Topologie pro Microsoft Entra Připojení
Tento článek popisuje různé místní topologie a topologie Microsoft Entra, které používají Microsoft Entra Připojení Sync jako klíčové řešení integrace. Tento článek popisuje podporované i nepodporované konfigurace.
Tady je legenda pro obrázky v článku:
| Popis | Symbol |
|---|---|
| Místní doménová struktura služby Active Directory |  |
| Místní služba Active Directory s filtrovaným importem |  |
| Server Microsoft Entra Připojení Sync |  |
| Pracovní režim serveru Microsoft Entra Připojení Sync |  |
| GALSync s Microsoft Identity Managerem (MIM) 2016 |  |
| Podrobný popis serveru Microsoft Entra Připojení Sync |  |
| Microsoft Entra ID |  |
| Nepodporovaný scénář |  |
Důležité
Microsoft nepodporuje úpravy ani provoz služby Microsoft Entra Připojení Sync mimo konfigurace nebo akce, které jsou formálně zdokumentované. Jakákoli z těchto konfigurací nebo akcí může vést k nekonzistentnímu nebo nepodporovanému stavu služby Microsoft Entra Připojení Sync. Microsoft proto nemůže poskytnout technickou podporu pro taková nasazení.
Jedna doménová struktura, jeden tenant Microsoft Entra
Nejběžnější topologie je jedna místní doménová struktura s jednou nebo více doménami a jedním tenantem Microsoft Entra. Pro ověřování Microsoft Entra se používá synchronizace hodnot hash hesel. Expresní instalace microsoft Entra Připojení podporuje pouze tuto topologii.
Jedna doménová struktura, několik synchronizačních serverů do jednoho tenanta Microsoft Entra
Není podporováno více serverů Microsoft Entra Připojení Sync připojených ke stejnému tenantovi Microsoft Entra s výjimkou přípravného serveru. Nepodporuje se ani v případě, že jsou tyto servery nakonfigurované tak, aby se synchronizovaly se vzájemně vylučující sadou objektů. Tuto topologii jste možná zvážili, pokud se nemůžete spojit se všemi doménami v doménové struktuře z jednoho serveru nebo pokud chcete distribuovat zatížení mezi několik serverů. (Při konfiguraci nového serveru Synchronizace Azure AD pro novou doménovou strukturu Microsoft Entra a novou ověřenou podřízenou doménu nedojde k žádným chybám.)
Více doménových struktur, jeden tenant Microsoft Entra
Mnoho organizací má prostředí s více doménovými strukturami místní Active Directory. Existují různé důvody, proč mít více než jednu místní Active Directory doménovou strukturu. Typické příklady jsou návrhy doménových struktur účtů a prostředků a výsledek fúze nebo akvizice.
Pokud máte více doménových struktur, musí být všechny doménové struktury dosažitelné jedním serverem Microsoft Entra Připojení Sync. Server musí být připojený k doméně. V případě potřeby se můžete připojit ke všem doménovým strukturám, umístit server do hraniční sítě (označované také jako DMZ, demilitarizovaná zóna a monitorovaná podsíť).
Průvodce instalací Microsoft Entra Připojení nabízí několik možností pro konsolidaci uživatelů, kteří jsou zastoupeni ve více doménových strukturách. Cílem je, že uživatel je reprezentován pouze jednou v Microsoft Entra ID. Existují některé běžné topologie, které můžete nakonfigurovat v cestě k vlastní instalaci v průvodci instalací. Na stránce Jedinečná identifikace uživatelů vyberte odpovídající možnost, která představuje vaši topologii. Konsolidace se konfiguruje jenom pro uživatele. Duplicitní skupiny nejsou sloučeny s výchozí konfigurací.
Běžné topologie jsou popsány v částech o samostatných topologiích, úplné síti a topologii prostředků účtu.
