Tutorial lengkap untuk Azure AD Connect dan Microsoft Entra Connect

Azure AD Connect (kini Microsoft Enter Connect) Ia merupakan kunci untuk menghubungkan Active Directory di premis anda dengan awan Microsoft: Azure AD dan Microsoft 365. Terima kasih kepada alat ini, pengguna anda boleh log masuk dengan nama pengguna dan kata laluan yang sama di premis dan dalam perkhidmatan awan, mengelakkan akaun pendua dan mengurangkan masalah untuk jabatan IT.

Sepanjang tutorial ini Anda akan melihat dengan terperinci keseluruhan kitaran: menyediakan persekitaran di premis, mencipta domain dan hutan Active Directory, mengkonfigurasi Microsoft Entra ID, memasang dan mengkonfigurasi Azure AD Connect, kaedah pengesahan, penapisan objek dan ciri lanjutan seperti penyegerakan hash kata laluan, tulis balik atau menggunakan Microsoft Entra Connect Health untuk memantau infrastruktur.

Apakah Azure AD Connect dan untuk apa ia digunakan?

Azure AD Connect ialah utiliti rasmi Microsoft Ia bertindak sebagai "jambatan" antara Active Directory di premis anda dan Azure Active Directory, yang turut mengintegrasikan Microsoft 365. Ia membolehkan identiti yang telah anda miliki dalam domain di premis anda disegerakkan dengan awan, supaya pengguna menggunakan kelayakan yang sama di kedua-dua dunia dan, jika dikehendaki, menikmati daftar masuk tunggal (SSO).

Klien Azure AD Connect dipasang pada pelayan ahli domain tersebut, dan walaupun secara teknikalnya ia boleh dipasang pada pengawal domain, Microsoft mengesyorkan untuk mengelakkan perkara ini atas sebab keselamatan dan pengasingan perkhidmatan. Pelayan ini akan bertanggungjawab untuk menyegerakkan pengguna, kumpulan dan objek lain daripada Active Directory anda dengan Azure AD pada selang masa yang tetap.

Setelah dikonfigurasikan, Azure AD Connect Ia boleh menggunakan model pengesahan yang berbeza: Penyegerakan Hash Kata Laluan (PHS), Pengesahan Pas (PTA), gabungan dengan AD FS atau gabungan dengan penyedia seperti PingFederate. Ia juga menawarkan pilihan seperti SSO, penapisan mengikut OU atau kumpulan, perlindungan terhadap pemadaman besar-besaran dan kemas kini produk automatik.

Dalam senario di mana anda sudah pun bekerja dengan Microsoft 365 Dan jika anda mempunyai pengguna "awan sahaja", Azure AD Connect membolehkan anda menyatukan identiti: jika UPN dan e-mel pengguna setempat sepadan dengan pengguna di awan, setelah penyegerakan, pengguna tersebut tidak lagi menjadi "awan sahaja" dan akan menjadi pengguna yang disegerakkan daripada AD, memusatkan tadbir urus atribut dalam direktori setempat anda.

Menyediakan persekitaran Active Directory setempat

Sebelum anda berfikir tentang menyegerakkan apa-apa dengan AzureAnda memerlukan persekitaran Active Directory yang berfungsi. Jika anda sudah mempunyai domain korporat dalam pengeluaran, anda boleh menggunakannya; jika tidak, anda boleh menyediakan makmal dari awal untuk menguji semua senario identiti hibrid tanpa menjejaskan persekitaran langsung anda.

Idea di sebalik makmal ini adalah untuk mewujudkan pelayan yang akan bertindak sebagai pengawal domain (DC) dan mengehos AD DS, DNS dan alatan pengurusan. Semua ini boleh disediakan pada mesin maya Hyper-V yang menjalankan Windows Server, menggunakan skrip PowerShell yang mengautomasikan sebahagian besar kerja.

Mencipta mesin maya untuk pengawal domain

Langkah pertama ialah mencipta mesin maya yang akan berfungsi sebagai pelayan Active Directory di premis. Untuk melakukan ini, anda boleh membuka PowerShell ISE sebagai pentadbir pada hos Hyper-V dan menjalankan skrip yang mentakrifkan nama VM, suis rangkaian, laluan VHDX, saiz cakera dan media pemasangan (Windows Server ISO).

