Integrace lokálních domén služby Active Directory s Microsoft Entra ID

Azure Virtual Machines

Azure Virtual Network

Microsoft Entra ID

Microsoft Entra ID je cloudová adresářová služba a služba identit. Tato referenční architektura ukazuje osvědčené postupy pro integraci místní Active Directory domén s ID Microsoft Entra za účelem zajištění cloudového ověřování identit.

Architecture

Image obsahuje dvě klíčové části: místní síť a virtuální síť Azure. Část místní sítě obsahuje řadič domény, Synchronizaci Microsoft Entra Connect a místního klienta. Šipka ukazuje z řadiče domény na Microsoft Entra Connect Sync. Šipka označená synchronizačními body z Microsoft Entra Connect Sync do tenanta Microsoft Entra. Šipka s popiskem Žádosti od místních uživatelů odkazuje z místního klienta na tenanta Microsoft Entra. Šipka s popiskem Žádosti od externích uživatelů odkazuje na tenanta Microsoft Entra. Šipka ukazuje z tenanta Microsoft Entra na nástroj pro vyrovnávání zatížení. Tři šipky ukazují z Nástroje pro vyrovnávání zatížení na tři samostatné virtuální počítače v části Virtuální síť Azure. Tečkovaná čára označená DDoS Protection ohraničuje část virtuální sítě Azure. Tato část obsahuje webovou vrstvu, obchodní vrstvu, datovou vrstvu a podsíť správy. Všechny tři úrovně zahrnují skupinu zabezpečení sítě, nástroj pro vyrovnávání zatížení a tři virtuální počítače. Podsíť pro správu zahrnuje Azure Bastion.

Stáhněte si soubor aplikace Visio s touto architekturou.

Note

Pro zjednodušení tento diagram zobrazuje pouze připojení přímo související s ID Microsoft Entra, nikoli přenosy související s protokoly, ke kterým může dojít jako součást ověřování a federace identit. Webová aplikace může například přesměrovat webový prohlížeč tak, aby žádost ověřila prostřednictvím ID Microsoft Entra. Po ověření je možné požadavek předat zpět webové aplikaci spolu s příslušnými informacemi o identitě.

Components

• Tenant Microsoft Entra: Instance ID Microsoft Entra vytvořené vaší organizací. Funguje jako adresářová služba pro cloudové aplikace, protože ukládá objekty zkopírované z místní služby Active Directory a poskytuje službu identit.

• Podsíť webové vrstvy: Tato podsíť hostuje virtuální počítače, na kterých běží webová aplikace. Id Microsoft Entra slouží jako zprostředkovatel identity pro tuto aplikaci.

• Místní server služby Active Directory Domain Services (AD DS): Místní adresář a služba identit. Adresář služby AD DS je možné synchronizovat s ID Microsoft Entra, aby mohl ověřovat místní uživatele.

• Server Microsoft Entra Connect Sync: Místní počítač, na kterém běží synchronizační služba Microsoft Entra Connect . Tato služba synchronizuje informace uložené v místní službě Active Directory s ID Microsoft Entra. Například zřizování nebo zrušení zřízení uživatelů a skupin v místním prostředí automaticky synchronizuje tyto změny s ID Microsoft Entra.

  Note

  Z bezpečnostních důvodů microsoft Entra ID ukládá uživatelská hesla jako hodnoty hash. Pokud uživatel vyžaduje resetování hesla, musí se resetování provést místně a aktualizovaná hodnota hash se musí odeslat na ID Microsoft Entra. Edice Microsoft Entra ID P1 nebo P2 zahrnují funkce, které umožňují inicializování změn hesel v cloudu a následné zapsání zpět do místní služby AD DS.

• Virtuální počítače pro N-vrstvé aplikace: Virtuální počítače, které podporují škálovatelné, odolné a zabezpečené aplikace oddělením úloh na jednotlivé úrovně, jako jsou webové, obchodní logiky a data. Další informace o těchto prostředcích najdete v tématu N-úrovňová architektura na virtuálních počítačích.

Podrobnosti scénáře

Potenciální případy použití

Zvažte následující typické použití pro tuto referenční architekturu:

• Webové aplikace nasazené v Azure poskytující přístup vzdáleným uživatelům patřícím do vaší organizace.

• Implementace samoobslužných funkcí pro zákazníky, například resetování hesel a delegování správy skupin Tato funkce vyžaduje edici Microsoft Entra ID P1 nebo P2.

• Architektury, ve kterých místní síť a virtuální síť Azure aplikace nejsou připojené pomocí tunelu VPN nebo okruhu Azure ExpressRoute.

Note

Microsoft Entra ID může ověřit identitu uživatelů a aplikací, které existují v adresáři organizace. Některé aplikace a služby, jako je SQL Server, můžou vyžadovat ověření počítače, v takovém případě toto řešení není vhodné.

Recommendations

Následující doporučení můžete použít pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Konfigurace služby Microsoft Entra Connect Sync

Služba Microsoft Entra Connect Sync zajišťuje, aby informace o identitě uložené v cloudu byly konzistentní s informacemi o identitě uloženými místně. Tuto službu nainstalujete pomocí softwaru Microsoft Entra Connect.

Než implementujete Microsoft Entra Connect Sync, určete požadavky vaší organizace na synchronizaci. Představte si například, co se má synchronizovat, které domény zahrnout, a jak často se má synchronizace provádět.

Službu Microsoft Entra Connect Sync můžete spustit na virtuálním počítači nebo v místním počítači. V závislosti na nestálosti informací ve vašem adresáři služby Active Directory se zatížení služby Microsoft Entra Connect Sync pravděpodobně po počáteční synchronizaci s ID Microsoft Entra nebude příliš vysoké. Provozování služby na virtuálním počítači usnadňuje v případě potřeby škálování serveru. Sledujte aktivitu na virtuálním počítači, jak je popsáno v části Aspekty monitorování , abyste zjistili, jestli je škálování nezbytné.

Pokud máte v doménové struktuře více místních domén, doporučujeme informace pro celou doménovou strukturu uložit a synchronizovat do jednoho tenantu Microsoft Entra. Vyfiltrujte informace pro identity, které se vyskytují ve více než jedné doméně, aby se každá identita zobrazila pouze jednou v MICROSOFT Entra ID místo duplikování. Duplikace může způsobit nekonzistence při synchronizaci dat. Další informace najdete v části Ověření síťové topologie .

Použijte filtrování, aby se v Microsoft Entra ID ukládaly jenom potřebná data. Vaše organizace například nemusí chtít ukládat informace o neaktivních účtech v MICROSOFT Entra ID. Filtrování může být založené na skupině, doméně, organizační jednotce nebo atributu. Pokud chcete vygenerovat složitější pravidla, můžete filtry zkombinovat. Můžete například synchronizovat objekty uchovávané v doméně, které mají konkrétní hodnotu ve vybraném atributu. Další informace naleznete v tématu Microsoft Entra Connect Sync: Konfigurace filtrování.

