Vlastní instalace služby Microsoft Entra Connect

  • Článek

Vlastní nastavení v Microsoft Entra Připojení, pokud chcete další možnosti instalace. Tato nastavení použijte například v případě, že máte více doménových struktur nebo chcete konfigurovat volitelné funkce. Vlastní nastavení použijte ve všech případech, kdy expresní instalace nevyhovuje vašim potřebám nasazení nebo topologie.

Požadavky:

Vlastní nastavení instalace

Pokud chcete nastavit vlastní instalaci pro Microsoft Entra Připojení, projděte si stránky průvodce, které popisují následující části.

Expresní nastavení

Na stránce Express Nastavení vyberte Přizpůsobit, aby se spustila přizpůsobená instalace nastavení. Zbývající část tohoto článku vás provede procesem vlastní instalace. Pomocí následujících odkazů můžete rychle přejít na informace pro konkrétní stránku:

Instalace požadovaných součástí

Při instalaci synchronizačních služeb můžete nechat nepovinný konfigurační oddíl nevybraný. Microsoft Entra Připojení nastaví všechno automaticky. Nastaví instanci SQL Serveru 2019 Express LocalDB, vytvoří příslušné skupiny a přiřadí oprávnění. Pokud chcete změnit výchozí hodnoty, vyberte příslušná pole. Následující tabulka shrnuje tyto možnosti a poskytuje odkazy na další informace.

Screenshot showing optional selections for the required installation components in Microsoft Entra Connect.

Volitelná konfigurace Popis
Zadání vlastního umístění instalace Umožňuje změnit výchozí instalační cestu pro Microsoft Entra Připojení.
Použít existující server SQL Server Umožňuje zadat název a název instance SYSTÉMU SQL Server. Tuto možnost zvolte, pokud již máte databázový server, který chcete použít. Jako název instance zadejte název instance, čárku a číslo portu, pokud vaše instance SQL Serveru nemá povolené procházení. Pak zadejte název databáze Microsoft Entra Připojení. Vaše oprávnění SQL určují, jestli je možné vytvořit novou databázi, nebo jestli ji správce SQL musí vytvořit předem. Pokud máte oprávnění správce SQL Serveru (SA), přečtěte si téma Instalace nástroje Microsoft Entra Připojení pomocí existující databáze. Pokud máte delegovaná oprávnění (DBO), přečtěte si téma Instalace nástroje Microsoft Entra Připojení pomocí oprávnění delegovaného správce SQL.
Použít existující účet služby Ve výchozím nastavení microsoft Entra Připojení poskytuje virtuální účet služby pro synchronizační služby. Pokud používáte vzdálenou instanci SQL Serveru nebo používáte proxy server, který vyžaduje ověření, můžete v doméně použít účet spravované služby nebo účet služby chráněný heslem. V takových případech zadejte účet, který chcete použít. Abyste mohli spustit instalaci, musíte být správcem služby v SQL, abyste mohli vytvořit přihlašovací údaje pro účet služby. Další informace naleznete v tématu Microsoft Entra Připojení účty a oprávnění.

Pomocí nejnovějšího sestavení teď může správce SQL zřídit databázi mimo pásmo. Správce Microsoft Entra Připojení ho pak může nainstalovat s právy vlastníka databáze. Další informace naleznete v tématu Instalace nástroje Microsoft Entra Připojení pomocí oprávnění delegovaného správce SQL.
Zadat vlastní skupiny pro synchronizaci Ve výchozím nastavení při instalaci synchronizačních služeb vytvoří Microsoft Entra Připojení čtyři skupiny, které jsou místní pro server. Tyto skupiny jsou Správa istrátory, operátory, procházet a resetování hesla. Tady můžete zadat vlastní skupiny. Skupiny musí být místní na serveru. Nemůžou se nacházet v doméně.
Import nastavení synchronizace Umožní vám importovat nastavení z jiných verzí Microsoft Entra Connect. Další informace najdete v tématu Import a export nastavení konfigurace microsoft Entra Připojení.

Přihlášení uživatele

Po instalaci požadovaných komponent vyberte metodu jednotného přihlašování uživatelů. Následující tabulka stručně popisuje dostupné možnosti. Úplný popis metod přihlášení najdete v tématu Přihlášení uživatele.

Screenshot that shows the

Možnost jednotného přihlašování Popis
Synchronizace hodnot hash hesel Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelská hesla se synchronizují s Microsoft Entra ID jako hodnota hash hesla. Ověřování probíhá v cloudu. Další informace najdete v tématu Synchronizace hodnot hash hesel.
Předávací ověřování Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Hesla uživatelů se ověřují předáním do místní Active Directory řadiče domény.
Federace se službou AD FS Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelé se přesměrují na místní instanci služby Azure Directory Federation Services (AD FS), aby se mohli přihlásit. Ověřování probíhá místně.
Federace s PingFederate Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelé se přesměrují na místní instanci PingFederate, aby se mohli přihlásit. Ověřování probíhá místně.
Nekonfigurovat Není nainstalována ani nakonfigurována žádná funkce přihlašování uživatelů. Tuto možnost zvolte, pokud už máte federační server třetí strany nebo jiné řešení.
Povolení jednotného přihlašování Tato možnost je dostupná se synchronizací hodnot hash hesel i předávacím ověřováním. Poskytuje jednotné přihlašování pro desktopové uživatele v podnikových sítích. Další informace najdete v tématu Jednotné přihlašování.