Skrip ini mencipta VM generasi 2Dengan memori tetap, cakera maya baharu dicipta dan pemacu DVD maya yang menunjuk ke ISO sistem pengendalian dilampirkan. Firmware mesin kemudiannya dikonfigurasikan untuk but dari DVD pada mulanya, membolehkan anda melakukan pemasangan sistem secara interaktif.

Setelah mesin maya diciptaDaripada Hyper-V Manager, anda mesti melancarkan pelayan, menyambung ke konsolnya dan melaksanakan pemasangan Windows Server standard: pilih bahasa anda, masukkan kunci produk, terima terma lesen, pilih pemasangan tersuai dan gunakan cakera yang baru dibuat. Selepas pemasangan selesai, mulakan semula, log masuk dan gunakan semua kemas kini yang tersedia.

Konfigurasi awal Windows Server

Dengan sistem pengendalian yang telah dipasangPelayan mesti bersedia untuk menerima peranan Perkhidmatan Domain Direktori Aktif. Ini melibatkan pemberian nama yang konsisten (contohnya, DC1), mengkonfigurasi alamat IP statik, menentukan tetapan DNS dan menambah alat pentadbiran yang diperlukan menggunakan ciri Windows.

Menggunakan skrip PowerShell yang lain Anda boleh mengautomasikan tugas-tugas ini: menetapkan alamat IP, topeng, gerbang dan pelayan DNS (biasanya pelayan itu sendiri dan, sebagai sekunder, DNS awam seperti 8.8.8.8), menamakan semula komputer dan memasang RSAT Direktori Aktif, merekodkan semuanya dalam fail log untuk pengauditan.

Selepas menggunakan perubahan ini Pelayan akan dimulakan semula dan bersedia untuk dinaikkan pangkat kepada pengawal domain dalam forest baharu, jadi persekitaran AD di premis anda akan beroperasi untuk ujian atau untuk integrasi sebenar dengan awan.

Mencipta hutan dan domain Direktori Aktif

Langkah seterusnya ialah memasang AD DS, DNS dan Konsol Pengurusan Dasar Kumpulan (GPMC), dan kemudian cipta hutan Direktori Aktif baharu. Sekali lagi, PowerShell membolehkan anda mempercepatkan proses dengan memasang ciri yang diperlukan dan menjalankan cmdlet Install-ADDSForest dengan semua parameter yang diperlukan.

Dalam definisi hutan, anda menyatakan nama domain (contohnya, contoso.com), nama NetBIOS, laluan ke pangkalan data Active Directory (NTDS), log dan SYSVOL, serta tahap fungsi domain dan forest. Kata laluan Mod Pemulihan Perkhidmatan Direktori (DSRM), yang penting untuk tugas pemulihan, juga ditakrifkan.

Apabila pelayan dimulakan semula selepas promosiAnda sudah mempunyai persekitaran Windows Server AD dengan domain operasi, DNS bersepadu dan semua alat yang diperlukan untuk mengurus pengguna, kumpulan, OU dan dasar kumpulan.

Mencipta pengguna ujian dalam Active Directory

Dengan forest yang telah beroperasi, adalah berguna untuk menyediakan akaun ujian. Untuk mengesahkan penyegerakan dengan Azure AD, anda boleh menggunakan skrip PowerShell untuk mencipta, contohnya, pengguna "Allie McCray" dengan nama log masuk (samAccountName), kata laluan awal, nama paparan dan pilihan untuk menghalang kata laluan daripada tamat tempoh.

Skrip juga boleh menandakan pengguna Didayakan untuk mengelakkan pengguna daripada perlu menukar kata laluan mereka pada log masuk seterusnya, ini akan meletakkan mereka di laluan kontena yang sesuai (contohnya, CN=Users,DC=contoso,DC=com). Pengguna ini kemudiannya akan disegerakkan dengan ID Microsoft Entra mereka melalui Azure AD Connect.

Menyediakan domain setempat untuk penyegerakan

Sebelum menggunakan Azure AD Connect, anda dinasihatkan untuk menyemak AD anda. Untuk memastikan ia memenuhi keperluan Microsoft: domain yang dikonfigurasikan dengan betul, akhiran UPN yang betul, atribut e-mel yang konsisten dan tiada data yang bercanggah. Untuk tugasan ini, Microsoft menawarkan alat IdFix, yang membantu mengesan objek yang bermasalah.

