Vlastní instalace služby Azure Active Directory Connect
Použijte vlastní nastavení v Azure Active Directory (Azure AD) Connect, pokud chcete další možnosti instalace. Tato nastavení použijte například v případě, že máte více doménových struktur nebo pokud chcete nakonfigurovat volitelné funkce. Vlastní nastavení používejte ve všech případech, kdy expresní instalace nevyhovuje vašim požadavkům nasazení nebo topologie.
Požadavky:
- Stáhněte si Azure AD Connect.
- Proveďte požadované kroky v tématu Azure AD Connect: Hardware a požadavky.
- Ujistěte se, že máte účty popsané v tématu účty a oprávnění Azure AD Connect.
Vlastní nastavení instalace
Pokud chcete nastavit vlastní instalaci pro Azure AD Connect, projděte si stránky průvodce popsané v následujících částech.
Expresní nastavení
Na stránce Expresní nastavení vyberte Přizpůsobit a spusťte instalaci přizpůsobeného nastavení. Zbývající část tohoto článku vás provede procesem vlastní instalace. Pomocí následujících odkazů rychle přejdete na informace o konkrétní stránce:
Instalace požadovaných součástí
Při instalaci synchronizačních služeb můžete ponechat volitelný konfigurační oddíl nevybraný. Azure AD Connect všechno nastaví automaticky. Nastaví instanci SQL Server 2019 Express LocalDB, vytvoří příslušné skupiny a přiřadí oprávnění. Pokud chcete změnit výchozí hodnoty, vyberte příslušná pole. Následující tabulka shrnuje tyto možnosti a obsahuje odkazy na další informace.
| Volitelná konfigurace | Description |
|---|---|
| Určení vlastního umístění instalace | Umožňuje změnit výchozí instalační cestu pro Azure AD Connect. |
| Použít existující server SQL Server | Umožňuje zadat název SQL Server a název instance. Tuto možnost vyberte, pokud už máte databázový server, který chcete použít. Jako Název instance zadejte název instance, čárku a číslo portu, pokud vaše SQL Server instance nemá povolené procházení. Pak zadejte název databáze Azure AD Connect. Vaše oprávnění SQL určují, jestli je možné vytvořit novou databázi nebo jestli ji musí vytvořit správce SQL předem. Pokud máte oprávnění správce SQL Server, přečtěte si téma Instalace Azure AD Připojení pomocí existující databáze. Pokud máte delegovaná oprávnění, přečtěte si téma Instalace Azure AD Připojení pomocí oprávnění delegovaného správce SQL. |
| Použít existující účet služby | Ve výchozím nastavení Azure AD Connect poskytuje účet virtuální služby pro synchronizační služby. Pokud používáte vzdálenou instanci SQL Server nebo proxy server, který vyžaduje ověření, můžete v doméně použít účet spravované služby nebo účet služby chráněný heslem. V takových případech zadejte účet, který chcete použít. Pokud chcete spustit instalaci, musíte být správcem služby v SQL, abyste mohli vytvořit přihlašovací údaje pro účet služby. Další informace najdete v tématu Azure AD Připojení účtů a oprávnění. Pomocí nejnovějšího sestavení teď může správce SQL databázi zřídit mimo pásmo. Správce Azure AD Connect ho pak může nainstalovat s právy vlastníka databáze. Další informace najdete v tématu Instalace Azure AD Connect pomocí oprávnění delegovaného správce SQL. |
| Zadat vlastní skupiny pro synchronizaci | Ve výchozím nastavení při instalaci synchronizačních služeb vytvoří Azure AD Connect čtyři skupiny, které jsou místní pro server. Tyto skupiny jsou Správci, Operátoři, Procházet a Resetování hesel. Tady můžete zadat vlastní skupiny. Skupiny musí být místní na serveru. Nemůžou být umístěné v doméně. |
| Import nastavení synchronizace | Umožní vám importovat nastavení z jiných verzí Azure AD Connect. Další informace najdete v tématu Import a export nastavení konfigurace Azure AD Connect. |
Přihlášení uživatele
Po instalaci požadovaných komponent vyberte metodu jednotného přihlašování uživatelů. Následující tabulka stručně popisuje dostupné možnosti. Úplný popis metod přihlášení najdete v tématu Přihlášení uživatele.
