Požadavky pro Azure AD Connect

Tento článek popisuje požadavky a požadavky na hardware pro Azure Active Directory (Azure AD) Connect.

Před instalací nástroje Azure AD Connect

Před instalací nástroje Azure AD Connect potřebujete několik věcí.

Azure AD

• Potřebujete tenanta Azure AD. Získáte ho s bezplatnou zkušební verzí Azure. Ke správě služby Azure AD Connect můžete použít jeden z následujících portálů:
  • Portál Entra.
  • Portál Office.
• Přidejte a ověřte doménu, kterou chcete použít v Azure AD. Pokud například plánujete používat contoso.com pro uživatele, ujistěte se, že je tato doména ověřená a že nepoužíváte jenom contoso.onmicrosoft.com výchozí doménu.
• Tenant Azure AD umožňuje ve výchozím nastavení 50 000 objektů. Při ověření domény se limit zvýší na 300 000 objektů. Pokud v Azure AD potřebujete ještě více objektů, otevřete případ podpory, abyste limit ještě zvýšili. Pokud potřebujete více než 500 000 objektů, potřebujete licenci, například Microsoft 365, Azure AD Premium nebo Enterprise Mobility + Security.

Příprava místních dat

• Před synchronizací s Azure AD a Microsoft 365 můžete pomocí IdFixu identifikovat chyby, jako jsou problémy s duplicitami a formátováním ve vašem adresáři.
• Projděte si volitelné synchronizační funkce, které můžete povolit v Azure AD, a vyhodnoťte, které funkce byste měli povolit.

Místní služby Active Directory

• Verze schématu Active Directory a funkční úroveň doménové struktury musí být Windows Server 2003 nebo novější. Řadiče domény mohou používat libovolnou verzi. Stačí vyhovět požadavkům na verzi schématu a úroveň doménové struktury. Placený program podpory můžete vyžadovat, pokud potřebujete podporu pro řadiče domény se systémem Windows Server 2016 nebo starším.
• Řadič domény používaný službou Azure AD musí být zapisovatelný. Použití řadiče domény jen pro čtení (RODC) se nepodporuje a Azure AD Connect neprovádí žádná přesměrování zápisu.
• Použití místních doménových struktur nebo domén pomocí tečkovaného názvu (název obsahuje tečku.) Názvy netBIOS se nepodporují.
• Doporučujeme povolit koš služby Active Directory.

Zásady spouštění skriptu PowerShell

Azure Active Directory Connect v rámci instalace spouští podepsané skripty PowerShellu. Ujistěte se, že zásady spouštění PowerShellu umožní spouštění skriptů.

Doporučené zásady spouštění během instalace jsou RemoteSigned.

Další informace o nastavení zásad spouštění PowerShellu najdete v tématu Set-ExecutionPolicy.

Server Azure AD Connect

Server Azure AD Connect obsahuje důležitá data identit. Je důležité, aby přístup pro správu k tomuto serveru byl správně zabezpečený. Postupujte podle pokynů v tématu Zabezpečení privilegovaného přístupu.

Server Azure AD Connect musí být považován za komponentu vrstvy 0, jak je popsáno v modelu úrovně správy služby Active Directory. Doporučujeme posílit zabezpečení serveru Azure AD Connect jako prostředku řídicí roviny podle pokynů uvedených v tématu Zabezpečený privilegovaný přístup.

Další informace o zabezpečení prostředí Active Directory najdete v tématu Osvědčené postupy pro zabezpečení služby Active Directory.

