Hướng dẫn đầy đủ về Azure AD Connect và Microsoft Entra Connect

Azure AD Connect (nay là Microsoft Enter Connect) Đây là chìa khóa để kết nối Active Directory tại chỗ của bạn với đám mây Microsoft: Azure AD và Microsoft 365. Nhờ công cụ này, người dùng của bạn có thể đăng nhập bằng cùng một tên người dùng và mật khẩu cả ở hệ thống tại chỗ và trên các dịch vụ đám mây, tránh tạo tài khoản trùng lặp và giảm bớt rắc rối cho bộ phận CNTT.

Xuyên suốt hướng dẫn này Bạn sẽ được xem chi tiết toàn bộ quy trình: chuẩn bị môi trường tại chỗ, tạo miền và rừng Active Directory, cấu hình Microsoft Entra ID, cài đặt và cấu hình Azure AD Connect, các phương thức xác thực, lọc đối tượng và các tính năng nâng cao như đồng bộ hóa băm mật khẩu, ghi ngược lại hoặc sử dụng Microsoft Entra Connect Health để giám sát cơ sở hạ tầng.

Azure AD Connect là gì và nó được sử dụng để làm gì?

Azure AD Connect là tiện ích chính thức của Microsoft. Nó hoạt động như một "cầu nối" giữa Active Directory tại chỗ của bạn và Azure Active Directory, đồng thời tích hợp Microsoft 365. Nó cho phép đồng bộ hóa các danh tính bạn đã có trong miền tại chỗ của mình với đám mây, để người dùng sử dụng cùng một thông tin đăng nhập ở cả hai môi trường và, nếu muốn, được hưởng tính năng đăng nhập một lần (SSO).

Ứng dụng khách Azure AD Connect được cài đặt trên máy chủ thành viên. Máy chủ này thuộc về miền, và mặc dù về mặt kỹ thuật có thể được cài đặt trên bộ điều khiển miền, Microsoft khuyến nghị nên tránh điều này vì lý do bảo mật và cách ly dịch vụ. Máy chủ này sẽ chịu trách nhiệm đồng bộ hóa người dùng, nhóm và các đối tượng khác từ Active Directory của bạn với Azure AD theo định kỳ.

Sau khi cấu hình xong, Azure AD Connect Nó có thể sử dụng nhiều mô hình xác thực khác nhau: Đồng bộ hóa băm mật khẩu (PHS), Xác thực chuyển tiếp (PTA), liên kết với AD FS hoặc liên kết với các nhà cung cấp như PingFederate. Nó cũng cung cấp các tùy chọn như SSO, lọc theo OU hoặc nhóm, bảo vệ chống xóa hàng loạt và cập nhật sản phẩm tự động.

Trong trường hợp bạn đã và đang làm việc với Microsoft 365 Và nếu bạn có người dùng "chỉ dùng trên đám mây", Azure AD Connect cho phép bạn hợp nhất danh tính: nếu UPN và email của người dùng cục bộ khớp với người dùng trên đám mây, sau khi đồng bộ hóa, người dùng đó sẽ không còn là "chỉ dùng trên đám mây" nữa mà sẽ trở thành người dùng được đồng bộ hóa từ AD, tập trung quản trị thuộc tính trong thư mục cục bộ của bạn.

Chuẩn bị môi trường Active Directory cục bộ

Trước khi bạn nghĩ đến việc đồng bộ hóa bất cứ thứ gì với AzureBạn cần một môi trường Active Directory hoạt động tốt. Nếu bạn đã có một miền doanh nghiệp đang hoạt động, bạn có thể sử dụng nó; nếu không, bạn có thể thiết lập một môi trường thử nghiệm từ đầu để kiểm tra tất cả các kịch bản nhận dạng lai mà không ảnh hưởng đến môi trường đang hoạt động của bạn.

Ý tưởng đằng sau phòng thí nghiệm này là tạo ra một máy chủ. Máy chủ này sẽ đóng vai trò là bộ điều khiển miền (DC) và lưu trữ AD DS, DNS và các công cụ quản lý. Tất cả những điều này có thể được thiết lập trên một máy ảo Hyper-V chạy Windows Server, sử dụng các tập lệnh PowerShell để tự động hóa phần lớn công việc.

