Komplett veiledning for Azure AD Connect og Microsoft Entra Connect

Azure AD Connect (nå Microsoft Enter Connect) Det er nøkkelen til å koble din lokale Active Directory til Microsoft-skyen: Azure AD og Microsoft 365. Takket være dette verktøyet kan brukerne logge på med samme brukernavn og passord både lokalt og i skytjenester, noe som unngår dupliserte kontoer og reduserer hodebry for IT-avdelingen.

Gjennom hele denne veiledningen Du vil se hele syklusen i detalj: klargjøring av det lokale miljøet, oppretting av domenet og Active Directory-skogen, konfigurering av Microsoft Entra ID, installasjon og konfigurering av Azure AD Connect, autentiseringsmetoder, objektfiltrering og avanserte funksjoner som synkronisering av passordhash, tilbakeskriving eller bruk av Microsoft Entra Connect Health for å overvåke infrastrukturen.

Hva er Azure AD Connect, og hva brukes det til?

Azure AD Connect er det offisielle Microsoft-verktøyet Den fungerer som en «bro» mellom din lokale Active Directory og Azure Active Directory, og integrerer også Microsoft 365. Den lar identitetene du allerede har i ditt lokale domene synkroniseres med skyen, slik at brukeren bruker samme legitimasjon i begge verdener og, om ønskelig, kan benytte seg av enkel pålogging (SSO).

Azure AD Connect-klienten er installert på en medlemsserver av domenet, og selv om det teknisk sett kan installeres på en domenekontroller, anbefaler Microsoft at du unngår dette av sikkerhets- og tjenesteisoleringsårsaker. Denne serveren vil være ansvarlig for å synkronisere brukere, grupper og andre objekter fra Active Directory med Azure AD med jevne mellomrom.

Når den er konfigurert, Azure AD Connect Den kan bruke forskjellige autentiseringsmodeller: Password Hash Synchronization (PHS), Pass-Through Auth (PTA), federasjon med AD FS eller federasjon med leverandører som PingFederate. Den tilbyr også alternativer som SSO, filtrering etter OU eller grupper, beskyttelse mot massesletting og automatiske produktoppdateringer.

I scenarier der du allerede jobber med Microsoft 365 Og hvis du har «bare skybrukere», lar Azure AD Connect deg forene identiteter: Hvis UPN og e-postadressen til en lokal bruker samsvarer med brukerens i skyen, vil brukeren ved synkronisering slutte å være «bare skybruker» og bli en synkronisert bruker fra AD, noe som sentraliserer attributtstyringen i den lokale katalogen.

Klargjøre det lokale Active Directory-miljøet

Før du tenker på å synkronisere noe med AzureDu trenger et funksjonelt Active Directory-miljø. Hvis du allerede har et bedriftsdomene i produksjon, kan du bruke det. Hvis ikke, kan du sette opp et laboratorium fra bunnen av for å teste alle hybrididentitetsscenarier uten å påvirke live-miljøet ditt.

Ideen bak denne laben er å lage en server som vil fungere som en domenekontroller (DC) og være vert for AD DS, DNS og administrasjonsverktøy. Alt dette kan settes opp på en virtuell Hyper-V-maskin som kjører Windows Server, ved hjelp av PowerShell-skript som automatiserer mye av arbeidet.

Opprette den virtuelle maskinen for domenekontrolleren

Det første trinnet er å opprette en virtuell maskin som vil fungere som en lokal Active Directory-server. For å gjøre dette kan du åpne PowerShell ISE som administrator på Hyper-V-verten og kjøre et skript som definerer VM-navnet, nettverksbryteren, VHDX-banen, diskstørrelsen og installasjonsmediet (Windows Server ISO).

Dette skriptet oppretter en virtuell maskin av generasjon 2Med fast minne opprettes en ny virtuell disk, og en virtuell DVD-stasjon som peker til operativsystemets ISO-fil kobles til. Maskinens fastvare konfigureres deretter til å starte opp fra DVD-en i utgangspunktet, slik at du kan utføre systeminstallasjonen interaktivt.

Når den virtuelle maskinen er opprettetFra Hyper-V Manager må du starte serveren, koble til konsollen og utføre en standard Windows Server-installasjon: velg språk, skriv inn produktnøkkelen, godta lisensvilkårene, velg en tilpasset installasjon og bruk den nyopprettede disken. Etter at installasjonen er fullført, start datamaskinen på nytt, logg inn og installer alle tilgjengelige oppdateringer.

