO). Dikombinasikan dengan PHS atau PTA. Dengan SSO diaktifkan, dan melalui kebijakan grup (GPO), komputer yang terhubung ke domain dapat masuk menggunakan UPN pengguna, yang biasanya sama dengan alamat email mereka, sehingga mencegah mereka harus berulang kali memasukkan kredensial saat mengakses layanan seperti portal Microsoft 365.

Menghubungkan ke Microsoft 365 dan Active Directory lokal

Di wizard Azure AD Connect, Anda perlu memberikan Pertama, Anda memerlukan kredensial administrator penyewa Microsoft Entra (misalnya, akun administrator identitas hibrida yang dibuat sebelumnya). Ini memungkinkan alat tersebut untuk mengkonfigurasi komponen cloud dan mendaftarkan server sebagai sumber sinkronisasi.

Kemudian, kredensial diminta dari akun yang memiliki izin di Active Directory lokal. untuk membuat tautan sinkronisasi dengan forest lokal. Setelah divalidasi, direktori lokal ditambahkan ke daftar sumber data untuk sinkronisasi.

Pada langkah selanjutnya, Anda memilih atribut mana yang akan digunakan sebagai nama pengguna utama. Untuk akun cloud, pendekatan yang biasa digunakan adalah userPrincipalName, tetapi dalam beberapa skenario Anda dapat memilih kolom email jika konsisten dan dikonfigurasi dengan benar. Anda juga dapat menunjukkan apakah Anda akan melanjutkan tanpa memverifikasi semua domain UPN di Azure AD terlebih dahulu (berguna jika domain AD bersifat privat).

Pemilihan OU dan pemfilteran objek

Azure AD Connect memungkinkan Anda untuk menentukan subset mana yang ingin Anda pilih. Forest Active Directory Anda disinkronkan dengan cloud. Anda dapat memilih seluruh domain, unit organisasi tertentu, atau bahkan memfilter berdasarkan atribut untuk mempersempit cakupan.

Dalam praktiknya, ini biasanya merupakan ide yang bagus. Mulailah dengan menyinkronkan hanya OU tempat pengguna yang berpartisipasi dalam uji coba berada, atau gunakan grup keamanan tertentu yang anggotanya akan direplikasi di Azure AD. Hal ini mengurangi risiko sinkronisasi akun layanan, objek usang, atau informasi yang seharusnya tidak meninggalkan lingkungan lokal.

Perlu dicatat bahwa perubahan selanjutnya Perubahan pada struktur OU (penggantian nama, pemindahan kontainer, dll.) dapat memengaruhi pemfilteran. Strategi umum adalah menyinkronkan seluruh domain tetapi membatasi pemfilteran berdasarkan keanggotaan grup, menghindari ketergantungan yang berlebihan pada struktur organisasi.

Opsi konfigurasi tambahan

Layar terakhir asisten menawarkan Fitur tambahan meliputi penulisan balik kata sandi, penulisan ulang perangkat, integrasi Exchange hibrida, dan perlindungan terhadap penghapusan massal.

Penulisan kata sandi tertunda Fitur ini memungkinkan pengguna untuk mengubah atau mengatur ulang kata sandi mereka dari cloud (misalnya, dari portal layanan mandiri) dan agar perubahan tersebut juga diterapkan di Active Directory lokal, dengan tetap memperhatikan kebijakan kata sandi organisasi. Bagi banyak perusahaan, ini merupakan keuntungan yang signifikan untuk dukungan teknis.

Penulisan ulang perangkat Fitur ini memungkinkan perangkat yang terdaftar di Microsoft Entra ID untuk dimasukkan kembali ke Active Directory lokal, yang memfasilitasi skenario akses bersyarat di mana Anda perlu melacak perangkat di kedua sisi.

Fitur untuk mencegah penghapusan yang tidak disengaja Fitur ini diaktifkan secara default dan membatasi jumlah objek yang dapat dihapus dalam satu kali proses sinkronisasi (misalnya, hingga 500). Jika ambang batas ini terlampaui, sinkronisasi akan diblokir untuk mencegah penghapusan massal yang tidak disengaja, yang sangat penting dalam lingkungan yang besar.

Terakhir, pembaruan otomatis. Fitur ini diaktifkan secara default pada instalasi dengan pengaturan cepat dan menjaga Azure AD Connect tetap mutakhir dengan versi terbaru, memperbaiki bug, dan menambahkan kompatibilitas tanpa Anda harus memperbarui setiap server secara manual.

Verifikasi sinkronisasi dan operasi harian

Setelah menyelesaikan instalasi dan wizard.Azure AD Connect dapat langsung memulai sinkronisasi penuh jika Anda telah menentukannya. Wizard itu sendiri menawarkan opsi untuk menjalankan siklus awal segera setelah selesai, yang direkomendasikan untuk memvalidasi bahwa semuanya berfungsi dengan benar.

