Vlastní instalace služby Azure Active Directory Connect

Pokud potřebujete další možnosti instalace, použijte vlastní nastavení v Azure Active Directory (Azure AD) Připojit. Tato nastavení použijte například v případě, že máte více doménových struktur nebo pokud chcete nakonfigurovat volitelné funkce. Vlastní nastavení používejte ve všech případech, kdy expresní instalace nevyhovuje vašim potřebám nasazení nebo topologie.

Požadavky:

Vlastní nastavení instalace

Pokud chcete nastavit vlastní instalaci pro Azure AD Connect, projděte si stránky průvodce, které jsou popsané v následujících částech.

Expresní nastavení

Na stránce Expresní nastavení vyberte Přizpůsobit a spusťte instalaci přizpůsobeného nastavení. Zbytek tohoto článku vás provede procesem vlastní instalace. Pomocí následujících odkazů můžete rychle přejít na informace pro konkrétní stránku:

Instalace požadovaných součástí

Při instalaci synchronizačních služeb můžete volitelný oddíl konfigurace ponechat nevybraný. Azure AD Connect všechno nastaví automaticky. Nastaví instanci Express LocalDB SQL Server 2019, vytvoří příslušné skupiny a přiřadí oprávnění. Pokud chcete změnit výchozí hodnoty, vyberte příslušná pole. Následující tabulka shrnuje tyto možnosti a obsahuje odkazy na další informace.

Snímek obrazovky znázorňující volitelné výběry požadovaných komponent instalace v Azure AD Connect

Volitelná konfigurace Description
Určení vlastního umístění instalace Umožňuje změnit výchozí instalační cestu pro Azure AD Connect.
Použít existující server SQL Server Umožňuje zadat název SQL Server a název instance. Tuto možnost zvolte, pokud už databázový server, který chcete použít, máte. Do pole Název instance zadejte název instance, čárku a číslo portu, pokud vaše SQL Server instance nemá povolené procházení. Pak zadejte název databáze Azure AD Connect. Vaše oprávnění SQL určují, jestli je možné vytvořit novou databázi, nebo jestli ji musí předem vytvořit správce SQL. Pokud máte oprávnění správce SQL Server, přečtěte si téma Instalace Azure AD Připojení pomocí existující databáze. Pokud máte delegovaná oprávnění (DBO), přečtěte si téma Instalace Azure AD Připojení pomocí oprávnění delegovaného správce SQL.
Použít existující účet služby Ve výchozím nastavení Azure AD Connect poskytuje virtuální účet služby pro synchronizační služby. Pokud používáte vzdálenou instanci SQL Server nebo proxy server, který vyžaduje ověření, můžete v doméně použít účet spravované služby nebo účet služby chráněný heslem. V takových případech zadejte účet, který chcete použít. Pokud chcete spustit instalaci, musíte být správcem služby v SQL, abyste mohli vytvořit přihlašovací údaje pro účet služby. Další informace najdete v tématu Azure AD Připojení účtů a oprávnění.

Pomocí nejnovějšího buildu teď může správce SQL zřizovat databázi mimo pásmo. Správce Azure AD Connect ho pak může nainstalovat s právy vlastníka databáze. Další informace najdete v tématu Instalace Azure AD Připojení pomocí oprávnění delegovaného správce SQL.
Zadat vlastní skupiny pro synchronizaci Ve výchozím nastavení při instalaci synchronizačních služeb vytvoří Azure AD Connect čtyři skupiny, které jsou pro server místní. Tyto skupiny jsou Správci, Operátoři, Procházení a Resetování hesla. Tady můžete zadat vlastní skupiny. Skupiny musí být místní na serveru. Nemůžou být umístěné v doméně.
Import nastavení synchronizace (Preview) Umožní vám importovat nastavení z jiných verzí Azure AD Connect. Další informace najdete v tématu Import a export nastavení konfigurace Azure AD Connect.

Přihlášení uživatele

Po instalaci požadovaných komponent vyberte metodu jednotného přihlašování uživatelů. Následující tabulka stručně popisuje dostupné možnosti. Úplný popis metod přihlášení najdete v tématu Přihlášení uživatele.

Snímek obrazovky se stránkou Přihlášení uživatele Je vybraná možnost Synchronizace hodnot hash hesel.

Možnost jednotného přihlašování Description
Synchronizace hodnot hash hesel Uživatelé se můžou přihlásit k Microsoft cloudovým službám, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Hesla uživatelů se synchronizují s Azure AD jako hodnota hash hesla. Ověřování probíhá v cloudu. Další informace najdete v tématu Synchronizace hodnot hash hesel.
Předávací ověřování Uživatelé se můžou přihlásit k Microsoft cloudovým službám, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Hesla uživatelů se ověřují předáním do řadiče domény místní Active Directory.
Federace se službou AD FS Uživatelé se můžou přihlásit k Microsoft cloudovým službám, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelé se přesměrují do místní instance služby Azure Directory Federation Services (AD FS), aby se mohli přihlásit. Ověřování probíhá místně.
Federace s PingFederate Uživatelé se můžou přihlásit k Microsoft cloudovým službám, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelé se přesměrují do místní instance PingFederate, aby se mohli přihlásit. Ověřování probíhá místně.
Nekonfigurovat Není nainstalována ani nakonfigurována žádná funkce přihlašování uživatelů. Tuto možnost zvolte, pokud už máte federační server třetí strany nebo jiné řešení.
Povolení jednotného přihlašování Tato možnost je k dispozici při synchronizaci hodnot hash hesel i při předávacím ověřování. Poskytuje jednotné přihlašování pro desktopové uživatele v podnikových sítích. Další informace najdete v tématu Jednotné přihlašování.