Første konfigurasjon av Windows Server

Med operativsystemet allerede installertServeren må være klargjort for å motta Active Directory Domain Services-rollen. Dette innebærer å tildele den et konsistent navn (for eksempel DC1), konfigurere en statisk IP-adresse, definere DNS-innstillinger og legge til nødvendige administrative verktøy ved hjelp av Windows-funksjoner.

Bruke et annet PowerShell-skript Du kan automatisere disse oppgavene: angi IP-adresse, maske, gateway og DNS-servere (vanligvis selve serveren og, som en sekundær, en offentlig DNS som 8.8.8.8), gi datamaskinen nytt navn og installere Active Directory RSAT-er, registrere alt i en loggfil for revisjon.

Etter å ha implementert disse endringene Serveren vil starte på nytt og være klar til å bli forfremmet til en domenekontroller i en ny skog, slik at du vil ha det lokale AD-miljøet ditt operativt for testing eller for reell integrering med skyen.

Opprette Active Directory-skogen og domenet

Neste trinn er å installere AD DS, DNS og Group Policy Management Console (GPMC), og deretter opprette en ny Active Directory-skog. Igjen lar PowerShell deg fremskynde prosessen ved å installere de nødvendige funksjonene og kjøre cmdleten Install-ADDSForest med alle nødvendige parametere.

I skogdefinisjonen spesifiserer du domenenavnet (for eksempel contoso.com), NetBIOS-navn, stier til Active Directory-databasen (NTDS), logger og SYSVOL, samt funksjonsnivåene for domenet og skogen. Passordet for gjenopprettingsmodus for katalogtjenester (DSRM), som er viktig for gjenopprettingsoppgaver, er også definert.

Når serveren starter på nytt etter kampanjenDu har allerede et Windows Server AD-miljø med et operativt domene, integrert DNS og alle nødvendige verktøy for å administrere brukere, grupper, OU-er og gruppepolicyer.

Opprette testbrukere i Active Directory

Når skogen er oppe og går, er det nyttig å ha testkontoer tilgjengelig. For å bekrefte synkronisering med Azure AD kan du bruke et PowerShell-skript til å opprette for eksempel brukeren «Allie McCray» med et påloggingsnavn (samAccountName), et startpassord, et visningsnavn og muligheten til å forhindre at passordet utløper.

Skriptet kan også flagge brukeren Aktivert for å forhindre at brukere må endre passordet sitt ved neste pålogging, plasseres de i riktig containerbane (for eksempel CN=Brukere,DC=contoso,DC=com). Disse brukerne synkroniseres deretter med Microsoft Entra-ID-ene sine via Azure AD Connect.

Klargjøring av det lokale domenet for synkronisering

Før du distribuerer Azure AD Connect, anbefales det å gjennomgå AD-en din. For å sikre at den oppfyller Microsofts krav: riktig konfigurerte domener, korrekte UPN-suffikser, konsistente e-postattributter og ingen motstridende data. For denne oppgaven tilbyr Microsoft IdFix-verktøyet, som hjelper med å oppdage problematiske objekter.

I mange miljøer finnes det et lokalt domene av typen mittdomene.lokal og, på den annen side, et offentlig e-postdomene, for eksempel mittdomene.com brukt i Microsoft 365. For at synkroniseringen skal være ren, anbefales det å legge til UPN-suffikset som tilsvarer det offentlige e-postdomenet i den lokale AD-en.

Fra «Active Directory-domener og -klareringer» Du kan åpne egenskapene og legge til det nye UPN-suffikset (for eksempel mittdomene.com). Deretter, i brukerkontoegenskapene, på fanen «Konto», endrer du brukerens UPN fra bruker@mittdomene.lokal til bruker@mittdomene.com, og justerer det med e-postadressen i Microsoft 365.

Selv om det anbefales på det sterkeste å endre UPN-nummeret For å forenkle senere pålogginger og eventuell SSO, endrer ikke denne endringen den klassiske DOMAIN\user-påloggingsmetoden (før Windows 2000), så den påvirker ikke applikasjoner eller skript som fortsetter å bruke det formatet.

Det er også viktig å fylle ut mail-attributtet riktig. av brukerkontoene med deres primære e-postadresse. Hvis du allerede har brukere opprettet direkte i skyen, vil kombinasjonen av UPN og samsvarende e-post mellom lokalt og Microsoft 365 tillate at disse kontoene blir koblet sammen etter synkronisering, og at skybrukeren blir en synkronisert identitet fra AD.