| Možnost jednotného přihlašování | Description |
|---|---|
| Synchronizace hodnot hash hesel | Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Hesla uživatelů se synchronizují do Azure AD jako hodnota hash hesla. Ověřování probíhá v cloudu. Další informace najdete v tématu Synchronizace hodnot hash hesel. |
| Předávací ověřování | Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Hesla uživatelů se ověřují předáním do řadiče domény místní Active Directory. |
| Federace se službou AD FS | Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelé se přesměrují k přihlášení do místní instance služby Azure Directory Federation Services (AD FS). Ověřování probíhá místně. |
| Federace s PingFederate | Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelé se přesměrují do místní instance PingFederate, aby se mohli přihlásit. Ověřování probíhá místně. |
| Nekonfigurovat | Není nainstalovaná ani nakonfigurovaná žádná funkce přihlašování uživatelů. Tuto možnost vyberte, pokud už máte federační server třetí strany nebo jiné řešení. |
| Povolení jednotného přihlašování | Tato možnost je k dispozici při synchronizaci hodnot hash hesel i při předávacím ověřování. Poskytuje jednotné přihlašování pro uživatele stolních počítačů v podnikových sítích. Další informace najdete v tématu Jednotné přihlašování. Poznámka: Pro zákazníky se službou AD FS tato možnost není k dispozici. Služba AD FS už nabízí stejnou úroveň jednotného přihlašování. |
Připojení k Azure AD
Na stránce Připojit k Azure AD zadejte účet a heslo správce hybridních identit. Pokud jste na předchozí stránce vybrali Federace se službou AD FS , nepřihlašujte se pomocí účtu v doméně, kterou chcete povolit pro federaci.
Možná budete chtít použít účet ve výchozí doméně onmicrosoft.com, která je součástí vašeho tenanta Azure AD. Tento účet slouží pouze k vytvoření účtu služby v Azure AD. Po dokončení instalace se nepoužívá.
Poznámka
Osvědčeným postupem je vyhnout se používání místních synchronizovaných účtů pro Azure AD přiřazení rolí. Pokud dojde k ohrožení zabezpečení místního účtu, můžete ho použít i k ohrožení Azure AD prostředků. Úplný seznam osvědčených postupů najdete v tématu Osvědčené postupy pro Azure AD rolí.
Pokud má váš účet globálního správce povolené vícefaktorové ověřování, zadejte heslo znovu v přihlašovacím okně a musíte dokončit výzvu vícefaktorového ověřování. Ověřovacím testem může být ověřovací kód nebo telefonní hovor.
Účet globálního správce může mít také povolenou správu privilegovaných identit .
Pokud chcete použít podporu ověřování ve scénářích bez hesla, jako jsou federované účty, čipové karty a scénáře vícefaktorového ověřování, můžete při spuštění průvodce zadat přepínač /InteractiveAuth . Pomocí tohoto přepínače se vyhnete uživatelskému rozhraní průvodce pro ověřování a použijete uživatelské rozhraní knihovny MSAL ke zpracování ověřování.
Pokud se zobrazí chyba nebo máte problémy s připojením, přečtěte si téma Řešení potíží s připojením.
Synchronizovat stránky
Následující části popisují stránky v části Synchronizace .
Připojení adresářů
Pro připojení ke službě Active Directory Domain Services (AD DS) potřebuje Azure AD Connect název doménové struktury a přihlašovací údaje účtu, který má dostatečná oprávnění.
Po zadání názvu doménové struktury a výběru možnosti Přidat adresář se zobrazí okno. Následující tabulka popisuje vaše možnosti.
| Možnost | Popis |
|---|---|
| Vytvořit nový účet | Vytvořte účet služby AD DS, který Azure AD Connect potřebuje k připojení k doménové struktuře služby Active Directory během synchronizace adresářů. Po výběru této možnosti zadejte uživatelské jméno a heslo pro účet podnikového správce. Azure AD Connect použije zadaný účet podnikového správce k vytvoření požadovaného účtu služby AD DS. Část domény můžete zadat buď ve formátu NetBIOS, nebo ve formátu plně kvalifikovaného názvu domény. To znamená, že zadejte FABRIKAM\administrator nebo fabrikam.com\administrator. |
| Použít existující účet | Zadejte existující účet služby AD DS, který Azure AD Connect může použít k připojení k doménové struktuře služby Active Directory během synchronizace adresářů. Část domény můžete zadat buď ve formátu NetBIOS, nebo ve formátu plně kvalifikovaného názvu domény. To znamená, že zadejte FABRIKAM\syncuser nebo fabrikam.com\syncuser. Tento účet může být běžný uživatelský účet, protože potřebuje jenom výchozí oprávnění ke čtení. V závislosti na vašem scénáři ale možná budete potřebovat další oprávnění. Další informace najdete v tématu Azure AD Připojení účtů a oprávnění. |
Poznámka
Od buildu 1.4.18.0 nemůžete jako účet konektoru služby AD DS použít účet podnikového správce nebo správce domény. Když vyberete Možnost Použít existující účet a pokusíte se zadat účet podnikového správce nebo účet správce domény, zobrazí se následující chyba: "Použití účtu podnikového správce nebo účtu správce domény pro účet doménové struktury AD není povoleno. Nechte službu Azure AD Connect, aby za vás účet vytvořila, nebo určete účet synchronizace se správnými oprávněními.“
Konfigurace přihlášení k Azure AD
Na stránce konfigurace přihlášení Azure AD zkontrolujte domény hlavního názvu uživatele (UPN) v místní službě AD DS. Tyto domény hlavního názvu uživatele (UPN) byly ověřeny v Azure AD. Na této stránce nakonfigurujete atribut, který se má použít pro userPrincipalName.
