التثبيت المخصص لـ Azure AD Connect

استخدم الإعدادات المخصصة في Azure AD (Azure AD) عندما تريد المزيد من الخيارات للتثبيت. استخدم هذه الإعدادات، على سبيل المثال، إذا كان لديك العديد من الغابات أو إذا كنت ترغب في تكوين ميزات اختيارية. استخدم الإعدادات المخصصة في جميع الحالات التي لا يلبي فيها التثبيت السريع احتياجاتك من النشر أو التخطيط.

المتطلبات الأساسية:

إعدادات التثبيت المخصصة

لإنشاء تثبيت مخصص لـ Azure AD Connect انتقل من خلال صفحات المعالج التي تصفها المقاطع التالية.

إعدادات Express

في الصفحة إعدادات Express اختر الصفحةخصص لبدء تثبيت الإعدادات المخصصة. يرشدك باقي هذه المقالة خلال عملية التثبيت المخصصة. استخدم الروابط التالية للانتقال بسرعة إلى المعلومات لصفحة معينة:

تثبيت المكونات المطلوبة

عند تثبيت خدمات المزامنة، يمكنك ترك مقطع التكوين الاختياري غير محدد. يقوم Azure AD Connect بإعداد كل شيء تلقائيًا. يقوم بإعداد SQL Server 2019 Express و LocalD instance وإنشاء المجموعات المناسبة، وتعيين الأذونات. إذا أردت تغيير الإعدادات الافتراضية، فحدد المربعات المناسبة. يلخص الجدول التالي هذه الخيارات ويوفر روابط إلى معلومات إضافية.

لقطة شاشة تعرض التحديدات الاختيارية لمكونات التثبيت المطلوبة في Azure AD Connect.

التكوين الاختياري الوصف
تحديد موقع تثبيت مخصص يسمح لك بتغيير مسار التثبيت الافتراضي لـ Azure AD Connect.
استخدام SQL Server موجودة يسمح لك بتحديد اسم SQL Server ونموذج للاسم. اختر هذا الخيار إذا كان لديك بالفعل خادم قاعدة بيانات تريد استخدامه. على سبيل المثال نموذج الاسم، أدخل نموذج الاسم ثم فاصلة ورقم المنفذ إذا لم يكن لديك مثيل SQL Server تمكين الاستعراض. ثم حدد اسم قاعدة بيانات Azure AD Connect. تحدد امتيازات SQL ما إذا كان يمكن إنشاء قاعدة بيانات جديدة أو يجب على مسؤول SQL إنشاء قاعدة البيانات مسبقًا. إذا كانت لديك أذونات مسؤول SQL Server (SA)، فراجع تثبيت Azure AD Connect باستخدام قاعدة بيانات موجودة. إذا كان لديك أذونات مفوضة، انظرثبت Azure AD Connect باستخدام أذونات مسؤول SQL المفوض.
استخدام حساب خدمة موجود بشكل افتراضي يوفر Azure AD Connect حساب خدمة افتراضيًا لخدمات المزامنة. إذا كنت تستخدم نموذج بعيد لـ SQL Server أو تستخدم وكيلاً يتطلب مصادقة، فيمكنك استخدام حساب خدمة مفعل أو حساب خدمة مزود بكلمة مرور في المجال. في هذه الحالات، أدخل الحساب الذي تريد استخدامه. لتشغيل عملية التثبيت، فإنك تحتاج SA في SQL حتى تتمكن من إنشاء بيانات اعتماد تسجيل الدخول لحساب الخدمة. لمزيدٍ من المعلومات، راجع حسابات Azure AD Connect والأذونات.

باستخدام أحدث بنية، يمكن الآن لمسؤول SQL توفير قاعدة البيانات خارج النطاق. ثم يمكن لمسؤول Azure AD Connect تثبيته بحقوق مالك قاعدة البيانات. لمزيدٍ من المعلومات، راجع تثبيت Azure AD Connect باستخدام أذونات مسؤول مفوض من قِبل SQL.
تحديد مجموعات المزامنة المخصصة بشكل افتراضي، عند تثبيت خدمات المزامنة، ينشئ Azure AD Connect أربع مجموعات محلية إلى الخادم. هذه الخانات هي خانات المسؤولين والمشغلين والتصفح وإعادة تعيين كلمة المرور. يمكنك تحديد المجموعات الخاصة بك هنا. يجب أن تكون المجموعات محلية على الخادم. لا يمكن أن يكونوا موجودين في المجال.
استيراد إعدادات المزامنة (معاينة) يسمح لك باستيراد الإعدادات من الإصدارات الأخرى لـ Azure AD Connect . لمزيدٍ من المعلومات، انظر استيراد وتصدير إعدادات تكوين Azure AD Connect.

تسجيل دخول المستخدم

بعد تثبيت المكونات المطلوبة، حدد أسلوب تسجيل الدخول الأحادي للمستخدمين. يوضح الجدول التالي الخيارات المتاحة باختصار. للحصول على وصف كامل لأساليب تسجيل الدخول، انظر تسجيل دخول المستخدم.

لقطة شاشة تظهر الصفحة «تسجيل الدخول إلى المستخدم». يتم تحديد الخيار «مزامنة تجزئة كلمة المرور».