Pokud chcete implementovat vysokou dostupnost synchronizační služby Active Directory Connect, spusťte sekundární pracovní server. Další informace naleznete v části Pracovní režim.

Note

Synchronizace cloudu Microsoft Entra je nabídka od Microsoftu navržená tak, aby splňovala a splňovala vaše cíle hybridní identity pro synchronizaci uživatelů, skupin a kontaktů do Microsoft Entra ID. Při používání Microsoft Entra Cloud Sync se zřizování ze služby Active Directory do Microsoft Entra ID orchestruje prostřednictvím Microsoftu 365.

Ověření konfigurace zabezpečení a zásad

Správa hesel uživatelů Edice Microsoft Entra ID P1 nebo P2 podporují zpětný zápis hesla. Tato funkce umožňuje místním uživatelům provádět samoobslužné resetování hesla z webu Azure Portal. Tato funkce by měla být povolená až po kontrole zásad zabezpečení hesel vaší organizace. Můžete například omezit, kteří uživatelé můžou změnit svá hesla, a přizpůsobit prostředí pro správu hesel. Další informace naleznete v tématu [Přizpůsobení uživatelského prostředí pro samoobslužné resetování hesla společnosti Microsoft Entra].

Chraňte místní aplikace, ke kterým je možné přistupovat externě. Proxy aplikací Microsoft Entra slouží k poskytování řízeného přístupu k místním webovým aplikacím uživatelům mimo vaši síť prostřednictvím Microsoft Entra ID. K používání aplikace mají oprávnění jenom uživatelé, kteří mají ve vašem adresáři Azure platné přihlašovací údaje. Další informace naleznete v tématu Povolení proxy aplikace v Microsoft Entra ID.

Aktivně monitorujte ID Microsoft Entra a sledujte známky podezřelé aktivity. Zvažte použití edice Microsoft Entra ID P2, která zahrnuje Microsoft Entra ID Protection. Služba ID Protection využívá algoritmy adaptivního strojového učení a heuristiku k detekci anomálií a rizikových událostí, které můžou značit ohrožení identity. Může například detekovat potenciálně neobvyklou aktivitu, jako jsou nepravidelné přihlašovací aktivity, přihlášení z neznámých zdrojů nebo z IP adres s podezřelou aktivitou nebo přihlášení ze zařízení, která by mohla být napadená. Služba Identity Protection tato data používá ke generování sestav a výstrah, které vám umožní prozkoumat tyto rizikové události a provést odpovídající akce. Další informace najdete v tématu Ochrana ID.

Pomocí funkce sestavování ID Microsoft Entra v Azure portálu můžete monitorovat aktivity související se zabezpečením, ke kterým dochází ve vašem systému. Další informace o tom, jak tyto sestavy používat, naleznete v tématu Monitorování a stav společnosti Microsoft Entra.

Ověření síťové topologie

Nakonfigurujte Microsoft Entra Connect pro implementaci topologie, která nejvíce odpovídá požadavkům vaší organizace. Microsoft Entra Connect podporuje následující topologie:

• Jedna doménová struktura, jeden adresář Microsoft Entra: V této topologii Microsoft Entra Connect synchronizuje objekty a informace o identitě z jedné nebo více domén v jedné místní doménové struktuře do jednoho tenanta Microsoft Entra. Tato topologie je výchozí implementací expresní instalace microsoft Entra Connect.

  Note

  Nepoužívejte více serverů Microsoft Entra Connect Sync k připojení různých domén ve stejné místní doménové struktuře ke stejnému tenantovi Microsoft Entra. Tato konfigurace je vhodná pouze v případě, že jeden ze serverů běží v pracovním režimu, jak je popsáno v následující části.

• Více doménových struktur, jeden adresář Microsoft Entra: V této topologii Microsoft Entra Connect synchronizuje objekty a informace o identitě z více doménových struktur do jednoho tenanta Microsoft Entra. Použijte tuto topologii, pokud má vaše organizace více než jeden místní les. Informace o identitě můžete konsolidovat tak, aby každý jedinečný uživatel byl reprezentován jednou v adresáři Microsoft Entra, i když uživatel existuje ve více než jedné doménové struktuře. Všechny foresty používají stejný server Microsoft Entra Connect Sync. Server Microsoft Entra Connect Sync musí být připojený k doméně a dostupný ze všech lesů. Další informace naleznete v tématu Požadavky pro Microsoft Entra Connect.

  Note

  V této topologii nepoužívejte samostatně servery Microsoft Entra Connect Sync k připojení každé doménové struktury v místním prostředí k jednomu tenantovi Microsoft Entra. Tato konfigurace může vést k duplikovaným informacím o identitě v Microsoft Entra ID, pokud se uživatelé nacházejí ve více lesích.

• Více doménových struktur, samostatné topologie: Tato topologie sloučí informace o identitě z oddělených doménových struktur do jednoho tenanta Microsoft Entra a považuje všechny doménové struktury za samostatné entity. Tato topologie je užitečná, pokud zkombinujete doménové struktury z různých organizací a informace o identitě jednotlivých uživatelů se uchovávají pouze v jedné doménové struktuře.

  Note

  Pokud jsou globální seznamy adres v každém lese synchronizovány, může být uživatel v jednom lese zobrazen v jiném jako kontakt. K tomuto chování může dojít v případě, že vaše organizace implementovala GALSync s Forefront Identity Managerem 2010 nebo Microsoft Identity Managerem 2016. V tomto scénáři můžete určit, že uživatelé by měli být identifikováni pomocí atributu Pošta . Identity můžete také spárovat pomocí atributů ObjectSID a msExchMasterAccountSID . Tento přístup je užitečný, pokud máte jednu nebo více doménových struktur prostředků, které mají zakázané účty.

• Přípravný server: V této konfiguraci spustíte druhou instanci serveru Microsoft Entra Connect Sync paralelně s prvním serverem. Tato struktura podporuje následující scénáře:

  • Vysoká dostupnost

  • Testování a nasazení nové konfigurace serveru Microsoft Entra Connect Sync

  • Představujeme nový server a vyřazení staré konfigurace z provozu

    V těchto scénářích se druhá instance spustí v pracovním režimu. Server zaznamenává importované objekty a synchronizační data v databázi, ale nepředává je do Microsoft Entra ID. Pokud zakážete režim přípravy, server začne zapisovat data do Microsoft Entra ID. Tam, kde je to vhodné, začne také provádět zpětný zápis hesla do místních adresářů. Další informace najdete v tématu Microsoft Entra Connect Sync: Provozní úlohy a důležité informace.