Výchozí konfigurace v Microsoft Entra Připojení Sync předpokládá:
- Každý uživatel má pouze jeden povolený účet a doménová struktura, ve které se tento účet nachází, slouží k ověření uživatele. Tento předpoklad platí pro synchronizaci hodnot hash hesel, předávací ověřování a federaci. UserPrincipalName a sourceAnchor/immutableID pocházejí z této doménové struktury.
- Každý uživatel má jenom jednu poštovní schránku.
- Doménová struktura, která je hostitelem poštovní schránky pro uživatele, má nejlepší kvalitu dat pro atributy viditelné v globálním adresáři Exchange (GAL). Pokud pro uživatele neexistuje žádná poštovní schránka, můžete k přispívání těchto hodnot atributů použít libovolnou doménovou strukturu.
- Pokud máte propojenou poštovní schránku, existuje také účet v jiné doménové struktuře, který se používá k přihlášení.
Pokud vaše prostředí neodpovídá těmto předpokladům, stane se následující:
- Pokud máte více než jeden aktivní účet nebo více než jednu poštovní schránku, synchronizační modul jednu vybere a druhý ignoruje.
- Propojená poštovní schránka bez jiného aktivního účtu se neexportuje do MICROSOFT Entra ID. Uživatelský účet není reprezentován jako člen žádné skupiny. Propojená poštovní schránka v nástroji DirSync je vždy reprezentována jako normální poštovní schránka. Tato změna se záměrně liší, aby lépe podporovala scénáře s více doménovými strukturami.
Další podrobnosti najdete v části Vysvětlení výchozí konfigurace.
Několik doménových struktur, několik synchronizačních serverů do jednoho tenanta Microsoft Entra
Není podporováno více než jeden server Microsoft Entra Připojení Sync připojený k jednomu tenantovi Microsoft Entra. Výjimkou je použití přípravného serveru.
Tato topologie se liší od níže uvedené topologie v tom, že více synchronizačních serverů připojených k jednomu tenantovi Microsoft Entra se nepodporuje. (I když to není podporované, stále to funguje.)
Více doménových struktur, jeden synchronizační server, uživatelé jsou reprezentováni pouze v jednom adresáři.
V tomto prostředí se všechny místní doménové struktury považují za samostatné entity. Žádný uživatel není v žádné jiné doménové struktuře. Každá doménová struktura má svou vlastní organizaci Exchange a mezi doménovými strukturami není žádná synchronizace GALSync. Tato topologie může být situace po fúzi nebo akvizici nebo v organizaci, kde každá obchodní jednotka působí nezávisle. Tyto doménové struktury jsou ve stejné organizaci v Microsoft Entra ID a zobrazují se s jednotným globálním adresářem. Na předchozím obrázku je každý objekt v každé doménové struktuře reprezentován jednou v metaverse a agregován v cílovém tenantovi Microsoft Entra.
Více doménových struktur: shoda uživatelů
Běžné pro všechny tyto scénáře je, že distribuce a skupiny zabezpečení můžou obsahovat kombinaci uživatelů, kontaktů a cizích objektů zabezpečení (FSP). FsPs se používají ve službě Doména služby Active Directory Services (AD DS) k reprezentaci členů z jiných doménových struktur ve skupině zabezpečení. Všechny Z FSP se přeloží na skutečný objekt v Microsoft Entra ID.
Více doménových struktur: úplná síť s volitelným galsync
Úplná síťová topologie umožňuje uživatelům a prostředkům umístění v libovolné doménové struktuře. Mezi doménovými strukturami se běžně používají obousměrné vztahy důvěryhodnosti.
Pokud je Exchange ve více než jedné doménové struktuře, může existovat (volitelně) místní řešení GALSync. Každý uživatel je pak reprezentován jako kontakt ve všech ostatních doménových strukturách. GalSync se běžně implementuje prostřednictvím Microsoft Identity Manageru. Microsoft Entra Připojení nelze použít pro místní galsync.
V tomto scénáři jsou objekty identity spojené prostřednictvím atributu pošty. Uživatel, který má poštovní schránku v jedné doménové struktuře, je připojený ke kontaktům v ostatních doménových strukturách.