خيار تسجيل الدخول الأحادي الوصف
مزامنة تجزئة كلمة المرور يمكن للمستخدمين تسجيل الدخول إلى خدمات Microsoft Cloud ، مثل Microsoft 365، باستخدام نفس كلمة المرور التي يستخدمونها في شبكتهم المحلية. تتم مزامنة كلمات مرور المستخدم إلى Azure AD ككلمة مرور مجزئة. تحدث المصادقة في السحابة. لمزيدٍ من المعلومات، انظر مزامنة تجزئة كلمة المرور.
المصادقة التمريرية يمكن للمستخدمين تسجيل الدخول إلى خدمات Microsoft Cloud ، مثل Microsoft 365، باستخدام نفس كلمة المرور التي يستخدمونها في شبكتهم المحلية. يتم التحقق من صحة كلمات مرور المستخدم عن طريق تمريرها إلى وحدة Active Directory domain controller.
الاتحاد مع AD FS يمكن للمستخدمين تسجيل الدخول إلى خدمات Microsoft Cloud ، مثل Microsoft 365، باستخدام نفس كلمة المرور التي يستخدمونها في شبكتهم المحلية. تتم إعادة توجيه المستخدمين إلى نموذج خدمات Azure (AD FS) Directory Federation لتسجيل الدخول. تحدث المصادقة في الموقع.
الاتحاد مع PingFederate يمكن للمستخدمين تسجيل الدخول إلى خدمات Microsoft Cloud ، مثل Microsoft 365، باستخدام نفس كلمة المرور التي يستخدمونها في شبكتهم المحلية. تتم إعادة توجيه المستخدمين إلى نموذج PingFederate المحلي لتسجيل الدخول. تحدث المصادقة في الموقع.
لا تكون لم يتم تثبيت أو تكوين ميزة تسجيل دخول المستخدم. اختر هذا الخيار إذا كان لديك بالفعل خادم اتحاد تابع لجهة خارجية أو حل آخر يحل محله.
تمكين تسجيل الدخول الأحادي يتوفر هذا الخيار مع مزامنة تجزئة كلمة المرور والمصادقة التمريرية. ويوفر تجربة تسجيل دخول أحادي لمستخدمي سطح المكتب على شبكات الشركات. لمزيدٍ من المعلومات، انظرتسجيل الدخول الأحادي.

ملاحظة: بالنسبة لعملاء AD FS، هذا الخيار غير متاح. تقدم AD FS بالفعل نفس المستوى من تسجيل الدخول الأحادي.

الاتصال بـ Azure AD

على صفحة الاتصال إلى Azure AD، أدخل حساب مسؤول وكلمة مرور عموميين. إذا حددت الاتحاد مع AD FS في الصفحة السابقة، فلا تقم بتسجيل الدخول باستخدام حساب موجود في مجال تخطط لتمكينه للاتحاد.

قد ترغب في استخدام حساب في المجال الافتراضي onmicrosoft.com، والذي يأتي مع مستأجر Azure AD. يتم استخدام هذا الحساب فقط لإنشاء حساب خدمة في Azure AD. لا يتم استخدامه بعد انتهاء التثبيت.

ملاحظة

من أفضل الممارسات تجنب استخدام الحسابات المتزامنة المحلية لتعيينات أدوار Azure AD. إذا تعرض حسابك المحلي للخطر، يمكن أن تتعرض موارد Azure AD للخطر أيضًا. للحصول على قائمة كاملة بأفضل الممارسات، راجع أفضل الممارسات لأدوار Azure AD

لقطة شاشة تظهر صفحة

إذا كان حساب المسؤول العمومي الخاص بك لديه مصادقة متعددة العوامل، فيمكنك توفير كلمة المرور مرة أخرى في إطار تسجيل الدخول، ويجب عليك إكمال تحدي المصادقة متعددة العوامل. يمكن أن يكون التحدي عبارة عن رمز تحقق أو مكالمة هاتفية.

لقطة شاشة تظهر الصفحة «الاتصال بـ Azure AD». يطالب حقل المصادقة متعددة العوامل المستخدمة بتعليمة برمجية.

يمكن أيضًا تمكين إدارة الهوية المميزة لحساب المسؤول العمومي.

لاستخدام دعم المصادقة لسيناريوهات غير كلمة المرور، مثل الحسابات المتحدة والبطاقات الذكية وسيناريوهات المصادقة متعددة العوامل، يمكنك توفير رمز التبديل /InteractiveAuth عند بدء تشغيل المعالج. سيؤدي استخدام رمز التبديل هذا إلى تجاوز واجهة مستخدم مصادقة المعالج واستخدام واجهة مستخدم مكتبة MSAL للتعامل مع المصادقة.

إذا كنت ترى أي خطأ أو تواجهك مشاكل مع الاتصال، فراجع حلول مشاكل التوصيل.

مزامنة الصفحات

تصف المقاطع التالية الصفحات في المقطع المزامنة.

الاتصال بالدلائل الخاصة بك

للاتصال بخدمات مجال Active Directory (Azure AD DS)، يحتاج Azure AD Connect إلى اسم المجموعة وبيانات اعتماد حساب لديه أذونات كافية.

لقطة شاشة تعرض صفحة

بعد إدخال اسم الغابة وتحديد إضافة دليل، تظهر نافذة. يصف الجدول التالي خياراتك.

خيار الوصف
إنشاء حساب جديد إنشاء حساب Azure AD DS الذي يحتاجه Azure AD Connect للاتصال بمجموعة "Active Directory" في أثناء مزامنة الدليل. بعد تحديد هذا الخيار، أدخل اسم المستخدم وكلمة المرور لحساب مسؤول المؤسسة. يستخدم Azure AD Connect حساب مسؤول المؤسسة المتوفر لإنشاء حساب Azure AD DS المطلوب. يمكنك إدخال جزء المجال بتنسيق NetBIOS أو تنسيق FQDN. أي، أدخل FABRIKAM\administrator أو fabrikam.com\administrator.
استخدم الحساب الموجود قم بتوفير حساب Azure AD DS موجود والذي يمكن أن يستخدمه Azure AD Connect للاتصال بمجموعة Active Directory في أثناء مزامنة الدليل. يمكنك إدخال جزء المجال بتنسيق NetBIOS أو تنسيق FQDN. أي، أدخل FABRIKAM\syncuser أو fabrikam.com\syncuser. يمكن أن يكون هذا الحساب حساب مستخدم عادي لأنه يحتاج أذونات القراءة الافتراضية فقط. ولكن وفقًا للسيناريو الخاص بك، قد تحتاج إلى المزيد من الأذونات. لمزيدٍ من المعلومات، راجع حسابات Azure AD Connect والأذونات.

لقطة شاشة تعرض صفحة

ملاحظة

اعتبارًا من بناء 1.4.18.0، لا يمكنك استخدام مسؤول المؤسسة أو حساب مسؤول المجال كحساب موصل لـ Azure AD DS. عند تحديد استخدام حساب موجود، إذا حاولت إدخال حساب مسؤول مؤسسة أو حساب مسؤول مجال، سترى الخطأ التالي: "لا يسمح باستخدام حساب مسؤول المؤسسة أو المجال لحساب غابة AD الخاص بك. دع Azure AD Connect ينشئ الحساب لك أو حدد حساب مزامنة بالأذونات الصحيحة."