Poznámka: Pro zákazníky služby AD FS není tato možnost dostupná. Služba AD FS už nabízí stejnou úroveň jednotného přihlašování.

Připojení k Azure AD

Na stránce Připojit k Azure AD zadejte účet a heslo správce hybridních identit. Pokud jste na předchozí stránce vybrali Federace se službou AD FS , nepřihlašujte se pomocí účtu, který je v doméně, kterou plánujete povolit pro federaci.

Možná budete chtít použít účet ve výchozí onmicrosoft.com doméně, který je součástí vašeho tenanta Azure AD. Tento účet se používá jenom k vytvoření účtu služby v Azure AD. Po dokončení instalace se nepoužívá.

Poznámka

Osvědčeným postupem je vyhnout se používání místních synchronizovaných účtů pro přiřazení Azure AD rolí. Pokud dojde k ohrožení místního účtu, můžete ho použít i k ohrožení Azure AD prostředků. Úplný seznam osvědčených postupů najdete v tématu Osvědčené postupy pro Azure AD role.

Snímek obrazovky se stránkou Připojit k Azure AD

Pokud má váš účet globálního správce povolené vícefaktorové ověřování, zadáte heslo znovu v okně přihlášení a musíte dokončit vícefaktorové ověřování. Ověřovacím testem může být ověřovací kód nebo telefonní hovor.

Snímek obrazovky se stránkou Připojit k Azure AD Pole vícefaktorového ověřování vyzve uživatele k zadání kódu.

Účet globálního správce může mít také povolenou privilegovanou správu identit .

Pokud chcete použít podporu ověřování ve scénářích bez hesla, jako jsou federované účty, čipové karty a scénáře vícefaktorového ověřování, můžete při spuštění průvodce zadat přepínač /InteractiveAuth . Pomocí tohoto přepínače se vyhnete uživatelskému rozhraní ověřování průvodce a použijete uživatelské rozhraní knihovny MSAL ke zpracování ověřování.

Pokud se zobrazí chyba nebo máte problémy s připojením, přečtěte si téma Řešení potíží s připojením.

Synchronizovat stránky

Následující části popisují stránky v oddílu Synchronizace .

Připojení adresářů

Pokud se chcete připojit ke službě Active Directory Domain Services (AD DS), Azure AD Connect potřebuje název doménové struktury a přihlašovací údaje účtu, který má dostatečná oprávnění.

Snímek obrazovky se stránkou Připojit adresáře

Po zadání názvu doménové struktury a výběru možnosti Přidat adresář se zobrazí okno. Následující tabulka popisuje vaše možnosti.

Možnost Popis
Vytvořit nový účet Vytvořte účet SLUŽBY AD DS, který Azure AD Connect potřebuje při synchronizaci adresářů připojit k doménové struktuře služby Active Directory. Po výběru této možnosti zadejte uživatelské jméno a heslo pro účet podnikového správce. Azure AD Connect použije k vytvoření požadovaného účtu služby AD DS zadaný účet podnikového správce. Část domény můžete zadat ve formátu NetBIOS nebo plně kvalifikovaný název domény. To znamená, že zadejte FABRIKAM\administrator nebo fabrikam.com\administrator.
Použít existující účet Zadejte existující účet služby AD DS, který Azure AD Connect může použít k připojení k doménové struktuře služby Active Directory během synchronizace adresářů. Část domény můžete zadat ve formátu NetBIOS nebo plně kvalifikovaný název domény. To znamená, že zadejte FABRIKAM\syncuser nebo fabrikam.com\syncuser. Tento účet může být běžným uživatelským účtem, protože potřebuje jenom výchozí oprávnění ke čtení. V závislosti na vašem scénáři ale možná budete potřebovat více oprávnění. Další informace najdete v tématu Azure AD Připojení účtů a oprávnění.

Snímek obrazovky zobrazující stránku Připojit adresář a okno účtu doménové struktury AD, kde se můžete rozhodnout vytvořit nový účet nebo použít existující účet.

Poznámka

Od buildu 1.4.18.0 nemůžete jako účet konektoru služby AD DS použít účet podnikového správce nebo správce domény. Když vyberete Možnost Použít existující účet a pokusíte se zadat účet podnikového správce nebo účet správce domény, zobrazí se následující chyba: Použití účtu podnikového správce nebo účtu správce domény pro účet doménové struktury AD není povoleno. Nechte službu Azure AD Connect, aby za vás účet vytvořila, nebo určete účet synchronizace se správnými oprávněními.“

Konfigurace přihlášení k Azure AD

Na stránce konfigurace přihlášení Azure AD zkontrolujte domény hlavního názvu uživatele (UPN) v místní službě AD DS. Tyto domény hlavního názvu uživatele (UPN) byly ověřeny v Azure AD. Na této stránce nakonfigurujete atribut pro použití pro userPrincipalName.