Instalační požadavky

• Azure AD Connect musí být nainstalovaný na Windows Server 2016 připojeném k doméně nebo novější. Doporučujeme používat Windows Server 2022 připojený k doméně. Azure AD Connect můžete nasadit na Windows Server 2016 ale vzhledem k tomu, že je Windows Server 2016 v rozšířené podpoře, můžete vyžadovat placený program podpory, pokud potřebujete podporu pro tuto konfiguraci.
• Minimální požadovaná verze rozhraní .NET Framework je 4.6.2 a podporují se také novější verze rozhraní .NET. Rozhraní .NET verze 4.8 a vyšší nabízí nejlepší dodržování předpisů v oblasti přístupnosti.
• Azure AD Connect nejde nainstalovat na Small Business Server nebo Windows Server Essentials před 2019 (podporuje se Windows Server Essentials 2019). Server musí používat Windows Server úrovně Standard nebo lepší.
• Server Azure AD Connect musí mít nainstalované úplné grafické uživatelské rozhraní. Instalace Azure AD Connect v jádru Windows Serveru se nepodporuje.
• Pokud ke správě konfigurace služby Active Directory Federation Services (AD FS) (AD FS) používáte průvodce Azure AD Connect, server Azure AD Connect nesmí mít povolený přepis Power Zásady skupiny Shellu. Přepis PowerShellu můžete povolit, pokud ke správě konfigurace synchronizace používáte průvodce Azure AD Connect.
• Pokud se služba AD FS nasazuje:
  • Servery, na kterých je nainstalovaná služba AD FS nebo Web proxy aplikací, musí být Windows Server 2012 R2 nebo novější. Pro vzdálenou instalaci musí být na těchto serverech povolená vzdálená správa systému Windows. Pokud potřebujete podporu pro Windows Server 2016 a starší, můžete vyžadovat placený program podpory.
  • Musíte nakonfigurovat certifikáty TLS/SSL. Další informace najdete v tématech Správa protokolů SSL/TLS a šifrovacích sad pro službu AD FS a Správa certifikátů SSL ve službě AD FS.
  • Musíte nakonfigurovat překlad adres IP.
• Přerušení a analýza provozu mezi Azure AD Connect a Azure AD nepodporuje. Pokud to uděláte, může dojít k narušení služby.
• Pokud mají správci hybridních identit povolené vícefaktorové ověřování, musí být adresa URL https://secure.aadcdn.microsoftonline-p.com v seznamu důvěryhodných webů. Pokud se zobrazí výzva k zadání výzvy vícefaktorového ověřování, zobrazí se výzva k přidání tohoto webu do seznamu důvěryhodných webů, která ještě nebyla přidána. Internet Explorer můžete použít k jeho přidání na důvěryhodné weby.
• Pokud plánujete používat Azure AD Connect Health k synchronizaci, ujistěte se, že jsou splněné také požadavky na Azure AD Connect Health. Další informace najdete v tématu instalace agenta služby Azure AD Connect Health.

Posílení zabezpečení serveru Azure AD Connect

Doporučujeme posílit zabezpečení serveru Azure AD Connect, abyste snížili prostor pro útoky na zabezpečení pro tuto kritickou komponentu vašeho IT prostředí. Následující doporučení vám pomůžou zmírnit některá bezpečnostní rizika pro vaši organizaci.

