Kumpletong tutorial para sa Azure AD Connect at Microsoft Entra Connect

Azure AD Connect (ngayon ay Microsoft Enter Connect) Ito ang susi sa pagkonekta ng iyong on-premises na Active Directory sa Microsoft cloud: Azure AD at Microsoft 365. Dahil sa tool na ito, maaaring mag-log in ang iyong mga user gamit ang parehong username at password parehong on-premises at sa mga serbisyo ng cloud, na maiiwasan ang mga duplicate na account at nababawasan ang abala para sa IT department.

Sa buong tutorial na ito Makikita mo nang detalyado ang buong cycle: paghahanda ng on-premises na kapaligiran, paglikha ng domain at ng Active Directory forest, pag-configure ng Microsoft Entra ID, pag-install at pag-configure ng Azure AD Connect, mga paraan ng pagpapatotoo, pag-filter ng object, at mga advanced na feature tulad ng password hash synchronization, write-back, o paggamit ng Microsoft Entra Connect Health upang subaybayan ang imprastraktura.

Ano ang Azure AD Connect at para saan ito ginagamit?

Ang Azure AD Connect ay ang opisyal na utility ng Microsoft Ito ay nagsisilbing "tulay" sa pagitan ng iyong on-premises Active Directory at Azure Active Directory, na isinasama rin ang Microsoft 365. Pinapayagan nito ang mga pagkakakilanlan na mayroon ka na sa iyong on-premises domain na ma-synchronize sa cloud, upang magamit ng user ang parehong mga kredensyal sa parehong mundo at, kung ninanais, ay masisiyahan sa single sign-on (SSO).

Ang Azure AD Connect client ay naka-install sa isang member server ng domain, at bagama't maaari itong teknikal na mai-install sa isang domain controller, inirerekomenda ng Microsoft na iwasan ito para sa mga kadahilanang pangseguridad at paghihiwalay ng serbisyo. Ang server na ito ang magiging responsable para sa pag-synchronize ng mga user, grupo, at iba pang mga object mula sa iyong Active Directory gamit ang Azure AD sa mga regular na pagitan.

Kapag na-configure na, ang Azure AD Connect Maaari itong gumamit ng iba't ibang modelo ng pagpapatotoo: Password Hash Synchronization (PHS), Pass-Through Auth (PTA), pagsasama sa AD FS, o pagsasama sa mga provider tulad ng PingFederate. Nag-aalok din ito ng mga opsyon tulad ng SSO, pag-filter ayon sa OU o mga grupo, proteksyon laban sa malawakang pagtanggal, at mga awtomatikong pag-update ng produkto.

Sa mga sitwasyon kung saan gumagamit ka na ng Microsoft 365 At kung mayroon kang mga "cloud-only" na user, pinapayagan ka ng Azure AD Connect na pag-isahin ang mga pagkakakilanlan: kung ang UPN at email ng isang lokal na user ay tumutugma sa mga nasa cloud, sa pag-synchronize, ang user na iyon ay hindi na magiging "cloud only" at magiging isang synchronized user mula sa AD, na siyang magse-sentralisa sa pamamahala ng attribute sa iyong lokal na direktoryo.

Paghahanda ng lokal na kapaligiran ng Active Directory

Bago mo isipin ang pag-sync ng kahit ano sa AzureKailangan mo ng isang gumaganang Active Directory environment. Kung mayroon ka nang corporate domain na nasa produksyon, maaari mo itong gamitin; kung wala pa, maaari kang mag-set up ng isang lab mula sa simula upang subukan ang lahat ng mga senaryo ng hybrid identity nang hindi naaapektuhan ang iyong live na kapaligiran.

Ang ideya sa likod ng lab na ito ay ang lumikha ng isang server na magsisilbing domain controller (DC) at magho-host ng AD DS, DNS, at mga tool sa pamamahala. Ang lahat ng ito ay maaaring i-set up sa isang Hyper-V virtual machine na nagpapatakbo ng Windows Server, gamit ang mga PowerShell script na nag-a-automate ng halos lahat ng trabaho.