Snímek obrazovky zobrazující neověřené domény na stránce Konfigurace přihlašování Azure A D

Zkontrolujte každou doménu, která je označená jako Nepřidáno nebo Neověřeno. Ujistěte se, že domény, které používáte, jsou ověřené v Azure AD. Po ověření domén vyberte ikonu cyklické aktualizace. Další informace najdete v tématu Přidání a ověření domény.

Uživatelé používají atribut userPrincipalName při přihlašování k Azure AD a Microsoft 365. Azure AD by měly před synchronizací uživatelů ověřit domény, označované také jako přípona UPN. Microsoft doporučuje zachovat výchozí atribut userPrincipalName.

Pokud je atribut userPrincipalName nesměrovatelný a nejde ho ověřit, můžete vybrat jiný atribut. Jako atribut, který obsahuje přihlašovací ID, můžete například vybrat e-mail. Pokud použijete jiný atribut než userPrincipalName, označuje se jako alternativní ID.

Hodnota atributu alternativního ID musí dodržovat standard RFC 822. Alternativní ID můžete použít při synchronizaci hodnot hash hesel, předávacím ověřování a federaci. V Active Directory nesmí být tento atribut definovaný jako atribut s více hodnotami, a to ani když obsahuje pouze jednu hodnotu. Další informace o alternativním ID najdete v tématu Předávací ověřování: Nejčastější dotazy.

Poznámka

Pokud povolíte předávací ověřování, musíte mít alespoň jednu ověřenou doménu, abyste mohli pokračovat v procesu vlastní instalace.

Upozornění

Alternativní ID nejsou kompatibilní se všemi úlohami Microsoft 365. Další informace najdete v tématu Konfigurace id alternativních přihlášení.

Filtrování domén a organizačních jednotek

Ve výchozím nastavení se synchronizují všechny domény a organizační jednotky. Pokud nechcete synchronizovat některé domény nebo organizační jednotek s Azure AD, můžete vymazat příslušné výběry.

Snímek obrazovky se stránkou filtrování Doména a O U

Tato stránka konfiguruje filtrování založené na doméně a na organizační jednotce. Pokud máte v úmyslu provést změny, přečtěte si téma Filtrování na základě domény a filtrování na základě organizačních jednotek. Některé organizační objekty jsou pro funkčnost nezbytné, proto byste je měli nechat vybrané.

Pokud používáte filtrování založené na organizační jednotce s verzí Azure AD Connect starší než 1.1.524.0, budou nové organizační jednotky ve výchozím nastavení synchronizovány. Pokud nechcete, aby se nové organizační jednotky synchronizovaly, můžete upravit výchozí chování po kroku filtrování založeného na organizační jednotce . U Azure AD Connect 1.1.524.0 nebo novější můžete určit, jestli chcete synchronizovat nové organizační položky.

Pokud plánujete používat filtrování na základě skupin, ujistěte se, že je organizační jednotka se skupinou zahrnutá a nefiltrovaná pomocí filtrování organizační jednotky. Filtrování organizačních jednotek se vyhodnocuje před vyhodnocením filtrování na základě skupin.

Je také možné, že některé domény jsou nedostupné kvůli omezením brány firewall. Tyto domény nejsou ve výchozím nastavení vybrány a zobrazují upozornění.

Snímek obrazovky zobrazující nedostupné domény

Pokud se zobrazí toto upozornění, ujistěte se, že jsou tyto domény skutečně nedostupné a že je upozornění očekávané.

Jednoznačná identifikace uživatelů

Na stránce Identifikace uživatelů zvolte, jak identifikovat uživatele v místních adresářích a jak je identifikovat pomocí atributu sourceAnchor.

Vyberte způsob, jakým se mají uživatelé identifikovat v místních adresářích

Pomocí funkce Párování napříč doménovými strukturami můžete definovat, jak budou uživatelé z doménových struktur služby AD DS reprezentováni v Azure AD. Uživatel může být ve všech doménových strukturách zastoupen pouze jednou nebo může mít kombinaci povolených a zakázaných účtů. Uživatel také může být v některých doménových strukturách reprezentován jako kontakt.

Snímek obrazovky se stránkou, na které můžete jedinečně identifikovat uživatele

Nastavení Popis
Uživatelé jsou ve všech doménových strukturách reprezentováni pouze jednou. Všichni uživatelé jsou vytvořeni jako jednotlivé objekty v Azure AD. Objekty nejsou spojené v metaverse.
Atribut Mail Tato možnost spojí uživatele a kontakty, pokud má atribut mail v různých doménových strukturách stejnou hodnotu. Tuto možnost použijte, pokud jste kontakty vytvořili pomocí GALSync. Pokud zvolíte tuto možnost, objekty uživatelů, jejichž atribut pošty není vyplněný, nebudou synchronizovány s Azure AD.
Atributy ObjectSID a msExchangeMasterAccountSID/msRTCSIP-OriginatorSID Tato možnost spojí povoleného uživatele v doménové struktuře účtu se zakázaným uživatelem v doménové struktuře prostředku. V systému Exchange se tato konfigurace označuje jako propojená poštovní schránka. Tuto možnost můžete použít, pokud používáte jenom Lync a exchange není v doménové struktuře prostředků.
Atributy SAMAccountName a MailNickName Tato možnost se připojí k atributům, u kterých se očekává nalezení přihlašovacího ID uživatele.
Volba konkrétního atributu Tato možnost umožňuje vybrat vlastní atribut. Pokud zvolíte tuto možnost, objekty uživatelů, jejichž (vybraný) atribut není vyplněný, nebudou synchronizovány s Azure AD. Omezení: Pro tuto možnost jsou k dispozici pouze atributy, které jsou již v metaverse.