Zkontrolujte každou doménu, která je označená jako Nepřidáno nebo Neověřeno. Ujistěte se, že domény, které používáte, jsou ověřené v Azure AD. Po ověření domén vyberte ikonu cyklické aktualizace. Další informace najdete v tématu Přidání a ověření domény.
Uživatelé používají atribut userPrincipalName, když se přihlašují k Azure AD a Microsoft 365. Azure AD by měly před synchronizací uživatelů ověřit domény, označované také jako přípona hlavního názvu uživatele (UPN). Microsoft doporučuje zachovat výchozí atribut userPrincipalName.
Pokud je atribut userPrincipalName nesměrovatelný a nejde ho ověřit, můžete vybrat jiný atribut. Jako atribut, který obsahuje přihlašovací ID, můžete například vybrat e-mail. Pokud použijete jiný atribut než userPrincipalName, označuje se jako alternativní ID.
Hodnota atributu alternativního ID musí dodržovat standard RFC 822. Alternativní ID můžete použít při synchronizaci hodnot hash hesel, předávacím ověřování a federaci. V Active Directory nesmí být tento atribut definovaný jako atribut s více hodnotami, a to ani když obsahuje pouze jednu hodnotu. Další informace o alternativním ID najdete v tématu Předávací ověřování: Nejčastější dotazy.
Poznámka
Pokud povolíte předávací ověřování, musíte mít alespoň jednu ověřenou doménu, abyste mohli pokračovat v procesu vlastní instalace.
Upozornění
Alternativní ID nejsou kompatibilní se všemi úlohami Microsoftu 365. Další informace najdete v tématu Konfigurace alternativních ID přihlášení.
Filtrování domén a organizačních jednotek
Ve výchozím nastavení se synchronizují všechny domény a organizační jednotky. Pokud nechcete synchronizovat některé domény nebo organizační jednotek do Azure AD, můžete zrušit výběr příslušných možností.
Tato stránka konfiguruje filtrování založené na doméně a na organizační jednotce. Pokud máte v úmyslu provést změny, přečtěte si téma Filtrování na základě domény a filtrování na základě organizačních jednotek. Některé organizační jednotek jsou pro funkčnost nezbytné, takže byste je měli nechat vybrané.
Pokud používáte filtrování založené na organizační jednotce s verzí Azure AD Connect starší než 1.1.524.0, nové organizační jednotky se ve výchozím nastavení synchronizují. Pokud nechcete, aby se nové organizační jednotky synchronizovaly, můžete výchozí chování upravit po kroku filtrování na základě organizační jednotky. Pro Azure AD Connect 1.1.524.0 nebo novější můžete označit, jestli chcete synchronizovat nové organizační jednotek.
Pokud plánujete používat filtrování na základě skupin, ujistěte se, že organizační jednotka se skupinou je zahrnutá a nefiltruje se pomocí filtrování organizačních jednotek. Filtrování organizačních jednotek se vyhodnocuje před vyhodnocením filtrování na základě skupin.
Je také možné, že některé domény jsou nedostupné kvůli omezením brány firewall. Tyto domény nejsou ve výchozím nastavení vybrány a zobrazují upozornění.
Pokud se zobrazí toto upozornění, ujistěte se, že jsou tyto domény skutečně nedostupné a že je upozornění očekávané.
Jednoznačná identifikace uživatelů
Na stránce Identifikace uživatelů zvolte, jak chcete identifikovat uživatele v místních adresářích a jak je chcete identifikovat pomocí atributu sourceAnchor.
Vyberte způsob, jakým se mají uživatelé identifikovat v místních adresářích
Pomocí funkce Párování mezi doménovými strukturami můžete definovat, jak budou uživatelé z vašich doménových struktur AD DS reprezentováni v Azure AD. Uživatel může být ve všech doménových strukturách zastoupen pouze jednou nebo může mít kombinaci povolených a zakázaných účtů. Uživatel také může být v některých doménových strukturách reprezentován jako kontakt.
| Nastavení | Popis |
|---|---|
| Uživatelé jsou ve všech doménových strukturách reprezentováni pouze jednou. | Všichni uživatelé jsou vytvořeni jako jednotlivé objekty v Azure AD. Objekty nejsou spojené v metaverse. |
| Atribut Mail | Tato možnost spojí uživatele a kontakty, pokud má atribut mail v různých doménových strukturách stejnou hodnotu. Tuto možnost použijte, pokud se kontakty vytvořily pomocí GALSync. Pokud zvolíte tuto možnost, objekty uživatelů, jejichž atribut mail není vyplněný, nebudou synchronizovány s Azure AD. |
| Atributy ObjectSID a msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID | Tato možnost spojí povoleného uživatele v doménové struktuře účtu se zakázaným uživatelem v doménové struktuře prostředku. V systému Exchange se tato konfigurace označuje jako propojená poštovní schránka. Tuto možnost můžete použít, pokud používáte jenom Lync a v doménové struktuře prostředků není exchange. |
| Atributy SAMAccountName a MailNickName | Tato možnost se připojí k atributům, u kterých se očekává nalezení přihlašovacího ID uživatele. |
| Volba konkrétního atributu | Tato možnost umožňuje vybrat vlastní atribut. Pokud zvolíte tuto možnost, objekty uživatelů, jejichž (vybraný) atribut není vyplněný, nebudou synchronizovány s Azure AD. Omezení: Pro tuto možnost jsou k dispozici pouze atributy, které jsou již v metaverse. |
Výběr způsobu identifikace uživatelů pomocí zdrojové kotvy
Atribut sourceAnchor je neměnný během životnosti objektu uživatele. Je to primární klíč, který propojuje místního uživatele s uživatelem v Azure AD.