Pada server tempat Anda menginstal Azure AD Connect Anda dapat membuka konsol "Layanan Sinkronisasi" dari menu Mulai. Di sana Anda akan melihat riwayat eksekusi, termasuk sinkronisasi awal, kesalahan apa pun, dan detail impor, sinkronisasi, dan ekspor objek.

Di portal Microsoft 365 atau portal Login Microsoft. Anda dapat memeriksa daftar pengguna untuk memverifikasi bahwa mereka muncul sebagai "Disinkronkan dengan Active Directory" dan bukan "Hanya Cloud". Mulai saat itu, atribut utama (nama depan, nama belakang, alamat email, dll.) dikelola dari Active Directory lokal.

Azure AD Connect menjalankan siklus default. Sinkronisasi terjadi setiap 30 menit, meskipun Anda selalu dapat memaksa sinkronisasi manual menggunakan PowerShell jika Anda memerlukan perubahan agar segera tercermin. Sebaiknya dokumentasikan perilaku ini agar tim dukungan mengetahui apa yang diharapkan.

Skenario lanjutan: beberapa forest dan server tambahan

Dalam organisasi yang lebih kompleks Anda mungkin akan menemukan beberapa forest Active Directory, masing-masing dengan domain dan penggunanya sendiri. Mungkin juga terdapat forest sumber daya tempat kotak surat tertaut atau layanan lain berada.

Azure AD Connect siap untuk topologi ini.Ini memungkinkan Anda menambahkan beberapa forest sebagai sumber sinkronisasi dan menerapkan model provisioning deklaratif. Artinya, aturan untuk menggabungkan, mengubah, dan mengalirkan atribut didefinisikan secara deklaratif dan dapat disesuaikan agar sesuai dengan desain identitas Anda.

Untuk laboratorium yang lebih canggih Hutan domain kedua (misalnya, fabrikam.com) dapat dibuat dengan pengendali domainnya sendiri (CP1) dengan mengulangi langkah-langkah pembuatan VM, instalasi sistem, konfigurasi IP dan DNS, promosi ke DC, dan pembuatan pengguna uji. Hal ini memungkinkan pengujian skenario multi-hutan domain dan sinkronisasi cloud dengan domain yang berbeda.

Di lingkungan produksi, disarankan untuk memiliki Server Azure AD Connect ditempatkan dalam mode siaga atau mode penyiapan. Server penyiapan menyimpan salinan konfigurasi dan melakukan impor dan sinkronisasi internal, tetapi tidak mengekspor perubahan ke Azure AD. Jika terjadi kegagalan server utama, Anda dapat beralih ke server penyiapan dengan dampak minimal.

Microsoft Entra Connect Health: pemantauan dan peringatan

Untuk menjaga agar infrastruktur identitas hibrida tetap terkendali.Microsoft menawarkan Microsoft Entra Connect Health, solusi premium yang memantau komponen-komponen penting seperti Azure AD Connect (sinkronisasi), AD FS, dan AD DS, serta menyediakan peringatan, metrik kinerja, dan analisis penggunaan.

Operasi ini didasarkan pada agen. Agen-agen ini diinstal pada server identitas: server AD FS, pengendali domain, dan server Azure AD Connect. Mereka mengirimkan informasi kesehatan dan kinerja ke layanan cloud, yang dapat Anda lihat di portal Connect Health khusus.

Untuk memulai, Anda perlu memiliki lisensi. Dari Microsoft, masukkan ID P1 atau P2 (atau teks uji). Kemudian unduh agen Connect Health dari portal dan instal di setiap server yang relevan. Setelah terdaftar, layanan akan secara otomatis mendeteksi peran mana yang sedang dipantau.

Di portal Connect Health, Anda akan menemukan berbagai panel.Satu untuk layanan sinkronisasi (Azure AD Connect), satu lagi untuk layanan federasi (AD FS), dan satu lagi untuk forest AD DS. Di masing-masing, Anda dapat melihat peringatan aktif, status replikasi, potensi masalah sertifikat, kesalahan autentikasi, dan tren penggunaan.

Selain aspek teknis, Connect Health juga mencakup berbagai pilihan. Untuk mengkonfigurasi akses berbasis peran (IAM) dan, secara opsional, memberi otorisasi kepada Microsoft untuk mengakses data diagnostik hanya untuk tujuan dukungan. Opsi ini dinonaktifkan secara default, tetapi dapat berguna jika Anda memerlukan dukungan Microsoft tingkat lanjut untuk menyelesaikan masalah yang kompleks.

Dengan seluruh ekosistem yang telah disiapkan—AD lokal, Microsoft Entra ID, Azure AD Connect, dan Connect Health— Anda memiliki platform identitas hibrida lengkap, yang mampu menghadirkan single sign-on, tata kelola akun dan kata sandi terpusat, ketersediaan tinggi, dan visibilitas ke dalam kondisi infrastruktur; kombinasi yang menyederhanakan kehidupan pengguna akhir dan memberi Anda kendali yang Anda butuhkan untuk beroperasi dengan aman dan fleksibel.