Více doménových struktur: doménová struktura prostředků účtu
V topologii doménové struktury prostředků účtu máte jednu nebo více doménových struktur účtu s aktivním uživatelským účtem. Máte také jednu nebo více doménových struktur prostředků se zakázanými účty.
V tomto scénáři jedna (nebo více) doménových struktur prostředků důvěřuje všem doménovými strukturami účtů. Doménová struktura prostředků má obvykle rozšířené schéma služby Active Directory s Exchangem a Lyncem. Všechny služby Exchange a Lync spolu s dalšími sdílenými službami se nacházejí v této doménové struktuře. Uživatelé mají v této doménové struktuře zakázaný uživatelský účet a poštovní schránka je propojená s doménovou strukturou účtu.
Důležité informace o Microsoftu 365 a topologii
Některé úlohy Microsoftu 365 mají určitá omezení podporovaných topologií:
| Úloha | Omezení |
|---|---|
| Exchange Online | Další informace o hybridních topologiích podporovaných Exchangem Online najdete v tématu Hybridní nasazení s více doménovými strukturami služby Active Directory. |
| Skype pro firmy | Pokud používáte více místních doménových struktur, podporuje se pouze topologie doménové struktury prostředků účtu. Další informace najdete v tématu Požadavky na prostředí pro Skype pro firmy Server 2015. |
Pokud jste větší organizace, měli byste zvážit použití funkce Microsoft 365 PreferredDataLocation . Umožňuje definovat, ve které oblasti datacentra se nacházejí prostředky uživatele.
Přípravný server
Microsoft Entra Připojení podporuje instalaci druhého serveru v pracovním režimu. Server v tomto režimu čte data ze všech připojených adresářů, ale nic nezapisuje do připojených adresářů. Používá normální synchronizační cyklus, a proto má aktualizovanou kopii dat identity.
V případě havárie, kdy primární server selže, můžete převzít služby při selhání přípravného serveru. Provedete to v průvodci Microsoft Entra Připojení. Tento druhý server se může nacházet v jiném datacentru, protože primární server nesdílí žádnou infrastrukturu. Na druhý server musíte ručně zkopírovat všechny změny konfigurace provedené na primárním serveru.
Pracovní server můžete použít k otestování nové vlastní konfigurace a efektu, který má na vaše data. Můžete zobrazit náhled změn a upravit konfiguraci. Až budete s novou konfigurací spokojeni, můžete nastavit pracovní server jako aktivní server a nastavit starý aktivní server na pracovní režim.
Tuto metodu můžete také použít k nahrazení aktivního synchronizačního serveru. Připravte nový server a nastavte ho na pracovní režim. Ujistěte se, že je v dobrém stavu, zakažte pracovní režim (aby byl aktivní) a vypněte aktuálně aktivní server.
Pokud chcete mít více záloh v různých datacentrech, je možné mít více než jeden přípravný server.
Více tenantů Microsoft Entra
Doporučujeme mít jednoho tenanta v MICROSOFT Entra ID pro organizaci. Než budete chtít používat více tenantů Microsoft Entra, přečtěte si článek Správa istrativní správa jednotek v Microsoft Entra ID. Popisuje běžné scénáře, ve kterých můžete použít jednoho tenanta.
Synchronizace objektů AD s několika tenanty Microsoft Entra
Tato topologie implementuje následující případy použití:
- Microsoft Entra Připojení může synchronizovat uživatele, skupiny a kontakty z jedné služby Active Directory do více tenantů Microsoft Entra. Tito tenanti můžou být v různých prostředích Azure, jako je microsoft Azure provozovaný prostředím 21Vianet nebo prostředím Azure Government, ale můžou být také ve stejném prostředí Azure, jako jsou dva tenanti, kteří jsou oba ve službě Azure Commercial. Další informace o možnostech najdete v tématu Plánování identity pro aplikace Azure Government.