Tạo máy ảo cho bộ điều khiển miền

Bước đầu tiên là tạo một máy ảo. Máy ảo này sẽ hoạt động như một máy chủ Active Directory tại chỗ. Để thực hiện điều này, bạn có thể mở PowerShell ISE với quyền quản trị viên trên máy chủ Hyper-V và chạy một tập lệnh xác định tên máy ảo, bộ chuyển mạch mạng, đường dẫn VHDX, kích thước ổ đĩa và phương tiện cài đặt (Windows Server ISO).

Tập lệnh này tạo ra một máy ảo thế hệ 2.Với bộ nhớ cố định, một ổ đĩa ảo mới được tạo và một ổ đĩa DVD ảo trỏ đến file ISO của hệ điều hành được gắn vào. Sau đó, phần mềm điều khiển của máy được cấu hình để khởi động từ DVD ban đầu, cho phép bạn thực hiện cài đặt hệ thống một cách tương tác.

Sau khi máy ảo được tạoTừ Hyper-V Manager, bạn cần khởi chạy máy chủ, kết nối với bảng điều khiển của nó và thực hiện cài đặt Windows Server tiêu chuẩn: chọn ngôn ngữ, nhập khóa sản phẩm, chấp nhận các điều khoản cấp phép, chọn cài đặt tùy chỉnh và sử dụng đĩa mới được tạo. Sau khi cài đặt hoàn tất, khởi động lại, đăng nhập và áp dụng tất cả các bản cập nhật có sẵn.

Cấu hình ban đầu của Windows Server

Với hệ điều hành đã được cài đặt sẵn.Máy chủ cần được chuẩn bị để nhận vai trò Dịch vụ Miền Active Directory. Điều này bao gồm việc gán cho nó một tên nhất quán (ví dụ: DC1), cấu hình địa chỉ IP tĩnh, xác định cài đặt DNS và thêm các công cụ quản trị cần thiết bằng các tính năng của Windows.

Sử dụng một tập lệnh PowerShell khác Bạn có thể tự động hóa các tác vụ này: thiết lập địa chỉ IP, mặt nạ mạng, cổng mặc định và máy chủ DNS (thường là chính máy chủ và, như một máy chủ dự phòng, một máy chủ DNS công cộng như 8.8.8.8), đổi tên máy tính và cài đặt Active Directory RSAT, ghi lại mọi thứ vào tệp nhật ký để kiểm toán.

Sau khi áp dụng những thay đổi này Máy chủ sẽ khởi động lại và sẵn sàng được nâng cấp thành bộ điều khiển miền trong một forest mới, nhờ đó bạn sẽ có môi trường AD tại chỗ hoạt động để thử nghiệm hoặc tích hợp thực tế với đám mây.

Tạo rừng và miền Active Directory

Bước tiếp theo là cài đặt AD DS, DNS và Bảng điều khiển quản lý chính sách nhóm (GPMC), sau đó tạo một rừng Active Directory mới. Một lần nữa, PowerShell cho phép bạn đẩy nhanh quá trình bằng cách cài đặt các tính năng cần thiết và chạy lệnh ghép Install-ADDSForest với tất cả các tham số cần thiết.

Trong phần định nghĩa rừng, bạn chỉ định tên miền. (ví dụ: contoso.com), tên NetBIOS, đường dẫn đến cơ sở dữ liệu Active Directory (NTDS), nhật ký và SYSVOL, cũng như cấp độ chức năng của miền và rừng. Mật khẩu Chế độ Khôi phục Dịch vụ Thư mục (DSRM), rất cần thiết cho các tác vụ khôi phục, cũng được xác định.

Khi máy chủ khởi động lại sau khi quá trình khuyến mãi hoàn tất.Bạn đã có sẵn môi trường Windows Server AD với miền đang hoạt động, DNS tích hợp và tất cả các công cụ cần thiết để quản lý người dùng, nhóm, đơn vị tổ chức (OU) và chính sách nhóm.