Dalam banyak persekitaran terdapat domain setempat daripada jenis mydomain.local dan, sebaliknya, domain e-mel awam, contohnya mydomain.com yang digunakan dalam Microsoft 365. Agar penyegerakan menjadi bersih, adalah disyorkan untuk menambah akhiran UPN yang sepadan dengan domain e-mel awam pada AD setempat.

Daripada “Domain dan Amanah Direktori Aktif” Anda boleh membuka sifat dan menambah akhiran UPN baharu (contohnya, mydomain.com). Kemudian, dalam sifat akaun pengguna, pada tab "Akaun", tukar UPN pengguna daripada user@mydomain.local kepada user@mydomain.com, selaraskannya dengan alamat e-mel dalam Microsoft 365.

Walaupun menukar UPN sangat disyorkan Untuk memudahkan log masuk berikutnya dan SSO akhirnya, perubahan ini tidak mengubah suai kaedah log masuk DOMAIN\user klasik (pra-Windows 2000), jadi ia tidak menjejaskan aplikasi atau skrip yang terus menggunakan format tersebut.

Penting juga untuk mengisi atribut mel dengan betul. akaun pengguna dengan alamat e-mel utama mereka. Jika anda sudah mempunyai pengguna yang dicipta terus dalam awan, gabungan UPN dan e-mel yang sepadan antara di premis dan Microsoft 365 akan membolehkan, selepas penyegerakan, akaun tersebut disertai dan pengguna awan menjadi identiti yang disegerakkan daripada AD.

Persediaan dan konfigurasi ID Entra Microsoft (Azure AD)

Agar direktori setempat disegerakkan Anda memerlukan penyewa Microsoft Entra ID. Penyewa ini ialah direktori awan tempat replika pengguna, kumpulan dan peranti anda daripada persekitaran di premis akan dicipta.

Jika anda belum mempunyai penyewaAnda boleh menciptanya dengan mengakses pusat pentadbiran Microsoft. Log masuk dengan akaun yang mempunyai langganan. Daripada bahagian Gambaran Keseluruhan, pilih pilihan untuk mengurus penyewa dan kemudian cipta yang baharu, dengan memberikan nama untuk organisasi dan domain awal (contohnya, something.onmicrosoft.com).

Setelah wizard selesai, direktori akan dibuat. Dan anda boleh mengurusnya dari portal. Kemudian, anda akan dapat mengaitkan domain tersuai (seperti contoso.com) dan mengesahkannya untuk digunakan sebagai domain utama dalam UPN pengguna anda yang disegerakkan dari Active Directory.

Mencipta akaun pentadbir identiti hibrid

Dalam penyewa Microsoft Entra, disyorkan untuk mencipta Akaun khusus akan digunakan untuk mengurus komponen hibrid. Akaun ini akan digunakan, sebagai contoh, untuk konfigurasi awal Azure AD Connect dan tugasan berkaitan identiti.

Daripada bahagian Pengguna Anda mencipta pengguna baharu, memberikan mereka nama dan nama pengguna (UPN) dan menukar peranan mereka kepada "Pentadbir Identiti Hibrid." Semasa penciptaan, anda boleh melihat dan menyalin kata laluan sementara yang diberikan kepada mereka.

Selepas membuat akaun ini, adalah dinasihatkan untuk log masuk. Pergi ke myapps.microsoft.com dengan nama pengguna dan kata laluan sementara tersebut, memaksa perubahan kata laluan kepada kekal. Ini akan menjadi identiti pentadbiran yang akan anda gunakan dalam beberapa langkah persediaan hibrid.

Pemasangan Azure AD Connect (Microsoft Entra Connect)

Dengan persekitaran setempat yang sedia dan penyewa awan yang bersediaAnda kini boleh memasang Azure AD Connect pada pelayan ahli domain setempat. Microsoft mengesyorkan agar tidak menggunakan pengawal domain untuk meminimumkan risiko keselamatan dan ketersediaan.

Memuat turun Azure AD Connect Ia boleh didapati daripada portal Azure Active Directory, dalam bahagian Azure AD Connect atau terus daripada Pusat Muat Turun Microsoft. Setelah anda memuat turun pemasang, jalankannya pada pelayan yang ditetapkan.