Výběr způsobu identifikace uživatelů pomocí zdrojového ukotvení

Atribut sourceAnchor je neměnný po dobu životnosti objektu uživatele. Je to primární klíč, který propojuje místního uživatele s uživatelem v Azure AD.

Nastavení Popis
Správa zdrojového ukotvení v Azure Tuto možnost vyberte, pokud chcete, aby Azure AD vybral atribut za vás. Pokud vyberete tuto možnost, Azure AD Connect použije logiku výběru atributu sourceAnchor popsanou v tématu Použití ms-DS-ConsistencyGuid jako sourceAnchor. Po dokončení vlastní instalace uvidíte, který atribut byl vybrán jako atribut sourceAnchor.
Volba konkrétního atributu Tuto možnost vyberte, pokud chcete jako atribut sourceAnchor zadat existující atribut AD.

Vzhledem k tomu, že atribut sourceAnchor nelze změnit, musíte zvolit odpovídající atribut. Jednou z vhodných možností je objectGUID. Tento atribut se nezmění, pokud se uživatelský účet nepřesune mezi doménovými strukturami nebo doménami. Nevybírejte atributy, které se můžou změnit, když si osoba vezme nebo změní přiřazení.

Nemůžete použít atributy, které obsahují znak zavináč (@), takže nemůžete použít e-mail a atribut userPrincipalName. Atribut také rozlišuje velká a malá písmena, takže při přesouvání objektu mezi doménovými strukturami nezapomeňte zachovat velká a malá písmena. Binární atributy mají kódování Base64, ale ostatní typy atributů zůstávají v nekódovaném stavu.

Ve scénářích federace a některých Azure AD rozhraních se atribut sourceAnchor označuje také jako immutableID.

Další informace o zdrojovém ukotvení najdete v tématu Koncepty návrhu.

Filtrování synchronizace podle skupin

Funkce filtrování podle skupin umožňuje synchronizovat pouze malou podmnožinu objektů pro pilotní nasazení. Pokud chcete tuto funkci použít, vytvořte pro tento účel skupinu v místní instanci služby Active Directory. Jako přímé členy přidejte uživatele a skupiny, které chcete synchronizovat do Azure AD. Později můžete do této skupiny přidat uživatele nebo je z této skupiny odebrat, abyste zachovali seznam objektů, které by se měly nacházet v Azure AD.

Všechny objekty, které chcete synchronizovat, musí být přímými členy skupiny. Uživatelé, skupiny, kontakty a počítače nebo zařízení musí být všichni přímí členové. Členství ve vnořených skupinách se nevyřeší. Když přidáte skupinu jako člena, přidá se jenom samotná skupina. Její členové se nepřidají.

Snímek obrazovky se stránkou, kde můžete zvolit, jak filtrovat uživatele a zařízení

Upozornění

Tato funkce je určená pouze k podpoře pilotního nasazení. Nepoužívejte ho v plném produkčním nasazení.

V plném produkčním nasazení by bylo obtížné udržovat jednu skupinu a všechny její objekty k synchronizaci. Místo funkce filtrování podle skupin použijte jednu z metod popsaných v tématu Konfigurace filtrování.

Volitelné funkce

Na další stránce můžete vybrat volitelné funkce pro váš scénář.

Upozornění

Azure AD Connect verze 1.0.8641.0 a starší využívají zpětný zápis hesla ve službě Azure Access Control Service. Tato služba byla 7. listopadu 2018 vyřazena z provozu. Pokud použijete některou z těchto verzí služby Azure AD Connect a povolíte zpětný zápis hesla, můžou uživatelé při vyřazení služby ztratit možnost změnit nebo resetovat svá hesla. Tyto verze Azure AD Connect nepodporují zpětný zápis hesla.

Další informace najdete v tématu Migrace ze služby Azure Access Control Service.

Pokud chcete použít zpětný zápis hesla, stáhněte si nejnovější verzi nástroje Azure AD Connect.

Snímek obrazovky se stránkou Volitelné funkce

Upozornění

Pokud jsou aktivní Azure AD Sync nebo přímá synchronizace (DirSync), neaktivujte v nástroji Azure AD Connect žádné funkce zpětného zápisu.

Volitelné funkce Description
Hybridní nasazení Exchange Funkce hybridního nasazení Exchange umožňuje koexistenci poštovních schránek Exchange v místním prostředí i v Microsoft 365. Azure AD Connect synchronizuje konkrétní sadu atributů z Azure AD zpět do místního adresáře.
Veřejné složky pošty Exchange Funkce veřejných složek pošty Exchange umožňuje synchronizovat poštovní objekty veřejných složek z místní instance služby Active Directory do Azure AD. Mějte na paměti, že synchronizace skupin, které obsahují veřejné složky jako členy, není podporovaná a pokud se o to pokusíte, dojde k chybě synchronizace.
Filtrování aplikací a atributů Azure AD Když povolíte filtrování Azure AD aplikací a atributů, můžete sadu synchronizovaných atributů přizpůsobit. Tato možnost rozšíří průvodce o další dvě stránky konfigurace. Další informace najdete v tématu Filtrování aplikací a atributů Azure AD.
Synchronizace hodnot hash hesel Pokud jste jako řešení pro přihlašování vybrali federaci, můžete povolit synchronizaci hodnot hash hesel. Pak ho můžete použít jako možnost zálohování.