Tạo người dùng thử nghiệm trong Active Directory

Khi khu rừng đã được thiết lập và vận hành, việc có sẵn các tài khoản thử nghiệm là rất hữu ích. Để xác minh việc đồng bộ hóa với Azure AD, bạn có thể sử dụng một tập lệnh PowerShell để tạo, ví dụ, người dùng “Allie McCray” với tên đăng nhập (samAccountName), mật khẩu ban đầu, tên hiển thị và tùy chọn ngăn mật khẩu hết hạn.

Tập lệnh cũng có thể gắn cờ người dùng. Tính năng này được kích hoạt để ngăn người dùng phải thay đổi mật khẩu khi đăng nhập lần sau, bằng cách đặt họ vào đường dẫn vùng chứa phù hợp (ví dụ: CN=Users,DC=contoso,DC=com). Sau đó, những người dùng này sẽ được đồng bộ hóa với ID Microsoft Entra của họ thông qua Azure AD Connect.

Chuẩn bị miền cục bộ để đồng bộ hóa

Trước khi triển khai Azure AD Connect, bạn nên xem xét lại cấu hình Active Directory của mình. Để đảm bảo đáp ứng các yêu cầu của Microsoft: tên miền được cấu hình đúng cách, hậu tố UPN chính xác, thuộc tính email nhất quán và không có dữ liệu xung đột. Để thực hiện nhiệm vụ này, Microsoft cung cấp công cụ IdFix, giúp phát hiện các đối tượng có vấn đề.

Trong nhiều môi trường, có một miền cục bộ. có thể là loại mydomain.local và, mặt khác, một tên miền email công cộng, ví dụ như mydomain.com được sử dụng trong Microsoft 365. Để quá trình đồng bộ hóa diễn ra suôn sẻ, bạn nên thêm hậu tố UPN tương ứng với tên miền email công cộng vào Active Directory cục bộ.

Trích từ “Các miền và mối quan hệ tin cậy trong Active Directory” Bạn có thể mở thuộc tính và thêm hậu tố UPN mới (ví dụ: mydomain.com). Sau đó, trong thuộc tính tài khoản người dùng, trên tab "Tài khoản", hãy thay đổi UPN của người dùng từ user@mydomain.local thành user@mydomain.com, sao cho khớp với địa chỉ email trong Microsoft 365.

Mặc dù việc thay đổi UPN rất được khuyến khích. Để tạo điều kiện thuận lợi cho các lần đăng nhập tiếp theo và SSO trong tương lai, thay đổi này không sửa đổi phương thức đăng nhập DOMAIN\user cổ điển (trước Windows 2000), vì vậy nó không ảnh hưởng đến các ứng dụng hoặc tập lệnh vẫn tiếp tục sử dụng định dạng đó.

Việc điền chính xác thuộc tính thư cũng rất quan trọng. của các tài khoản người dùng với địa chỉ email chính của họ. Nếu bạn đã tạo người dùng trực tiếp trên đám mây, việc kết hợp UPN và email trùng khớp giữa hệ thống tại chỗ và Microsoft 365 sẽ cho phép, sau khi đồng bộ hóa, các tài khoản đó được liên kết và người dùng trên đám mây trở thành một danh tính được đồng bộ hóa từ AD.

Thiết lập và cấu hình Microsoft Entra ID (Azure AD)

Để đồng bộ hóa thư mục cục bộ Bạn cần một tenant Microsoft Entra ID. Tenant này là thư mục đám mây nơi các bản sao của người dùng, nhóm và thiết bị từ môi trường tại chỗ của bạn sẽ được tạo ra.

Nếu bạn chưa có người thuê nhàBạn có thể tạo nó bằng cách truy cập vào trung tâm quản trị Microsoft. Đăng nhập bằng tài khoản có gói đăng ký. Từ phần Tổng quan, chọn tùy chọn quản lý người thuê và sau đó tạo một người thuê mới, cung cấp tên cho tổ chức và tên miền ban đầu (ví dụ: something.onmicrosoft.com).

Sau khi quá trình thiết lập hoàn tất, thư mục sẽ được tạo. Và bạn có thể quản lý nó từ cổng thông tin. Sau này, bạn sẽ có thể liên kết các tên miền tùy chỉnh (như contoso.com) và xác minh chúng để sử dụng làm tên miền chính trong UPN của người dùng được đồng bộ hóa từ Active Directory.