| Nastavení | Popis |
|---|---|
| Správa zdrojové kotvy v Azure | Tuto možnost vyberte, pokud chcete, aby Azure AD vybral atribut za vás. Pokud vyberete tuto možnost, Azure AD Connect použije logiku výběru atributu sourceAnchor popsanou v tématu Použití ms-DS-ConsistencyGuid jako sourceAnchor. Po dokončení vlastní instalace uvidíte, který atribut byl vybrán jako atribut sourceAnchor. |
| Volba konkrétního atributu | Tuto možnost vyberte, pokud chcete jako atribut sourceAnchor zadat existující atribut AD. |
Vzhledem k tomu, že atribut sourceAnchor nelze změnit, musíte zvolit odpovídající atribut. Jednou z vhodných možností je objectGUID. Tento atribut se nezmění, pokud se uživatelský účet nepřesune mezi doménovými strukturami nebo doménami. Nevybírejte atributy, které se můžou měnit, když si někdo vezme nebo změní přiřazení.
Nemůžete použít atributy, které obsahují znak at (@), takže nemůžete použít e-mail a userPrincipalName. V atributu se také rozlišují malá a velká písmena, takže při přesouvání objektu mezi doménovými strukturami nezapomeňte zachovat velká a malá písmena. Binární atributy mají kódování Base64, ale ostatní typy atributů zůstávají v nezakódovaném stavu.
Ve scénářích federace a některých rozhraních Azure AD se atribut sourceAnchor označuje také jako immutableID.
Další informace o zdrojové ukotvení najdete v tématu Koncepty návrhu.
Filtrování synchronizace podle skupin
Funkce filtrování podle skupin umožňuje synchronizovat pouze malou podmnožinu objektů pro pilotní nasazení. Pokud chcete tuto funkci použít, vytvořte pro tento účel skupinu v místní instanci služby Active Directory. Jako přímé členy přidejte uživatele a skupiny, které chcete synchronizovat do Azure AD. Později můžete přidat uživatele nebo uživatele z této skupiny odebrat, abyste zachovali seznam objektů, které by se měly nacházet v Azure AD.
Všechny objekty, které chcete synchronizovat, musí být přímými členy skupiny. Všichni uživatelé, skupiny, kontakty a počítače nebo zařízení musí být přímí členové. Vnořené členství ve skupině se nevyřeší. Když přidáte skupinu jako člena, přidá se jenom samotná skupina. Její členové se nepřidají.
Upozornění
Tato funkce má podporovat pouze pilotní nasazení. Nepoužívejte ho v plném produkčním nasazení.
V plném produkčním nasazení by bylo obtížné udržovat jednu skupinu a všechny její objekty k synchronizaci. Místo funkce filtrování podle skupin použijte jednu z metod popsaných v tématu Konfigurace filtrování.
Volitelné funkce
Na další stránce můžete vybrat volitelné funkce pro váš scénář.
Upozornění
Azure AD Connect verze 1.0.8641.0 a starší se při zpětném zápisu hesla spoléhají na Azure Access Control Service. Tato služba byla vyřazena 7. listopadu 2018. Pokud použijete některou z těchto verzí Azure AD Connect a povolíte zpětný zápis hesla, uživatelé můžou při vyřazení služby ztratit možnost změnit nebo resetovat hesla. Tyto verze Azure AD Connect nepodporují zpětný zápis hesla.
Další informace najdete v tématu Migrace ze služby Azure Access Control Service.
Pokud chcete použít zpětný zápis hesla, stáhněte si nejnovější verzi Azure AD Connect.