• Doporučujeme posílit zabezpečení serveru Azure AD Connect jako prostředku řídicí roviny (dříve vrstvy 0) podle pokynů uvedených v tématu Model úrovně správy služby Active Directory a Zabezpečený privilegovaný přístup.
• Přístup pro správu k serveru Azure AD Connect omezte jenom na správce domény nebo jiné přísně řízené skupiny zabezpečení.
• Vytvořte vyhrazený účet pro všechny pracovníky s privilegovaným přístupem. Správci by neměli procházet web, kontrolovat e-maily a provádět každodenní kancelářské úlohy s vysoce privilegovanými účty.
• Postupujte podle pokynů uvedených v tématu Zabezpečení privilegovaného přístupu.
• Odepřete použití ověřování NTLM se serverem AADConnect. Tady je několik způsobů, jak to udělat: Omezení protokolu NTLM na serveru AADConnect a omezení protokolu NTLM v doméně
• Ujistěte se, že každý počítač má jedinečné heslo místního správce. Další informace najdete v tématu Řešení pro hesla místního správce (Windows LAPS) může nakonfigurovat jedinečná náhodná hesla na každé pracovní stanici a server je uloží do služby Active Directory chráněné seznamem ACL. Tato hesla účtů místního správce můžou přečíst nebo požádat o jejich resetování jenom oprávnění uživatelé. Další pokyny k provozu prostředí s Windows LAPS a pracovními stanicemi s privilegovaným přístupem (s privilegovaným přístupem) najdete v provozních standardech založených na principu čistého zdroje.
• Implementujte vyhrazené pracovní stanice s privilegovaným přístupem pro všechny pracovníky s privilegovaným přístupem k informačním systémům vaší organizace.
• Pokud chcete zmenšit prostor pro útoky na prostředí Active Directory, postupujte podle těchto dalších pokynů .
• Postupujte podle pokynů v tématu Monitorování změn konfigurace federace a nastavte výstrahy pro monitorování změn vztahu důvěryhodnosti vytvořeného mezi vaším zprostředkovatelem identity a Azure AD.
• Povolte vícefaktorové ověřování (MFA) pro všechny uživatele s privilegovaným přístupem v Azure AD nebo v AD. Jedním z problémů zabezpečení při používání nástroje Azure AD Connect je to, že pokud útočník získá kontrolu nad serverem Azure AD Connect, může manipulovat s uživateli v Azure AD. Aby se útočníkovi zabránilo v tom, aby tyto funkce používal k převzetí Azure AD účtů, nabízí vícefaktorové ověřování ochranu, takže i když se útočníkovi podaří například resetovat heslo uživatele pomocí Azure AD Connect, stále nemůže obejít druhý faktor.
• Zakažte u svého tenanta obnovitelné párování. Měkké párování je skvělá funkce, která pomáhá přenést zdroj autority pro existující cloudové spravované objekty do Azure AD Connect, ale přináší určitá bezpečnostní rizika. Pokud ho nepotřebujete, měli byste zakázat obnovitelné párování.
• Zakažte převzetí hard match. Převzetí hard match umožňuje Azure AD Connect převzít kontrolu nad objektem spravovaným v cloudu a změnit zdroj autority objektu na Active Directory. Jakmile Azure AD Connect převezme zdroj autority objektu, změny provedené v objektu služby Active Directory, který je propojený s objektem Azure AD, přepíšou původní data Azure AD , včetně hodnoty hash hesla, pokud je povolená synchronizace hodnot hash hesel. Útočník by tuto možnost mohl využít k převzetí kontroly nad cloudovými spravovanými objekty. Pokud chcete toto riziko zmírnit, zakažte převzetí pevně shodou.

SQL Server používaný službou Azure AD Connect

• Azure AD Connect vyžaduje k ukládání dat identity databázi SQL Serveru. Ve výchozím nastavení je nainstalovaná SQL Server 2019 Express LocalDB (light verze SQL Server Express). SQL Server Express má limit velikosti 10 GB, který umožňuje spravovat přibližně 100 000 objektů. Pokud potřebujete spravovat větší objem objektů adresáře, nasměrujte průvodce instalací na jinou instalaci SQL Server. Typ instalace SQL Server může mít vliv na výkon Azure AD Connect.
• Pokud používáte jinou instalaci SQL Server, platí tyto požadavky:
  • Azure AD Connect podporuje všechny běžné podporované verze SQL Server až do SQL Server 2019 ve Windows. Informace o stavu podpory SQL Server verze najdete v článku o životním cyklu SQL Server. SQL Server 2012 se už nepodporuje. Azure SQL Databáze není podporovaná jako databáze. To zahrnuje Azure SQL Database i Azure SQL Managed Instance.
  • Musíte použít kolaci SQL bez rozlišování velkých a malých písmen. Tyto kolace jsou ve svém názvu označeny _CI_. Použití kolace rozlišující malá a velká písmena identifikované _CS_ v názvu není podporováno.
  • Pro každou instanci SQL můžete mít pouze jeden synchronizační modul. Sdílení instance SQL se službou FIM/MIM Sync, DirSync nebo Azure AD Sync se nepodporuje.

Účty

• Pro Azure AD tenanta, se kterým chcete integrovat, musíte mít účet globálního správce Azure AD nebo účet správce hybridních identit. Tento účet musí být školním účtem nebo účtem organizace a nesmí být účtem Microsoft.
• Pokud používáte expresní nastavení nebo upgradujete z nástroje DirSync, musíte mít účet podnikového správce pro místní Active Directory.
• Pokud použijete instalační cestu vlastního nastavení, máte další možnosti. Další informace najdete v tématu Vlastní nastavení instalace.