تكوين تسجيل دخول لـ Azure AD

في صفحة تكوين تسجيل الدخول إلى Azure AD، راجع نطاقات الاسم الأساسي للمستخدم (UPN) في Azure AD DS المحلي. تم التحقق من هذه النطاقات UPN في Azure AD. في هذه الصفحة، يمكنك تكوين السمة لاستخدامها في اسم المستخدم.

لقطة شاشة تعرض المجالات التي لم يتم التحقق منها في صفحة

راجع كل مجال تم وضع علامة عليه على أنه غير مضاف أو غير محقق. تأكد من المجالات التي تستخدمها أنها تم التحقق منها في Azure AD. بعد التحقق من المجالات الخاصة بك، حدد رمز التحديث الدائري. لمزيدٍ من المعلومات، راجع إضافة المجال والتحقق منه.

يستخدم المستخدمون سمة userPrincipalName عند تسجيل الدخول إلى Microsoft 365 وAzure AD. يجب أن يتحقق Azure AD من المجالات، والمعروفة أيضًا باسم لاحقة UPN، قبل مزامنة المستخدمين. توصي Microsoft بالاحتفاظ بالسمة الافتراضية لاسم المستخدم.

إذا كانت سمة userPrincipalName غير قابلة للتحقق ولا يمكن التحقق منها، فيمكنك تحديد سمة أخرى. يمكنك، على سبيل المثال، تحديد البريد الإلكتروني كسمة تحتوي على معرف تسجيل الدخول. عند استخدام سمة أخرى غير userPrincipalName، فإنه يسمي بـمعرف بديل.

يجب أن تتبع قيمة الصفة معرف بديل معيار RFC 822. يمكنك استخدام معرف بديل مع مزامنة تجزئة كلمة المرور والمصادقة التمريرية والاتحاد. في Active Directory، لا يمكن تعريف الصفة كمتعددة القيم، حتى إذا كان لها قيمة واحدة فقط. لمزيدٍ من المعلومات حول معرف البديل، راجع مصادقة التمرير: الأسئلة المتداولة.

ملاحظة

عند تمكين مصادقة التمرير، يجب أن يكون لديك مجال واحد على الأقل تم التحقق منه للمتابعة خلال عملية التثبيت المخصصة.

تحذير

لا تتوافق المعرفات البديلة مع كافة أحجام العمل Microsoft 365. لمزيدٍ من المعلومات، انظر تكوين معرفات تسجيل الدخول البديلة.

تصفية المجال والـ OU

بشكل افتراضي، تتم مزامنة كافة النطاقات والوحدات التنظيمية (OUs). إذا كنت لا تريد مزامنة بعض النطاقات أو وحدات OUs إلى Azure AD، فيمكنك مسح التحديدات المناسبة.

لقطة شاشة تظهر صفحة تصفية المجال وO U.

تكون هذه الصفحة التصفية المستندة إلى النطاق وOU. إذا كنت تخطط لإجراء تغييرات، فراجع التصفية المستندة إلى المجال والتصفية المستندة إلى الوحدة التنظيمية. بعض وحدات OUs ضرورية للوظائف، لذلك يجب عليك تركها محددة.

إذا كنت تستخدم التصفية المستندة إلى الوحدة التنظيمية مع إصدار Azure AD Connect الأقدم من 1.1.524.0، فستتم مزامنة الوحدات التنظيمية الجديدة بشكل افتراضي. إذا كنت لا تريد مزامنة الوحدات التنظيمية الجديدة فيمكنك ضبط السلوك الافتراضي بعد خطوة التصفية المستندة إلى الوحدة التنظيمية. بالنسبة إلى Azure AD Connect 1.1.524.0 أو الأحدث، يمكنك الإشارة إلى ما إذا كنت تريد مزامنة وحدات OUs الجديدة.

إذا كنت تخطط لاستخدام التصفية المستندةإلى المجموعة، فتأكد من تضمين الوحدة التنظيمية مع المجموعة وعدم تصفيتها باستخدام تصفية OU. يتم تقييم تصفية OU قبل تقييم التصفية المستندة إلى المجموعة.

من الممكن أيضًا أن بعض النطاقات لا يمكن الوصول إليها بسبب قيود جدار الحماية. هذه النطاقات غير محددة بشكل افتراضي، وتعرض تحذيرًا.

لقطة شاشة تعرض نطاقات لا يمكن الوصول إليها.

إذا رأيت هذا التحذير تأكد من أن هذه النطاقات غير قابلة للوصول إليها بالفعل وهذا التحذير متوقع.

التعرف على المستخدمين لديك بشكل فريد

في صفحة تحديد المستخدمين، اختر كيفية تعريف المستخدمين في الدلائل المحلية وكيفية التعرف عليهم باستخدام السمة sourceAnchor.

تحديد كيفية تعريف المستخدمين في الدلائل المحلية

باستخدام ميزة المطابقة عبر الغابات، يمكنك تعريف كيفية تمثيل المستخدمين من غابات Azure AD DS في Azure AD. قد يتم تمثيل مستخدم مرة واحدة فقط عبر كافة الغابات أو قد يكون لديه مجموعة من الحسابات الممكنة والمعطلة. قد يتم تمثيل المستخدم أيضًا كجهة اتصال في بعض الغابات.

لقطة شاشة تعرض الصفحة التي يمكنك من خلالها التعرف على المستخدمين بشكل فريد.