Poznámka: Pro zákazníky služby AD FS není tato možnost k dispozici. Služba AD FS už nabízí stejnou úroveň jednotného přihlašování.

Připojení do Microsoft Entra ID

Na stránce Připojení id Microsoft Entra zadejte účet a heslo hybridní identity Správa istrator. Pokud jste na předchozí stránce vybrali federaci se službou AD FS , nepřihlašujte se pomocí účtu, který je v doméně, kterou chcete povolit pro federaci.

Možná budete chtít použít účet ve výchozí onmicrosoft.com doméně, která je součástí vašeho tenanta Microsoft Entra. Tento účet se používá pouze k vytvoření účtu služby v MICROSOFT Entra ID. Po dokončení instalace se nepoužívá.

Poznámka:

Osvědčeným postupem je vyhnout se používání místních synchronizovaných účtů pro přiřazení rolí Microsoft Entra. Pokud dojde k ohrožení zabezpečení místního účtu, můžete ho použít i k ohrožení prostředků Microsoft Entra. Úplný seznam osvědčených postupů najdete v části Osvědčené postupy pro role Microsoft Entra.

Screenshot showing the

Pokud má váš účet globálního Správa istratoru povolené vícefaktorové ověřování, zadejte heslo znovu v přihlašovacím okně a musíte dokončit výzvu vícefaktorového ověřování. Ověřovacím testem může být ověřovací kód nebo telefonní hovor.

Screenshot showing the

Globální účet Správa istrator může mít také povolenou správu privilegovaných identit.

Pokud chcete použít podporu ověřování pro scénáře bez hesla, jako jsou federované účty, čipové karty a scénáře MFA, můžete při spuštění průvodce zadat přepínač /InteractiveAuth . Pomocí tohoto přepínače se vynechá uživatelské rozhraní ověřování průvodce a pomocí uživatelského rozhraní knihovny MSAL zpracuje ověřování.

Pokud se zobrazí chyba nebo máte problémy s připojením, přečtěte si téma Řešení potíží s připojením.

Synchronizovat stránky

Následující části popisují stránky v oddílu Synchronizace .

Připojení adresářů

Pro připojení ke službě Doména služby Active Directory Services (AD DS) potřebuje Microsoft Entra Připojení název doménové struktury a přihlašovací údaje účtu, který má dostatečná oprávnění.

Screenshot that shows the

Jakmile zadáte název doménové struktury a vyberete Přidat adresář, zobrazí se okno. Následující tabulka popisuje možnosti.

Možnost Popis
Vytvořit nový účet Vytvořte účet služby AD DS, který microsoft Entra Připojení musí během synchronizace adresářů připojit k doménové struktuře služby Active Directory. Po výběru této možnosti zadejte uživatelské jméno a heslo pro účet podnikového správce. Microsoft Entra Připojení používá zadaný podnikový účet správce k vytvoření požadovaného účtu SLUŽBY AD DS. Část domény můžete zadat ve formátu NetBIOS nebo ve formátu plně kvalifikovaného názvu domény. To znamená, že zadejte FABRIKAM\administrator nebo fabrikam.com\administrator.
Použít existující účet Zadejte existující účet služby AD DS, který může Microsoft Entra Připojení použít pro připojení k doménové struktuře služby Active Directory během synchronizace adresářů. Část domény můžete zadat ve formátu NetBIOS nebo ve formátu plně kvalifikovaného názvu domény. To znamená, že zadejte FABRIKAM\syncuser nebo fabrikam.com\syncuser. Tento účet může být běžný uživatelský účet, protože potřebuje jenom výchozí oprávnění ke čtení. V závislosti na vašem scénáři ale možná budete potřebovat další oprávnění. Další informace naleznete v tématu Microsoft Entra Připojení účty a oprávnění.

Screenshot showing the

Poznámka:

Od buildu 1.4.18.0 nemůžete jako účet konektoru AD DS použít účet podnikového správce ani správce domény. Když vyberete Možnost Použít existující účet, pokud se pokusíte zadat účet podnikového správce nebo účet správce domény, zobrazí se následující chyba: Použití účtu správce podniku nebo domény pro účet doménové struktury AD není povolené. Nechte službu Microsoft Entra Connect, aby za vás účet vytvořila, nebo určete účet synchronizace se správnými oprávněními.“

Konfigurace přihlášení Microsoft Entra

Na stránce konfigurace přihlašování Microsoft Entra zkontrolujte domény hlavního názvu uživatele (UPN) v místní službě AD DS. Tyto domény hlavního názvu uživatele (UPN) byly ověřeny v Microsoft Entra ID. Na této stránce nakonfigurujete atribut, který se má použít pro userPrincipalName.

Screenshot showing unverified domains on the

Zkontrolujte každou doménu, která je označená jako Nepřidána nebo Neověřená. Ujistěte se, že domény, které používáte, byly ověřeny v Microsoft Entra ID. Po ověření domén vyberte ikonu cyklických aktualizací. Další informace najdete v tématu Přidání a ověření domény.