Paglikha ng virtual machine para sa domain controller

Ang unang hakbang ay ang paglikha ng isang virtual na makina na gagana bilang isang on-premises na Active Directory server. Para magawa ito, maaari mong buksan ang PowerShell ISE bilang administrator sa Hyper-V host at magpatakbo ng script na tumutukoy sa pangalan ng VM, network switch, VHDX path, laki ng disk, at installation media (Windows Server ISO).

Ang script na ito ay lumilikha ng isang henerasyon 2 VMGamit ang nakapirming memorya, isang bagong virtual disk ang nalilikha, at isang virtual DVD drive ang ikinakabit na nakaturo sa ISO ng operating system. Pagkatapos ay kino-configure ang firmware ng makina upang mag-boot mula sa DVD sa simula, na nagbibigay-daan sa iyong isagawa ang interactive na pag-install ng system.

Kapag nalikha na ang virtual machineMula sa Hyper-V Manager, kailangan mong ilunsad ang server, kumonekta sa console nito, at magsagawa ng karaniwang pag-install ng Windows Server: piliin ang iyong wika, ilagay ang product key, tanggapin ang mga tuntunin ng lisensya, pumili ng custom na pag-install, at gamitin ang bagong gawang disk. Pagkatapos makumpleto ang pag-install, i-restart, mag-log in, at ilapat ang lahat ng available na update.

Paunang pag-configure ng Windows Server

Gamit ang naka-install nang operating systemDapat handa ang server na tumanggap ng tungkulin ng Active Directory Domain Services. Kabilang dito ang pagtatalaga nito ng isang pare-parehong pangalan (halimbawa, DC1), pag-configure ng isang static na IP address, pagtukoy ng mga setting ng DNS, at pagdaragdag ng mga kinakailangang administratibong tool gamit ang mga tampok ng Windows.

Paggamit ng ibang PowerShell script Maaari mong i-automate ang mga gawaing ito: pagtatakda ng IP address, mask, gateway at mga DNS server (karaniwan ay ang server mismo at, bilang pangalawa, isang pampublikong DNS tulad ng 8.8.8.8), pagpapalit ng pangalan ng computer at pag-install ng mga Active Directory RSAT, pagtatala ng lahat sa isang log file para sa pag-audit.

Pagkatapos ilapat ang mga pagbabagong ito Magre-restart ang server at magiging handa nang i-promote sa isang domain controller sa isang bagong forest, kaya magagamit mo na ang iyong on-premises AD environment para sa pagsubok o para sa totoong integrasyon sa cloud.

Paglikha ng Active Directory forest at domain

Ang susunod na hakbang ay ang pag-install ng AD DS, DNS at ang Group Policy Management Console (GPMC), at pagkatapos ay lumikha ng isang bagong Active Directory forest. Muli, pinapayagan ka ng PowerShell na mapabilis ang proseso sa pamamagitan ng pag-install ng mga kinakailangang feature at pagpapatakbo ng Install-ADDSForest cmdlet kasama ang lahat ng kinakailangang parameter.

Sa kahulugan ng kagubatan, tinukoy mo ang pangalan ng domain (halimbawa, contoso.com), pangalan ng NetBIOS, mga path papunta sa Active Directory database (NTDS), mga log, at SYSVOL, pati na rin ang mga functional level ng domain at forest. Tinutukoy rin ang password ng Directory Services Restore Mode (DSRM), na mahalaga para sa mga gawain sa pagbawi.

Kapag nag-restart ang server pagkatapos ng promosyonMayroon ka nang Windows Server AD environment na may operational domain, integrated DNS, at lahat ng kinakailangang tool para pamahalaan ang mga user, grupo, OU, at mga patakaran ng grupo.