• Více adresářů Microsoft Entra: Obvykle vytvoříte jeden adresář Microsoft Entra pro organizaci. Můžou ale existovat scénáře, ve kterých potřebujete rozdělit informace mezi samostatné adresáře Microsoft Entra. V takovém případě se vyhněte problémům se synchronizací a zpětným zápisem hesla tím, že zajistíte, aby se každý objekt z místní doménové struktury zobrazil pouze v jednom adresáři Microsoft Entra. Pokud chcete tento scénář implementovat, nakonfigurujte samostatné servery Microsoft Entra Connect Sync pro každý adresář Microsoft Entra a použijte filtrování tak, aby každý server Microsoft Entra Connect Sync fungoval na vzájemně se vylučující sadě objektů.

Další informace o těchto topologiích naleznete v tématu Topologie pro Microsoft Entra Connect.

Konfigurace metody ověřování uživatelů

Ve výchozím nastavení server Microsoft Entra Connect Sync konfiguruje synchronizaci hodnot hash hesel mezi místní doménou a ID Microsoft Entra. Služba Microsoft Entra předpokládá, že se uživatelé ověřují zadáním stejného hesla, které používají místně. U mnoha organizací je tato strategie vhodná, ale měli byste zvážit stávající zásady a infrastrukturu vaší organizace. Vezměte v úvahu následující faktory:

• Zásady zabezpečení vaší organizace můžou zakázat synchronizaci hodnot hash hesel do cloudu. V takovém případě by vaše organizace měla zvážit průchozí ověřování.

• Můžete chtít uživatelům zajistit bezproblémové jednotné přihlašování pro přístup ke cloudovým prostředkům z počítačů připojených k doméně v podnikové síti.

• Vaše organizace už může mít nasazenou službu Active Directory Federation Services (AD FS) nebo jiného poskytovatele federace než Microsoft. Microsoft Entra ID můžete nakonfigurovat tak, aby používalo tuto infrastrukturu k implementaci ověřování a jednotného přihlašování místo použití informací o heslech uložených v cloudu.

Další informace naleznete v tématu Možnosti přihlášení uživatele Microsoft Entra Connect.

Konfigurace proxy aplikace Microsoft Entra

Pomocí ID Microsoft Entra můžete poskytnout přístup k místním aplikacím.

Zpřístupněte své místní webové aplikace pomocí konektorů aplikačního proxy serveru, které spravuje komponenta Microsoft Entra aplikačního proxy serveru. Konektor proxy aplikací otevře odchozí síťové připojení k proxy aplikace Microsoft Entra. Požadavky uživatelů na dálku jsou směrovány zpět z Microsoft Entra ID přes toto proxy připojení k webovým aplikacím. Tato konfigurace eliminuje potřebu otevírat příchozí porty v místní bráně firewall a snižuje prostor pro útoky vystavený vaší organizací.

Další informace naleznete v tématu Publikování aplikací pomocí proxy aplikace Microsoft Entra.

Konfigurace synchronizace objektů Microsoft Entra

Výchozí konfigurace pro Nástroj Microsoft Entra Connect synchronizuje objekty z místního adresáře služby Active Directory na základě pravidel zadaných v nástroji Microsoft Entra Connect Sync: Vysvětlení výchozí konfigurace. Objekty, které tato pravidla splňují, se synchronizují. Všechny ostatní objekty budou ignorovány. Podívejte se na následující ukázková pravidla:

• Objekty uživatele musí mít jedinečný atribut sourceAnchor a atribut accountEnabled musí být vyplněn.

• Uživatelské objekty musí mít atribut sAMAccountName a nesmí začínat textem Azure AD_ nebo MSOL_.

Microsoft Entra Connect používá několik pravidel pro objekty User, Contact, Group, ForeignSecurityPrincipal a Computer. Pokud potřebujete upravit výchozí sadu pravidel, použijte Editor synchronizačních pravidel, který je nainstalovaný s aplikací Microsoft Entra Connect.

Můžete také definovat vlastní filtry a omezit tak objekty, které se mají synchronizovat podle domény nebo organizační jednotky. Alternativně můžete implementovat složitější vlastní filtrování.

Konfigurace agentů monitorování

Následující agenti instalovaní na místě provádějí sledování zdravotního stavu:

• Microsoft Entra Connect nainstaluje agenta, který zachycuje informace o synchronizačních operacích. Pomocí okna Microsoft Entra Connect Health na webu Azure Portal můžete monitorovat jeho stav a výkon. Další informace naleznete v tématu Použití služby Microsoft Entra Connect Health pro synchronizaci.

• Pokud chcete monitorovat stav domén a adresářů služby AD DS z Azure, nainstalujte agenta Microsoft Entra Connect Health pro SLUŽBU AD DS na počítač v rámci místní domény. K monitorování stavu použijte okno Microsoft Entra Connect Health na webu Azure Portal. Další informace naleznete v tématu Použití služby Microsoft Entra Connect Health se službou AD DS.

• Nainstalujte agenta Microsoft Entra Connect Health pro SLUŽBU AD FS, abyste mohli monitorovat stav služeb, které běží místně, a pomocí okna Microsoft Entra Connect Health na webu Azure Portal monitorovat službu AD FS. Další informace najdete v tématu Použití služby Microsoft Entra Connect Health se službou AD FS.

Další informace naleznete v tématu Instalace agenta Microsoft Entra Connect Health.

Considerations

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace najdete v tématu Well-Architected Framework.

Reliability

Spolehlivost pomáhá zajistit, aby vaše aplikace splňovala závazky, které jste pro své zákazníky udělali. Další informace naleznete v tématu Kontrolní seznam pro kontrolu spolehlivosti.

Služba Microsoft Entra je geograficky distribuovaná a běží v několika datacentrech po celém světě s automatickým převzetím služeb při selhání. Pokud datacentrum přestane být dostupné, Microsoft Entra ID zajistí, aby data vašeho adresáře byla k dispozici pro přístup k instancím minimálně ve dvou geograficky distribuovaných datacentrech.

Note

Smlouva o úrovni služeb (SLA) pro Microsoft 365 Apps, úroveň AD a služby Premium zaručuje alespoň 99,9% dostupnost. Pro úroveň Free pro ID Microsoft Entra neexistuje žádná smlouva SLA. Další informace naleznete ve sla pro Microsoft Entra ID.

Pokud chcete zvýšit dostupnost, zvažte zřízení druhé instance serveru Microsoft Entra Connect Sync v pracovním režimu.

Pokud nepoužíváte instanci SQL Server Express LocalDB, která je součástí microsoft Entra Connect, zvažte použití clusteringu SQL k dosažení vysoké dostupnosti. Microsoft Entra Connect nepodporuje řešení, jako je zrcadlení a AlwaysOn.

Další důležité informace o dosažení vysoké dostupnosti serveru Microsoft Entra Connect Sync a také o tom, jak se po selhání zotavit, najdete v tématu Microsoft Entra Connect Sync: Provozní úlohy a důležité informace – Zotavení po havárii.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu prozabezpečení .