Uživatelé používají atribut userPrincipalName , když se přihlásí k MICROSOFT Entra ID a Microsoft 365. Id Microsoft Entra by mělo před synchronizací uživatelů ověřit domény, označované také jako přípona UPN. Společnost Microsoft doporučuje zachovat výchozí atribut userPrincipalName.

Pokud atribut userPrincipalName není směrovatelný a nelze jej ověřit, můžete vybrat jiný atribut. Jako atribut, který obsahuje přihlašovací ID, můžete například vybrat e-mail. Pokud používáte jiný atribut než userPrincipalName, označuje se jako alternativní ID.

Hodnota atributu alternativního ID musí dodržovat standard RFC 822. Alternativní ID můžete použít při synchronizaci hodnot hash hesel, předávacím ověřování a federaci. V Active Directory nesmí být tento atribut definovaný jako atribut s více hodnotami, a to ani když obsahuje pouze jednu hodnotu. Další informace o alternativním ID najdete v tématu Předávací ověřování: Nejčastější dotazy.

Poznámka:

Pokud povolíte předávací ověřování, musíte mít alespoň jednu ověřenou doménu, abyste mohli pokračovat vlastním procesem instalace.

Upozorňující

Alternativní ID nejsou kompatibilní se všemi úlohami Microsoftu 365. Další informace najdete v tématu Konfigurace alternativních ID přihlašování.

doména a filtrování organizační jednotky

Ve výchozím nastavení se synchronizují všechny domény a organizační jednotky. Pokud nechcete synchronizovat některé domény nebo organizační jednotky s ID Microsoft Entra, můžete zrušit příslušné výběry.

Screenshot showing the Domain and O U filtering page.

Tato stránka konfiguruje filtrování založené na doméně a organizační jednotce. Pokud chcete provést změny, přečtěte si téma Filtrování založené na doméně a filtrování založené na organizační jednotce. Některé organizační jednotky jsou pro funkce nezbytné, takže byste je měli nechat vybrané.

Pokud používáte filtrování založené na organizační jednotce s verzí Microsoft Entra Připojení starší než 1.1.524.0, nové organizační jednotky se ve výchozím nastavení synchronizují. Pokud nechcete, aby se nové organizační jednotky synchronizovaly, můžete upravit výchozí chování po kroku filtrování založeného na organizační jednotce . U microsoft Entra Připojení 1.1.524.0 nebo novější můžete určit, jestli chcete nové organizační jednotky synchronizovat.

Pokud plánujete používat filtrování založené na skupinách, ujistěte se, že je organizační jednotky se skupinou zahrnutá a není filtrovaná pomocí filtrování organizačních jednotek. Filtrování organizačních jednotek se vyhodnocuje před vyhodnocením filtrování na základě skupin.

Je také možné, že některé domény nejsou kvůli omezením brány firewall nedostupné. Tyto domény se ve výchozím nastavení nevybízejí a zobrazí upozornění.

Screenshot showing unreachable domains.

Pokud se zobrazí toto upozornění, ujistěte se, že tyto domény jsou skutečně nedostupné a že se očekává upozornění.

Jednoznačná identifikace uživatelů

Na stránce Identifikace uživatelů zvolte, jak identifikovat uživatele v místních adresářích a jak je identifikovat pomocí atributu sourceAnchor.

Vyberte způsob, jakým se mají uživatelé identifikovat v místních adresářích

Pomocí funkce Porovnávání napříč doménovými strukturami můžete definovat, jak budou uživatelé z doménových struktur služby AD DS reprezentováni v Microsoft Entra ID. Uživatel může být reprezentován pouze jednou napříč všemi doménovými strukturami nebo může mít kombinaci povolených a zakázaných účtů. Uživatel také může být v některých doménových strukturách reprezentován jako kontakt.

Screenshot showing the page where you can uniquely identify your users.

Nastavení Popis
Uživatelé jsou reprezentováni pouze jednou napříč všemi doménovými strukturami. Všichni uživatelé se vytvářejí jako jednotlivé objekty v Microsoft Entra ID. Objekty nejsou spojené v metaverse.
Atribut Mail Tato možnost spojí uživatele a kontakty, pokud má atribut mail v různých doménových strukturách stejnou hodnotu. Tuto možnost použijte, když byly kontakty vytvořeny pomocí galsync. Pokud zvolíte tuto možnost, objekty uživatelů, jejichž atribut pošty není vyplněný, se nesynchronují s MICROSOFT Entra ID.
ObjectSID a msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID – atributy Tato možnost spojí povoleného uživatele v doménové struktuře účtu se zakázaným uživatelem v doménové struktuře prostředku. V systému Exchange se tato konfigurace označuje jako propojená poštovní schránka. Tuto možnost můžete použít, pokud používáte jenom Lync a exchange není v doménové struktuře prostředků.
Atributy SAMAccountName a MailNickName Tato možnost se připojí k atributům, u kterých se očekává, že se najde PŘIHLAŠOVACÍ ID uživatele.
Volba konkrétního atributu Tato možnost umožňuje vybrat vlastní atribut. Pokud zvolíte tuto možnost, objekty uživatele, jejichž (vybraný) atribut není vyplněný, nejsou synchronizovány s Microsoft Entra ID. Omezení: Pro tuto možnost jsou k dispozici pouze atributy, které jsou již v metaverzi.