Připojení

• Server Azure AD Connect potřebuje překlad DNS pro intranet i internet. Server DNS musí být schopen překládat názvy vašich místní Active Directory i koncových bodů Azure AD.

• Azure AD Connect vyžaduje síťové připojení ke všem nakonfigurovaným doménám.

• Azure AD Connect vyžaduje síťové připojení ke kořenové doméně všech nakonfigurovaných doménových struktur.

• Pokud máte na intranetu brány firewall a potřebujete otevřít porty mezi servery Azure AD Connect a řadiči domény, další informace najdete v tématu Azure AD Připojení portů.

• Pokud proxy server nebo brána firewall omezují, ke kterým adresám URL je možné přistupovat, je nutné otevřít adresy URL popsané v Office 365 adres URL a rozsahů IP adres. Podívejte se také na seznam bezpečných adres URL centra pro správu Microsoft Entra na bráně firewall nebo proxy serveru.

  • Pokud používáte cloud Microsoftu v Německu nebo cloud Microsoft Azure Government, přečtěte si informace o instancích synchronizační služby Azure AD Connect pro adresy URL.

• Azure AD Connect (verze 1.1.614.0 a novější) ve výchozím nastavení používá k šifrování komunikace mezi synchronizačním modulem a Azure AD protokol TLS 1.2. Pokud protokol TLS 1.2 není v podkladovém operačním systému dostupný, Azure AD Connect postupně přejde zpět na starší protokoly (TLS 1.1 a TLS 1.0). Od Azure AD Connect verze 2.0 a vyšší. Protokoly TLS 1.0 a 1.1 se už nepodporují, a pokud není povolený protokol TLS 1.2, instalace selže.

• Starší verze 1.1.614.0 používá Azure AD Connect ve výchozím nastavení k šifrování komunikace mezi synchronizačním modulem a Azure AD protokol TLS 1.0. Pokud chcete přejít na protokol TLS 1.2, postupujte podle pokynů v tématu Povolení protokolu TLS 1.2 pro Azure AD Connect.

• Pokud pro připojení k internetu používáte odchozí proxy server, musí být v souboru C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config přidáno následující nastavení pro průvodce instalací a Azure AD Připojit synchronizaci, aby se bylo možné připojit k internetu a Azure AD. Tento text musí být zadán v dolní části souboru. V tomto kódu <proxyADDRESS> představuje skutečnou IP adresu proxy serveru nebo název hostitele.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Pokud proxy server vyžaduje ověření, musí být účet služby umístěný v doméně. K zadání vlastního účtu služby použijte přizpůsobenou instalační cestu nastavení. Potřebujete také jinou změnu machine.config. Po této změně v machine.config reagují průvodce instalací a synchronizační modul na žádosti o ověření z proxy serveru. Na všech stránkách průvodce instalací, s výjimkou stránky Konfigurovat , se používají přihlašovací údaje přihlášeného uživatele. Na stránce Konfigurovat na konci průvodce instalací se kontext přepne na účet služby , který jste vytvořili. Oddíl machine.config by měl vypadat takto:

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Pokud se konfigurace proxy serveru provádí v existujícím nastavení, je potřeba službu Microsoft Azure AD Sync jednou restartovat, aby Azure AD Connect přečetla konfiguraci proxy serveru a aktualizovala chování.

• Když Azure AD Connect odešle webový požadavek do Azure AD v rámci synchronizace adresářů, může Azure AD trvat až 5 minut, než odpoví. Je běžné, že proxy servery mají konfiguraci časového limitu nečinnosti připojení. Ujistěte se, že je konfigurace nastavená alespoň na 6 minut nebo déle.

Další informace najdete na webu MSDN o výchozím elementu proxy. Další informace o problémech s připojením najdete v tématu Řešení potíží s připojením.

Jiné

Volitelné: K ověření synchronizace použijte testovací uživatelský účet.

Požadavky na komponenty

PowerShell a .NET Framework

Azure AD Connect závisí na prostředí Microsoft PowerShell 5.0 a .NET Framework 4.5.1. Na serveru potřebujete nainstalovat tuto nebo novější verzi.