الإعداد الوصف
يمكن تقديم المستخدمين فقط عبر الغابات يتم إنشاء كافة المستخدمين ككائنات فردية في Azure AD. لا يتم ربط الكائنات في metaverse.
خاصية البريد هذا الخيار يربط المستخدمين وجهات الاتصال إذا كانت سمة البريد تحمل نفس القيمة في مجموعة الخوادم الأم المختلفة. استخدم هذا الخيار عند إنشاء جهات الاتصال لديك باستخدام GALSync. إذا اخترت هذا الخيار، لا تتم مزامنة كائنات المستخدمين التي سمة البريد الخاصة بهم غير مأهولة إلى Azure AD.
صفات معرف الكائنات و msExchangeMasterAccountSID/ msRTCSIP-المنشئ معرف يضم هذا الخيار مستخدمًا متمكنًا في غابة الحساب مع مستخدم معطل في غابة المصدر. بالتبادل يعرف هذا التكوين بصندوق البريد. يمكنك استخدام هذا الخيار إذا كنت تستخدم Lync فقط وإذا لم يكن التبادل موجودًا في مجموعة المصادر.
خصائص SAMAccountName و MailNickName يضم هذا الخيار الخصائص التي من المتوقع أن توجد عند تسجيل الدخول لمعرف المستخدم.
اختيار خاصية معينة يسمح لك هذا الخيار بتحديد السمة الخاصة بك. إذا اخترت هذا الخيار، لا تتم مزامنة كائنات المستخدمين غير المأهولة مع Azure AD. القيد: تتوفر فقط الخصائص الموجودة بالفعل في metaverse لهذا الخيار.

حدد كيفية تحديد المستخدمين باستخدام نقطة ارتساء المصدر

السمة sourceAnchor غير قابلة للتغيير أثناء عمر كائن مستخدم. إنه المفتاح الأساسي الذي يربط المستخدم المحلي بالمستخدم في Azure AD.

إعداد الوصف
السماح لـ Azure بإدارة تثبيت المصدر حدد هذا الخيار إذا كنت تريد أن يختار Azure AD الخاصية لك. إذا قمت بتحديد هذا الخيار، Azure AD Connect يطبق منطق تحديد السمة تثبيت المصدر الموضح في استخدام ms-DS-ConsistencyGuid ك sourceAnchor. بعد انتهاء التثبيت المخصص، تشاهد الخاصية التي تم اختيارها كخاصية لتثبيت المصدر
اختيار خاصية معينة حدد هذا الخيار إذا كنت تريد تحديد خاصية AD موجودة كسمة sourceAnchor.

لأنه لا يمكن تغيير خاصية تثبيت المصدر يجب عليك اختيار خاصية مناسبة. المرشح الجيد هو objectGUID. لا يتم تغيير هذه الخاصية إلا إذا تم نقل حساب المستخدم بين الغابات أو النطاقات. لا تختر الخصائص التي يمكن أن تتغير عندما يتزوج شخص أو يغير الواجبات.

لا يمكنك استخدام الخصائص التي تتضمن علامة في (@)، لذلك لا يمكنك استخدام البريد الإلكتروني و userPrincipalName. الخاصية أيضًا حساسة لحالة الأحرف، لذلك عند نقل كائن بين الغابات، تأكد من الاحتفاظ بالأحرف الكبيرة والصغيرة. الخصائص الثنائية هي Base64-encoded، ولكن تبقى أنواع السمات الأخرى في حالتها غير المشفرة.

في سيناريوهات الاتحاد وبعض واجهات Azure AD، خاصية تثبيت المصدر تعرف أيضًا بمعرف غير قابل للتغيير.

لمزيدٍ من المعلومات حول مصدر التثبيت، راجعمفاهيم التصميم.

تصفية المزامنة استنادًا إلى المجموعات

تسمح لك ميزة التصفية على المجموعات بمزامنة مجموعة فرعية صغيرة فقط من الكائنات لطيار. لاستخدام هذه الميزة، قم بإنشاء مجموعة لهذا الغرض في نموذج محلي Active Directory. ثم أضف المستخدمين والمجموعات التي يجب مزامنتها إلى Azure AD كأعضاء مباشرين. يمكنك لاحقًا إضافة مستخدمين أو إزالة مستخدمين من هذه المجموعة للحفاظ على قائمة العناصر التي يجب أن تكون موجودة في Azure AD.

يجب أن تكون كافة الكائنات التي تريد مزامنتها أعضاء مباشرين في المجموعة. يجب أن يكون المستخدمون والمجموعات وجهات الاتصال وأجهزة الكمبيوتر أو الأجهزة أعضاء مباشرين. لم يتم حل عضوية المجموعة المتداخلة. عند إضافة مجموعة كعضو، يتم إضافة المجموعة نفسها فقط. لا يتم إضافة أعضائها.

لقطة شاشة تعرض الصفحة التي يمكنك اختيار كيفية تصفية المستخدمين والأجهزة فيها.

تحذير

هذه الميزة مخصصة لدعم نشر تجريبي فقط. لا تستخدمه في نشر إنتاج كامل.

عند نشر إنتاج كامل، سيكون من الصعب الحفاظ على مجموعة واحدة وكافة الكائنات الخاصة به للمزامنة. بدلاً من ميزة التصفية على المجموعات، استخدم إحدى الطرق الموضحة في تكوين التصفية.

الميزات الاختيارية

في الصفحة التالية، يمكنك تحديد ميزات اختيارية للسيناريو الخاص بك.

تحذير

تعتمد إصدارات Azure AD Connect 1.0.8641.0 والإصدارات الأقدم على Azure Access Control Service لإعادة كتابة كلمة المرور. تم سحب هذه الخدمة في 7 نوفمبر 2018. إذا كنت تستخدم أيًا من هذه الإصدارات من Azure AD وتمكنت من إعادة كتابة كلمة المرور، فقد يفقد المستخدمون القدرة على تغيير كلمات المرور الخاصة بهم أو إعادة تعيينها عند تقاعد الخدمة. لا تدعم هذه الإصدارات من Azure AD Connect إعادة كتابة كلمة المرور.

لمزيدٍ من المعلومات، راجع الترحيل من خدمة التحكم في الوصول لـ Azure.

إذا كنت ترغب في استخدام إعادة كتابة كلمة المرور، حملأحدث إصدار من Azure AD Connect.

تعرض لقطة الشاشة صفحة خصائص التحديث.