Výběr způsobu identifikace uživatelů pomocí zdrojového ukotvení

Atribut sourceAnchor je neměnný během životnosti objektu uživatele. Je to primární klíč, který propojuje místního uživatele s uživatelem v Microsoft Entra ID.

Nastavení Popis
Umožnění správě zdrojového ukotvení v Azure Tuto možnost vyberte, pokud chcete, aby ID Microsoft Entra vybral atribut za vás. Pokud vyberete tuto možnost, Microsoft Entra Připojení použije logiku výběru atributu sourceAnchor popsanou v tématu Použití ms-DS-ConsistencyGuid jako sourceAnchor. Po dokončení vlastní instalace uvidíte, který atribut byl vybrán jako atribut sourceAnchor.
Volba konkrétního atributu Tuto možnost vyberte, pokud chcete jako atribut sourceAnchor zadat existující atribut AD.

Protože atribut sourceAnchor nelze změnit, musíte zvolit příslušný atribut. Jednou z vhodných možností je objectGUID. Tento atribut se nezmění, pokud se uživatelský účet nepřesune mezi doménovými strukturami nebo doménami. Nevybírejte atributy, které se můžou změnit, když se osoba ožení nebo změní přiřazení.

Nemůžete použít atributy, které obsahují znak at (@), takže nemůžete používat e-mail a userPrincipalName. Atribut rozlišuje také malá a velká písmena, takže při přesouvání objektu mezi doménovými strukturami nezapomeňte zachovat velká a malá písmena. Binární atributy jsou kódovány base64, ale jiné typy atributů zůstávají ve svém nekódovaném stavu.

V federačních scénářích a některých rozhraních Microsoft Entra ID se atribut sourceAnchor označuje také jako neměnné ID.

Další informace o zdrojovém ukotvení najdete v tématu Koncepty návrhu.

Filtrování synchronizace podle skupin

Funkce filtrování skupin umožňuje synchronizovat pouze malou podmnožinu objektů pro pilotní nasazení. Pokud chcete tuto funkci použít, vytvořte skupinu pro tento účel ve vaší místní instanci služby Active Directory. Pak přidejte uživatele a skupiny, které by se měly synchronizovat s ID Microsoft Entra jako přímí členové. Později můžete přidat uživatele nebo odebrat uživatele z této skupiny, abyste zachovali seznam objektů, které by měly být přítomné v Microsoft Entra ID.

Všechny objekty, které chcete synchronizovat, musí být přímými členy skupiny. Uživatelé, skupiny, kontakty a počítače nebo zařízení musí být všichni přímí členové. Vnořené členství ve skupině se nevyřeší. Když přidáte skupinu jako člena, přidá se jenom samotná skupina. Jeho členové nejsou přidáni.

Screenshot showing the page where you can choose how to filter users and devices.

Upozorňující

Tato funkce je určená k podpoře pouze pilotního nasazení. Nepoužívejte ho v plném produkčním nasazení.

V plném produkčním nasazení by bylo obtížné udržovat jednu skupinu a všechny její objekty k synchronizaci. Místo funkce filtrování skupin použijte jednu z metod popsaných v tématu Konfigurace filtrování.

Volitelné funkce

Na další stránce můžete pro svůj scénář vybrat volitelné funkce.

Upozorňující

Microsoft Entra Připojení verze 1.0.8641.0 a starší spoléhají na službu Azure Access Control Service pro zpětný zápis hesla. Tato služba byla vyřazena 7. listopadu 2018. Pokud používáte některou z těchto verzí microsoft Entra Připojení a povolili zpětný zápis hesla, uživatelé můžou při vyřazení služby přijít o možnost změnit nebo resetovat svá hesla. Tyto verze Microsoft Entra Připojení nepodporují zpětný zápis hesla.

Pokud chcete použít zpětný zápis hesla, stáhněte si nejnovější verzi microsoft Entra Připojení.

Screenshot showing the

Upozorňující

Pokud je aktivní synchronizace Azure AD nebo přímá synchronizace (DirSync), neaktivujte žádné funkce zpětného zápisu v Microsoft Entra Připojení.

Volitelné funkce Popis
Hybridní nasazení Exchange Funkce hybridního nasazení Exchange umožňuje koexistenci poštovních schránek Exchange v místním prostředí i v Microsoftu 365. Microsoft Entra Připojení synchronizuje konkrétní sadu atributů z Microsoft Entra zpět do místního adresáře.
Veřejné složky pošty Exchange Funkce veřejných složek pošty Exchange umožňuje synchronizovat objekty veřejné složky s podporou pošty z místní instance služby Active Directory do Microsoft Entra ID. Mějte na paměti, že není podporována synchronizace skupin, které obsahují veřejné složky jako členy, a pokus o to bude mít za následek chybu synchronizace.
Filtrování aplikací a atributů Microsoft Entra Když povolíte filtrování aplikací a atributů Microsoft Entra, můžete sadu synchronizovaných atributů přizpůsobit. Tato možnost rozšíří průvodce o další dvě stránky konfigurace. Další informace naleznete v tématu Microsoft Entra app and attribute filtering.
Synchronizace hodnot hash hesel Pokud jste jako řešení přihlašování vybrali federaci, můžete povolit synchronizaci hodnot hash hesel. Pak ho můžete použít jako možnost zálohování.