Terma lesen diterima semasa wizard pemasangan. Anda mempunyai dua pilihan: persediaan pantas atau persediaan tersuai. Pilihan pantas mengkonfigurasi penyegerakan Active Directory penuh secara lalai menggunakan kaedah "penyegerakan hash kata laluan", manakala pilihan tersuai membolehkan kawalan yang lebih besar ke atas atribut, domain, OU, kaedah pengesahan dan ciri tambahan.

Dalam pemasangan biasa, ia biasanya lebih menarik Pilih laluan tersuai, terutamanya jika anda perlu mengehadkan unit organisasi yang disegerakkan, ingin menilai kaedah log masuk yang berbeza atau mempunyai topologi berbilang hutan.

Mengkonfigurasi kaedah log masuk

Salah satu perkara penting dalam pembantu Ia merupakan pilihan kaedah pengesahan yang akan digunakan oleh pengguna anda semasa mengakses sumber awan. Azure AD Connect menawarkan beberapa pilihan terbina dalam, setiap satunya dengan kelebihan dan keperluannya sendiri.

1. Penyegerakan Hash Kata Laluan (PHS)Kaedah ini disegerakkan dengan Azure AD hash kata laluan tambahan disimpan dalam Active Directory di premis anda. Pengguna log masuk ke awan secara langsung dengan Azure AD, menggunakan kata laluan yang sama seperti dalam persekitaran di premis, tetapi hanya diuruskan dalam AD. Ia merupakan model paling mudah untuk dilaksanakan dan paling banyak digunakan.

2. Pengesahan lalu (PTA)Dalam kes ini, kata laluan tidak disimpan dalam Azure AD; apabila pengguna cuba log masuk, pengesahan akan dihantar melalui ejen di premis yang mengesahkan kelayakan terhadap AD tempatan. Ini membolehkan anda menggunakan sekatan akses tempatan, jadual, dsb., sambil mengekalkan kawalan pengesahan dalam infrastruktur anda.

3. Persekutuan dengan AD FSAzure AD mewakilkan pengesahan kepada sistem persekutuan berdasarkan Perkhidmatan Persekutuan Direktori Aktif. Ia memerlukan penggunaan pelayan AD FS dan, biasanya, proksi aplikasi web. Ia lebih kompleks untuk diselenggara, tetapi menawarkan kawalan dan keserasian maksimum dengan senario lanjutan.

4. Persekutuan dengan PingFederate: serupa dengan kes sebelumnya, tetapi menggunakan PingFederate sebagai penyelesaian persekutuan dan bukannya AD FS, untuk organisasi yang sudah mempunyai infrastruktur identiti tersebut.

5. Jangan konfigurasikan kaedah log masuk: direka untuk apabila anda sudah mempunyai penyelesaian persekutuan pihak ketiga dan tidak mahu Azure AD Connect mengautomasikan apa-apa dalam kawasan ini.

Selain itu, anda boleh mendayakan daftar masuk tunggal (SSO) Digabungkan dengan PHS atau PTA. Dengan SSO diaktifkan, dan melalui dasar kumpulan (GPO), komputer yang disertai domain boleh log masuk menggunakan UPN pengguna, biasanya sama dengan alamat e-mel mereka, menghalang mereka daripada perlu memasukkan kelayakan mereka berulang kali semasa mengakses perkhidmatan seperti portal Microsoft 365.

Menyambung ke Microsoft 365 dan Active Directory tempatan

Dalam wizard Azure AD Connect, anda perlu menyediakan Pertama, anda memerlukan kelayakan pentadbir penyewa Microsoft Entra (contohnya, akaun pentadbir identiti hibrid yang dibuat sebelum ini). Ini membolehkan alat mengkonfigurasi komponen awan dan mendaftarkan pelayan sebagai sumber penyegerakan.

Kemudian, kelayakan diminta daripada akaun dengan kebenaran dalam AD tempatan. untuk mencipta pautan penyegerakan dengan hutan di premis. Setelah disahkan, direktori setempat akan ditambah ke senarai sumber data untuk penyegerakan.

Dalam langkah seterusnya, anda memilih atribut yang hendak digunakan sebagai nama pengguna utama Untuk akaun awan, pendekatan biasa adalah menggunakan userPrincipalName, tetapi dalam beberapa senario anda boleh memilih medan e-mel jika ia konsisten dan dikonfigurasikan dengan betul. Anda juga boleh menunjukkan sama ada anda akan meneruskan tanpa semua domain UPN disahkan dalam Azure AD lagi (berguna apabila domain AD adalah peribadi).