Pomocí řízení podmíněného přístupu Microsoft Entra zamítejte žádosti o ověření z neočekávaných zdrojů:

• Aktivujte vícefaktorové ověřování Microsoft Entra (MFA), pokud se uživatel pokusí připojit z nedůvěryhodného umístění, například z internetu místo důvěryhodné sítě.

• K určení zásad přístupu k aplikacím a funkcím použijte typ platformy zařízení uživatele, jako je iOS, Android nebo Windows.

• Zaznamenejte povolený nebo zakázaný stav zařízení uživatelů. Tyto informace začleníte do kontrol zásad přístupu. Pokud například dojde ke ztrátě nebo odcizení telefonu uživatele, měl by se zaznamenat jako zakázaný, aby se zabránilo jeho použití k získání přístupu.

• Řiďte přístup uživatelů k prostředkům na základě členství ve skupinách. Pro zjednodušení správy skupin použijte pravidla dynamického členství Microsoft Entra.

• Pomocí zásad založených na riziku podmíněného přístupu s ochranou ID můžete poskytovat rozšířenou ochranu na základě neobvyklých aktivit přihlašování nebo jiných událostí.

Další informace naleznete v tématu Zásady přístupu na základě rizik.

Optimalizace nákladů

Optimalizace nákladů se zaměřuje na způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu proOptimalizace nákladů .

K odhadu nákladů použijte cenovou kalkulačku Azure.

Zvažte následující aspekty nákladů:

• Microsoft Entra Connect: Funkce synchronizace Microsoft Entra Connect je k dispozici ve všech edicích ID Microsoft Entra.

  • Pro používání služby Microsoft Entra Connect nejsou k dispozici žádné další licenční požadavky. A je součástí vašeho předplatného Azure.

  • Informace o cenách edicí Microsoft Entra ID naleznete na stránce cenách Microsoft Entra.

• Virtuální počítače pro N-vrstvou aplikaci: Informace o nákladech na tyto prostředky najdete v tématu Osvědčené postupy architektury pro azure Virtual Machines a škálovací sady.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace naleznete v tématu kontrolní seznam pro kontrolu efektivity provozu.

Manageability

Správa ID Microsoft Entra má dva aspekty:

• Správa ID Microsoft Entra v cloudu
• Údržba serverů Microsoft Entra Connect Sync

ID Microsoft Entra poskytuje následující možnosti pro správu domén a adresářů v cloudu:

• Modul Microsoft Graph PowerShell se používá ke skriptování běžných úloh správy Microsoft Entra, jako je správa uživatelů, správa domén a konfigurace jednotného přihlašování.

• Okno pro správu Microsoft Entra na webu Azure Portal poskytuje interaktivní zobrazení správy adresáře. Umožňuje také řídit a konfigurovat většinu aspektů MICROSOFT Entra ID.

Microsoft Entra Connect nainstaluje následující nástroje pro údržbu služeb Microsoft Entra Connect Sync z místních počítačů:

• Konzola Microsoft Entra Connect umožňuje upravit konfiguraci serveru Microsoft Entra Connect Sync, přizpůsobit způsob synchronizace, povolit nebo zakázat pracovní režim a přepnout režim přihlašování uživatelů. Přihlášení ke službě AD FS můžete povolit pomocí místní infrastruktury.

• Správce synchronizační služby používá kartu Operace v tomto nástroji ke správě procesu synchronizace a detekci, jestli některé části procesu selhaly. Synchronizaci můžete aktivovat ručně pomocí tohoto nástroje. Karta Konektory umožňuje řídit připojení pro domény, ke kterým je synchronizační modul připojený.

• Editor synchronizačních pravidel umožňuje přizpůsobit způsob transformace objektů při kopírování mezi místním adresářem a ID Microsoft Entra. Tento nástroj umožňuje zadat další atributy a objekty pro synchronizaci. Pak implementuje filtry, které určují, které objekty by se měly nebo neměly synchronizovat. Další informace najdete v tématu Microsoft Entra Connect Sync: Vysvětlení výchozí konfigurace a synchronizace Microsoft Entra Connect: Osvědčené postupy pro změnu výchozí konfigurace.

DevOps

Důležité informace o DevOps najdete v tématu Efektivita provozu při nasazování služby AD DS ve virtuální síti Azure.

Efektivita výkonu

Efektivita výkonu odkazuje na schopnost vaší úlohy efektivně škálovat tak, aby splňovala požadavky uživatelů. Další informace naleznete v tématu Kontrola návrhu kontrolní seznam pro zvýšení efektivity výkonu.

Služba Microsoft Entra podporuje škálovatelnost na základě replik. Má jednu primární repliku, která zpracovává operace zápisu a několik sekundárních replik jen pro čtení. Id Microsoft Entra transparentně přesměruje pokusy o zápisy do sekundárních replik na primární repliku a udržuje konečnou konzistenci. Veškeré změny provedené u primární repliky se rozšíří na sekundární repliky. Tato architektura se efektivně škáluje, protože většina operací prováděných s ID Microsoft Entra se místo zápisů čte. Další informace naleznete v tématu Architektura Microsoft Entra.

U serveru Microsoft Entra Connect Sync určete, kolik objektů budete pravděpodobně synchronizovat z místního adresáře. Pokud máte méně než 100 000 objektů, můžete použít výchozí software SQL Server Express LocalDB poskytovaný službou Microsoft Entra Connect. Pokud máte větší počet objektů, nainstalujte produkční verzi SQL Serveru. Pak proveďte vlastní instalaci nástroje Microsoft Entra Connect a určete, že by měl používat existující instanci SQL Serveru.

Contributors

Microsoft udržuje tento článek. Tento článek napsali následující přispěvatelé.

Hlavní autor:

• Eric Woodruff | Technický specialista na produkt

Pokud chcete zobrazit nepublikované profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Zkontrolujte topologie pro Microsoft Entra Connect a ujistěte se, že je hybridní topologie pro Microsoft Entra Connect nasazená v podporované konfiguraci.
• Naučte se používat nasazení podmíněného přístupu k ochraně přístupu k vašim aplikacím.
• Další informace o poskytování služby AD DS v Azure jako infrastruktuře najdete v tématu Integrace místní služby AD s Microsoft Entra ID .
• Pokud máte v úmyslu poskytovat integraci Microsoft Entra s místní infrastrukturní službou nebo cloudovými aplikacemi, zkontrolujte Microsoft Entra proxy aplikací.
• Projděte si osvědčené postupy správy identit , protože identita je nová řídicí rovina zabezpečení.
• Zkontrolujte zabezpečený privilegovaný přístup , protože nasazení tohoto řešení vyžaduje vysoce privilegované účty.