Paglikha ng mga test user sa Active Directory

Kapag gumagana na ang forest, mahalagang magkaroon ng mga test account na magagamit. Para mapatunayan ang pag-synchronize sa Azure AD, maaari kang gumamit ng PowerShell script para lumikha, halimbawa, ng user na “Allie McCray” na may login name (samAccountName), inisyal na password, display name, at opsyon para maiwasan ang pag-expire ng password.

Maaari ring i-flag ng script ang user Dahil naka-enable ito upang maiwasan ang mga user na kailangang baguhin ang kanilang password sa susunod na pag-login, ilalagay sila nito sa naaangkop na path ng container (halimbawa, CN=Users,DC=contoso,DC=com). Ang mga user na ito ay isa-synchronize sa kanilang mga Microsoft Entra ID sa pamamagitan ng Azure AD Connect.

Paghahanda ng lokal na domain para sa pag-synchronize

Bago i-deploy ang Azure AD Connect, ipinapayong suriin mo muna ang iyong AD. Para matiyak na natutugunan nito ang mga kinakailangan ng Microsoft: wastong na-configure na mga domain, wastong mga hulapi ng UPN, pare-parehong mga katangian ng email, at walang magkasalungat na data. Para sa gawaing ito, nag-aalok ang Microsoft ng tool na IdFix, na tumutulong sa pag-detect ng mga problematikong bagay.

Sa maraming kapaligiran, mayroong lokal na domain ng uri na mydomain.local at, sa kabilang banda, isang pampublikong email domain, halimbawa mydomain.com na ginagamit sa Microsoft 365. Para maging malinis ang synchronization, inirerekomendang idagdag ang hulaping UPN na katumbas ng pampublikong email domain sa lokal na AD.

Mula sa “Mga Domain at Trust ng Active Directory” Maaari mong buksan ang mga property at idagdag ang bagong hulaping UPN (halimbawa, mydomain.com). Pagkatapos, sa mga property ng user account, sa tab na "Account," baguhin ang UPN ng user mula user@mydomain.local patungong user@mydomain.com, ihanay ito sa email address sa Microsoft 365.

Bagama't lubos na inirerekomenda ang pagpapalit ng UPN Upang mapadali ang mga kasunod na pag-login at sa kalaunan ay SSO, hindi binabago ng pagbabagong ito ang klasikong paraan ng pag-login ng DOMAIN\user (bago ang Windows 2000), kaya hindi nito naaapektuhan ang mga application o script na patuloy na gumagamit ng format na iyon.

Mahalaga ring punan nang tama ang katangian ng mail. ng mga user account gamit ang kanilang pangunahing email address. Kung mayroon ka nang mga user na direktang ginawa sa cloud, ang kombinasyon ng UPN at pagtutugma ng email sa pagitan ng on-premises at Microsoft 365 ay magbibigay-daan, pagkatapos ng pag-synchronize, na maisama ang mga account na iyon at ang cloud user ay maging isang naka-synchronize na pagkakakilanlan mula sa AD.

Pag-setup at pag-configure ng Microsoft Entra ID (Azure AD)

Para ma-synchronize ang lokal na direktoryo Kailangan mo ng Microsoft Entra ID tenant. Ang tenant na ito ay ang cloud directory kung saan gagawin ang mga replica ng iyong mga user, grupo, at device mula sa on-premises na environment.

Kung wala ka pang nangungupahanMaaari mo itong gawin sa pamamagitan ng pag-access sa Microsoft admin center. Mag-sign in gamit ang isang account na mayroong subscription. Mula sa seksyong Pangkalahatang-ideya, piliin ang opsyong pamahalaan ang mga nangungupahan at pagkatapos ay lumikha ng bago, na nagbibigay ng pangalan para sa organisasyon at isang paunang domain (halimbawa, something.onmicrosoft.com).

Kapag natapos na ang wizard, ang direktoryo ay malilikha. At maaari mo itong pamahalaan mula sa portal. Mamaya, magagawa mong iugnay ang mga custom domain (tulad ng contoso.com) at i-verify ang mga ito upang magamit bilang pangunahing domain sa mga UPN ng iyong mga user na naka-synchronize mula sa Active Directory.