Pokud jste vybrali předávací ověřování, můžete tuto možnost povolit, abyste zajistili podporu starších klientů a poskytli zálohu.

Další informace najdete v tématu Synchronizace hodnot hash hesel.
Zpětný zápis hesla Pomocí této možnosti se ujistěte, že se změny hesel pocházející z ID Microsoft Entra zapisují zpět do místního adresáře. Další informace najdete v tématu Začínáme se správou hesel.
Zpětný zápis skupin Pokud používáte Skupiny Microsoft 365, můžete reprezentovat skupiny ve vaší místní instanci služby Active Directory. Tato možnost je dostupná jenom v případě, že máte Exchange v místní instanci služby Active Directory. Další informace naleznete v tématu Microsoft Entra Připojení zpětný zápis skupiny.
Zpětný zápis zařízení Pro scénáře podmíněného přístupu použijte tuto možnost k zápisu objektů zařízení v Microsoft Entra ID do místní instance služby Active Directory. Další informace naleznete v tématu Povolení zpětného zápisu zařízení v Microsoft Entra Připojení.
Synchronizace atributů rozšíření adresáře Tuto možnost vyberte, pokud chcete synchronizovat zadané atributy s ID Microsoft Entra. Další informace najdete v tématu Rozšíření adresáře.

Filtrování aplikací a atributů Microsoft Entra

Pokud chcete omezit, které atributy se synchronizují s ID Microsoft Entra, začněte výběrem služeb, které používáte. Pokud změníte výběry na této stránce, musíte explicitně vybrat novou službu opětovným spuštěním průvodce instalací.

Screenshot showing optional Microsoft Entra apps features.

Na základě služeb, které jste vybrali v předchozím kroku, se na této stránce zobrazují všechny atributy, které jsou synchronizované. Tento seznam je kombinací všech typů objektů, které se synchronizují. Pokud potřebujete, aby některé atributy zůstaly nesynchronizované, můžete výběr z těchto atributů vymazat.

Screenshot showing optional Microsoft Entra attributes features.

Upozorňující

Odebrání atributů může ovlivnit funkčnost. Osvědčené postupy a doporučení najdete v tématu Atributy, které se mají synchronizovat.

Synchronizace atributů rozšíření adresáře

Schéma v Microsoft Entra ID můžete rozšířit pomocí vlastních atributů, které vaše organizace přidala, nebo pomocí jiných atributů ve službě Active Directory. Pokud chcete tuto funkci použít, vyberte na stránce Volitelné funkce synchronizaci atributů rozšíření adresáře. Na stránce Rozšíření adresáře můžete vybrat další atributy, které se mají synchronizovat.

Poznámka:

V poli Dostupné atributy se rozlišují malá a velká písmena .

Screenshot showing the

Další informace najdete v tématu Rozšíření adresáře.

Povolení jednotného přihlašování

Na stránce jednotného přihlašování nakonfigurujete jednotné přihlašování pro použití se synchronizací hesel nebo předávacím ověřováním. Tento krok provedete jednou pro každou doménovou strukturu, která se synchronizuje s ID Microsoft Entra. Konfigurace zahrnuje dva kroky:

  1. Vytvořte potřebný účet počítače ve vaší místní instanci služby Active Directory.
  2. Nakonfigurujte zónu intranetu klientských počítačů tak, aby podporovala jednotné přihlašování.

Vytvoření účtu počítače ve službě Active Directory

Pro každou doménovou strukturu přidanou v Microsoft Entra Připojení musíte zadat přihlašovací údaje správce domény, aby se účet počítače mohl vytvořit v každé doménové struktuře. Přihlašovací údaje slouží pouze k vytvoření účtu. Neukládají se ani nepoužívají pro žádnou jinou operaci. Na stránce Povolit jednotné přihlašování přidejte přihlašovací údaje, jak ukazuje následující obrázek.

Screenshot showing the

Poznámka:

Doménové struktury můžete přeskočit tam, kde nechcete používat jednotné přihlašování.

Konfigurace zóny intranetu pro klientské počítače

Pokud chcete zajistit, aby se klient přihlašuje automaticky v zóně intranetu, ujistěte se, že je adresa URL součástí zóny intranetu. Tento krok zajistí, že počítač připojený k doméně automaticky odešle lístek Kerberos do Microsoft Entra ID, když je připojený k podnikové síti.

Na počítači s nástroji pro správu zásad skupiny:

  1. Otevřete nástroje pro správu zásad skupiny.

  2. Upravte zásady skupiny, které se použijí pro všechny uživatele. Například výchozí zásady domény.

  3. Přejděte na stránku Konfigurace> uživatele Správa istrativní šablony>komponent>systému Windows Internet Explorer>Internet Ovládací panely> Security. Pak vyberte Web do seznamu přiřazení zóny.