Tạo tài khoản quản trị viên danh tính lai

Trong môi trường Microsoft Entra, bạn nên tạo Một tài khoản chuyên dụng sẽ được sử dụng để quản lý thành phần lai. Tài khoản này sẽ được sử dụng, ví dụ, cho cấu hình ban đầu của Azure AD Connect và các tác vụ liên quan đến định danh.

Từ phần Người dùng Bạn tạo người dùng mới, gán cho họ tên và tên đăng nhập (UPN), và thay đổi vai trò của họ thành "Quản trị viên danh tính lai". Trong quá trình tạo, bạn có thể xem và sao chép mật khẩu tạm thời được gán cho họ.

Sau khi tạo tài khoản, bạn nên đăng nhập. Hãy truy cập myapps.microsoft.com bằng tên người dùng đó và mật khẩu tạm thời, buộc hệ thống phải thay đổi mật khẩu thành mật khẩu vĩnh viễn. Đây sẽ là tài khoản quản trị mà bạn sẽ sử dụng trong một số bước thiết lập hệ thống lai.

Cài đặt Azure AD Connect (Microsoft Entra Connect)

Với môi trường cục bộ đã sẵn sàng và người thuê dịch vụ đám mây đã chuẩn bị xong.Giờ đây, bạn có thể cài đặt Azure AD Connect trên máy chủ thành viên miền cục bộ. Microsoft khuyến cáo không nên sử dụng bộ điều khiển miền để giảm thiểu rủi ro về bảo mật và tính khả dụng.

Đang tải xuống Azure AD Connect Bạn có thể tải xuống từ cổng Azure Active Directory, trong phần Azure AD Connect hoặc trực tiếp từ Trung tâm Tải xuống của Microsoft. Sau khi tải xuống trình cài đặt, hãy chạy nó trên máy chủ được chỉ định.

Các điều khoản cấp phép được chấp nhận trong quá trình cài đặt. Bạn có hai lựa chọn: thiết lập nhanh hoặc thiết lập tùy chỉnh. Tùy chọn nhanh mặc định cấu hình đồng bộ hóa Active Directory đầy đủ bằng phương pháp "đồng bộ hóa băm mật khẩu", trong khi tùy chọn tùy chỉnh cho phép kiểm soát nhiều hơn đối với các thuộc tính, miền, đơn vị tổ chức (OU), phương thức xác thực và các tính năng bổ sung.

Trong các hệ thống lắp đặt thông thường, nó thường thú vị hơn. Hãy chọn đường dẫn tùy chỉnh, đặc biệt nếu bạn cần giới hạn các đơn vị tổ chức được đồng bộ hóa, muốn đánh giá các phương thức đăng nhập khác nhau hoặc có cấu trúc liên kết đa rừng.

Cấu hình phương thức đăng nhập

Một trong những điểm quan trọng trong phần trợ lý Đây là phương thức xác thực mà người dùng của bạn sẽ sử dụng khi truy cập vào các tài nguyên đám mây. Azure AD Connect cung cấp một số tùy chọn tích hợp sẵn, mỗi tùy chọn đều có những ưu điểm và yêu cầu riêng.

1. Đồng bộ hóa băm mật khẩu (PHS)Phương pháp này đồng bộ hóa với Azure AD. băm mật khẩu bổ sung Thông tin được lưu trữ trong Active Directory tại chỗ của bạn. Người dùng đăng nhập trực tiếp vào đám mây bằng Azure AD, sử dụng cùng mật khẩu như trong môi trường tại chỗ, nhưng chỉ được quản lý trong AD. Đây là mô hình đơn giản nhất để triển khai và được sử dụng rộng rãi nhất.

2. Xác thực chuyển tiếp (PTA)Trong trường hợp này, mật khẩu không được lưu trữ trong Azure AD; khi người dùng cố gắng đăng nhập, quá trình xác thực được chuyển tiếp thông qua các tác nhân tại chỗ để xác minh thông tin đăng nhập so với AD cục bộ. Điều này cho phép bạn áp dụng các hạn chế truy cập cục bộ, lịch trình, v.v., trong khi vẫn duy trì quyền kiểm soát xác thực trong cơ sở hạ tầng của mình.