Paggawa ng hybrid identity administrator account

Sa Microsoft Entra tenant, inirerekomenda na lumikha ng Isang nakalaang account ang gagamitin upang pamahalaan ang hybrid component. Ang account na ito ay gagamitin, halimbawa, para sa unang configuration ng Azure AD Connect at mga gawaing may kaugnayan sa pagkakakilanlan.

Mula sa seksyong Mga Gumagamit Gagawa ka ng bagong user, bibigyan sila ng pangalan at username (UPN), at babaguhin ang kanilang role sa "Hybrid Identity Administrator." Habang ginagawa, maaari mong tingnan at kopyahin ang pansamantalang password na itinalaga sa kanila.

Pagkatapos gawin ang account na ito, ipinapayong mag-log in. Pumunta sa myapps.microsoft.com gamit ang username at pansamantalang password na iyon, at pilitin ang pagbabago ng password sa permanenteng password. Ito ang magiging administrative identity na gagamitin mo sa ilan sa mga hakbang ng hybrid setup.

Pag-install ng Azure AD Connect (Microsoft Entra Connect)

Kapag handa na ang lokal na kapaligiran at handa na ang cloud tenantMaaari mo na ngayong i-install ang Azure AD Connect sa isang local domain member server. Hindi inirerekomenda ng Microsoft ang paggamit ng domain controller upang mabawasan ang mga panganib sa seguridad at availability.

Pag-download ng Azure AD Connect Makukuha ito mula sa Azure Active Directory portal, sa seksyong Azure AD Connect, o direkta mula sa Microsoft Download Center. Kapag na-download mo na ang installer, patakbuhin ito sa itinalagang server.

Tinatanggap ang mga tuntunin ng lisensya sa panahon ng installation wizard. Mayroon kang dalawang opsyon: mabilisang pag-setup o pasadyang pag-setup. Kino-configure ng mabilisang opsyon ang buong pag-synchronize ng Active Directory bilang default gamit ang paraan ng "password hash synchronization", habang ang pasadyang opsyon ay nagbibigay-daan sa mas malawak na kontrol sa mga attribute, domain, OU, paraan ng pagpapatotoo, at mga karagdagang feature.

Sa mga karaniwang instalasyon, kadalasan itong mas kawili-wili Piliin ang custom na path, lalo na kung kailangan mong limitahan kung aling mga unit ng organisasyon ang naka-synchronize, gustong suriin ang iba't ibang paraan ng pag-login, o may mga topolohiyang multi-forest.

Pag-configure ng paraan ng pag-login

Isa sa mga pangunahing punto sa katulong Ito ang pagpili ng paraan ng pagpapatotoo na gagamitin ng iyong mga user kapag ina-access ang mga cloud resource. Nag-aalok ang Azure AD Connect ng ilang built-in na opsyon, bawat isa ay may kanya-kanyang bentahe at kinakailangan.

1. Pag-synchronize ng Password Hash (PHS)Ang pamamaraang ito ay naka-synchronize sa Azure AD karagdagang hash ng password nakaimbak sa iyong on-premises Active Directory. Direktang nagla-log in ang user sa cloud gamit ang Azure AD, gamit ang parehong password gaya ng sa on-premises environment, ngunit pinamamahalaan lamang sa AD. Ito ang pinakasimpleng modelo na ipatupad at ang pinakamalawak na ginagamit.

2. Pagpapatotoo gamit ang pass-through (PTA)Sa kasong ito, ang mga password ay hindi iniimbak sa Azure AD; kapag sinubukan ng isang user na mag-log in, ang pagpapatunay ay ipinapasa sa pamamagitan ng mga on-premise agent na nag-verify ng mga kredensyal laban sa lokal na AD. Nagbibigay-daan ito sa iyong maglapat ng mga lokal na paghihigpit sa pag-access, mga iskedyul, atbp., habang pinapanatili ang kontrol sa pagpapatotoo sa loob ng iyong imprastraktura.