Pemilihan OU dan penapisan objek

Azure AD Connect membolehkan anda menentukan subset yang mana Hutan Active Directory anda disegerakkan dengan awan. Anda boleh memilih keseluruhan domain, unit organisasi tertentu atau menapis mengikut atribut untuk mempersempit skop.

Dalam praktiknya, ia biasanya merupakan idea yang baik Mulakan dengan menyegerakkan hanya OU tempat pengguna yang mengambil bahagian dalam percubaan ini berada atau gunakan kumpulan keselamatan tertentu yang ahlinya akan direplikasi dalam Azure AD. Ini mengurangkan risiko menyegerakkan akaun perkhidmatan, objek usang atau maklumat yang tidak sepatutnya meninggalkan persekitaran di premis.

Perlu diingatkan bahawa perubahan seterusnya Perubahan pada struktur OU (penamaan semula, pemindahan bekas, dll.) boleh menjejaskan penapisan. Strategi biasa adalah untuk menyegerakkan keseluruhan domain tetapi mengehadkan penapisan berdasarkan keahlian kumpulan, mengelakkan pergantungan berlebihan pada struktur organisasi.

Pilihan konfigurasi tambahan

Tawaran skrin akhir pembantu Ciri-ciri tambahan termasuk penulisan semula kata laluan, penulisan semula peranti, integrasi Exchange hibrid dan perlindungan terhadap penghapusan besar-besaran.

Penulisan kata laluan tertangguh Ia membolehkan pengguna menukar atau menetapkan semula kata laluan mereka dari awan (contohnya, dari portal layan diri) dan perubahan itu juga digunakan dalam Active Directory di premis, dengan mematuhi dasar kata laluan organisasi. Bagi kebanyakan syarikat, ini merupakan kelebihan penting untuk sokongan.

Penulisan semula peranti Ia membolehkan peranti yang berdaftar dalam Microsoft Entra ID dibuang kembali ke Active Directory setempat, yang memudahkan senario akses bersyarat di mana anda perlu menjejaki peranti di kedua-dua belah pihak.

Ciri untuk mengelakkan pemadaman tidak sengaja Ia diaktifkan secara lalai dan mengehadkan bilangan objek yang boleh dipadamkan dalam satu penyegerakan (contohnya, kepada 500). Jika ambang ini dilampaui, penyegerakan akan disekat untuk mengelakkan pemadaman besar-besaran secara tidak sengaja, yang penting dalam persekitaran yang besar.

Akhir sekali, kemas kini automatik Ia diaktifkan secara lalai dalam pemasangan dengan persediaan pantas dan memastikan Azure AD Connect dikemas kini dengan versi terkini, membetulkan pepijat dan menambah keserasian tanpa anda perlu mengemas kini setiap pelayan secara manual.

Pengesahan penyegerakan dan operasi harian

Selepas pemasangan dan wizard selesaiAzure AD Connect boleh memulakan penyegerakan penuh dengan segera jika anda telah menentukannya. Wizard itu sendiri menawarkan pilihan untuk menjalankan kitaran awal sebaik sahaja ia selesai, yang disyorkan untuk mengesahkan bahawa semuanya berfungsi dengan betul.

Pada pelayan tempat anda memasang Azure AD Connect Anda boleh membuka konsol "Perkhidmatan Penyegerakan" daripada menu Mula. Di sana anda akan melihat sejarah pelaksanaan, termasuk penyegerakan awal, sebarang ralat dan butiran import, penyegerakan dan eksport objek.

Pada portal Microsoft 365 atau portal Log Masuk Microsoft Anda boleh menyemak senarai pengguna untuk mengesahkan bahawa ia muncul sebagai “Disegerakkan dengan Active Directory” dan bukannya “Cloud Only”. Mulai saat itu, atribut utama (nama pertama, nama keluarga, alamat e-mel, dsb.) diuruskan daripada Active Directory setempat.

Azure AD Connect menjalankan kitaran lalai Penyegerakan berlaku setiap 30 minit, walaupun anda sentiasa boleh memaksa penyegerakan manual menggunakan PowerShell jika anda memerlukan perubahan untuk dipaparkan dengan segera. Adalah amalan yang baik untuk mendokumentasikan tingkah laku ini supaya pasukan sokongan tahu apa yang diharapkan.