Související prostředky

• Správa identity ve víceklientských aplikacích
• Rozšíření místní služby AD FS do Azure

Microsoft Entra ID je cloudová adresářová služba a služba identit. Tato referenční architektura ukazuje osvědčené postupy pro integraci místní Active Directory domén s ID Microsoft Entra za účelem zajištění cloudového ověřování identit.

Architecture

Image obsahuje dvě klíčové části: místní síť a virtuální síť Azure. Část místní sítě obsahuje řadič domény, Synchronizaci Microsoft Entra Connect a místního klienta. Šipka ukazuje z řadiče domény na Microsoft Entra Connect Sync. Šipka označená synchronizačními body z Microsoft Entra Connect Sync do tenanta Microsoft Entra. Šipka s popiskem Žádosti od místních uživatelů odkazuje z místního klienta na tenanta Microsoft Entra. Šipka s popiskem Žádosti od externích uživatelů odkazuje na tenanta Microsoft Entra. Šipka ukazuje z tenanta Microsoft Entra na nástroj pro vyrovnávání zatížení. Tři šipky ukazují z Nástroje pro vyrovnávání zatížení na tři samostatné virtuální počítače v části Virtuální síť Azure. Tečkovaná čára označená DDoS Protection ohraničuje část virtuální sítě Azure. Tato část obsahuje webovou vrstvu, obchodní vrstvu, datovou vrstvu a podsíť správy. Všechny tři úrovně zahrnují skupinu zabezpečení sítě, nástroj pro vyrovnávání zatížení a tři virtuální počítače. Podsíť pro správu zahrnuje Azure Bastion.

Stáhněte si soubor aplikace Visio s touto architekturou.

Note

Pro zjednodušení tento diagram zobrazuje pouze připojení přímo související s ID Microsoft Entra, nikoli přenosy související s protokoly, ke kterým může dojít jako součást ověřování a federace identit. Webová aplikace může například přesměrovat webový prohlížeč tak, aby žádost ověřila prostřednictvím ID Microsoft Entra. Po ověření je možné požadavek předat zpět webové aplikaci spolu s příslušnými informacemi o identitě.

Components

• Tenant Microsoft Entra: Instance ID Microsoft Entra vytvořené vaší organizací. Funguje jako adresářová služba pro cloudové aplikace, protože ukládá objekty zkopírované z místní služby Active Directory a poskytuje službu identit.

• Podsíť webové vrstvy: Tato podsíť hostuje virtuální počítače, na kterých běží webová aplikace. Id Microsoft Entra slouží jako zprostředkovatel identity pro tuto aplikaci.

• Místní server služby Active Directory Domain Services (AD DS): Místní adresář a služba identit. Adresář služby AD DS je možné synchronizovat s ID Microsoft Entra, aby mohl ověřovat místní uživatele.

• Server Microsoft Entra Connect Sync: Místní počítač, na kterém běží synchronizační služba Microsoft Entra Connect . Tato služba synchronizuje informace uložené v místní službě Active Directory s ID Microsoft Entra. Například zřizování nebo zrušení zřízení uživatelů a skupin v místním prostředí automaticky synchronizuje tyto změny s ID Microsoft Entra.

  Note

  Z bezpečnostních důvodů microsoft Entra ID ukládá uživatelská hesla jako hodnoty hash. Pokud uživatel vyžaduje resetování hesla, musí se resetování provést místně a aktualizovaná hodnota hash se musí odeslat na ID Microsoft Entra. Edice Microsoft Entra ID P1 nebo P2 zahrnují funkce, které umožňují inicializování změn hesel v cloudu a následné zapsání zpět do místní služby AD DS.

• Virtuální počítače pro N-vrstvé aplikace: Virtuální počítače, které podporují škálovatelné, odolné a zabezpečené aplikace oddělením úloh na jednotlivé úrovně, jako jsou webové, obchodní logiky a data. Další informace o těchto prostředcích najdete v tématu N-úrovňová architektura na virtuálních počítačích.

Podrobnosti scénáře

Potenciální případy použití

Zvažte následující typické použití pro tuto referenční architekturu:

• Webové aplikace nasazené v Azure poskytující přístup vzdáleným uživatelům patřícím do vaší organizace.

• Implementace samoobslužných funkcí pro zákazníky, například resetování hesel a delegování správy skupin Tato funkce vyžaduje edici Microsoft Entra ID P1 nebo P2.

• Architektury, ve kterých místní síť a virtuální síť Azure aplikace nejsou připojené pomocí tunelu VPN nebo okruhu Azure ExpressRoute.

Note

Microsoft Entra ID může ověřit identitu uživatelů a aplikací, které existují v adresáři organizace. Některé aplikace a služby, jako je SQL Server, můžou vyžadovat ověření počítače, v takovém případě toto řešení není vhodné.

Recommendations

Následující doporučení můžete použít pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Konfigurace služby Microsoft Entra Connect Sync

Služba Microsoft Entra Connect Sync zajišťuje, aby informace o identitě uložené v cloudu byly konzistentní s informacemi o identitě uloženými místně. Tuto službu nainstalujete pomocí softwaru Microsoft Entra Connect.

Než implementujete Microsoft Entra Connect Sync, určete požadavky vaší organizace na synchronizaci. Představte si například, co se má synchronizovat, které domény zahrnout, a jak často se má synchronizace provádět.

Službu Microsoft Entra Connect Sync můžete spustit na virtuálním počítači nebo v místním počítači. V závislosti na nestálosti informací ve vašem adresáři služby Active Directory se zatížení služby Microsoft Entra Connect Sync pravděpodobně po počáteční synchronizaci s ID Microsoft Entra nebude příliš vysoké. Provozování služby na virtuálním počítači usnadňuje v případě potřeby škálování serveru. Sledujte aktivitu na virtuálním počítači, jak je popsáno v části Aspekty monitorování , abyste zjistili, jestli je škálování nezbytné.

Pokud máte v doménové struktuře více místních domén, doporučujeme informace pro celou doménovou strukturu uložit a synchronizovat do jednoho tenantu Microsoft Entra. Vyfiltrujte informace pro identity, které se vyskytují ve více než jedné doméně, aby se každá identita zobrazila pouze jednou v MICROSOFT Entra ID místo duplikování. Duplikace může způsobit nekonzistence při synchronizaci dat. Další informace najdete v části Ověření síťové topologie .

Použijte filtrování, aby se v Microsoft Entra ID ukládaly jenom potřebná data. Vaše organizace například nemusí chtít ukládat informace o neaktivních účtech v MICROSOFT Entra ID. Filtrování může být založené na skupině, doméně, organizační jednotce nebo atributu. Pokud chcete vygenerovat složitější pravidla, můžete filtry zkombinovat. Můžete například synchronizovat objekty uchovávané v doméně, které mají konkrétní hodnotu ve vybraném atributu. Další informace naleznete v tématu Microsoft Entra Connect Sync: Konfigurace filtrování.