3. Pederasyon kasama ang AD FSItinatalaga ng Azure AD ang authentication sa isang federation system batay sa Active Directory Federation Services. Nangangailangan ito ng pag-deploy ng mga AD FS server at, kadalasan, isang web application proxy. Mas kumplikado itong panatilihin, ngunit nag-aalok ng pinakamataas na kontrol at pagiging tugma sa mga advanced na senaryo.

4. Pederasyon kasama ang PingFederate: katulad ng nakaraang kaso, ngunit ginagamit ang PingFederate bilang solusyon sa federasyon sa halip na AD FS, para sa mga organisasyong mayroon nang imprastraktura ng pagkakakilanlan.

5. Huwag i-configure ang paraan ng pag-login: dinisenyo para sa mga pagkakataong mayroon ka nang solusyon ng third-party federation at ayaw mong i-automate ng Azure AD Connect ang kahit ano sa lugar na ito.

Bukod pa rito, maaari mong paganahin ang single sign-on (SSO) Kasama ang PHS o PTA. Kapag naka-enable ang SSO, at sa pamamagitan ng group policy (GPO), maaaring mag-log in ang mga computer na naka-domain join gamit ang UPN ng user, karaniwang kapareho ng kanilang email address, na pumipigil sa kanila na paulit-ulit na ilagay ang kanilang mga credential kapag nag-a-access ng mga serbisyo tulad ng Microsoft 365 portal.

Kumokonekta sa Microsoft 365 at sa lokal na Active Directory

Sa Azure AD Connect wizard, kakailanganin mong ibigay ang Una, kakailanganin mo ang mga kredensyal ng isang administrator ng tenant ng Microsoft Entra (halimbawa, ang hybrid identity administrator account na ginawa kanina). Nagbibigay-daan ito sa tool na i-configure ang cloud component at irehistro ang server bilang isang synchronization source.

Pagkatapos, hihingin ang mga kredensyal mula sa isang account na may mga pahintulot sa lokal na AD. para lumikha ng synchronization link gamit ang on-premises forest. Kapag na-validate na, idadagdag ang local directory sa listahan ng mga data source para sa synchronization.

Sa susunod na hakbang, pipiliin mo kung aling katangian ang gagamitin bilang pangunahing username Para sa mga cloud account, ang karaniwang paraan ay ang paggamit ng userPrincipalName, ngunit sa ilang mga sitwasyon, maaari mong piliin ang email field kung ito ay pare-pareho at maayos na na-configure. Maaari mo ring ipahiwatig kung magpapatuloy ka nang hindi pa nave-verify ang lahat ng UPN domain sa Azure AD (kapaki-pakinabang kapag pribado ang AD domain).

Pagpili ng OU at pagsala ng bagay

Binibigyang-daan ka ng Azure AD Connect na tukuyin kung aling subset Ang iyong Active Directory forest ay naka-synchronize sa cloud. Maaari kang pumili ng buong domain, mga partikular na unit ng organisasyon, o kahit na mag-filter ayon sa mga attribute upang paliitin ang saklaw.

Sa pagsasagawa, kadalasan ay isang magandang ideya Magsimula sa pamamagitan ng pag-synchronize lamang ng mga OU kung saan nakatira ang mga user na kalahok sa pilot, o gumamit ng isang partikular na security group na ang mga miyembro ay rereplikado sa Azure AD. Binabawasan nito ang panganib ng pag-synchronize ng mga service account, mga lipas na bagay, o impormasyon na hindi dapat umalis sa on-premises na kapaligiran.

Mahalagang tandaan na ang mga kasunod na pagbabago Ang mga pagbabago sa istruktura ng OU (pagpapalit ng pangalan, paglipat ng mga container, atbp.) ay maaaring makaapekto sa pag-filter. Ang isang karaniwang estratehiya ay ang pag-synchronize ng buong domain ngunit paghigpitan ang pag-filter batay sa pagiging miyembro ng grupo, na iniiwasan ang labis na pag-asa sa istruktura ng organisasyon.