3. Liên kết với AD FSAzure AD ủy quyền xác thực cho một hệ thống liên kết dựa trên Active Directory Federation Services (ADFS). Nó yêu cầu triển khai các máy chủ AD FS và, thông thường, một máy chủ proxy ứng dụng web. Việc bảo trì phức tạp hơn, nhưng nó cung cấp khả năng kiểm soát tối đa và khả năng tương thích với các kịch bản nâng cao.

4. Liên kết với PingFederateTương tự như trường hợp trước, nhưng sử dụng PingFederate làm giải pháp liên kết thay vì AD FS, dành cho các tổ chức đã có sẵn cơ sở hạ tầng nhận dạng đó.

5. Không cấu hình phương thức đăng nhậpĐược thiết kế cho trường hợp bạn đã có giải pháp liên kết của bên thứ ba và không muốn Azure AD Connect tự động hóa bất cứ điều gì trong lĩnh vực này.

Ngoài ra, bạn cũng có thể bật tính năng đăng nhập một lần (SSO). Kết hợp với PHS hoặc PTA. Khi SSO được bật và thông qua chính sách nhóm (GPO), các máy tính tham gia miền có thể đăng nhập bằng UPN của người dùng, thường giống với địa chỉ email của họ, giúp họ không phải nhập lại thông tin đăng nhập nhiều lần khi truy cập các dịch vụ như cổng thông tin Microsoft 365.

Kết nối với Microsoft 365 và Active Directory cục bộ

Trong trình hướng dẫn Azure AD Connect, bạn sẽ cần cung cấp thông tin. Trước tiên, bạn cần có thông tin đăng nhập của quản trị viên Microsoft Entra (ví dụ: tài khoản quản trị viên danh tính lai đã tạo trước đó). Điều này cho phép công cụ cấu hình thành phần đám mây và đăng ký máy chủ làm nguồn đồng bộ hóa.

Tiếp theo, hệ thống yêu cầu thông tin đăng nhập từ một tài khoản có quyền trong Active Directory cục bộ. Để tạo liên kết đồng bộ hóa với hệ thống máy chủ cục bộ. Sau khi được xác thực, thư mục cục bộ sẽ được thêm vào danh sách các nguồn dữ liệu để đồng bộ hóa.

Ở bước tiếp theo, bạn sẽ chọn thuộc tính nào để sử dụng làm tên người dùng chính. Đối với tài khoản đám mây, cách tiếp cận thông thường là sử dụng userPrincipalName, nhưng trong một số trường hợp, bạn có thể chọn trường email nếu nó nhất quán và được cấu hình đúng cách. Bạn cũng có thể cho biết liệu bạn có tiếp tục mà chưa cần xác minh tất cả các miền UPN trong Azure AD hay không (hữu ích khi miền AD là miền riêng tư).

Lựa chọn đơn vị tổ chức (OU) và lọc đối tượng

Azure AD Connect cho phép bạn xác định tập hợp con nào. Rừng Active Directory của bạn được đồng bộ hóa với đám mây. Bạn có thể chọn toàn bộ miền, các đơn vị tổ chức cụ thể, hoặc thậm chí lọc theo thuộc tính để thu hẹp phạm vi.

Trên thực tế, đó thường là một ý tưởng hay. Hãy bắt đầu bằng cách chỉ đồng bộ hóa các OU nơi người dùng tham gia chương trình thí điểm cư trú, hoặc sử dụng một nhóm bảo mật cụ thể mà các thành viên của nhóm đó sẽ được sao chép vào Azure AD. Điều này giúp giảm nguy cơ đồng bộ hóa các tài khoản dịch vụ, các đối tượng lỗi thời hoặc thông tin không nên rời khỏi môi trường tại chỗ.

Điều đáng chú ý là những thay đổi tiếp theo Những thay đổi đối với cấu trúc OU (đổi tên, di chuyển vùng chứa, v.v.) có thể ảnh hưởng đến việc lọc. Một chiến lược phổ biến là đồng bộ hóa toàn bộ miền nhưng hạn chế việc lọc dựa trên tư cách thành viên nhóm, tránh phụ thuộc quá mức vào cấu trúc tổ chức.