  4. Povolte zásadu. Potom v dialogovém okně zadejte název https://autologon.microsoftazuread-sso.comhodnoty a https://aadg.windows.net.nsatc.net hodnotu 1 pro obě adresy URL. Nastavení by mělo vypadat jako na následujícím obrázku.

    Screenshot showing intranet zones.

  5. Dvakrát vyberte OK .

Konfigurace federace se službou AD FS

Službu AD FS můžete nakonfigurovat pomocí nástroje Microsoft Entra Připojení několika kliknutími. Než začnete, potřebujete:

  • Windows Server 2012 R2 nebo novější pro federační server Měla by být povolená vzdálená správa.
  • Windows Server 2012 R2 nebo novější pro webový proxy aplikací server. Měla by být povolená vzdálená správa.
  • Certifikát TLS/SSL pro název federační služby, který chcete použít (například sts.contoso.com).

Poznámka:

Certifikát TLS/SSL pro farmu služby AD FS můžete aktualizovat pomocí nástroje Microsoft Entra Připojení i v případě, že ho nepoužíváte ke správě vztahu důvěryhodnosti federace.

Požadavky na konfiguraci služby AD FS

Pokud chcete nakonfigurovat farmu služby AD FS pomocí nástroje Microsoft Entra Připojení, ujistěte se, že je na vzdálených serverech povolená služba WinRM. Ujistěte se, že jste dokončili další úlohy v požadavcích federace. Ujistěte se také, že dodržujete požadavky na porty uvedené v tabulce serverů Microsoft Entra Připojení a Federation/WAP.

Vytvoření nové farmy služby AD FS nebo použití existující farmy služby AD FS

Můžete použít existující farmu služby AD FS nebo vytvořit novou. Pokud se rozhodnete vytvořit nový, musíte zadat certifikát TLS/SSL. Pokud je certifikát TLS/SSL chráněný heslem, zobrazí se výzva k zadání hesla.

Screenshot showing the

Pokud se rozhodnete použít existující farmu služby AD FS, zobrazí se stránka, na které můžete nakonfigurovat vztah důvěryhodnosti mezi službou AD FS a ID Microsoft Entra.

Poznámka:

Microsoft Entra Připojení můžete použít ke správě pouze jedné farmy služby AD FS. Pokud máte existující vztah důvěryhodnosti federace, ve kterém je ve vybrané farmě služby AD FS nakonfigurované ID Microsoft Entra, microsoft Entra Připojení znovu vytvoří vztah důvěryhodnosti od začátku.

Zadání serverů služby AD FS

Zadejte servery, na které chcete službu AD FS nainstalovat. V závislosti na vašich potřebách kapacity můžete přidat jeden nebo více serverů. Před nastavením této konfigurace připojte všechny servery SLUŽBY AD FS ke službě Active Directory. Tento krok není nutný pro servery webových proxy aplikací.

Společnost Microsoft doporučuje instalaci jednoho serveru služby AD FS pro zkušební a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery, které vyhovují vašim potřebám škálování, spuštěním nástroje Microsoft Entra Připojení znovu.

Poznámka:

Před nastavením této konfigurace se ujistěte, že jsou všechny vaše servery připojené k doméně Microsoft Entra.

Screenshot showing the

Zadání proxy serverů webových aplikací

Zadejte webové proxy aplikací servery. Webový proxy aplikací server se nasadí do hraniční sítě, která se nachází na extranetu. Podporuje žádosti o ověření z extranetu. V závislosti na vašich potřebách kapacity můžete přidat jeden nebo více serverů.

Microsoft doporučuje nainstalovat jeden webový proxy aplikací server pro testovací a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery, které vyhovují vašim potřebám škálování, spuštěním nástroje Microsoft Entra Připojení znovu. Doporučujeme, abyste měli odpovídající počet proxy serverů, které vyhovují ověřování z intranetu.

Poznámka:

  • Pokud účet, který používáte, není místním správcem na webových proxy aplikací serverech, zobrazí se výzva k zadání přihlašovacích údajů správce.
  • Než zadáte webové proxy aplikací servery, ujistěte se, že existuje připojení HTTP/HTTPS mezi serverem Microsoft Entra Připojení a serverem webového proxy aplikací.
  • Ujistěte se, že mezi serverem webových aplikací a serverem služby AD FS existuje připojení HTTP/HTTPS, aby bylo možné předávat požadavky na ověřování.

Screenshot showing the Web Application Proxy servers page.

Zobrazí se výzva k zadání přihlašovacích údajů, aby server webové aplikace mohl navázat zabezpečené připojení k serveru SLUŽBY AD FS. Tyto přihlašovací údaje musí být pro účet místního správce na serveru SLUŽBY AD FS.