Oppsett og konfigurasjon av Microsoft Entra ID (Azure AD)

For at den lokale katalogen skal synkroniseres Du trenger en Microsoft Entra ID-leier. Denne leietakeren er skykatalogen der replikaer av brukerne, gruppene og enhetene dine fra det lokale miljøet opprettes.

Hvis du ikke allerede har en leietakerDu kan opprette den ved å gå inn i Microsofts administrasjonssenter. Logg på med en konto som har abonnementet. Fra Oversikt-delen velger du alternativet for å administrere leietakere, og deretter oppretter du en ny konto. Oppgi et navn for organisasjonen og et startdomene (for eksempel something.onmicrosoft.com).

Når veiviseren er ferdig, opprettes katalogen. Og du kan administrere det fra portalen. Senere vil du kunne tilknytte egendefinerte domener (som contoso.com) og bekrefte at de skal brukes som primære domener i UPN-ene til brukerne dine som er synkronisert fra Active Directory.

Opprette en administratorkonto for hybrididentitet

I Microsoft Entra-leietakeren anbefales det å opprette En dedikert konto vil bli brukt til å administrere hybridkomponenten. Denne kontoen vil for eksempel bli brukt til den første konfigurasjonen av Azure AD Connect og identitetsrelaterte oppgaver.

Fra brukerdelen Du oppretter en ny bruker, tildeler dem et navn og brukernavn (UPN), og endrer rollen deres til «Hybrid Identity Administrator». Under opprettelsen kan du se og kopiere det midlertidige passordet som er tildelt dem.

Etter at du har opprettet denne kontoen, anbefales det å logge inn. Gå til myapps.microsoft.com med det brukernavnet og det midlertidige passordet, og tving frem en endring av passordet til et permanent passord. Dette vil være den administrative identiteten du bruker i flere av trinnene for hybridoppsett.

Installasjon av Azure AD Connect (Microsoft Enter Connect)

Med det lokale miljøet klart og skyleietakeren forberedtDu kan nå installere Azure AD Connect på en lokal domenemedlemsserver. Microsoft anbefaler at du ikke bruker en domenekontroller for å minimere sikkerhets- og tilgjengelighetsrisikoer.

Laster ned Azure AD Connect Den er tilgjengelig fra Azure Active Directory-portalen, i Azure AD Connect-delen eller direkte fra Microsoft Download Center. Når du har lastet ned installasjonsprogrammet, kjører du det på den angitte serveren.

Lisensvilkårene godtas under installasjonsveiviseren. Du har to alternativer: hurtigoppsett eller tilpasset oppsett. Hurtigalternativet konfigurerer full Active Directory-synkronisering som standard ved hjelp av metoden «passord-hashsynkronisering», mens det tilpassede alternativet gir mye større kontroll over attributter, domener, OU-er, autentiseringsmetoder og tilleggsfunksjoner.

I typiske installasjoner er det vanligvis mer interessant Velg den tilpassede banen, spesielt hvis du trenger å begrense hvilke organisasjonsenheter som synkroniseres, vil evaluere forskjellige påloggingsmetoder eller har topologier med flere skoger.

Konfigurering av påloggingsmetoden

Et av hovedpunktene i assistenten Det er valget av autentiseringsmetode brukerne dine vil bruke når de får tilgang til skyressurser. Azure AD Connect tilbyr flere innebygde alternativer, hver med sine egne fordeler og krav.

1. Passord-hashsynkronisering (PHS)Denne metoden synkroniserer med Azure AD ekstra passord-hash lagret i din lokale Active Directory. Brukeren logger seg direkte inn i skyen med Azure AD, med samme passord som i det lokale miljøet, men administreres kun i AD. Det er den enkleste modellen å implementere og den mest brukte.

2. Gjennomgangsautentisering (PTA)I dette tilfellet lagres ikke passord i Azure AD. Når en bruker prøver å logge inn, videresendes valideringen via lokale agenter som verifiserer legitimasjonen mot den lokale AD-en. Dette lar deg bruke lokale tilgangsbegrensninger, tidsplaner osv., samtidig som du opprettholder autentiseringskontrollen i infrastrukturen din.

3. Føderasjon med AD FSAzure AD delegerer autentisering til et føderasjonssystem basert på Active Directory Federation Services. Det krever distribusjon av AD FS-servere og vanligvis en proxy for webapplikasjoner. Det er mer komplekst å vedlikeholde, men gir maksimal kontroll og kompatibilitet med avanserte scenarier.