Pokud jste vybrali předávací ověřování, můžete tuto možnost povolit, abyste zajistili podporu starších klientů a poskytli zálohu.

Další informace najdete v tématu Synchronizace hodnot hash hesel.
Zpětný zápis hesla Tuto možnost použijte, pokud chcete zajistit, aby se změny hesel, které pocházejí z Azure AD, zapisují zpátky do místního adresáře. Další informace najdete v tématu Začínáme se správou hesel.
Zpětný zápis skupin Pokud používáte Skupiny Microsoft 365, můžete reprezentovat skupiny v místní instanci služby Active Directory. Tato možnost je dostupná jenom v případě, že máte Exchange v místní instanci Active Directory. Další informace najdete v tématu zpětný zápis skupiny Azure AD Connect.
Zpětný zápis zařízení V případě scénářů podmíněného přístupu použijte tuto možnost k zápisu objektů zařízení v Azure AD do místní instance služby Active Directory. Další informace najdete v tématu Povolení zpětného zápisu zařízení v Azure AD Connect.
Synchronizace atributů rozšíření adresáře Tuto možnost vyberte, pokud chcete synchronizovat zadané atributy do Azure AD. Další informace najdete v tématu Rozšíření adresáře.

Filtrování aplikací a atributů Azure AD

Pokud chcete omezit, které atributy se synchronizují do Azure AD, začněte výběrem služeb, které používáte. Pokud změníte výběry na této stránce, musíte explicitně vybrat novou službu opětovným spuštěním průvodce instalací.

Snímek obrazovky znázorňující volitelné funkce aplikací Azure AD

Na základě služeb, které jste vybrali v předchozím kroku, se na této stránce zobrazí všechny atributy, které jsou synchronizované. Tento seznam je kombinací všech typů objektů, které se synchronizují. Pokud potřebujete, aby některé atributy zůstaly nesynchronizované, můžete výběr z těchto atributů vymazat.

Snímek obrazovky znázorňující volitelné funkce atributů Azure A D

Upozornění

Odebrání atributů může ovlivnit funkčnost. Osvědčené postupy a doporučení najdete v tématu Atributy, které se mají synchronizovat.

Synchronizace atributů rozšíření adresáře

Schéma můžete v Azure AD rozšířit pomocí vlastních atributů, které vaše organizace přidala, nebo pomocí jiných atributů ve službě Active Directory. Pokud chcete tuto funkci použít, na stránce Volitelné funkce vyberte Synchronizace atributů rozšíření adresáře. Na stránce Rozšíření adresáře můžete vybrat další atributy k synchronizaci.

Poznámka

V poli Dostupné atributy se rozlišují malá a velká písmena.

Snímek obrazovky se stránkou Rozšíření adresáře

Další informace najdete v tématu Rozšíření adresáře.

Povolení jednotného přihlašování

Na stránce Jednotné přihlašování nakonfigurujete jednotné přihlašování pro použití se synchronizací hesel nebo předávacím ověřováním. Tento krok provedete jednou pro každou doménovou strukturu, která se synchronizuje s Azure AD. Konfigurace zahrnuje dva kroky:

  1. Vytvořte potřebný účet počítače v místní instanci služby Active Directory.
  2. Nakonfigurujte intranetovou zónu klientských počítačů tak, aby podporovala jednotné přihlašování.

Vytvoření účtu počítače ve službě Active Directory

Pro každou doménovou strukturu přidanou v Azure AD Connect musíte zadat přihlašovací údaje správce domény, aby bylo možné v každé doménové struktuře vytvořit účet počítače. Přihlašovací údaje se použijí jenom k vytvoření účtu. Neukládají se ani nepoužívají pro žádnou jinou operaci. Přidejte přihlašovací údaje na stránce Povolit jednotné přihlašování , jak je znázorněno na následujícím obrázku.

Snímek obrazovky se stránkou Povolit jednotné přihlašování Přidají se přihlašovací údaje doménové struktury.

Poznámka

Doménové struktury můžete přeskočit tam, kde nechcete používat jednotné přihlašování.

Konfigurace zóny intranetu pro klientské počítače

Pokud chcete zajistit, aby se klient automaticky přihlašuje v intranetové zóně, ujistěte se, že je adresa URL součástí zóny intranetu. Tento krok zajistí, že počítač připojený k doméně automaticky odešle lístek protokolu Kerberos do Azure AD, když je připojený k podnikové síti.

Na počítači s nástroji pro správu Zásady skupiny:

  1. Otevřete nástroje pro správu Zásady skupiny.

  2. Upravte zásady skupiny, které se použijí pro všechny uživatele. Například výchozí zásady domény.

  3. Přejděte na Stránku> Konfigurace uživateleŠablony pro> správuSoučásti systému> WindowsInternet Explorer Internet Explorer>Internet Ovládací panely>Zabezpečení. Pak vyberte Seznam přiřazení lokality k zóně.

