Share via

Nasazení synchronizace adresářů Microsoft 365 v Microsoft Azure

  • Článek

Microsoft Entra Connect (dříve označovaná jako nástroj pro synchronizaci adresářů, nástroj pro synchronizaci adresářů nebo nástroj pro DirSync.exe) je aplikace, kterou nainstalujete na server připojený k doméně za účelem synchronizace uživatelů služby místní Active Directory Doménové služby (AD DS) s Microsoft Entra tenanta vašeho předplatného Microsoft 365. Microsoft 365 používá Microsoft Entra ID pro svoji adresářovou službu. Vaše předplatné Microsoft 365 zahrnuje tenanta Microsoft Entra. Tohoto tenanta je také možné použít ke správě identit vaší organizace s jinými cloudovými úlohami, včetně dalších aplikací a aplikací SaaS v Azure.

Microsoft Entra Connect můžete nainstalovat na místní server, ale můžete ho také nainstalovat na virtuální počítač v Azure z těchto důvodů:

  • Cloudové servery můžete zřizovat a konfigurovat rychleji, takže služby budou vašim uživatelům k dispozici dříve.
  • Azure nabízí lepší dostupnost webu s menším úsilím.
  • Můžete snížit počet místních serverů ve vaší organizaci.

Toto řešení vyžaduje připojení mezi vaší místní sítí a vaší virtuální sítí Azure. Další informace najdete v tématu Připojení místní sítě k virtuální síti Microsoft Azure.

Poznámka

Tento článek popisuje synchronizaci jedné domény v jedné doménové struktuře. Microsoft Entra Connect synchronizuje všechny domény služby AD DS v doménové struktuře služby Active Directory s Microsoftem 365. Pokud máte k synchronizaci s Microsoftem 365 několik doménových struktur služby Active Directory, přečtěte si téma Synchronizace adresářů s více doménovými strukturami s jednou Sign-On Scénář.

Přehled nasazení synchronizace adresářů Microsoftu 365 v Azure

Následující diagram znázorňuje Microsoft Entra Connect běžící na virtuálním počítači v Azure (server synchronizace adresářů), který synchronizuje místní doménovou strukturu SLUŽBY AD DS s předplatným Microsoftu 365.

nástroj Microsoft Entra Connect na virtuálním počítači v Azure, který synchronizuje místní účty s Microsoft Entra tenantem předplatného Microsoftu 365 s tokem provozu.

V diagramu jsou dvě sítě propojené sítí VPN typu site-to-site nebo připojením ExpressRoute. K dispozici je místní síť, ve které jsou umístěné řadiče domény služby AD DS, a virtuální síť Azure se serverem synchronizace adresářů, což je virtuální počítač se systémem Microsoft Entra Connect. Existují dva hlavní toky provozu pocházející ze serveru synchronizace adresářů:

  • Microsoft Entra Connect se dotazuje řadiče domény v místní síti na změny účtů a hesel.
  • Microsoft Entra Connect odešle změny účtů a hesel do Microsoft Entra instance vašeho předplatného Microsoft 365. Vzhledem k tomu, že se server synchronizace adresářů nachází v rozšířené části místní sítě, odesílají se tyto změny prostřednictvím proxy serveru místní sítě.

Poznámka

Toto řešení popisuje synchronizaci jedné domény služby Active Directory v jedné doménové struktuře služby Active Directory. Microsoft Entra Connect synchronizuje všechny domény služby Active Directory v doménové struktuře služby Active Directory s Microsoftem 365. Pokud máte k synchronizaci s Microsoftem 365 několik doménových struktur služby Active Directory, přečtěte si téma Synchronizace adresářů s více doménovými strukturami s jednou Sign-On Scénář.

Při nasazení tohoto řešení existují dva hlavní kroky:

  1. Vytvořte virtuální síť Azure a nastavte připojení SITE-to-Site VPN k místní síti. Další informace najdete v tématu Připojení místní sítě k virtuální síti Microsoft Azure.

  2. Nainstalujte Microsoft Entra Connect na virtuální počítač připojený k doméně v Azure a pak synchronizujte místní službu AD DS s Microsoftem 365. To zahrnuje:

    • Vytvoření virtuálního počítače Azure pro spuštění Microsoft Entra Connect

    • Instalace a konfigurace Microsoft Entra Connect.