- Stejné zdrojové ukotvení lze použít pro jeden objekt v samostatných tenantech (ale ne pro více objektů ve stejném tenantovi). (Ověřená doména nemůže být stejná ve dvou tenantech. Další podrobnosti jsou potřeba k povolení, aby stejný objekt měl dva hlavní názvy (UPN).)
- Budete muset nasadit server Microsoft Entra Připojení pro každého tenanta Microsoft Entra, se kterého chcete synchronizovat – jeden server Microsoft Entra Připojení nemůže synchronizovat s více než jedním tenantem Microsoft Entra.
- Podporuje se mít různé rozsahy synchronizace a různá pravidla synchronizace pro různé tenanty.
- Pro stejný objekt je možné nakonfigurovat pouze jednu synchronizaci tenanta Microsoft Entra tak, aby se zapsal zpět do služby Active Directory. To zahrnuje zpětný zápis zařízení a skupin a také konfigurace hybridního exchange – tyto funkce je možné nakonfigurovat pouze v jednom tenantovi. Jedinou výjimkou je zpětný zápis hesla – viz níže.
- Podporuje se konfigurace synchronizace hodnot hash hesel ze služby Active Directory do více tenantů Microsoft Entra pro stejný uživatelský objekt. Pokud je pro tenanta povolená synchronizace hodnot hash hesel, může se povolit i zpětný zápis hesla a to se dá provést u více tenantů: pokud se heslo změní v jednom tenantovi, pak se zpětný zápis hesla aktualizuje ve službě Active Directory a Synchronizace hodnot hash hesel aktualizuje heslo v ostatních tenantech.
- Přidání a ověření stejného vlastního názvu domény ve více než jednom tenantovi Microsoft Entra se nepodporuje, i když jsou tito tenanti v různých prostředích Azure.
- Nepodporuje se konfigurace hybridních prostředí, která využívají konfiguraci na úrovni doménové struktury v AD, jako je bezproblémové jednotné přihlašování a hybridní připojení Microsoft Entra (necílový přístup) s více než jedním tenantem. Tím by se přepsala konfigurace druhého tenanta, takže už nebude použitelná. Další informace najdete v článku Plánování nasazení hybridního připojení Microsoft Entra.
- Objekty zařízení můžete synchronizovat s více než jedním tenantem, ale zařízení může být hybridní připojení Microsoft Entra pouze k jednomu tenantovi.
- Každá instance Microsoft Entra Připojení by měla běžet na počítači připojeném k doméně.
Poznámka:
Synchronizace globálního seznamu adres (GalSync) se v této topologii neprovádí automaticky a vyžaduje další vlastní implementaci MIM, aby se zajistilo, že má každý tenant kompletní globální adresář (GAL) v Exchangi Online a Skype pro firmy Online.
GALSync pomocí zpětného zápisu
GALSync s místním synchronizačním serverem
Místní Microsoft Identity Manager můžete použít k synchronizaci uživatelů (přes GALSync) mezi dvěma organizacemi Exchange. Uživatelé v jedné organizaci se zobrazují jako cizí uživatelé nebo kontakty v druhé organizaci. Tyto různé místní Active Directory instance je pak možné synchronizovat s vlastními tenanty Microsoft Entra.
Použití neoprávněných klientů pro přístup k back-endu Microsoft Entra Připojení
Server Microsoft Entra Připojení komunikuje s Microsoft Entra ID prostřednictvím back-endu Microsoft Entra Připojení. Jediným softwarem, který lze použít ke komunikaci s tímto back-endem, je Microsoft Entra Připojení. Není podporována komunikace s microsoft Entra Připojení back-end pomocí jakéhokoli jiného softwaru nebo metody.
Další kroky
Informace o instalaci microsoft Entra Připojení pro tyto scénáře najdete v tématu Vlastní instalace microsoft Entra Připojení.
Přečtěte si další informace o konfiguraci Microsoft Entra Připojení Sync.
Přečtěte si další informace o integraci místních identit s Microsoft Entra ID.