Upozornění
Pokud jsou aktivní Azure AD Sync nebo přímá synchronizace (DirSync), neaktivujte v nástroji Azure AD Connect žádné funkce zpětného zápisu.
| Volitelné funkce | Description |
|---|---|
| Hybridní nasazení Exchange | Funkce hybridního nasazení Exchange umožňuje koexistenci poštovních schránek Exchange v místním prostředí i v Microsoftu 365. Azure AD Connect synchronizuje konkrétní sadu atributů z Azure AD zpět do místního adresáře. |
| Veřejné složky pošty Exchange | Funkce Veřejných složek pošty Exchange umožňuje synchronizovat objekty veřejných složek s povolenou poštou z místní instance služby Active Directory do Azure AD. Mějte na paměti, že synchronizace skupin, které obsahují veřejné složky jako členy, není podporovaná a pokud se o to pokusíte, dojde k chybě synchronizace. |
| Filtrování aplikací a atributů Azure AD | Povolením filtrování Azure AD aplikací a atributů můžete sadu synchronizovaných atributů přizpůsobit. Tato možnost rozšíří průvodce o další dvě stránky konfigurace. Další informace najdete v tématu Filtrování aplikací a atributů Azure AD. |
| Synchronizace hodnot hash hesel | Pokud jste jako řešení pro přihlášení vybrali federaci, můžete povolit synchronizaci hodnot hash hesel. Pak ho můžete použít jako možnost zálohování. Pokud jste vybrali předávací ověřování, můžete tuto možnost povolit, abyste zajistili podporu starších klientů a poskytli zálohu. Další informace najdete v tématu Synchronizace hodnot hash hesel. |
| Zpětný zápis hesla | Tuto možnost použijte, pokud chcete zajistit, aby se změny hesel, které pocházejí z Azure AD, zapisují zpět do místního adresáře. Další informace najdete v tématu Začínáme se správou hesel. |
| Zpětný zápis skupin | Pokud používáte Skupiny Microsoft 365, můžete reprezentovat skupiny v místní instanci služby Active Directory. Tato možnost je dostupná jenom v případě, že máte Exchange v místní instanci služby Active Directory. Další informace najdete v tématu Azure AD Zpětný zápis skupiny Připojení. |
| Zpětný zápis zařízení | V případě scénářů podmíněného přístupu použijte tuto možnost k zápisu objektů zařízení v Azure AD do místní instance služby Active Directory. Další informace najdete v tématu Povolení zpětného zápisu zařízení v Azure AD Connect. |
| Synchronizace atributů rozšíření adresáře | Tuto možnost vyberte, pokud chcete synchronizovat zadané atributy s Azure AD. Další informace najdete v tématu Rozšíření adresáře. |
Filtrování aplikací a atributů Azure AD
Pokud chcete omezit, které atributy se synchronizují s Azure AD, začněte výběrem služeb, které používáte. Pokud změníte výběry na této stránce, budete muset explicitně vybrat novou službu opětovným spuštěním průvodce instalací.
Na základě služeb, které jste vybrali v předchozím kroku, se na této stránce zobrazují všechny atributy, které jsou synchronizované. Tento seznam je kombinací všech typů objektů, které jsou synchronizovány. Pokud potřebujete, aby některé atributy zůstaly nesynchronizované, můžete výběr z těchto atributů vymazat.
Upozornění
Odebrání atributů může mít vliv na funkčnost. Osvědčené postupy a doporučení najdete v tématu Atributy, které se mají synchronizovat.
Synchronizace atributů rozšíření adresáře
Schéma v Azure AD můžete rozšířit pomocí vlastních atributů, které vaše organizace přidala, nebo pomocí jiných atributů ve službě Active Directory. Pokud chcete tuto funkci použít, vyberte na stránce Volitelné funkcemožnost Synchronizace atributů rozšíření adresáře. Na stránce Rozšíření adresáře můžete vybrat další atributy, které chcete synchronizovat.
Poznámka
V poli Dostupné atributy se rozlišují velká a malá písmena.
Další informace najdete v tématu Rozšíření adresáře.
Povolení jednotného přihlašování
Na stránce Jednotné přihlašování nakonfigurujete jednotné přihlašování pro použití se synchronizací hesel nebo předávacím ověřováním. Tento krok provedete jednou pro každou doménovou strukturu, která se synchronizuje s Azure AD. Konfigurace zahrnuje dva kroky:
- Vytvořte potřebný účet počítače v místní instanci služby Active Directory.
- Nakonfigurujte intranetovou zónu klientských počítačů tak, aby podporovala jednotné přihlašování.
Vytvoření účtu počítače ve službě Active Directory
Pro každou doménovou strukturu přidanou v Azure AD Connect musíte zadat přihlašovací údaje správce domény, aby bylo možné v každé doménové struktuře vytvořit účet počítače. Přihlašovací údaje se použijí jenom k vytvoření účtu. Neukládají se ani nepoužívají pro žádnou jinou operaci. Přidejte přihlašovací údaje na stránce Povolit jednotné přihlašování , jak je znázorněno na následujícím obrázku.
Poznámka
Doménové struktury můžete přeskočit tam, kde nechcete používat jednotné přihlašování.
Konfigurace zóny intranetu pro klientské počítače
Pokud chcete zajistit, aby se klient automaticky přihlašuje v intranetové zóně, ujistěte se, že je adresa URL součástí zóny intranetu. Tento krok zajistí, že počítač připojený k doméně automaticky odešle lístek protokolu Kerberos do Azure AD, když je připojený k podnikové síti.