    Konfigurace Microsoft Entra Connect vyžaduje přihlašovací údaje (uživatelské jméno a heslo) účtu správce Microsoft Entra a účtu podnikového správce služby AD DS. Microsoft Entra Connect běží okamžitě a průběžně, aby se místní doménová struktura AD DS synchronizovala s Microsoftem 365.

Než toto řešení nasadíte v produkčním prostředí, můžete tuto konfiguraci nastavit jako důkaz konceptu, pro ukázky nebo experimentování pomocí pokynů v tématu Simulovaná konfigurace podnikové základny .

Důležité

Po dokončení konfigurace Microsoft Entra Connect se přihlašovací údaje účtu podnikového správce služby AD DS neuloží.

Poznámka

Toto řešení popisuje synchronizaci jedné doménové struktury SLUŽBY AD DS do Microsoftu 365. Topologie popisovaná v tomto článku představuje pouze jeden způsob implementace tohoto řešení. Topologie vaší organizace se může lišit v závislosti na vašich jedinečných požadavcích na síť a aspektech zabezpečení.

Plánování hostování serveru synchronizace adresářů pro Microsoft 365 v Azure

Požadavky

Než začnete, projděte si následující požadavky pro toto řešení:

  • Projděte si související plánovací obsah v tématu Plánování virtuální sítě Azure.

  • Ujistěte se, že splňujete všechny požadavky na konfiguraci virtuální sítě Azure.

  • Máte předplatné Microsoftu 365, které zahrnuje funkci integrace služby Active Directory. Informace o předplatných Microsoft 365 najdete na stránce předplatného Microsoftu 365.

  • Zřiďte jeden virtuální počítač Azure, na kterém běží Microsoft Entra Connect, abyste mohli synchronizovat místní doménovou strukturu AD DS s Microsoftem 365.

    Musíte mít přihlašovací údaje (jména a hesla) pro účet podnikového správce služby AD DS a účet správce Microsoft Entra.

Předpoklady návrhu architektury řešení

Následující seznam popisuje volby návrhu tohoto řešení.

  • Toto řešení používá jednu virtuální síť Azure s připojením VPN typu site-to-site. Virtuální síť Azure je hostitelem jedné podsítě, která má jeden server, server synchronizace adresářů se systémem Microsoft Entra Connect.

  • V místní síti existují řadiče domény a servery DNS.

  • Microsoft Entra Connect provádí synchronizaci hodnot hash hesel místo jednotného přihlašování. Nemusíte nasazovat infrastrukturu služby Active Directory Federation Services (AD FS) (AD FS). Další informace o synchronizaci hodnot hash hesel a možnostech jednotného přihlašování najdete v tématu Výběr správné metody ověřování pro Microsoft Entra řešení hybridních identit.

Existují i další možnosti návrhu, které můžete zvážit při nasazení tohoto řešení ve vašem prostředí. Patří mezi ně následující:

  • Pokud v existující virtuální síti Azure existují servery DNS, určete, jestli chcete, aby je server synchronizace adresářů používal k překladu IP adres místo serverů DNS v místní síti.

  • Pokud v existující virtuální síti Azure existují řadiče domény, zjistěte, jestli pro vás může být lepší volbou konfigurace lokalit a služeb Active Directory. Server synchronizace adresářů může místo řadičů domény v místní síti dotazovat řadiče domény ve virtuální síti Azure na změny účtů a hesel.

Plán nasazení

Nasazení Microsoft Entra Connect na virtuální počítač v Azure se skládá ze tří fází:

  • Fáze 1: Vytvoření a konfigurace virtuální sítě Azure

  • Fáze 2: Vytvoření a konfigurace virtuálního počítače Azure

  • Fáze 3: Instalace a konfigurace Microsoft Entra Connect

Po nasazení musíte také přiřadit umístění a licence pro nové uživatelské účty v Microsoftu 365.

Fáze 1: Vytvoření a konfigurace virtuální sítě Azure

Pokud chcete vytvořit a nakonfigurovat virtuální síť Azure, dokončete Fáze 1: Příprava místní sítě a Fáze 2: Vytvoření virtuální sítě mezi místy v Azure v plánu nasazení Připojení místní sítě k virtuální síti Microsoft Azure.

Toto je vaše výsledná konfigurace.