Pokud chcete implementovat vysokou dostupnost synchronizační služby Active Directory Connect, spusťte sekundární pracovní server. Další informace naleznete v části Pracovní režim.

Note

Synchronizace cloudu Microsoft Entra je nabídka od Microsoftu navržená tak, aby splňovala a splňovala vaše cíle hybridní identity pro synchronizaci uživatelů, skupin a kontaktů do Microsoft Entra ID. Při používání Microsoft Entra Cloud Sync se zřizování ze služby Active Directory do Microsoft Entra ID orchestruje prostřednictvím Microsoftu 365.

Ověření konfigurace zabezpečení a zásad

Správa hesel uživatelů Edice Microsoft Entra ID P1 nebo P2 podporují zpětný zápis hesla. Tato funkce umožňuje místním uživatelům provádět samoobslužné resetování hesla z webu Azure Portal. Tato funkce by měla být povolená až po kontrole zásad zabezpečení hesel vaší organizace. Můžete například omezit, kteří uživatelé můžou změnit svá hesla, a přizpůsobit prostředí pro správu hesel. Další informace naleznete v tématu [Přizpůsobení uživatelského prostředí pro samoobslužné resetování hesla společnosti Microsoft Entra].

Chraňte místní aplikace, ke kterým je možné přistupovat externě. Proxy aplikací Microsoft Entra slouží k poskytování řízeného přístupu k místním webovým aplikacím uživatelům mimo vaši síť prostřednictvím Microsoft Entra ID. K používání aplikace mají oprávnění jenom uživatelé, kteří mají ve vašem adresáři Azure platné přihlašovací údaje. Další informace naleznete v tématu Povolení proxy aplikace v Microsoft Entra ID.

Aktivně monitorujte ID Microsoft Entra a sledujte známky podezřelé aktivity. Zvažte použití edice Microsoft Entra ID P2, která zahrnuje Microsoft Entra ID Protection. Služba ID Protection využívá algoritmy adaptivního strojového učení a heuristiku k detekci anomálií a rizikových událostí, které můžou značit ohrožení identity. Může například detekovat potenciálně neobvyklou aktivitu, jako jsou nepravidelné přihlašovací aktivity, přihlášení z neznámých zdrojů nebo z IP adres s podezřelou aktivitou nebo přihlášení ze zařízení, která by mohla být napadená. Služba Identity Protection tato data používá ke generování sestav a výstrah, které vám umožní prozkoumat tyto rizikové události a provést odpovídající akce. Další informace najdete v tématu Ochrana ID.

Pomocí funkce sestavování ID Microsoft Entra v Azure portálu můžete monitorovat aktivity související se zabezpečením, ke kterým dochází ve vašem systému. Další informace o tom, jak tyto sestavy používat, naleznete v tématu Monitorování a stav společnosti Microsoft Entra.

Ověření síťové topologie

Nakonfigurujte Microsoft Entra Connect pro implementaci topologie, která nejvíce odpovídá požadavkům vaší organizace. Microsoft Entra Connect podporuje následující topologie:

• Jedna doménová struktura, jeden adresář Microsoft Entra: V této topologii Microsoft Entra Connect synchronizuje objekty a informace o identitě z jedné nebo více domén v jedné místní doménové struktuře do jednoho tenanta Microsoft Entra. Tato topologie je výchozí implementací expresní instalace microsoft Entra Connect.

  Note

  Nepoužívejte více serverů Microsoft Entra Connect Sync k připojení různých domén ve stejné místní doménové struktuře ke stejnému tenantovi Microsoft Entra. Tato konfigurace je vhodná pouze v případě, že jeden ze serverů běží v pracovním režimu, jak je popsáno v následující části.

• Více doménových struktur, jeden adresář Microsoft Entra: V této topologii Microsoft Entra Connect synchronizuje objekty a informace o identitě z více doménových struktur do jednoho tenanta Microsoft Entra. Použijte tuto topologii, pokud má vaše organizace více než jeden místní les. Informace o identitě můžete konsolidovat tak, aby každý jedinečný uživatel byl reprezentován jednou v adresáři Microsoft Entra, i když uživatel existuje ve více než jedné doménové struktuře. Všechny foresty používají stejný server Microsoft Entra Connect Sync. Server Microsoft Entra Connect Sync musí být připojený k doméně a dostupný ze všech lesů. Další informace naleznete v tématu Požadavky pro Microsoft Entra Connect.

  Note

  V této topologii nepoužívejte samostatně servery Microsoft Entra Connect Sync k připojení každé doménové struktury v místním prostředí k jednomu tenantovi Microsoft Entra. Tato konfigurace může vést k duplikovaným informacím o identitě v Microsoft Entra ID, pokud se uživatelé nacházejí ve více lesích.

• Více doménových struktur, samostatné topologie: Tato topologie sloučí informace o identitě z oddělených doménových struktur do jednoho tenanta Microsoft Entra a považuje všechny doménové struktury za samostatné entity. Tato topologie je užitečná, pokud zkombinujete doménové struktury z různých organizací a informace o identitě jednotlivých uživatelů se uchovávají pouze v jedné doménové struktuře.

  Note

  Pokud jsou globální seznamy adres v každém lese synchronizovány, může být uživatel v jednom lese zobrazen v jiném jako kontakt. K tomuto chování může dojít v případě, že vaše organizace implementovala GALSync s Forefront Identity Managerem 2010 nebo Microsoft Identity Managerem 2016. V tomto scénáři můžete určit, že uživatelé by měli být identifikováni pomocí atributu Pošta . Identity můžete také spárovat pomocí atributů ObjectSID a msExchMasterAccountSID . Tento přístup je užitečný, pokud máte jednu nebo více doménových struktur prostředků, které mají zakázané účty.

• Přípravný server: V této konfiguraci spustíte druhou instanci serveru Microsoft Entra Connect Sync paralelně s prvním serverem. Tato struktura podporuje následující scénáře:

  • Vysoká dostupnost

  • Testování a nasazení nové konfigurace serveru Microsoft Entra Connect Sync

  • Představujeme nový server a vyřazení staré konfigurace z provozu

    V těchto scénářích se druhá instance spustí v pracovním režimu. Server zaznamenává importované objekty a synchronizační data v databázi, ale nepředává je do Microsoft Entra ID. Pokud zakážete režim přípravy, server začne zapisovat data do Microsoft Entra ID. Tam, kde je to vhodné, začne také provádět zpětný zápis hesla do místních adresářů. Další informace najdete v tématu Microsoft Entra Connect Sync: Provozní úlohy a důležité informace.