Na počítači s nástroji pro správu Zásady skupiny:
Otevřete nástroje pro správu Zásady skupiny.
Upravte zásady skupiny, které se použijí pro všechny uživatele. Například výchozí zásady domény.
Přejděte na Stránku> Konfigurace uživateleŠablony pro> správuSoučásti systému> WindowsInternet Explorer Internet Explorer>Internet Ovládací panely>Zabezpečení. Pak vyberte Seznam přiřazení lokality k zóně.
Povolte zásadu. Potom v dialogovém okně zadejte název
https://autologon.microsoftazuread-sso.comhodnoty a hodnotu1. Nastavení by mělo vypadat jako na následujícím obrázku.
Dvakrát vyberte OK .
Konfigurace federace se službou AD FS
Službu AD FS můžete pomocí Azure AD Connect nakonfigurovat několika kliknutími. Než začnete, potřebujete:
- Windows Server 2012 R2 nebo novější pro federační server. Vzdálená správa by měla být povolená.
- Windows Server 2012 R2 nebo novější pro server webových proxy aplikací. Vzdálená správa by měla být povolená.
- Certifikát TLS/SSL pro název služby FS, který chcete použít (například sts.contoso.com).
Poznámka
Certifikát TLS/SSL pro farmu služby AD FS můžete aktualizovat pomocí Azure AD Connect, i když ho nepoužíváte ke správě vztahu důvěryhodnosti federace.
Požadavky na konfiguraci služby AD FS
Pokud chcete nakonfigurovat farmu služby AD FS pomocí Azure AD Connect, ujistěte se, že je na vzdálených serverech povolená služba WinRM. Ujistěte se, že jste dokončili ostatní úlohy v části Požadavky federace. Také se ujistěte, že dodržujete požadavky na porty, které jsou uvedené v tabulce Azure AD Connect a federační servery nebo servery WAP.
Vytvoření nové farmy služby AD FS nebo použití existující farmy služby AD FS
Můžete použít existující farmu služby AD FS nebo vytvořit novou. Pokud se rozhodnete vytvořit nový, musíte zadat certifikát TLS/SSL. Pokud je certifikát TLS/SSL chráněný heslem, zobrazí se výzva k zadání hesla.
Pokud se rozhodnete použít existující farmu služby AD FS, zobrazí se stránka, kde můžete nakonfigurovat vztah důvěryhodnosti mezi službou AD FS a Azure AD.
Poznámka
Azure AD Connect můžete použít ke správě pouze jedné farmy služby AD FS. Pokud máte existující vztah důvěryhodnosti federace, kde je ve vybrané farmě služby AD FS nakonfigurovaný Azure AD, Azure AD Connect znovu vytvoří vztah důvěryhodnosti od začátku.
Zadání serverů služby AD FS
Zadejte servery, na které chcete službu AD FS nainstalovat. V závislosti na vašich potřebách kapacity můžete přidat jeden nebo více serverů. Před nastavením této konfigurace připojte všechny servery AD FS ke službě Active Directory. Tento krok se nevyžaduje u serverů webového proxy aplikací.
Společnost Microsoft doporučuje instalaci jednoho serveru služby AD FS pro zkušební a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery tak, aby splňovaly vaše potřeby škálování, a to opětovným spuštěním Azure AD Connect.
Poznámka
Před nastavením této konfigurace se ujistěte, že jsou všechny servery připojené k Azure AD doméně.
Zadání proxy serverů webových aplikací
Zadejte servery webových proxy aplikací. Web proxy aplikací server je nasazený v hraniční síti směrem k extranetu. Podporuje žádosti o ověření z extranetu. V závislosti na vašich potřebách kapacity můžete přidat jeden nebo více serverů.
Microsoft doporučuje nainstalovat jeden web proxy aplikací server pro testovací a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery tak, aby splňovaly vaše potřeby škálování, a to opětovným spuštěním Azure AD Connect. Doporučujeme, abyste měli ekvivalentní počet proxy serverů, abyste vyhověli ověřování z intranetu.
Poznámka
- Pokud účet, který používáte, není místním správcem na webových proxy aplikací serverech, zobrazí se výzva k zadání přihlašovacích údajů správce.
- Než zadáte webovou proxy aplikací servery, ujistěte se, že mezi serverem Azure AD Connect a serverem webového proxy aplikací existuje připojení HTTP/HTTPS.
- Ujistěte se, že mezi webovým aplikačním serverem a serverem SLUŽBY AD FS existuje připojení HTTP/HTTPS, aby bylo možné procházet požadavky na ověření.
Zobrazí se výzva k zadání přihlašovacích údajů, aby mohl server webové aplikace navázat zabezpečené připojení k serveru služby AD FS. Tyto přihlašovací údaje musí být pro účet místního správce na serveru SLUŽBY AD FS.