  4. Povolte zásadu. Potom v dialogovém okně zadejte název https://autologon.microsoftazuread-sso.com hodnoty a hodnotu 1. Nastavení by mělo vypadat jako na následujícím obrázku.

    Snímek obrazovky znázorňující intranetové zóny

  5. Dvakrát vyberte OK .

Konfigurace federace se službou AD FS

Službu AD FS můžete pomocí Azure AD Connect nakonfigurovat několika kliknutími. Než začnete, potřebujete:

  • Windows Server 2012 R2 nebo novější pro federační server. Vzdálená správa by měla být povolená.
  • Windows Server 2012 R2 nebo novější pro server webových proxy aplikací. Vzdálená správa by měla být povolená.
  • Certifikát TLS/SSL pro název služby FS, který chcete použít (například sts.contoso.com).

Poznámka

Certifikát TLS/SSL pro farmu služby AD FS můžete aktualizovat pomocí Azure AD Connect, i když ho nepoužíváte ke správě vztahu důvěryhodnosti federace.

Požadavky na konfiguraci služby AD FS

Pokud chcete nakonfigurovat farmu služby AD FS pomocí Azure AD Connect, ujistěte se, že je na vzdálených serverech povolená služba WinRM. Ujistěte se, že jste dokončili ostatní úlohy v části Požadavky federace. Také se ujistěte, že dodržujete požadavky na porty, které jsou uvedené v tabulce Azure AD Connect a federační servery nebo servery WAP.

Vytvoření nové farmy služby AD FS nebo použití existující farmy služby AD FS

Můžete použít existující farmu služby AD FS nebo vytvořit novou. Pokud se rozhodnete vytvořit nový, musíte zadat certifikát TLS/SSL. Pokud je certifikát TLS/SSL chráněný heslem, zobrazí se výzva k zadání hesla.

Snímek obrazovky se stránkou Farma A D F S

Pokud se rozhodnete použít existující farmu služby AD FS, zobrazí se stránka, kde můžete nakonfigurovat vztah důvěryhodnosti mezi službou AD FS a Azure AD.

Poznámka

Azure AD Connect můžete použít ke správě pouze jedné farmy služby AD FS. Pokud máte existující vztah důvěryhodnosti federace, kde je ve vybrané farmě služby AD FS nakonfigurovaný Azure AD, Azure AD Connect znovu vytvoří vztah důvěryhodnosti od začátku.

Zadání serverů služby AD FS

Zadejte servery, na které chcete službu AD FS nainstalovat. V závislosti na vašich potřebách kapacity můžete přidat jeden nebo více serverů. Před nastavením této konfigurace připojte všechny servery AD FS ke službě Active Directory. Tento krok se nevyžaduje u serverů webového proxy aplikací.

Společnost Microsoft doporučuje instalaci jednoho serveru služby AD FS pro zkušební a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery tak, aby splňovaly vaše potřeby škálování, a to opětovným spuštěním Azure AD Connect.

Poznámka

Před nastavením této konfigurace se ujistěte, že jsou všechny servery připojené k Azure AD doméně.

Snímek obrazovky se stránkou Federační servery

Zadání proxy serverů webových aplikací

Zadejte servery webových proxy aplikací. Web proxy aplikací server je nasazený v hraniční síti směrem k extranetu. Podporuje žádosti o ověření z extranetu. V závislosti na vašich potřebách kapacity můžete přidat jeden nebo více serverů.

Microsoft doporučuje instalaci jednoho webového proxy aplikací serveru pro testovací a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery tak, aby splňovaly vaše potřeby škálování, a to opětovným spuštěním Azure AD Connect. Doporučujeme, abyste měli ekvivalentní počet proxy serverů, abyste vyhověli ověřování z intranetu.

Poznámka

  • Pokud účet, který používáte, není místním správcem na webových proxy aplikací serverech, zobrazí se výzva k zadání přihlašovacích údajů správce.
  • Než zadáte webovou proxy aplikací servery, ujistěte se, že mezi serverem Azure AD Connect a serverem webového proxy aplikací existuje připojení HTTP/HTTPS.
  • Ujistěte se, že mezi webovým aplikačním serverem a serverem SLUŽBY AD FS existuje připojení HTTP/HTTPS, aby bylo možné procházet požadavky na ověření.

Snímek obrazovky se stránkou Web proxy aplikací servery

Zobrazí se výzva k zadání přihlašovacích údajů, aby mohl server webové aplikace navázat zabezpečené připojení k serveru služby AD FS. Tyto přihlašovací údaje musí být pro účet místního správce na serveru SLUŽBY AD FS.

Snímek obrazovky se stránkou Přihlašovací údaje Přihlašovací údaje správce se zadávají do pole pro uživatelské jméno a heslo.