Tùy chọn cấu hình bổ sung

Màn hình cuối cùng của trợ lý ảo cung cấp Các tính năng bổ sung bao gồm khôi phục mật khẩu, ghi đè thiết bị, tích hợp Exchange lai và bảo vệ chống lại việc xóa hàng loạt.

Ghi mật khẩu trì hoãn Nó cho phép người dùng thay đổi hoặc đặt lại mật khẩu của họ từ đám mây (ví dụ: từ cổng tự phục vụ) và sự thay đổi đó cũng được áp dụng trong Active Directory tại chỗ, tuân thủ chính sách mật khẩu của tổ chức. Đối với nhiều công ty, đây là một lợi thế đáng kể cho việc hỗ trợ.

Ghi lại thiết bị Nó cho phép các thiết bị đã đăng ký trong Microsoft Entra ID được đưa trở lại Active Directory cục bộ, tạo điều kiện thuận lợi cho các kịch bản truy cập có điều kiện, nơi bạn cần theo dõi các thiết bị ở cả hai phía.

Tính năng ngăn ngừa việc xóa nhầm Chức năng này được bật theo mặc định và giới hạn số lượng đối tượng có thể bị xóa trong một lần đồng bộ hóa (ví dụ: tối đa 500). Nếu vượt quá ngưỡng này, quá trình đồng bộ hóa sẽ bị chặn để ngăn chặn việc xóa hàng loạt ngoài ý muốn, điều này rất quan trọng trong các môi trường lớn.

Cuối cùng, cập nhật tự động Tính năng này được bật mặc định trong các cài đặt có thiết lập nhanh và giúp Azure AD Connect luôn được cập nhật lên phiên bản mới nhất, sửa lỗi và bổ sung khả năng tương thích mà không cần bạn phải cập nhật thủ công từng máy chủ.

Kiểm tra đồng bộ hóa và hoạt động hàng ngày

Sau khi hoàn tất quá trình cài đặt và trình hướng dẫn.Azure AD Connect có thể ngay lập tức bắt đầu đồng bộ hóa toàn bộ nếu bạn đã chỉ định điều đó. Trình hướng dẫn cũng cung cấp tùy chọn chạy một chu kỳ ban đầu ngay sau khi hoàn tất, điều này được khuyến nghị để xác nhận rằng mọi thứ đang hoạt động chính xác.

Trên máy chủ nơi bạn đã cài đặt Azure AD Connect Bạn có thể mở bảng điều khiển "Dịch vụ đồng bộ hóa" từ menu Bắt đầu. Tại đó, bạn sẽ thấy lịch sử thực thi, bao gồm quá trình đồng bộ hóa ban đầu, bất kỳ lỗi nào và chi tiết về việc nhập, đồng bộ hóa và xuất đối tượng.

Trên cổng thông tin Microsoft 365 hoặc cổng đăng nhập Microsoft. Bạn có thể kiểm tra danh sách người dùng để xác minh rằng họ hiển thị là “Đã đồng bộ với Active Directory” thay vì “Chỉ trên đám mây”. Từ đó trở đi, các thuộc tính chính (tên, họ, địa chỉ email, v.v.) được quản lý từ Active Directory cục bộ.

Azure AD Connect chạy một chu kỳ mặc định. Quá trình đồng bộ hóa diễn ra mỗi 30 phút, mặc dù bạn luôn có thể buộc đồng bộ hóa thủ công bằng PowerShell nếu cần thay đổi được phản ánh ngay lập tức. Việc ghi lại hành vi này là một việc làm tốt để nhóm hỗ trợ biết điều gì sẽ xảy ra.

Các trường hợp nâng cao: nhiều rừng miền và máy chủ bổ sung

Trong các tổ chức phức tạp hơn Bạn có thể gặp nhiều rừng Active Directory, mỗi rừng có miền và người dùng riêng. Cũng có thể có các rừng tài nguyên nơi chứa các hộp thư được liên kết hoặc các dịch vụ khác.