Zadání účtu služby AD FS
Služba AD FS vyžaduje účet doménové služby k ověřování uživatelů a vyhledávání informací o uživatelích ve službě Active Directory. Podporuje dva typy účtů služeb:
- Účet spravované služby skupiny: Tento typ účtu zavedl do služby AD DS Windows Server 2012. Tento typ účtu poskytuje služby, jako je AD FS. Jedná se o jeden účet, ve kterém nemusíte heslo pravidelně aktualizovat. Tuto možnost použijte, pokud se řadiče domény systému Windows Server 2012 už nacházejí v doméně, do které patří server služby AD FS.
- Účet uživatele domény: Tento typ účtu vyžaduje, abyste zadali heslo a pravidelně ho aktualizovali, když vyprší jeho platnost. Tuto možnost použijte jenom v případě, že nemáte Windows Server 2012 řadiče domény v doméně, do které patří vaše servery SLUŽBY AD FS.
Pokud jste vybrali možnost Vytvořit skupinový účet spravované služby a tato funkce se ve službě Active Directory nikdy nepoužila, zadejte přihlašovací údaje podnikového správce. Tyto přihlašovací údaje slouží k inicializaci úložiště klíčů a povolení této funkce ve službě Active Directory.
Poznámka
Azure AD Connect zkontroluje, jestli je služba AD FS už zaregistrovaná jako hlavní název služby (SPN) v doméně. Služba AD DS neumožňuje registraci duplicitních hlavních názvů služby současně. Pokud se najde duplicitní hlavní název služby (SPN), nemůžete pokračovat, dokud se hlavní název služby neodebere.
Vyberte doménu Azure AD, kterou chcete federovat.
Na stránce Azure AD Domain můžete nastavit federační vztah mezi službami AD FS a Azure AD. Tady nakonfigurujete službu AD FS tak, aby poskytovala tokeny zabezpečení Azure AD. Nakonfigurujete také Azure AD tak, aby důvěřovaly tokenům z této instance služby AD FS.
Na této stránce můžete v počáteční instalaci nakonfigurovat jenom jednu doménu. Později můžete znovu spustit Azure AD Connect a nakonfigurovat další domény.
Výběr domény Azure AD vybrané k federaci
Když vyberete doménu, kterou chcete federovat, Azure AD Connect poskytne informace, které můžete použít k ověření neověřené domény. Další informace najdete v tématu Přidání a ověření domény.
Poznámka
Azure AD Connect se pokusí ověřit doménu během fáze konfigurace. Pokud nepřidáte potřebné záznamy DNS (Domain Name System), nebude možné konfiguraci dokončit.
Konfigurace federace s PingFederate
PingFederate můžete pomocí Azure AD Connect nakonfigurovat několika kliknutími. Jsou vyžadovány následující požadavky:
- PingFederate 8.4 nebo novější. Další informace najdete v tématu Integrace PingFederate s Azure Active Directory a Microsoft 365 v dokumentaci Ping Identity.
- Certifikát TLS/SSL pro název federační služby, který chcete použít (například sts.contoso.com).
Ověření domény
Jakmile se rozhodnete nastavit federaci pomocí PingFederate, zobrazí se výzva k ověření domény, kterou chcete federovat. V rozevírací nabídce vyberte doménu.
Export nastavení PingFederate
Nakonfigurujte PingFederate jako federační server pro každou federovanou doménu Azure. Vyberte Exportovat nastavení a nasdílejte tyto informace správci PingFederate. Správce federačního serveru aktualizuje konfiguraci a pak zadá adresu URL a číslo portu serveru PingFederate, aby Azure AD Connect mohl ověřit nastavení metadat.
Případné problémy s ověřením řešte se správcem PingFederate. Následující obrázek ukazuje informace o serveru PingFederate, který nemá platný vztah důvěryhodnosti s Azure.
Ověření připojení federace
Azure AD Connect se pokusí ověřit koncové body ověřování, které načítá z metadat PingFederate v předchozím kroku. Azure AD Connect se nejprve pokusí přeložit koncové body pomocí místních serverů DNS. Dále se pokusí přeložit koncové body pomocí externího poskytovatele DNS. Případné problémy s ověřením řešte se správcem PingFederate.
Ověření přihlášení k federaci
Nakonec můžete ověřit nově nakonfigurovaný tok přihlášení federace tím, že se přihlásíte k federované doméně. Pokud přihlášení proběhne úspěšně, federace s PingFederate se úspěšně nakonfiguruje.
Konfigurace a ověření stránek
Konfigurace se provede na stránce Konfigurovat .
Poznámka
Pokud jste nakonfigurovali federaci, před pokračováním v instalaci se ujistěte, že jste nakonfigurovali také překlad názvů pro federační servery .
Použití pracovního režimu
Nový synchronizační server je možné nastavit paralelně s pracovním režimem. Pokud chcete použít toto nastavení, pak jenom jeden synchronizační server může exportovat do jednoho adresáře v cloudu. Pokud ale chcete přejít z jiného serveru, například ze serveru se spuštěným DirSync, můžete povolit Azure AD Connect v pracovním režimu.