4. Federasjon med PingFederateLigner på det forrige tilfellet, men bruker PingFederate som føderasjonsløsning i stedet for AD FS, for organisasjoner som allerede har den identitetsinfrastrukturen.

5. Ikke konfigurer innloggingsmetodenUtviklet for når du allerede har en tredjeparts føderasjonsløsning og ikke ønsker at Azure AD Connect skal automatisere noe på dette området.

I tillegg kan du aktivere enkel pålogging (SSO) I kombinasjon med PHS eller PTA. Med SSO aktivert, og gjennom en gruppepolicy (GPO), kan domenetilknyttede datamaskiner logge på med brukerens UPN, vanligvis den samme som e-postadressen deres, slik at de ikke må oppgi legitimasjonen sin gjentatte ganger når de får tilgang til tjenester som Microsoft 365-portalen.

Koble til Microsoft 365 og den lokale Active Directory

I Azure AD Connect-veiviseren må du oppgi Først trenger du legitimasjonen til en Microsoft Entra-leietakeradministrator (for eksempel hybrididentitetsadministratorkontoen som ble opprettet tidligere). Dette lar verktøyet konfigurere skykomponenten og registrere serveren som en synkroniseringskilde.

Deretter blir det forespurt legitimasjon fra en konto med tillatelser i den lokale AD-en. for å opprette synkroniseringskoblingen med den lokale skogen. Når den lokale katalogen er validert, legges den til i listen over datakilder for synkronisering.

I neste trinn velger du hvilket attributt som skal brukes som primært brukernavn. For skykontoer er den vanlige tilnærmingen å bruke userPrincipalName, men i noen tilfeller kan du velge e-postfeltet hvis det er konsistent og riktig konfigurert. Du kan også angi om du vil fortsette uten å ha alle UPN-domener bekreftet i Azure AD ennå (nyttig når AD-domenet er privat).

OU-valg og objektfiltrering

Azure AD Connect lar deg definere hvilket delsett Active Directory-skogen din er synkronisert med skyen. Du kan velge hele domener, bestemte organisasjonsenheter eller til og med filtrere etter attributter for å begrense omfanget.

I praksis er det vanligvis en god idé Start med å synkronisere bare OU-ene der brukerne som deltar i piloten befinner seg, eller bruk en bestemt sikkerhetsgruppe hvis medlemmer skal replikeres i Azure AD. Dette reduserer risikoen for å synkronisere tjenestekontoer, foreldede objekter eller informasjon som ikke skal forlate det lokale miljøet.

Det er verdt å merke seg at senere endringer Endringer i OU-strukturen (endring av navn, flytting av containere osv.) kan påvirke filtrering. En vanlig strategi er å synkronisere hele domenet, men begrense filtrering basert på gruppemedlemskap, og unngå overdreven avhengighet av organisasjonsstrukturen.

Ytterligere konfigurasjonsalternativer

Assistentens siste skjermbilder tilbyr Ytterligere funksjoner inkluderer tilbakeskriving av passord, omskriving av enheter, hybrid Exchange-integrasjon og beskyttelse mot massesletting.

Utsatt passordskriving Det lar brukere endre eller tilbakestille passordet sitt fra skyen (for eksempel fra selvbetjeningsportalen), og at endringen også brukes i den lokale Active Directory, med respekt for organisasjonens passordpolicy. For mange bedrifter er dette en betydelig fordel for support.

Omskriving av enhet Den lar enheter registrert i Microsoft Entra ID bli dumpet tilbake til den lokale Active Directory, noe som forenkler betingede tilgangsscenarier der du må holde oversikt over enheter på begge sider.

Funksjonen for å forhindre utilsiktet sletting Den er aktivert som standard og begrenser antallet objekter som kan slettes i én synkroniseringskjøring (for eksempel til 500). Hvis denne terskelen overskrides, blokkeres synkroniseringen for å forhindre utilsiktet massesletting, noe som er avgjørende i store miljøer.

Til slutt, automatiske oppdateringer Den er aktivert som standard i installasjoner med hurtigoppsett og holder Azure AD Connect oppdatert med de nyeste versjonene, retter feil og legger til kompatibiliteter uten at du må oppdatere hver server manuelt.

Verifisering av synkronisering og daglig drift

Etter at installasjonen og veiviseren er fullførtAzure AD Connect kan umiddelbart starte en full synkronisering hvis du har spesifisert det. Veiviseren tilbyr selve alternativet for å kjøre en innledende syklus så snart den er ferdig, noe som anbefales for å validere at alt fungerer som det skal.