Zadání účtu služby AD FS

Služba AD FS vyžaduje účet doménové služby k ověřování uživatelů a vyhledávání informací o uživatelích ve službě Active Directory. Podporuje dva typy účtů služeb:

  • Účet spravované služby skupiny: Tento typ účtu zavedl do služby AD DS Windows Server 2012. Tento typ účtu poskytuje služby, jako je AD FS. Jedná se o jeden účet, ve kterém nemusíte heslo pravidelně aktualizovat. Tuto možnost použijte, pokud se řadiče domény systému Windows Server 2012 už nacházejí v doméně, do které patří server služby AD FS.
  • Účet uživatele domény: Tento typ účtu vyžaduje, abyste zadali heslo a pravidelně ho aktualizovali, když vyprší jeho platnost. Tuto možnost použijte jenom v případě, že nemáte Windows Server 2012 řadiče domény v doméně, do které patří vaše servery SLUŽBY AD FS.

Pokud jste vybrali možnost Vytvořit skupinový účet spravované služby a tato funkce se ve službě Active Directory nikdy nepoužila, zadejte přihlašovací údaje podnikového správce. Tyto přihlašovací údaje slouží k inicializaci úložiště klíčů a povolení této funkce ve službě Active Directory.

Poznámka

Azure AD Connect zkontroluje, jestli je služba AD FS už zaregistrovaná jako hlavní název služby (SPN) v doméně. Služba AD DS neumožňuje registraci duplicitních hlavních názvů služby současně. Pokud se najde duplicitní hlavní název služby (SPN), nemůžete pokračovat, dokud se hlavní název služby neodebere.

Snímek obrazovky se stránkou Účet služby A D F S

Vyberte doménu Azure AD, kterou chcete federovat.

Na stránce Azure AD Domain můžete nastavit federační vztah mezi službami AD FS a Azure AD. Tady nakonfigurujete službu AD FS tak, aby poskytovala tokeny zabezpečení Azure AD. Nakonfigurujete také Azure AD tak, aby důvěřovaly tokenům z této instance služby AD FS.

Na této stránce můžete v počáteční instalaci nakonfigurovat jenom jednu doménu. Později můžete znovu spustit Azure AD Connect a nakonfigurovat další domény.

Snímek obrazovky se stránkou Azure A D Domain

Výběr domény Azure AD vybrané k federaci

Když vyberete doménu, kterou chcete federovat, Azure AD Connect poskytne informace, které můžete použít k ověření neověřené domény. Další informace najdete v tématu Přidání a ověření domény.

Snímek obrazovky se stránkou Azure A D Domain včetně informací, které můžete použít k ověření domény

Poznámka

Azure AD Connect se pokusí ověřit doménu během fáze konfigurace. Pokud nepřidáte potřebné záznamy DNS (Domain Name System), nebude možné konfiguraci dokončit.

Konfigurace federace s PingFederate

PingFederate můžete pomocí Azure AD Connect nakonfigurovat několika kliknutími. Jsou vyžadovány následující požadavky:

Ověření domény

Jakmile se rozhodnete nastavit federaci pomocí PingFederate, zobrazí se výzva k ověření domény, kterou chcete federovat. V rozevírací nabídce vyberte doménu.

Snímek obrazovky se stránkou Azure A D Domain Je vybraná ukázková doména

Export nastavení PingFederate

Nakonfigurujte PingFederate jako federační server pro každou federovanou doménu Azure. Vyberte Exportovat nastavení a nasdílejte tyto informace správci PingFederate. Správce federačního serveru aktualizuje konfiguraci a pak zadá adresu URL serveru PingFederate a číslo portu, aby Azure AD Connect mohl ověřit nastavení metadat.

Snímek obrazovky se stránkou Nastavení PingFederate V horní části stránky se zobrazí tlačítko Exportovat nastavení.

Případné problémy s ověřením řešte se správcem PingFederate. Následující obrázek ukazuje informace o serveru PingFederate, který nemá platný vztah důvěryhodnosti s Azure.

Snímek obrazovky s informacemi o serveru: Server PingFederate byl nalezen, ale připojení poskytovatele služeb pro Azure chybí nebo je zakázané.

Ověření připojení federace

Azure AD Connect se pokusí ověřit koncové body ověřování, které načte z metadat PingFederate v předchozím kroku. Azure AD Connect se nejprve pokusí přeložit koncové body pomocí místních serverů DNS. Dále se pokusí přeložit koncové body pomocí externího poskytovatele DNS. Případné problémy s ověřením řešte se správcem PingFederate.

Snímek obrazovky se stránkou Ověření připojení

Ověření přihlášení k federaci

Nakonec můžete ověřit nově nakonfigurovaný tok přihlášení federace tím, že se přihlásíte k federované doméně. Pokud přihlášení proběhne úspěšně, federace s PingFederate se úspěšně nakonfiguruje.

Snímek obrazovky se stránkou Ověření federovaného přihlášení Zpráva v dolní části značí úspěšné přihlášení.

Konfigurace a ověření stránek

Konfigurace se provede na stránce Konfigurovat .

Poznámka

Pokud jste nakonfigurovali federaci, ujistěte se, že jste před pokračováním v instalaci nakonfigurovali také překlad názvů pro federační servery .

Snímek obrazovky se stránkou Připraveno ke konfiguraci

Použití pracovního režimu

Nový synchronizační server je možné nastavit paralelně s pracovním režimem. Pokud chcete použít toto nastavení, pak pouze jeden synchronizační server může exportovat do jednoho adresáře v cloudu. Pokud se ale chcete přesunout z jiného serveru, například ze serveru s DirSync, můžete povolit Azure AD Connect v pracovním režimu.