Screenshot showing the

Zadání účtu služby AD FS

Služba AD FS vyžaduje účet doménové služby k ověřování uživatelů a vyhledávání informací o uživatelích ve službě Active Directory. Podporuje dva typy účtů služeb:

  • Skupinový účet spravované služby: Tento typ účtu byl zaveden do služby AD DS systémem Windows Server 2012. Tento typ účtu poskytuje služby, jako je služba AD FS. Jedná se o jeden účet, ve kterém nemusíte pravidelně aktualizovat heslo. Tuto možnost použijte, pokud se řadiče domény systému Windows Server 2012 už nacházejí v doméně, do které patří server služby AD FS.
  • Uživatelský účet domény: Tento typ účtu vyžaduje, abyste zadali heslo a pravidelně ho aktualizovali, jakmile vyprší jeho platnost. Tuto možnost použijte jenom v případě, že nemáte řadiče domény s Windows Serverem 2012 v doméně, do které patří vaše servery SLUŽBY AD FS.

Pokud jste vybrali možnost Vytvořit skupinový účet spravované služby a tato funkce se nikdy nepoužila ve službě Active Directory, zadejte přihlašovací údaje podnikového správce. Tyto přihlašovací údaje slouží k inicializaci úložiště klíčů a povolení této funkce ve službě Active Directory.

Poznámka:

Microsoft Entra Připojení zkontroluje, jestli je služba AD FS již zaregistrovaná jako hlavní název služby (SPN) v doméně. Služba AD DS neumožňuje registraci duplicitních hlavních názvů služeb najednou. Pokud se najde duplicitní hlavní název služby (SPN), nebudete moct pokračovat, dokud se hlavní název služby neodebere.

Screenshot showing the

Vyberte doménu Microsoft Entra, kterou chcete federovat.

Na stránce Microsoft Entra Domain můžete nastavit vztah federace mezi AD FS a ID Microsoft Entra. Tady nakonfigurujete službu AD FS tak, aby poskytovala tokeny zabezpečení pro ID Microsoft Entra. Nakonfigurujete také ID Microsoft Entra tak, aby důvěřoval tokenům z této instance služby AD FS.

Na této stránce můžete v počáteční instalaci nakonfigurovat jenom jednu doménu. Další domény můžete později nakonfigurovat tak, že znovu spustíte Microsoft Entra Připojení.

Screenshot that shows the

Ověření domény Microsoft Entra vybrané pro federaci

Když vyberete doménu, kterou chcete federovat, microsoft Entra Připojení poskytuje informace, které můžete použít k ověření neověřené domény. Další informace najdete v tématu Přidání a ověření domény.

Screenshot showing the

Poznámka:

Microsoft Entra Připojení se pokusí ověřit doménu během fáze konfigurace. Pokud nepřidáte potřebné záznamy DNS (Domain Name System), není možné konfiguraci dokončit.

Konfigurace federace s PingFederate

PingFederate můžete nakonfigurovat pomocí nástroje Microsoft Entra Připojení několika kliknutími. Jsou vyžadovány následující požadavky:

Ověření domény

Po nastavení federace pomocí PingFederate se zobrazí výzva k ověření domény, kterou chcete federovat. V rozevírací nabídce vyberte doménu.

Screenshot that shows the

Export nastavení PingFederate

Nakonfigurujte PingFederate jako federační server pro každou federovanou doménu Azure. Chcete-li tyto informace sdílet se správcem PingFederate, vyberte exportovat Nastavení. Správce federačního serveru aktualizuje konfiguraci a pak poskytne adresu URL serveru PingFederate a číslo portu, aby microsoft Entra Připojení mohl ověřit nastavení metadat.

Screenshot showing the

Případné problémy s ověřením řešte se správcem PingFederate. Následující obrázek ukazuje informace o serveru PingFederate, který nemá platný vztah důvěryhodnosti s Azure.

Screenshot showing server information: The PingFederate server was found, but the service provider connection for Azure is missing or disabled.

Ověření připojení federace

Microsoft Entra Připojení se pokusí ověřit koncové body ověřování, které načítá z metadat PingFederate v předchozím kroku. Microsoft Entra Připojení se nejprve pokusí přeložit koncové body pomocí místních serverů DNS. Dále se pokusí přeložit koncové body pomocí externího poskytovatele DNS. Případné problémy s ověřením řešte se správcem PingFederate.

Screenshot showing the

Ověření přihlášení k federaci

Nakonec můžete ověřit nově nakonfigurovaný tok přihlášení federace tím, že se přihlásíte k federované doméně. Pokud se vaše přihlášení podaří, pak se federace s PingFederate úspěšně nakonfiguruje.

Screenshot showing the

Konfigurace a ověření stránek

Konfigurace se provede na stránce Konfigurace .

Poznámka:

Pokud jste nakonfigurovali federaci, ujistěte se, že jste ještě před pokračováním v instalaci nakonfigurovali překlad názvů pro federační servery .

Screenshot showing the

Použití pracovního režimu

Nový synchronizační server je možné nastavit paralelně s pracovním režimem. Pokud chcete použít toto nastavení, může v cloudu exportovat jenom jeden synchronizační server do jednoho adresáře. Pokud ale chcete přejít z jiného serveru, například ze serveru se systémem DirSync, můžete povolit Microsoft Entra Připojení v pracovním režimu.