Povolení protokolu TLS 1.2 pro Azure AD Connect

Starší než verze 1.1.614.0 používá Azure AD Connect ve výchozím nastavení k šifrování komunikace mezi serverem synchronizačního modulu a Azure AD protokol TLS 1.0. Ve výchozím nastavení můžete nakonfigurovat aplikace .NET tak, aby používaly protokol TLS 1.2 na serveru. Další informace o protokolu TLS 1.2 najdete v tématu Poradce pro zabezpečení společnosti Microsoft 2960358.

1. Ujistěte se, že máte pro operační systém nainstalovanou opravu hotfix .NET 4.5.1. Další informace najdete v tématu Poradce pro zabezpečení společnosti Microsoft 2960358. Tuto opravu hotfix nebo novější verzi již možná máte na serveru nainstalovanou.

2. Pro všechny operační systémy nastavte tento klíč registru a restartujte server.

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   "SchUseStrongCrypto"=dword:00000001
   

3. Pokud chcete také povolit protokol TLS 1.2 mezi serverem synchronizačního modulu a vzdáleným SQL Server, ujistěte se, že máte nainstalované požadované verze pro podporu protokolu TLS 1.2 pro Microsoft SQL Server.

Požadavky modelu DCOM na synchronizačním serveru

Během instalace synchronizační služby Azure AD Connect zkontroluje přítomnost následujícího klíče registru:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

V rámci tohoto klíče registru Azure AD Connect zkontroluje, jestli jsou k dispozici následující hodnoty, které nejsou poškozených:

• MachineAccessRestriction
• MachineLaunchRestriction
• DefaultLaunchPermission

Požadavky pro instalaci a konfiguraci federace

Vzdálená správa systému Windows

Pokud používáte Azure AD Connect k nasazení služby AD FS nebo webového proxy aplikací (WAP), zkontrolujte tyto požadavky:

• Pokud je cílový server připojený k doméně, ujistěte se, že je povolená vzdáleně spravovaná windows.
  • V příkazovém okně PowerShellu se zvýšenými oprávněními použijte příkaz Enable-PSRemoting –force.
• Pokud je cílovým serverem počítač WAP, který není připojený k doméně, existuje několik dalších požadavků:
  • Na cílovém počítači (počítač WAP):
    • Ujistěte se, že je služba Windows Remote Management/WS-Management (WinRM) spuštěná prostřednictvím modulu snap-in Služby.
    • V příkazovém okně PowerShellu se zvýšenými oprávněními použijte příkaz Enable-PSRemoting –force.
  • Na počítači, na kterém je průvodce spuštěný (pokud cílový počítač není připojený k doméně nebo je nedůvěryhodná doména):
    • V příkazovém okně PowerShellu se zvýšenými oprávněními použijte příkaz Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate.
    • Ve správci serveru:
      • Přidejte hostitele DMZ WAP do fondu počítačů. Ve správci serveru vyberte Spravovat>přidat servery a pak použijte kartu DNS .
      • Na kartě Správce serveru Všechny servery klikněte pravým tlačítkem na server WAP a vyberte Spravovat jako. Zadejte místní (nikoli doménové) přihlašovací údaje pro počítač WAP.
      • Pokud chcete ověřit vzdálené připojení PowerShellu, klikněte na kartě Správce serveru Všechny servery pravým tlačítkem na server WAP a vyberte Windows PowerShell. Měla by se otevřít vzdálená relace PowerShellu, aby bylo možné navázat vzdálené relace PowerShellu.