Když povolíte přípravné nastavení, synchronizační modul naimportuje a synchronizuje data jako obvykle. Neexportuje ale žádná data do Azure AD nebo Active Directory. V pracovním režimu jsou funkce synchronizace hesel a zpětný zápis hesla zakázány.

Snímek obrazovky s možností Povolit pracovní režim

V pracovním režimu můžete provést požadované změny synchronizačního modulu a zkontrolovat, co se bude exportovat. Když jste s konfigurací spokojeni, znovu spusťte průvodce instalací a vypněte pracovní režim.

Data se teď ze serveru exportují do Azure AD. Nezapomeňte současně zakázat druhý server tak, aby pouze jeden server prováděl aktivní export.

Další informace najdete v tématu Pracovní režim.

Ověření konfigurace federace

Azure AD Connect ověří nastavení DNS, když vyberete tlačítko Ověřit. Kontroluje následující nastavení:

  • Připojení k intranetu
    • Řešení plně kvalifikovaného názvu domény federace: Azure AD Connect zkontroluje, jestli dns dokáže přeložit plně kvalifikovaný název domény federace, aby se zajistilo připojení. Pokud Azure AD Connect nemůže plně kvalifikovaný název domény přeložit, ověření se nezdaří. K dokončení ověření se ujistěte, že je k dispozici záznam DNS pro plně kvalifikovaný název domény federační služby.
    • ZÁZNAM DNS A: Azure AD Connect zkontroluje, jestli má vaše služba FS záznam A. Pokud záznam A neexistuje, ověření se nezdaří. Ověření dokončíte vytvořením záznamu A (nikoli záznamu CNAME) pro plně kvalifikovaný název domény federace.
  • Připojení k extranetu
    • Řešení plně kvalifikovaného názvu domény federace: Azure AD Connect zkontroluje, jestli dns dokáže přeložit plně kvalifikovaný název domény federace, aby se zajistilo připojení.

      Snímek obrazovky se stránkou Instalace byla dokončena

      Snímek obrazovky se stránkou Instalace byla dokončena Zpráva označuje, že konfigurace intranetu byla ověřena.

Pokud chcete ověřit kompletní ověřování, proveďte ručně jeden nebo více z následujících testů:

  • Po dokončení synchronizace použijte v Azure AD Connect další úlohu Ověření federovaného přihlášení k ověření ověřování pro místní uživatelský účet, který zvolíte.
  • Na počítači připojeném k doméně na intranetu se ujistěte, že se můžete přihlásit z prohlížeče. Připojte se k https://myapps.microsoft.com. Pak pomocí přihlášeného účtu ověřte přihlášení. Integrovaný účet správce služby AD DS není synchronizovaný a nemůžete ho použít k ověření.
  • Ujistěte se, že se můžete přihlásit ze zařízení v extranetu. Na domácím počítači nebo mobilním zařízení se připojte k https://myapps.microsoft.com. Pak zadejte svoje přihlašovací údaje.
  • Ověřte přihlášení plně funkčního klienta. Připojte se k https://testconnectivity.microsoft.com. Pak vyberte Office 365>Office 365 Jeden test Sign-On.

Řešení potíží

Tato část obsahuje informace o řešení potíží, které můžete použít, pokud máte potíže při instalaci Azure AD Connect.

Když přizpůsobíte instalaci Azure AD Connect, můžete na stránce Nainstalovat požadované komponenty vybrat Použít existující SQL Server. Může se zobrazit následující chyba: Databáze ADSync již obsahuje data a nelze ji přepsat. Odeberte existující databázi a zkuste to znovu."

Snímek obrazovky se stránkou Instalace požadovaných komponent V dolní části stránky se zobrazí chyba.

Tato chyba se zobrazí, protože databáze s názvem ADSync již existuje v instanci SQL SQL Server, kterou jste zadali.

Tato chyba se obvykle zobrazí po odinstalaci Azure AD Connect. Databáze se při odinstalaci Azure AD Connect neodstraní z počítače, na kterém běží SQL Server.

Tento problém vyřešíte takto:

  1. Zkontrolujte databázi ADSync, která Azure AD Connect použita před odinstalací. Ujistěte se, že se databáze už nepoužívá.

  2. Zálohujte databázi.

  3. Odstraňte databázi:

    1. K připojení k instanci SQL použijte Microsoft SQL Server Management Studio.
    2. Vyhledejte databázi ADSync a klikněte na ni pravým tlačítkem.
    3. V místní nabídce vyberte Odstranit.
    4. Výběrem OK databázi odstraňte.

Snímek obrazovky znázorňující Microsoft SQL Server Management Studio Je vybraná možnost Synchronizace D.

Po odstranění databáze ADSync vyberte Nainstalovat a zkuste instalaci zopakovat.

Další kroky

Po dokončení instalace se odhlaste z Windows. Pak se znovu přihlaste, než použijete synchronizační Service Manager nebo Editor synchronizačních pravidel.

Teď, když jste nainstalovali Azure AD Connect, můžete ověřit instalaci a přiřadit licence.

Další informace o funkcích, které jste povolili během instalace, najdete v tématu Zabránění náhodnému odstranění a Azure AD Connect Health.

Další informace o dalších běžných tématech najdete v tématu synchronizace Azure AD Connect: Plánovač a integrace místních identit s Azure AD.