På serveren der du installerte Azure AD Connect Du kan åpne konsollen «Synkroniseringstjeneste» fra Start-menyen. Der vil du se utførelseshistorikken, inkludert den første synkroniseringen, eventuelle feil og detaljer om objektimport, synkronisering og eksport.

På Microsoft 365-portalen eller Microsoft-påloggingsportalen Du kan sjekke brukerlisten for å bekrefte at de vises som «Synkronisert med Active Directory» i stedet for «Kun skyen». Fra det tidspunktet administreres hovedattributtene (fornavn, etternavn, e-postadresse osv.) fra den lokale Active Directory.

Azure AD Connect kjører en standardsyklus Synkronisering skjer hvert 30. minutt, men du kan alltid fremtvinge en manuell synkronisering ved hjelp av PowerShell hvis du trenger at en endring skal gjenspeiles umiddelbart. Det er god praksis å dokumentere denne oppførselen slik at supportteamet vet hva de kan forvente.

Avanserte scenarier: flere skoger og ekstra servere

I mer komplekse organisasjoner Du kan støte på flere Active Directory-skoger, hver med sitt eget domene og brukere. Det kan også være ressursskoger der det finnes koblede postbokser eller andre tjenester.

Azure AD Connect er klar for disse topologieneDette lar deg legge til flere skoger som synkroniseringskilder og bruke en deklarativ klargjøringsmodell. Dette betyr at reglene for å kombinere, transformere og flyte attributter er definert deklarativt og kan justeres for å passe til identitetsdesignet ditt.

For mer avanserte laboratorier En annen skog (f.eks. fabrikam.com) kan opprettes med sin egen domenekontroller (CP1) ved å gjenta trinnene for oppretting av virtuell maskin, systeminstallasjon, IP- og DNS-konfigurasjon, forfremmelse til domenekontroller og oppretting av testbrukere. Dette tillater testing av scenarier med flere skoger og skysynkronisering med forskjellige domener.

I produksjonsmiljøer anbefales det å ha En Azure AD Connect-server settes i standby- eller oppsamlingsmodus. Oppsamlingsserveren vedlikeholder en kopi av konfigurasjonen og utfører intern import og synkronisering, men eksporterer ikke endringer til Azure AD. Ved feil på den primære serveren kan du bytte til oppsamlingsserveren med minimal innvirkning.

Microsoft Entra Connect Health: overvåking og varsler

For å holde hybrididentitetsinfrastrukturen under kontrollMicrosoft tilbyr Microsoft Entra Connect Health, en premiumløsning som overvåker viktige komponenter som Azure AD Connect (synkronisering), AD FS og AD DS, og gir varsler, ytelsesmålinger og bruksanalyser.

Operasjonen er basert på agenter. Disse agentene er installert på identitetsservere: AD FS-servere, domenekontrollere og Azure AD Connect-servere. De sender helse- og ytelsesinformasjon til skytjenesten, hvor du kan se den i den dedikerte Connect Health-portalen.

For å begynne må du ha lisenser. Fra Microsoft skriver du inn ID P1 eller P2 (eller en test). Last deretter ned Connect Health-agentene fra portalen og installer dem på hver relevante server. Når de er registrert, oppdager tjenesten automatisk hvilke roller som overvåkes.

På Connect Health-portalen finner du forskjellige panelerEn for synkroniseringstjenester (Azure AD Connect), en annen for føderasjonstjenester (AD FS) og en annen for AD DS-skoger. I hver av dem kan du se aktive varsler, replikeringsstatus, potensielle sertifikatproblemer, autentiseringsfeil og brukstrender.

I tillegg til de tekniske aspektene inkluderer Connect Health alternativer For å konfigurere rollebasert tilgang (IAM) og eventuelt autorisere Microsoft til å få tilgang til diagnostiske data kun for støtteformål. Dette alternativet er deaktivert som standard, men det kan være nyttig hvis du trenger avansert Microsoft-støtte for å løse komplekse problemer.

Med hele dette økosystemoppsettet – lokal AD, Microsoft Entra ID, Azure AD Connect og Connect Health – Du har en komplett hybrid identitetsplattform som er i stand til å levere enkel pålogging, sentralisert konto- og passordstyring, høy tilgjengelighet og innsyn i infrastrukturens tilstand; en kombinasjon som forenkler livet for sluttbrukeren og gir deg kontrollen du trenger for å operere sikkert og fleksibelt.