• Více adresářů Microsoft Entra: Obvykle vytvoříte jeden adresář Microsoft Entra pro organizaci. Můžou ale existovat scénáře, ve kterých potřebujete rozdělit informace mezi samostatné adresáře Microsoft Entra. V takovém případě se vyhněte problémům se synchronizací a zpětným zápisem hesla tím, že zajistíte, aby se každý objekt z místní doménové struktury zobrazil pouze v jednom adresáři Microsoft Entra. Pokud chcete tento scénář implementovat, nakonfigurujte samostatné servery Microsoft Entra Connect Sync pro každý adresář Microsoft Entra a použijte filtrování tak, aby každý server Microsoft Entra Connect Sync fungoval na vzájemně se vylučující sadě objektů.

Další informace o těchto topologiích naleznete v tématu Topologie pro Microsoft Entra Connect.

Konfigurace metody ověřování uživatelů

Ve výchozím nastavení server Microsoft Entra Connect Sync konfiguruje synchronizaci hodnot hash hesel mezi místní doménou a ID Microsoft Entra. Služba Microsoft Entra předpokládá, že se uživatelé ověřují zadáním stejného hesla, které používají místně. U mnoha organizací je tato strategie vhodná, ale měli byste zvážit stávající zásady a infrastrukturu vaší organizace. Vezměte v úvahu následující faktory:

• Zásady zabezpečení vaší organizace můžou zakázat synchronizaci hodnot hash hesel do cloudu. V takovém případě by vaše organizace měla zvážit průchozí ověřování.

• Můžete chtít uživatelům zajistit bezproblémové jednotné přihlašování pro přístup ke cloudovým prostředkům z počítačů připojených k doméně v podnikové síti.

• Vaše organizace už může mít nasazenou službu Active Directory Federation Services (AD FS) nebo jiného poskytovatele federace než Microsoft. Microsoft Entra ID můžete nakonfigurovat tak, aby používalo tuto infrastrukturu k implementaci ověřování a jednotného přihlašování místo použití informací o heslech uložených v cloudu.

Další informace naleznete v tématu Možnosti přihlášení uživatele Microsoft Entra Connect.

Konfigurace proxy aplikace Microsoft Entra

Pomocí ID Microsoft Entra můžete poskytnout přístup k místním aplikacím.

Zpřístupněte své místní webové aplikace pomocí konektorů aplikačního proxy serveru, které spravuje komponenta Microsoft Entra aplikačního proxy serveru. Konektor proxy aplikací otevře odchozí síťové připojení k proxy aplikace Microsoft Entra. Požadavky uživatelů na dálku jsou směrovány zpět z Microsoft Entra ID přes toto proxy připojení k webovým aplikacím. Tato konfigurace eliminuje potřebu otevírat příchozí porty v místní bráně firewall a snižuje prostor pro útoky vystavený vaší organizací.

Další informace naleznete v tématu Publikování aplikací pomocí proxy aplikace Microsoft Entra.

Konfigurace synchronizace objektů Microsoft Entra

Výchozí konfigurace pro Nástroj Microsoft Entra Connect synchronizuje objekty z místního adresáře služby Active Directory na základě pravidel zadaných v nástroji Microsoft Entra Connect Sync: Vysvětlení výchozí konfigurace. Objekty, které tato pravidla splňují, se synchronizují. Všechny ostatní objekty budou ignorovány. Podívejte se na následující ukázková pravidla:

• Objekty uživatele musí mít jedinečný atribut sourceAnchor a atribut accountEnabled musí být vyplněn.

• Uživatelské objekty musí mít atribut sAMAccountName a nesmí začínat textem Azure AD_ nebo MSOL_.

Microsoft Entra Connect používá několik pravidel pro objekty User, Contact, Group, ForeignSecurityPrincipal a Computer. Pokud potřebujete upravit výchozí sadu pravidel, použijte Editor synchronizačních pravidel, který je nainstalovaný s aplikací Microsoft Entra Connect.

Můžete také definovat vlastní filtry a omezit tak objekty, které se mají synchronizovat podle domény nebo organizační jednotky. Alternativně můžete implementovat složitější vlastní filtrování.

Konfigurace agentů monitorování

Následující agenti instalovaní na místě provádějí sledování zdravotního stavu:

• Microsoft Entra Connect nainstaluje agenta, který zachycuje informace o synchronizačních operacích. Pomocí okna Microsoft Entra Connect Health na webu Azure Portal můžete monitorovat jeho stav a výkon. Další informace naleznete v tématu Použití služby Microsoft Entra Connect Health pro synchronizaci.

• Pokud chcete monitorovat stav domén a adresářů služby AD DS z Azure, nainstalujte agenta Microsoft Entra Connect Health pro SLUŽBU AD DS na počítač v rámci místní domény. K monitorování stavu použijte okno Microsoft Entra Connect Health na webu Azure Portal. Další informace naleznete v tématu Použití služby Microsoft Entra Connect Health se službou AD DS.

• Nainstalujte agenta Microsoft Entra Connect Health pro SLUŽBU AD FS, abyste mohli monitorovat stav služeb, které běží místně, a pomocí okna Microsoft Entra Connect Health na webu Azure Portal monitorovat službu AD FS. Další informace najdete v tématu Použití služby Microsoft Entra Connect Health se službou AD FS.

Další informace naleznete v tématu Instalace agenta Microsoft Entra Connect Health.

Considerations

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace najdete v tématu Well-Architected Framework.

Reliability

Spolehlivost pomáhá zajistit, aby vaše aplikace splňovala závazky, které jste pro své zákazníky udělali. Další informace naleznete v tématu Kontrolní seznam pro kontrolu spolehlivosti.

Služba Microsoft Entra je geograficky distribuovaná a běží v několika datacentrech po celém světě s automatickým převzetím služeb při selhání. Pokud datacentrum přestane být dostupné, Microsoft Entra ID zajistí, aby data vašeho adresáře byla k dispozici pro přístup k instancím minimálně ve dvou geograficky distribuovaných datacentrech.

Note

Smlouva o úrovni služeb (SLA) pro Microsoft 365 Apps, úroveň AD a služby Premium zaručuje alespoň 99,9% dostupnost. Pro úroveň Free pro ID Microsoft Entra neexistuje žádná smlouva SLA. Další informace naleznete ve sla pro Microsoft Entra ID.

Pokud chcete zvýšit dostupnost, zvažte zřízení druhé instance serveru Microsoft Entra Connect Sync v pracovním režimu.

Pokud nepoužíváte instanci SQL Server Express LocalDB, která je součástí microsoft Entra Connect, zvažte použití clusteringu SQL k dosažení vysoké dostupnosti. Microsoft Entra Connect nepodporuje řešení, jako je zrcadlení a AlwaysOn.

Další důležité informace o dosažení vysoké dostupnosti serveru Microsoft Entra Connect Sync a také o tom, jak se po selhání zotavit, najdete v tématu Microsoft Entra Connect Sync: Provozní úlohy a důležité informace – Zotavení po havárii.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu prozabezpečení .