تحذير

إذا كانت مزامنة Azure AD أو المزامنة المباشرة (DirSync) نشطة، لا تقم بتنشيط أي ميزات إعادة الكتابة في azure AD Connect

الميزات الاختيارية الوصف
استهداف توزيع مختلط تسمح ميزة Exchange Hybrid Deployment بالتواجد المشترك لصناديق بريد Exchange سواء في أماكن العمل أو في Microsoft 365. يقوم Azure AD Connect بمزامنة مجموعة محددة من السمات من Azure AD إلى الدليل المحلي الخاص بك.
Exchange المجلدات العمومية للبريد تتيح لك ميزة المجلدات العمومية للبريد Exchange مزامنة كائنات المجلد العمومي الممكنة للبريد من مثيل "Active Directory" المحلي إلى Azure AD. لاحظ أنه غير مدعوم لمزامنة المجموعات التي تحتوي على مجلدات عمومية كأعضاء، وستؤدي محاولة القيام بذلك إلى حدوث خطأ في المزامنة.
تطبيق Azure AD وتصفية السمات من خلال تمكين تطبيق Azure AD وتصفية السمات، يمكنك تخصيص مجموعة السمات المتزامنة. يضيف هذا الخيار صفحتي تكوين إضافيتين إلى المعالج. لمزيدٍ من المعلومات، راجع Azure AD التطبيق وتصفية السمات.
مزامنة تجزئة كلمة المرور إذا قمت بتحديد الاتحاد كحل لتسجيل الدخول، يمكنك تمكين مزامنة تجزئة كلمة المرور. ثم يمكنك استخدامه كخيار النسخ الاحتياطي.

إذا قمت بتحديد مصادقة المرور، يمكنك تمكين هذا الخيار لضمان دعم العملاء القدامى وتوفير نسخة احتياطية.

لمزيدٍ من المعلومات، راجع مزامنة تجزئة كلمة المرور.
حفظ كلمة المرور مع تحديثها استخدم هذا الخيار للتأكد من أن تغييرات كلمة المرور التي تنشأ في Azure AD يتم كتابتها مرة أخرى إلى الدليل المحلي. لمزيدٍ من المعلومات، راجع البدء بإدارة كلمة المرور.
إعادة كتابة المجموعة إذا كنت تستخدم مجموعات Microsoft 365، فيمكنك تمثيل المجموعات في نموذجك المحلي لـ Active Directory. يتوفر هذا الخيار فقط إذا كان لديك تبادل في نموذج محلي من Active Directory. لمزيدٍ من المعلومات، راجع إعادة كتابة مجموعة Azure AD Connect .
حفظ الجهاز مع التحديث بالنسبة لسيناريوهات الوصول المشروط، استخدم هذا الخيار لإعادة كتابة كائنات الجهاز مرة أخرى في Azure AD إلى نموذجك المحلي من Active Directory. لمزيدٍ من المعلومات، راجع تمكين إعادة كتابة الجهاز في Azure AD Connect.
مزامنة خاصية ملحق الدليل حدد هذا الخيار لمزامنة الخصائص المحددة مع Azure AD. لمزيدٍ من المعلومات، راجع ملحقات الدليل.

تطبيق Azure AD وتصفية السمات

إذا كنت تريد تحديد الخصائص التي تتزامن مع Azure AD، فابدأ بتحديد الخدمات التي تستخدمها. إذا قمت بتغيير التحديدات في هذه الصفحة، يجب عليك تحديد خدمة جديدة بشكل صريح عن طريق إعادة تشغيل معالج التثبيت.

لقطة شاشة تعرض ميزات تطبيقات Azure A D الاختيارية.

استنادًا إلى الخدمات التي حددتها في الخطوة السابقة، تعرض هذه الصفحة كافة السمات التي تمت مزامنتها. هذه القائمة هي مزيج من كافة أنواع الكائنات التي يتم مزامنتها. إذا كنت بحاجة إلى بعض السمات لتبقى غير متزامنة، يمكنك مسح التحديد من تلك الخصائص.

لقطة شاشة تعرض ميزات سمات Azure A D الاختيارية.

تحذير

يمكن أن تؤثر إزالة الخصائص على الوظائف. للحصول على أفضل الممارسات والتوصيات، راجع خصائص المزامنة.

مزامنة خاصية ملحق الدليل

يمكنك توسيع المخطط في Azure AD باستخدام خصائص معينة التي أضافتها مؤسستك أو باستخدام خصائص أخرى في Active Directory. لاستخدام هذه الميزة، في صفحة الميزات الاختيارية، حدد مزامنة سمة ملحق الدليل. في الصفحة ملحقات الدليل، يمكنك تحديد المزيد من السمات للمزامنة.

ملاحظة

يتأثر حقل السمات المتوفرة بحالة الأحرف.

لقطة شاشة تعرض صفحة

لمزيدٍ من المعلومات، راجع ملحقات الدليل.

تمكين تسجيل الدخول الأحادي

في صفحة تسجيل الدخول الأحادي، يمكنك تكوين تسجيل الدخول المفرد للاستخدام مع مزامنة كلمة المرور أو المصادقة التمريرية. يمكنك القيام بهذه الخطوة مرة واحدة لكل مجموعة تفرعات يتم مزامنتها إلى Azure AD. التكوين يتضمن خطوتين:

  1. إنشاء حساب الكمبيوتر الضروري في نموذجك المحلي من "Active Directory".
  2. تكوين منطقة إنترنت لأجهزة العميل لدعم تسجيل الدخول الأحادي.

أنشئ حساب الكمبيوتر في Active Directory

لكل مجموعة التفرعات التي تمت إضافتها في Azure AD Connect تحتاج إلى توفير بيانات اعتماد مسؤول المجال بحيث يمكن إنشاء حساب الكمبيوتر في كل مجموعة التفرعات. يتم استخدام بيانات الاعتماد فقط لإنشاء الحساب. لا يتم تخزينها أو استخدامها لأي عملية أخرى. إضافة بيانات الاعتماد على تمكين تسجيل الدخول الأحادي الصفحة، كما توضح الصورة التالية.

لقطة شاشة تظهر صفحة

ملاحظة

يمكنك تخطي الغابات عندما لا تريد استخدام تسجيل الدخول الأحادي.

تكوين منطقة إنترنت لأجهزة العميل

للتأكد من أن العميل يقوم بتسجيل الدخول تلقائيًا في منطقة الإنترنت، تأكد من أن URL جزء من منطقة الإنترنت. تضمن هذه الخطوة أن الكمبيوتر المرتبط بالمجال يرسل تلقائيًا تذكرة Kerberos إلى Azure AD عند اتصاله بشبكة الشركة.