Když povolíte přípravnou instalaci, synchronizační modul importuje a synchronizuje data jako obvykle. Exportuje ale žádná data do Microsoft Entra ID ani služby Active Directory. V pracovním režimu je funkce synchronizace hesel a funkce zpětného zápisu hesla zakázaná.

Screenshot showing the

V pracovním režimu můžete provést požadované změny synchronizačního modulu a zkontrolovat, co se bude exportovat. Když jste s konfigurací spokojeni, znovu spusťte průvodce instalací a vypněte pracovní režim.

Data se teď exportují do MICROSOFT Entra ID ze serveru. Nezapomeňte současně zakázat druhý server tak, aby pouze jeden server prováděl aktivní export.

Další informace najdete v tématu Pracovní režim.

Ověření konfigurace federace

Microsoft Entra Připojení při výběru tlačítka Ověřit ověří nastavení DNS. Zkontroluje následující nastavení:

  • Připojení k intranetu
    • Řešení plně kvalifikovaného názvu domény federace: Microsoft Entra Připojení zkontroluje, jestli dns dokáže přeložit plně kvalifikovaný název domény federace, aby se zajistilo připojení. Pokud Microsoft Entra Připojení nemůže přeložit plně kvalifikovaný název domény, ověření se nezdaří. Pokud chcete dokončit ověření, ujistěte se, že pro plně kvalifikovaný název domény federační služby existuje záznam DNS.
    • Záznam DNS A: Microsoft Entra Připojení zkontroluje, jestli má vaše federační služba záznam A. Pokud záznam A chybí, ověření selže. K dokončení ověření vytvořte záznam A (ne záznam CNAME) pro plně kvalifikovaný název domény federace.
  • Extranetové připojení

    • Řešení plně kvalifikovaného názvu domény federace: Microsoft Entra Připojení zkontroluje, jestli dns dokáže přeložit plně kvalifikovaný název domény federace, aby se zajistilo připojení.

      Screenshot showing the

      Screenshot showing the

Pokud chcete ověřit kompletní ověřování, proveďte ručně jeden nebo více následujících testů:

  • Po dokončení synchronizace použijte v Microsoft Entra Připojení další úlohu Ověření federovaného přihlášení k ověření ověřování pro místní uživatelský účet, který zvolíte.
  • Z počítače připojeného k doméně na intranetu se ujistěte, že se můžete přihlásit z prohlížeče. Připojení do https://myapps.microsoft.com. Pak pomocí přihlášeného účtu ověřte přihlášení. Integrovaný účet správce služby AD DS není synchronizovaný a nemůžete ho použít k ověření.
  • Ujistěte se, že se můžete přihlásit ze zařízení v extranetu. Na domácím počítači nebo mobilním zařízení se připojte k https://myapps.microsoft.comzařízení . Pak zadejte svoje přihlašovací údaje.
  • Ověřte přihlášení plně funkčního klienta. Připojení do https://testconnectivity.microsoft.com. Pak vyberte Test jednotného přihlašování k Office 365>Office 365.

Odstraňování potíží

Tato část obsahuje informace o řešení potíží, které můžete použít, pokud máte potíže při instalaci microsoft Entra Připojení.

Když přizpůsobíte instalaci microsoft Entra Připojení, můžete na stránce Instalovat požadované součásti vybrat Možnost Použít existující SQL Server. Může se zobrazit následující chyba: Databáze ADSync již obsahuje data a nelze ji přepsat. Odeberte existující databázi a zkuste to znovu."

Screenshot that shows the

Tato chyba se zobrazí, protože databáze s názvem ADSync již existuje v instanci SQL Serveru, kterou jste zadali.

Obvykle se tato chyba zobrazí po odinstalaci nástroje Microsoft Entra Připojení. Databáze se neodstraní z počítače, na kterém běží SQL Server při odinstalaci nástroje Microsoft Entra Připojení.

Tento problém vyřešíte takto:

  1. Zkontrolujte databázi ADSync, kterou microsoft Entra Připojení před odinstalací. Ujistěte se, že se databáze už nepoužívá.

  2. Zálohujte databázi.

  3. Odstraňte databázi:

    1. Pomocí aplikace Microsoft SQL Server Management Studio se připojte k instanci SQL.
    2. Vyhledejte databázi ADSync a klikněte na ni pravým tlačítkem myši.
    3. V místní nabídce vyberte Odstranit.
    4. Pokud chcete databázi odstranit, vyberte OK .

Screenshot showing Microsoft SQL Server Management Studio. A D Sync is selected.

Po odstranění databáze ADSync vyberte Nainstalovat a zkuste instalaci zopakovat.

Další kroky

Po dokončení instalace se odhlaste z Windows. Potom se znovu přihlaste, než použijete Synchronizační Service Manager nebo Editor synchronizačních pravidel.

Teď, když jste nainstalovali Microsoft Entra Připojení, můžete ověřit instalaci a přiřadit licence.

Další informace o funkcích, které jste povolili během instalace, naleznete v tématu Prevence náhodných odstranění a Microsoft Entra Připojení Health.

Další informace o dalších běžných tématech najdete v tématu Microsoft Entra Připojení Sync: Scheduler a integrace místních identit s Microsoft Entra ID.