Azure AD Connect đã sẵn sàng cho các cấu trúc liên kết này.Điều này cho phép bạn thêm nhiều forest làm nguồn đồng bộ hóa và áp dụng mô hình cấp phép khai báo. Điều này có nghĩa là các quy tắc để kết hợp, chuyển đổi và truyền tải thuộc tính được định nghĩa một cách khai báo và có thể được điều chỉnh để phù hợp với thiết kế định danh của bạn.

Dành cho các phòng thí nghiệm tiên tiến hơn Một miền thứ hai (ví dụ: fabrikam.com) có thể được tạo ra với bộ điều khiển miền riêng (CP1) bằng cách lặp lại các bước tạo máy ảo, cài đặt hệ thống, cấu hình IP và DNS, nâng cấp lên bộ điều khiển miền và tạo người dùng thử nghiệm. Điều này cho phép thử nghiệm các kịch bản đa miền và đồng bộ hóa đám mây với các miền khác nhau.

Trong môi trường sản xuất, nên có Máy chủ Azure AD Connect được đặt ở chế độ dự phòng hoặc chế độ dàn dựng. Máy chủ dàn dựng duy trì một bản sao cấu hình và thực hiện nhập và đồng bộ hóa nội bộ, nhưng không xuất các thay đổi sang Azure AD. Trong trường hợp máy chủ chính gặp sự cố, bạn có thể chuyển sang máy chủ dàn dựng với tác động tối thiểu.

Microsoft Entra Connect Health: giám sát và cảnh báo

Để kiểm soát cơ sở hạ tầng nhận dạng lai.Microsoft cung cấp Microsoft Entra Connect Health, một giải pháp cao cấp giám sát các thành phần quan trọng như Azure AD Connect (đồng bộ hóa), AD FS và AD DS, cung cấp cảnh báo, số liệu hiệu suất và phân tích sử dụng.

Hoạt động này dựa trên các đặc vụ. Các tác nhân này được cài đặt trên các máy chủ định danh: máy chủ AD FS, bộ điều khiển miền và máy chủ Azure AD Connect. Chúng gửi thông tin về trạng thái và hiệu suất đến dịch vụ đám mây, nơi bạn có thể xem thông tin đó trong cổng Connect Health chuyên dụng.

Trước tiên, bạn cần phải có giấy phép. Từ Microsoft, nhập ID P1 hoặc P2 (hoặc ID thử nghiệm). Sau đó, tải xuống các tác nhân Connect Health từ cổng thông tin và cài đặt chúng trên mỗi máy chủ có liên quan. Sau khi đăng ký, dịch vụ sẽ tự động phát hiện các vai trò nào đang được giám sát.

Trên cổng thông tin Connect Health, bạn sẽ tìm thấy nhiều bảng điều khiển khác nhau.Có ba mục: một dành cho dịch vụ đồng bộ hóa (Azure AD Connect), một dành cho dịch vụ liên kết (AD FS), và một dành cho các rừng AD DS. Trong mỗi mục, bạn có thể xem các cảnh báo đang hoạt động, trạng thái sao chép, các vấn đề tiềm ẩn về chứng chỉ, lỗi xác thực và xu hướng sử dụng.

Ngoài các khía cạnh kỹ thuật, Connect Health còn bao gồm các tùy chọn khác. Để cấu hình quyền truy cập dựa trên vai trò (IAM) và, tùy chọn, cho phép Microsoft truy cập dữ liệu chẩn đoán chỉ nhằm mục đích hỗ trợ. Tùy chọn này bị tắt theo mặc định, nhưng nó có thể hữu ích nếu bạn cần hỗ trợ nâng cao từ Microsoft để giải quyết các vấn đề phức tạp.

Với toàn bộ hệ sinh thái được thiết lập như vậy — Active Directory cục bộ, Microsoft Entra ID, Azure AD Connect và Connect Health — Bạn sở hữu một nền tảng định danh lai hoàn chỉnh, có khả năng cung cấp đăng nhập một lần, quản trị tài khoản và mật khẩu tập trung, tính khả dụng cao và khả năng hiển thị trạng thái của cơ sở hạ tầng; sự kết hợp này giúp đơn giản hóa cuộc sống cho người dùng cuối và mang lại cho bạn quyền kiểm soát cần thiết để vận hành một cách an toàn và linh hoạt.