على جهاز الكمبيوتر الذي يحتوي على أدوات إدارة نهج المجموعة:

  1. افتح أدوات إدارة نهج المجموعة.

  2. تحرير قانون المجموعة الذي سيتم تطبيقه على كافة المستخدمين. على سبيل المثال، قانون النطاق الافتراضي.

  3. انتقل إلى تكوين المستخدم>قوالب الإدارة>مكونات Windows>Internet Explorer>لوحة تحكم الإنترنت>صفحة الأمان. ثم حدد الموقع إلى قائمة تعيين المنطقة.

  4. تمكين القانون. ثم في مربع الحوار، أدخل قيمة الاسم https://autologon.microsoftazuread-sso.com وقيمة 1. لا بد أن يشبه إنشاؤك الصورة التالية.

    لقطة شاشة تعرض مناطق الإنترنت.

  5. حدد موافق مرتين.

تكوين الاتحاد مع AD FS

يمكنك تكوين AD FS باستخدام Azure AD ببضع نقرات فقط. قبل أن تبدأ، أنت تحتاج:

  • Windows Server 2012 R2 أو أحدث لخادم الاتحاد. يجب تمكين الإدارة عن بُعد.
  • Windows Server 2012 R2 أو أحدث لخادم وكيل تطبيق ويب. يجب تمكين الإدارة عن بُعد.
  • شهادة TLS/SSL لاسم خدمة federation التي تنوي استخدامها (على سبيل المثال، sts.contoso.com).

ملاحظة

يمكنك تحديث شهادة TLS/SSL لمزرعة AD FS باستخدام Azure AD Connect حتى إذا لم تستخدمها لإدارة ثقة الاتحاد.

متطلبات تكوين AD FS

لتكوين مزرعة AD FS باستخدام Azure AD Connect تأكد من تمكين WinRM على الخوادم البعيدة. تأكد من إكمال المهام الأخرى في متطلبات الاتحاد الأساسية. تأكد أيضًا من اتباع متطلبات المنافذ المسردة في جدول خوادم الاتصال Azure AD Connect و FEDERATION/WAP.

إنشاء مزرعة AD FS جديدة أو استخدام مزرعة AD FS موجودة

يمكنك استخدام مجموعة موارد موجودة أو إنشاء مجموعة جديدة. إذا اخترت إنشاء واحدة جديدة، يجب توفير شهادة TLS/SSL. إذا كانت شهادة TLS/SSL محمية بكلمة مرور، فستتم مطالبتك بتوفير كلمة المرور.

لقطة شاشة تظهر صفحة مزرعة

إذا اخترت استخدام مزرعة AD FS موجودة، سترى الصفحة التي يمكنك تكوين علاقة الثقة بين AD FS و Azure AD.

ملاحظة

يمكنك استخدام الاتصال Azure AD Connect لإدارة مزرعة واحدة فقط من مزارع AD FS. إذا كان لديك ثقة اتحاد موجود حيث يتم تكوين Azure AD في مزرعة AD FS المحددة، فإن اتصال Azure AD يعيد إنشاء الثقة من البداية.

تحديد خوادم AD FS

تحديد الخوادم التي تريد أن تثبتها AD FS. يمكنك إضافة خادم واحد أو أكثر، وفقًا لاحتياجات السعة. قبل إعداد هذا التكوين، انضم إلى كافة خوادم AD FS إلى Active Directory. هذه الخطوة غير مطلوبة لخوادم وكيل تطبيق الويب.

توصي Microsoft بتثبيت خادم AD FS واحد للاختبار وعمليات التوزيع التجريبية. بعد التكوين الأولي، يمكنك إضافة المزيد من الخوادم وتوزيعها لتلبية احتياجات التحجيم الخاصة بك عن طريق تشغيل Azure AD Connect مرة أخرى.

ملاحظة

قبل إعداد هذا التكوين، تأكد من أن كافة الخوادم الخاصة بك يتم ربطها بمجال Azure AD.

لقطة شاشة تظهر صفحة

تخصيص خوادم توكيل تطبيق ويب

تخصيص خوادم توكيل تطبيق ويب يتم توزيع خادم وكيل تطبيق الويب في شبكة فرعية مراقَبة خاصة بك، مواجهة شبكة الاتصال الإضافية. وهو يدعم طلبات المصادقة من شبكة الاتصال الإضافية. يمكنك إضافة خادم واحد أو أكثر، وفقًا لاحتياجات السعة.

تثبت توصيات Microsoft خادم وكيل لتطبيق ويب مفرد من أجل الاختيار. بعد التكوين الأولي، يمكنك إضافة المزيد من الخوادم وتوزيعها لتلبية احتياجات التحجيم الخاصة بك عن طريق تشغيل Azure AD Connect مرة أخرى. نوصي بأن يكون لديك عدد مكافئ من خدمات الوكيل لتلبية المصادقة من الإنترنت.

ملاحظة

  • إذا لم يكن الحساب الذي تستخدمه مسؤولًا محليًا على خوادم وكيل تطبيق ويب، فستتم مطالبتك ببيانات اعتماد المسؤول.
  • قبل تحديد خوادم وكيل تطبيق ويب تأكد من وجود اتصال HTTP/HTTPS بين خادم Azure AD Connect وخادم وكيل تطبيق ويب.
  • تأكد من وجود اتصال HTTP/HTTPS بين خادم تطبيق ويب وخادم AD FS للسماح لطلبات المصادقة بالتدفق من خلاله.

لقطة شاشة تعرض صفحة خوادم وكيل تطبيق الويب.

تتم مطالبتك بإدخال بيانات الاعتماد بحيث يمكن لخادم تطبيق الويب إنشاء اتصال آمن بخادم AD FS. يجب أن تكون بيانات الاعتماد هذه لحساب مسؤول محلي على خادم AD FS.

لقطة شاشة تظهر الصفحة «بيانات الاعتماد». يتم إدخال بيانات اعتماد المسؤول في حقل اسم المستخدم وحقل كلمة المرور.