Když povolíte přípravné nastavení, synchronizační modul importuje a synchronizuje data jako obvykle. Neexportuje ale žádná data do Azure AD nebo Active Directory. V pracovním režimu jsou funkce synchronizace hesel a zpětný zápis hesla zakázané.
V pracovním režimu můžete provést požadované změny synchronizačního modulu a zkontrolovat, co se bude exportovat. Když jste s konfigurací spokojeni, znovu spusťte průvodce instalací a vypněte pracovní režim.
Data se teď ze serveru exportují do Azure AD. Nezapomeňte současně zakázat druhý server tak, aby pouze jeden server prováděl aktivní export.
Další informace najdete v tématu Pracovní režim.
Ověření konfigurace federace
Azure AD Connect ověří nastavení DNS, když vyberete tlačítko Ověřit. Zkontroluje následující nastavení:
- Připojení k intranetu
- Překlad plně kvalifikovaného názvu domény federace: Azure AD Connect zkontroluje, jestli DNS dokáže přeložit plně kvalifikovaný název domény federace, aby se zajistilo připojení. Pokud Azure AD Connect nedokáže přeložit plně kvalifikovaný název domény, ověření se nezdaří. Pokud chcete dokončit ověření, ujistěte se, že je k dispozici záznam DNS pro plně kvalifikovaný název domény federační služby.
- ZÁZNAM DNS A: Azure AD Connect zkontroluje, jestli má vaše služba FS záznam A. Pokud záznam A neexistuje, ověření se nezdaří. Pokud chcete dokončit ověření, vytvořte záznam A (ne záznam CNAME) pro plně kvalifikovaný název domény federace.
- Připojení extranetu
Překlad plně kvalifikovaného názvu domény federace: Azure AD Connect zkontroluje, jestli DNS dokáže přeložit plně kvalifikovaný název domény federace, aby se zajistilo připojení.
Pokud chcete ověřit kompletní ověřování, proveďte ručně jeden nebo více z následujících testů:
- Po dokončení synchronizace v Azure AD Connect použijte k ověření ověřování místního uživatelského účtu, který zvolíte, další úlohu Ověřit federované přihlášení.
- Na počítači připojeném k doméně na intranetu se ujistěte, že se můžete přihlásit z prohlížeče. Připojte se k https://myapps.microsoft.com. Pak pomocí svého přihlášeného účtu ověřte přihlášení. Integrovaný účet správce služby AD DS není synchronizovaný a nemůžete ho použít k ověření.
- Ujistěte se, že se můžete přihlásit ze zařízení v extranetu. Na domácím počítači nebo mobilním zařízení se připojte k https://myapps.microsoft.com. Pak zadejte svoje přihlašovací údaje.
- Ověřte přihlášení plně funkčního klienta. Připojte se k https://testconnectivity.microsoft.com. Pak vyberte Office 365>Office 365 Test jednoho Sign-On.
Řešení potíží
Tato část obsahuje informace o řešení potíží, které můžete použít, pokud máte potíže při instalaci nástroje Azure AD Connect.
Když přizpůsobíte instalaci Azure AD Connect, můžete na stránce Instalovat požadované součásti vybrat Použít existující SQL Server. Může se zobrazit následující chyba: Databáze ADSync již obsahuje data a nelze ji přepsat. Odeberte existující databázi a zkuste to znovu."
Tato chyba se zobrazí, protože databáze s názvem ADSync již existuje v instanci SQL SQL Server, kterou jste zadali.
Tato chyba se obvykle zobrazí po odinstalaci nástroje Azure AD Connect. Databáze se při odinstalaci nástroje Azure AD Connect neodstraní z počítače, na kterém běží SQL Server.
Tento problém vyřešíte takto:
Zkontrolujte databázi ADSync, kterou nástroj Azure AD Connect použil před odinstalací. Ujistěte se, že se databáze už nepoužívá.
Zálohujte databázi.
Odstraňte databázi:
- Pro připojení k instanci SQL použijte Microsoft SQL Server Management Studio.
- Vyhledejte databázi ADSync a klikněte na ni pravým tlačítkem.
- V místní nabídce vyberte Odstranit.
- Výběrem OK databázi odstraňte.
Po odstranění databáze ADSync vyberte Nainstalovat a zkuste instalaci zopakovat.
Další kroky
Po dokončení instalace se odhlaste z Windows. Před použitím synchronizačního Service Manager nebo Editoru synchronizačních pravidel se znovu přihlaste.
Teď, když jste nainstalovali Azure AD Connect, můžete ověřit instalaci a přiřadit licence.
Další informace o funkcích, které jste povolili během instalace, najdete v tématech Zabránění náhodnému odstranění a Azure AD Connect Health.
Další informace o dalších běžných tématech najdete v tématech Azure AD Connect sync: Scheduler a Integrace místních identit s Azure AD.