Mga karagdagang opsyon sa pag-configure

Ang mga huling screen ng assistant ay nag-aalok Kabilang sa mga karagdagang tampok ang password writeback, device rewriting, hybrid Exchange integration, at proteksyon laban sa malawakang pagtanggal.

Pagsulat ng ipinagpaliban na password Pinapayagan nito ang mga user na baguhin o i-reset ang kanilang password mula sa cloud (halimbawa, mula sa self-service portal) at ang pagbabagong iyon ay mailapat din sa on-premises Active Directory, na nirerespeto ang patakaran sa password ng organisasyon. Para sa maraming kumpanya, ito ay isang mahalagang bentahe para sa suporta.

Muling pagsusulat ng aparato Pinapayagan nito ang mga device na nakarehistro sa Microsoft Entra ID na maibalik sa lokal na Active Directory, na nagpapadali sa mga sitwasyon ng conditional access kung saan kailangan mong subaybayan ang mga device sa magkabilang panig.

Ang tampok upang maiwasan ang mga hindi sinasadyang pagbura Ito ay naka-enable bilang default at nililimitahan ang bilang ng mga bagay na maaaring tanggalin sa isang pag-synchronize (halimbawa, sa 500). Kung lumampas sa limitasyong ito, ang synchronization ay haharangin upang maiwasan ang mga aksidenteng malawakang pagbura, na mahalaga sa malalaking kapaligiran.

Panghuli, mga awtomatikong pag-update Ito ay naka-enable bilang default sa mga instalasyon na may mabilisang pag-setup at pinapanatiling updated ang Azure AD Connect sa mga pinakabagong bersyon, inaayos ang mga bug at nagdaragdag ng mga compatibility nang hindi mo kinakailangang manu-manong i-update ang bawat server.

Pagpapatunay ng pag-synchronize at pang-araw-araw na operasyon

Pagkatapos makumpleto ang pag-install at ang wizardMaaaring agad na simulan ng Azure AD Connect ang isang buong synchronization kung tinukoy mo ito. Nag-aalok ang wizard mismo ng opsyon na magpatakbo ng isang paunang cycle sa sandaling matapos ito, na inirerekomenda upang mapatunayan na gumagana nang tama ang lahat.

Sa server kung saan mo in-install ang Azure AD Connect Maaari mong buksan ang console na "Synchronization Service" mula sa Start menu. Doon mo makikita ang kasaysayan ng pagpapatupad, kabilang ang paunang pag-synchronize, anumang mga error, at mga detalye ng pag-import, pag-synchronize, at pag-export ng object.

Sa portal ng Microsoft 365 o sa portal ng Microsoft Login Maaari mong suriin ang listahan ng mga user upang mapatunayan na lumalabas sila bilang "Naka-sync sa Active Directory" sa halip na "Cloud Only". Mula sa puntong iyon, ang mga pangunahing attribute (unang pangalan, apelyido, email address, atbp.) ay pinamamahalaan mula sa lokal na Active Directory.

Nagpapatakbo ang Azure AD Connect ng isang default na cycle Nagaganap ang synchronization kada 30 minuto, bagama't maaari mong pilitin ang manu-manong synchronization gamit ang PowerShell kung kailangan mong maipakita agad ang isang pagbabago. Mainam na kasanayan na idokumento ang pag-uugaling ito upang malaman ng support team kung ano ang aasahan.

Mga advanced na senaryo: maraming kagubatan at karagdagang mga server

Sa mas kumplikadong mga organisasyon Maaari kang makatagpo ng maraming Active Directory forest, bawat isa ay may kanya-kanyang domain at mga user. Maaari ring magkaroon ng mga resource forest kung saan matatagpuan ang mga naka-link na mailbox o iba pang mga serbisyo.