تحديد حساب الخدمة لخدمة AD FS

تطلب خدمات AD FS حسابًا لنطاق خدمة لكي تصدق المستخدمين وتبحث عن معلوماتهم في Active Directory. ويمكن أن تدعم نوعين من حسابات الخدمة:

  • حساب الخدمة المُدارة للمجموعة: تم إدخال هذا النوع من الحساب إلى AD DS بواسطة Windows Server 2012. يوفر هذا النوع من الحسابات خدمات مثل AD FS. إنه حساب واحد لا تحتاج فيه إلى تحديث كلمة المرور بانتظام. استخدم هذا الخيار إذا كان لديك بالفعل Windows وحدات تحكم مجال Server 2012 في النطاق الذي تنتمي إليه خوادم AD FS.
  • حساب مستخدم النطاق: يتطلب منك هذا النوع من الحساب توفير كلمة مرور وتحديثها بانتظام عند انتهاء صلاحيتها. استخدم هذا الخيار فقط عندما لا يكون لديك Windows وحدات تحكم المجال Server 2012 في النطاق الذي تنتمي إليه خوادم AD FS.

إذا قمت بتحديد إنشاء مجموعة إدارة حساب الخدمة ولم يتم استخدام هذه الميزة في "Active Directory"، عندئذٍ أدخل بيانات اعتماد مسؤول المؤسسة. يتم استخدام بيانات الاعتماد هذه لبدء مخزن المفاتيح وتمكين الميزة في "Active Directory".

ملاحظة

يقوم Azure AD Connect بالتحقق مما إذا كانت خدمة AD FS مسجلة بالفعل كاسم أساسي للخدمة (SPN) في النطاق. لا يسمح Azure AD DS بتسجيل أسماء البرامج المكررة في نفس الوقت. إذا تم العثور على SPN مكررة، لا يمكنك المتابعة أكثر من ذلك حتى تتم إزالة SPN.

لقطة شاشة تظهر صفحة

حدد نطاق Azure AD الذي تريد أن تربطه

استخدم صفحة نطاق Azure AD لإعداد علاقة الاتحاد بين AD FS وAzure AD. هنا، يمكنك تكوين AD FS لتوفير رموز مميزة إلى Azure AD. يمكنك أيضًا تكوين Azure AD للثقة في الرموز المميزة من مثيل AD FS هذا.

في هذه الصفحة، يمكنك تكوين مجال واحد فقط في التثبيت الأولي. يمكنك تكوين المزيد من المجالات لاحقًا عن طريق تشغيل Azure AD Connect مرة أخرى.

لقطة شاشة تعرض صفحة تسجيل الدخول إلى Azure.

تحقق من نطاق Azure AD المحدد للاتحاد

عند تحديد المجال الذي تريد توحيده، يوفر Azure AD Connect معلومات يمكنك استخدامها للتحقق من نطاق لم يتم التحقق منه. لمزيدٍ من المعلومات، راجع إضافة المجال والتحقق منه.

لقطة شاشة تعرض صفحة

ملاحظة

يحاول Azure AD Connect التحقق من النطاق في أثناء مرحلة التكوين. إذا لم تقم بإضافة سجلات نظام أسماء النطاقات الضرورية (DNS)، فلا يمكن إكمال التكوين.

تكوين الاتحاد مع PingFederate

يمكنك تكوين PingFederate مع Azure AD Connect في نقرات قليلة. يلزم توفر الشروط الأساسية التالية:

تحقق من النطاق

بعد اختيارك لإنشاء اتحاد باستخدام PingFederate لا بد من التحقق من النطاق الذي تريد الاتحاد معه. حدد المجال من القائمة المنسدلة.

لقطة شاشة تظهر الصفحة «مجال Azure A D». يتم تحديد المجال المثال

تصدير إعدادات PingFederate

تكوين PingFederate كخادم الاتصال المحلي لكل مجال Azure محلي. حدد تصدير الإعدادات لمشاركة هذه المعلومات مع مسؤول PingFederate. يحدث مراقب خدمة الاتحاد التكوين ثم يزود رابط خادم PingFederate ورقم المنفذ لذلك يمكن لـ Azure AD Connect أن يتحقق من إعدادات بيانات التعريف.

لقطة شاشة تظهر الصفحة

اتصل بمسؤول PingFederate لحل أية مشكلات في التحقق من الصحة. تعرض الصورة التالية معلومات حول خادم PingFederate الذي لا يمتلك علاقة ثقة صالحة مع Azure.

لقطة شاشة تعرض معلومات الخادم: تم العثور على خادم PingFederate، ولكن اتصال موفر الخدمة لـ Azure مفقود أو معطل.

التحقق من اتصال الاتحاد

يحاول Azure AD Connect التحقق من صحة نقاط النهاية المصادقة التي يقوم باستردادها من بيانات تعريف PingFederate في الخطوة السابقة. المحاولات الأولى لـ Azure AD Connect لحل نقاط النهاية باستخدام ملقمات DNS المحلية. بعد ذلك، فإنه يحاول حل نقاط النهاية باستخدام موفر DNS خارجي. اتصل بمسؤول PingFederate لحل أية مشكلات في التحقق من الصحة.

لقطة شاشة تظهر صفحة

التحقق من تسجيل دخول الاتحاد

وأخيرًا، يمكنك التحقق من تدفق تسجيل الدخول المتحد المكون حديثًا عن طريق تسجيل الدخول إلى المجال الاتحادي. إذا نجحت عملية تسجيل الدخول، يتم تكوين الاتحاد مع PingFederate بنجاح.

لقطة شاشة تظهر الصفحة

تكوين صفحات والتحقق منها

يحدث التكوين على الصفحة تكوين.

ملاحظة

إذا قمت بتكوين الاتحاد، عندئذٍ تأكد من تكوين تحليل الاسم لخوادم الاتحاد قبل متابعة التثبيت.

لقطة شاشة تظهر صفحة

استخدام وضع التدريج

من الممكن إعداد خادم مزامنة جديد بالتوازي مع وضع التدريج. إذا كنت ترغب في استخدام هذا الإعداد، فعندئذٍ خادم مزامنة واحد فقط يمكن تصديره إلى دليل واحد في مجموعة السحابة. ولكن إذا كنت تريد الانتقال من خادم آخر، على سبيل المثال خادم يعمل DirSync، فيمكنك تمكين Azure AD في وضع التدريج.