Požadavky na certifikát TLS/SSL

• Doporučujeme používat stejný certifikát TLS/SSL na všech uzlech farmy služby AD FS a na všech serverech webových proxy aplikací.
• Certifikát musí být certifikát X509.
• Certifikát podepsaný svým držitelem můžete použít na federačních serverech v prostředí testovacího prostředí. V produkčním prostředí doporučujeme získat certifikát od veřejné certifikační autority.
  • Pokud používáte certifikát, který není veřejně důvěryhodný, ujistěte se, že certifikát nainstalovaný na každém webovém proxy aplikací serveru je důvěryhodný na místním serveru i na všech federačních serverech.
• Identita certifikátu musí odpovídat názvu služby FS (například sts.contoso.com).
  • Identita je buď rozšířením alternativního názvu subjektu (SAN) typu dNSName, nebo pokud neexistují žádné položky SÍTĚ SAN, je název subjektu zadán jako běžný název.
  • V certifikátu může být více položek sítě SAN za předpokladu, že jedna z nich odpovídá názvu federační služby.
  • Pokud plánujete použít připojení k pracovišti, vyžaduje se další síť SAN s hodnotou enterpriseregistration. Za ní následuje přípona hlavního názvu uživatele (UPN) vaší organizace, například enterpriseregistration.contoso.com.
• Certifikáty založené na klíčích nové generace CryptoAPI (CNG) a poskytovatelích úložiště klíčů (KSP) se nepodporují. V důsledku toho musíte použít certifikát založený na poskytovateli kryptografických služeb (CSP), a ne na KSP.
• Podporují se zástupné certifikáty.

Překlad názvů pro federační servery

• Nastavte záznamy DNS pro název služby AD FS (například sts.contoso.com) pro intranet (váš interní server DNS) i extranet (veřejný DNS prostřednictvím vašeho doménového registrátora). Pro intranetový záznam DNS se ujistěte, že používáte záznamy A a ne záznamy CNAME. Aby správně fungovalo ověřování Systému Windows na počítači připojeném k doméně, vyžaduje se použití záznamů A.
• Pokud nasazujete více než jeden server služby AD FS nebo webovou proxy aplikací server, ujistěte se, že jste nakonfigurovali nástroj pro vyrovnávání zatížení a že záznamy DNS pro název služby AD FS (například sts.contoso.com) odkazují na nástroj pro vyrovnávání zatížení.
• Aby integrované ověřování windows fungovalo pro aplikace prohlížeče používající Internet Explorer v intranetu, ujistěte se, že je název služby AD FS (například sts.contoso.com) přidaný do zóny intranetu v Internet Exploreru. Tento požadavek lze řídit prostřednictvím Zásady skupiny a nasadit do všech počítačů připojených k doméně.

Podpůrné komponenty Azure AD Connect

Azure AD Connect nainstaluje následující komponenty na server, na kterém je nainstalovaný Azure AD Connect. Tento seznam je určený pro základní instalaci Expressu. Pokud se rozhodnete použít jiný SQL Server na stránce Instalace synchronizačních služeb, sql Express LocalDB se místně nenainstaluje.

• Azure AD Connect Health
• Nástroje příkazového řádku Microsoft SQL Server 2019
• Microsoft SQL Server 2019 Express LocalDB
• Nativní klient Microsoft SQL Server 2019
• balíček redistribuce Microsoft Visual C++ 14

Hardwarové požadavky pro Azure AD Connect

Následující tabulka ukazuje minimální požadavky pro synchronizační počítač Azure AD Connect.

Počet objektů ve službě Active Directory	Procesor	Memory (Paměť)	Velikost pevného disku
Méně než 10 000	1,6 GHz	6 GB	70 GB
10,000–50,000	1,6 GHz	6 GB	70 GB
50,000–100,000	1,6 GHz	16 GB	100 GB
Pro 100 000 nebo více objektů se vyžaduje plná verze SQL Server. Z důvodů výkonu se upřednostňuje místní instalace. Následující hodnoty jsou platné pouze pro instalaci Azure AD Connect. Pokud se SQL Server nainstaluje na stejný server, vyžaduje se další paměť, jednotka a procesor.
100,000–300,000	1,6 GHz	32 GB	300 GB
300,000–600,000	1,6 GHz	32 GB	450 GB
Více než 600 000	1,6 GHz	32 GB	500 GB

Minimální požadavky na počítače se službou AD FS nebo webovou proxy aplikací servery jsou:

• Procesor: Dvoujádrový 1,6 GHz nebo vyšší
• Paměť: 2 GB nebo vyšší
• Virtuální počítač Azure: Konfigurace A2 nebo vyšší

Další kroky

Přečtěte si další informace o Integrování místních identit do služby Azure Active Directory.