Handa na ang Azure AD Connect para sa mga topolohiyang itoNagbibigay-daan ito sa iyong magdagdag ng maraming forest bilang mga synchronization source at maglapat ng declarative provisioning model. Nangangahulugan ito na ang mga panuntunan para sa pagsasama-sama, pagbabago, at pagdaloy ng mga attribute ay tinukoy sa pamamagitan ng declarative at maaaring isaayos upang umangkop sa iyong identity design.

Para sa mas advanced na mga laboratoryo Maaaring lumikha ng pangalawang forest (hal., fabrikam.com) gamit ang sarili nitong domain controller (CP1) sa pamamagitan ng pag-uulit ng mga hakbang ng paglikha ng VM, pag-install ng system, pag-configure ng IP at DNS, pag-promote sa DC, at paglikha ng mga test user. Nagbibigay-daan ito sa pagsubok ng mga multi-forest scenario at pag-synchronize ng cloud sa iba't ibang domain.

Sa mga kapaligiran ng produksyon, inirerekomenda na magkaroon ng Ang isang Azure AD Connect server ay nakalagay sa standby o nasa staging mode. Ang staging server ay nagpapanatili ng kopya ng configuration at nagsasagawa ng internal import at synchronization, ngunit hindi nag-e-export ng mga pagbabago sa Azure AD. Kung sakaling magkaroon ng pagkabigo sa pangunahing server, maaari kang lumipat sa staging server nang may kaunting epekto.

Microsoft Entra Connect Health: pagsubaybay at mga alerto

Para mapanatiling kontrolado ang imprastraktura ng hybrid identityNag-aalok ang Microsoft ng Microsoft Entra Connect Health, isang premium na solusyon na sumusubaybay sa mga pangunahing bahagi tulad ng Azure AD Connect (synchronization), AD FS, at AD DS, na nagbibigay ng mga alerto, sukatan ng pagganap, at pagsusuri ng paggamit.

Ang operasyon ay batay sa mga ahente. Ang mga ahente na ito ay naka-install sa mga identity server: mga AD FS server, domain controller, at Azure AD Connect server. Nagpapadala ang mga ito ng impormasyon tungkol sa kalusugan at pagganap sa cloud service, kung saan maaari mo itong tingnan sa nakalaang Connect Health portal.

Para magsimula, kailangan mo ng mga lisensya. Mula sa Microsoft, ilagay ang ID na P1 o P2 (o isang test). Pagkatapos, i-download ang mga Connect Health agent mula sa portal at i-install ang mga ito sa bawat kaugnay na server. Kapag nakarehistro na, awtomatikong matutukoy ng serbisyo kung aling mga role ang mino-monitor.

Sa portal ng Connect Health, makakakita ka ng iba't ibang panelIsa para sa mga serbisyo ng pag-synchronize (Azure AD Connect), isa pa para sa mga serbisyo ng federation (AD FS), at isa pa para sa mga AD DS forest. Sa bawat isa, maaari mong tingnan ang mga aktibong alerto, katayuan ng replikasyon, mga potensyal na isyu sa sertipiko, mga error sa pagpapatotoo, at mga trend sa paggamit.

Bukod sa mga teknikal na aspeto, kasama sa Connect Health ang mga opsyon Para i-configure ang role-based access (IAM) at, opsyonal, pahintulutan ang Microsoft na i-access ang diagnostic data para sa mga layunin ng suporta lamang. Ang opsyong ito ay hindi pinagana bilang default, ngunit maaari itong maging kapaki-pakinabang kung kailangan mo ng advanced na suporta ng Microsoft upang malutas ang mga kumplikadong isyu.

Kapag na-set up na ang buong ecosystem na ito—lokal na AD, Microsoft Entra ID, Azure AD Connect, at Connect Health— Mayroon kang kumpletong hybrid identity platform, na may kakayahang maghatid ng single sign-on, centralized account at password governance, mataas na availability, at visibility sa estado ng imprastraktura; isang kombinasyon na nagpapadali sa buhay para sa end user at nagbibigay sa iyo ng kontrol na kailangan mo upang gumana nang ligtas at flexible.