Senario lanjutan: pelbagai hutan dan pelayan tambahan

Dalam organisasi yang lebih kompleks Anda mungkin menemui berbilang hutan Active Directory, setiap satunya dengan domain dan penggunanya sendiri. Mungkin juga terdapat hutan sumber di mana peti mel yang dipautkan atau perkhidmatan lain berada.

Azure AD Connect sedia untuk topologi iniIni membolehkan anda menambah berbilang hutan sebagai sumber penyegerakan dan menggunakan model peruntukan deklaratif. Ini bermakna peraturan untuk menggabungkan, mengubah dan mengalirkan atribut ditakrifkan secara deklaratif dan boleh dilaraskan agar sesuai dengan reka bentuk identiti anda.

Untuk makmal yang lebih maju Hutan kedua (cth., fabrikam.com) boleh dicipta dengan pengawal domainnya sendiri (CP1) dengan mengulangi langkah-langkah penciptaan VM, pemasangan sistem, konfigurasi IP dan DNS, promosi kepada DC dan penciptaan pengguna ujian. Ini membolehkan pengujian senario berbilang hutan dan penyegerakan awan dengan domain yang berbeza.

Dalam persekitaran pengeluaran, adalah disyorkan untuk mempunyai Pelayan Azure AD Connect diletakkan dalam mod siap sedia atau dalam mod pementasan. Pelayan pementasan mengekalkan salinan konfigurasi dan melakukan import dan penyegerakan dalaman, tetapi tidak mengeksport perubahan ke Azure AD. Sekiranya berlaku kegagalan pelayan utama, anda boleh bertukar kepada pelayan pementasan dengan impak yang minimum.

Microsoft Entra Connect Health: pemantauan dan amaran

Untuk memastikan infrastruktur identiti hibrid terkawalMicrosoft menawarkan Microsoft Entra Connect Health, penyelesaian premium yang memantau komponen utama seperti Azure AD Connect (penyegerakan), AD FS dan AD DS, menyediakan amaran, metrik prestasi dan analisis penggunaan.

Operasi ini berdasarkan ejen. Ejen-ejen ini dipasang pada pelayan identiti: pelayan AD FS, pengawal domain dan pelayan Azure AD Connect. Ejen-ejen ini menghantar maklumat kesihatan dan prestasi ke perkhidmatan awan, di mana anda boleh melihatnya dalam portal Connect Health khusus.

Untuk bermula, anda perlu mempunyai lesen. Daripada Microsoft, masukkan ID P1 atau P2 (atau ujian). Kemudian muat turun ejen Connect Health daripada portal dan pasangkannya pada setiap pelayan yang berkaitan. Setelah didaftarkan, perkhidmatan tersebut akan mengesan peranan yang sedang dipantau secara automatik.

Di portal Connect Health, anda akan menemui panel yang berbezaSatu untuk perkhidmatan penyegerakan (Azure AD Connect), satu lagi untuk perkhidmatan persekutuan (AD FS) dan satu lagi untuk hutan AD DS. Dalam setiap satu, anda boleh melihat amaran aktif, status replikasi, potensi isu sijil, ralat pengesahan dan trend penggunaan.

Selain aspek teknikal, Connect Health merangkumi pilihan Untuk mengkonfigurasi akses berasaskan peranan (IAM) dan, secara pilihan, membenarkan Microsoft mengakses data diagnostik untuk tujuan sokongan sahaja. Pilihan ini dinyahdayakan secara lalai, tetapi ia boleh berguna jika anda memerlukan sokongan Microsoft lanjutan untuk menyelesaikan isu yang rumit.

Dengan keseluruhan ekosistem ini disediakan—AD tempatan, ID Microsoft Entra, Azure AD Connect dan Connect Health— Anda mempunyai platform identiti hibrid yang lengkap, yang mampu menyediakan daftar masuk tunggal, tadbir urus akaun dan kata laluan berpusat, ketersediaan tinggi dan keterlihatan ke dalam keadaan infrastruktur; gabungan yang memudahkan kehidupan pengguna akhir dan memberi anda kawalan yang anda perlukan untuk beroperasi dengan selamat dan fleksibel.