عند تمكين الإعداد المرحلي، فإن مشغل المزامنة يستورد ويؤمّن البيانات كالمعتاد. ولكنه لا يصدر أي بيانات إلى Azure AD أو Active Directory. في وضع التجهيز، يتم تعطيل ميزة مزامنة كلمة المرور وميزة إعادة كتابة كلمة المرور.

لقطة شاشة تظهر صفحة

في وضع التجهيز، يمكنك إجراء التغييرات المطلوبة على مشغل المزامنة ومراجعة ما سيتم تصديره. عندما يبدو التكوين جيدًا، قم بتشغيل معالج التثبيت مرة أخرى وتعطيل وضع التدريج.

يتم الآن تصدير البيانات إلى Azure AD من الخادم. تأكد من تعطيل الخادم الآخر في نفس الوقت بحيث يتم تصدير خادم واحد فقط بنشاط.

لمزيدٍ من المعلومات، راجع وضع التدريج.

التحقق من تكوين الاتحاد

الاتصال يتحقق Azure AD من إعدادات DNS عند تحديد الزر التحقق. فإنه يتحقق من الإعدادات التالية:

  • الاتصال بالإنترنت
    • حل FQDN الاتحاد: Azure AD الاتصال يتحقق ما إذا كان DNS يمكن حل FQDN الاتحاد لضمان الاتصال. إذا لم يتمكن Azure AD Connect من حل FQDN، فسيفشل التحقق. لإكمال التحقق، تأكد من وجود سجل DNS لخدمة الاتحاد FQDN.
    • يفحص DNS A: Azure AD بالتحقق مما إذا كانت خدمة الاتحاد لديك تحتوي على سجل A. وفي حالة عدم وجود سجل، يفشل التحقق. لإكمال التحقق، قم بإنشاء سجل A (ليس سجل CNAME) لـ FQDN الاتحاد الخاص بك.
  • اتصال الشبكة الإضافية
    • حل FQDN الاتحاد: Azure AD الاتصال يتحقق ما إذا كان DNS يمكن حل FQDN الاتحاد لضمان الاتصال.

      لقطة شاشة تعرض أمر التثبيت الكامل.

      لقطة شاشة تظهر الصفحة

للتحقق من صحة المصادقة من طرف إلى طرف، قم بإجراء اختبار واحد أو أكثر من الاختبارات التالية يدويًا:

  • عند انتهاء المزامنة، في Azure AD الاتصال، استخدم مهمة التحقق من تسجيل الدخول المتحد المهمة الإضافية للتحقق من المصادقة لحساب مستخدم محلي تختاره.
  • من جهاز منضم إلى نطاق على الإنترنت، تأكد من أنه يمكنك تسجيل الدخول من المستعرض. الاتصال بـ https://myapps.microsoft.com. ثم استخدم حساب تسجيل الدخول الخاص بك للتحقق من تسجيل الدخول. لا تتم مزامنة حساب مسؤول Azure AD DS المضمن، ولا يمكنك استخدامه للتحقق.
  • تأكد من أنه يمكنك تسجيل الدخول من جهاز على الشبكة الإضافية. على جهاز منزلي أو جهاز محمول، اتصل بـ https://myapps.microsoft.com. ثم قم بتوفير بيانات الاعتماد الخاصة بك.
  • التحقق من صحة تسجيل دخول العميل الغني. الاتصال بـ https://testconnectivity.microsoft.com. ثم حدد Office 365>اختبار تسجيل الدخول الأحادي في Office 365.

استكشاف الأخطاء وإصلاحها

يحتوي هذا القسم على معلومات استكشاف الأخطاء وإصلاحها التي يمكنك استخدامها إذا كان لديك مشكلة في أثناء تثبيت الاتصال Azure AD.

عند تخصيص تثبيت Azure AD Connect,في صفحة تثبيت المكونات المطلوبة، يمكنك تحديد استخدام SQL Server موجودة. قد تشاهد الخطأ التالي: "قاعدة بيانات مزامنة AAD يحتوي بالفعل على بيانات ولا يمكن الكتابة فوق. الرجاء إزالة قاعدة البيانات الموجودة ثم حاول مرة أخرى."

لقطة شاشة تظهر الصفحة

راجع هذا الخطأ لأن قاعدة بيانات باسم مزامنة AAD موجودة مسبقًا على نموذج SQL Server المحدد.

عادة ما تشاهد هذا الخطأ بعد إلغاء تثبيت Azure AD ConnectD. لا يتم حذف قاعدة البيانات من الكمبيوتر الذي يعمل بـ SQL Server عند إلغاء تثبيت azure AD الاتصال.

لإصلاح هذه المشكلة:

  1. تحقق من قاعدة بيانات مزامنة AAD التي استخدمها Azure AD Connect قبل إلغاء تثبيتها. تأكد من أن قاعدة البيانات لم تعد قيد الاستخدام.

  2. نسخ قاعدة البيانات.

  3. حذف قاعدة البيانات:

    1. استخدم Microsoft SQL Server Management Studio للاتصال بالنموذج SQL.
    2. ابحث عن قاعدة بيانات مزامنة AAD وانقر بزر الماوس الأيمن فوقها.
    3. في قائمة السياق، حدد احذف.
    4. حدد موافق لحذف قاعدة البيانات.

لقطة شاشة تظهر Microsoft SQL Server Management Studio.تم تحديد مزامنة AAD.

بعد حذف قاعدة بيانات مزامنة AAD، حدد تثبيت لإعادة محاولة التثبيت.

الخطوات التالية

بعد انتهاء التثبيت، قم بتسجيل الخروج من Windows. ثم قم بتسجيل الدخول مرة أخرى قبل استخدام إدارة خدمة المزامنة أو محرر قاعدة المزامنة.

الآن بعد أن قمت بتثبيت الاتصال Azure AD، يمكنك التحقق من التثبيت وتعيين التراخيص.

لمزيدٍ من المعلومات حول الميزات التي قمت بتمكينها في أثناء التثبيت، راجع منع الحذف العرضي و Azure AD الاتصال الصحة.

لمزيدٍ من المعلومات حول الموضوعات الشائعة الأخرى، راجع Azure AD الاتصال المزامنة: جدولةالهويات المحلية ودمجها مع Azure AD.