Pomocí řízení podmíněného přístupu Microsoft Entra zamítejte žádosti o ověření z neočekávaných zdrojů:

• Aktivujte vícefaktorové ověřování Microsoft Entra (MFA), pokud se uživatel pokusí připojit z nedůvěryhodného umístění, například z internetu místo důvěryhodné sítě.

• K určení zásad přístupu k aplikacím a funkcím použijte typ platformy zařízení uživatele, jako je iOS, Android nebo Windows.

• Zaznamenejte povolený nebo zakázaný stav zařízení uživatelů. Tyto informace začleníte do kontrol zásad přístupu. Pokud například dojde ke ztrátě nebo odcizení telefonu uživatele, měl by se zaznamenat jako zakázaný, aby se zabránilo jeho použití k získání přístupu.

• Řiďte přístup uživatelů k prostředkům na základě členství ve skupinách. Pro zjednodušení správy skupin použijte pravidla dynamického členství Microsoft Entra.

• Pomocí zásad založených na riziku podmíněného přístupu s ochranou ID můžete poskytovat rozšířenou ochranu na základě neobvyklých aktivit přihlašování nebo jiných událostí.

Další informace naleznete v tématu Zásady přístupu na základě rizik.

Optimalizace nákladů

Optimalizace nákladů se zaměřuje na způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu proOptimalizace nákladů .

K odhadu nákladů použijte cenovou kalkulačku Azure.

Zvažte následující aspekty nákladů:

• Microsoft Entra Connect: Funkce synchronizace Microsoft Entra Connect je k dispozici ve všech edicích ID Microsoft Entra.

  • Pro používání služby Microsoft Entra Connect nejsou k dispozici žádné další licenční požadavky. A je součástí vašeho předplatného Azure.

  • Informace o cenách edicí Microsoft Entra ID naleznete na stránce cenách Microsoft Entra.

• Virtuální počítače pro N-vrstvou aplikaci: Informace o nákladech na tyto prostředky najdete v tématu Osvědčené postupy architektury pro azure Virtual Machines a škálovací sady.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace naleznete v tématu kontrolní seznam pro kontrolu efektivity provozu.

Manageability

Správa ID Microsoft Entra má dva aspekty:

• Správa ID Microsoft Entra v cloudu
• Údržba serverů Microsoft Entra Connect Sync

ID Microsoft Entra poskytuje následující možnosti pro správu domén a adresářů v cloudu:

• Modul Microsoft Graph PowerShell se používá ke skriptování běžných úloh správy Microsoft Entra, jako je správa uživatelů, správa domén a konfigurace jednotného přihlašování.

• Okno pro správu Microsoft Entra na webu Azure Portal poskytuje interaktivní zobrazení správy adresáře. Umožňuje také řídit a konfigurovat většinu aspektů MICROSOFT Entra ID.

Microsoft Entra Connect nainstaluje následující nástroje pro údržbu služeb Microsoft Entra Connect Sync z místních počítačů:

• Konzola Microsoft Entra Connect umožňuje upravit konfiguraci serveru Microsoft Entra Connect Sync, přizpůsobit způsob synchronizace, povolit nebo zakázat pracovní režim a přepnout režim přihlašování uživatelů. Přihlášení ke službě AD FS můžete povolit pomocí místní infrastruktury.

• Správce synchronizační služby používá kartu Operace v tomto nástroji ke správě procesu synchronizace a detekci, jestli některé části procesu selhaly. Synchronizaci můžete aktivovat ručně pomocí tohoto nástroje. Karta Konektory umožňuje řídit připojení pro domény, ke kterým je synchronizační modul připojený.

• Editor synchronizačních pravidel umožňuje přizpůsobit způsob transformace objektů při kopírování mezi místním adresářem a ID Microsoft Entra. Tento nástroj umožňuje zadat další atributy a objekty pro synchronizaci. Pak implementuje filtry, které určují, které objekty by se měly nebo neměly synchronizovat. Další informace najdete v tématu Microsoft Entra Connect Sync: Vysvětlení výchozí konfigurace a synchronizace Microsoft Entra Connect: Osvědčené postupy pro změnu výchozí konfigurace.

DevOps

Důležité informace o DevOps najdete v tématu Efektivita provozu při nasazování služby AD DS ve virtuální síti Azure.

Efektivita výkonu

Efektivita výkonu odkazuje na schopnost vaší úlohy efektivně škálovat tak, aby splňovala požadavky uživatelů. Další informace naleznete v tématu Kontrola návrhu kontrolní seznam pro zvýšení efektivity výkonu.

Služba Microsoft Entra podporuje škálovatelnost na základě replik. Má jednu primární repliku, která zpracovává operace zápisu a několik sekundárních replik jen pro čtení. Id Microsoft Entra transparentně přesměruje pokusy o zápisy do sekundárních replik na primární repliku a udržuje konečnou konzistenci. Veškeré změny provedené u primární repliky se rozšíří na sekundární repliky. Tato architektura se efektivně škáluje, protože většina operací prováděných s ID Microsoft Entra se místo zápisů čte. Další informace naleznete v tématu Architektura Microsoft Entra.

U serveru Microsoft Entra Connect Sync určete, kolik objektů budete pravděpodobně synchronizovat z místního adresáře. Pokud máte méně než 100 000 objektů, můžete použít výchozí software SQL Server Express LocalDB poskytovaný službou Microsoft Entra Connect. Pokud máte větší počet objektů, nainstalujte produkční verzi SQL Serveru. Pak proveďte vlastní instalaci nástroje Microsoft Entra Connect a určete, že by měl používat existující instanci SQL Serveru.

Contributors

Microsoft udržuje tento článek. Tento článek napsali následující přispěvatelé.

Hlavní autor:

• Eric Woodruff | Technický specialista na produkt

Pokud chcete zobrazit nepublikované profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Zkontrolujte topologie pro Microsoft Entra Connect a ujistěte se, že je hybridní topologie pro Microsoft Entra Connect nasazená v podporované konfiguraci.
• Naučte se používat nasazení podmíněného přístupu k ochraně přístupu k vašim aplikacím.
• Další informace o poskytování služby AD DS v Azure jako infrastruktuře najdete v tématu Integrace místní služby AD s Microsoft Entra ID .
• Pokud máte v úmyslu poskytovat integraci Microsoft Entra s místní infrastrukturní službou nebo cloudovými aplikacemi, zkontrolujte Microsoft Entra proxy aplikací.
• Projděte si osvědčené postupy správy identit , protože identita je nová řídicí rovina zabezpečení.
• Zkontrolujte zabezpečený privilegovaný přístup , protože nasazení tohoto řešení vyžaduje vysoce privilegované účty.

Související prostředky

• Správa identity ve víceklientských aplikacích
• Rozšíření místní služby AD FS do Azure