Fáze 1 serveru synchronizace adresářů pro Microsoft 365 hostovaného v Azure

Tento obrázek znázorňuje místní síť připojenou k virtuální síti Azure prostřednictvím sítě VPN typu site-to-site nebo připojení ExpressRoute.

Fáze 2: Vytvoření a konfigurace virtuálního počítače Azure

Vytvořte virtuální počítač v Azure podle pokynů Vytvoření prvního virtuálního počítače s Windows v Azure Portal. Použijte následující nastavení:

  1. V podokně Základy vyberte stejné předplatné, umístění a skupinu prostředků jako vaše virtuální síť. Uživatelské jméno a heslo zaznamenejte na zabezpečeném místě. Budete je potřebovat později pro připojení k virtuálnímu počítači.

  2. V podokně Zvolit velikost zvolte standardní velikost A2 .

  3. V podokně Nastavení v části Úložiště vyberte typ úložiště Standard . V části Síť vyberte název vaší virtuální sítě a podsíť pro hostování serveru synchronizace adresářů (ne podsíť GatewaySubnet). U všech ostatních nastavení ponechte výchozí hodnoty.

Ověřte, že server synchronizace adresářů používá DNS správně, a to tak, že zkontrolujete interní dns a ujistěte se, že se pro virtuální počítač přidal záznam adresy (A) s jeho IP adresou.

Podle pokynů v tématu Připojení k virtuálnímu počítači a přihlášení se připojte k serveru synchronizace adresářů pomocí Připojení ke vzdálené ploše. Po přihlášení připojte virtuální počítač k místní doméně služby AD DS.

Aby Microsoft Entra Connect získala přístup k internetovým prostředkům, musíte nakonfigurovat server synchronizace adresářů tak, aby používal proxy server místní sítě. Pokud potřebujete další kroky konfigurace, obraťte se na správce sítě.

Toto je vaše výsledná konfigurace.

Fáze 2 serveru synchronizace adresářů pro Microsoft 365 hostovaného v Azure

Tento obrázek znázorňuje virtuální počítač serveru synchronizace adresářů ve virtuální síti Azure mezi různými místy.

Fáze 3: Instalace a konfigurace Microsoft Entra Connect

Proveďte následující postup:

  1. Připojte se k serveru synchronizace adresářů pomocí připojení ke vzdálené ploše s účtem domény služby AD DS s oprávněními místního správce. Viz Připojení k virtuálnímu počítači a přihlášení.

  2. Na serveru synchronizace adresářů otevřete článek Nastavení synchronizace adresářů pro Microsoft 365 a postupujte podle pokynů pro synchronizaci adresářů pomocí synchronizace hodnot hash hesel.

Upozornění

Instalační program vytvoří účet AAD_xxxxxxxxxxxx v organizační jednotce (OU) Místní uživatelé. Nepřesouvejte ani neodebívejte tento účet, jinak synchronizace selže.

Toto je vaše výsledná konfigurace.

Fáze 3 serveru synchronizace adresářů pro Microsoft 365 hostovaného v Azure

Tento obrázek znázorňuje server synchronizace adresářů s Microsoft Entra Connect ve virtuální síti Azure mezi různými místy.

Přiřazení umístění a licencí uživatelům v Microsoftu 365

Microsoft Entra Connect přidá do vašeho předplatného Microsoftu 365 účty z místní služby AD DS, ale aby se uživatelé mohli přihlásit k Microsoftu 365 a používat jeho služby, musí být účty nakonfigurované s umístěním a licencemi. Pomocí následujícího postupu přidejte umístění a aktivujte licence pro příslušné uživatelské účty:

  1. Přihlaste se k Centrum pro správu Microsoftu 365 a klikněte na Správa.

  2. V levém navigačním panelu klikněte na Uživatelé>Aktivní uživatelé.

  3. V seznamu uživatelských účtů zaškrtněte políčko vedle uživatele, kterého chcete aktivovat.

  4. Na stránce pro uživatele klikněte na Upravit pro licence na produkty.

  5. Na stránce Licence na produkty vyberte umístění uživatele v poli Umístění a pak povolte příslušné licence pro uživatele.

  6. Po dokončení klikněte na Uložit a potom dvakrát na Zavřít .

  7. Zpět ke kroku 3 pro další uživatele.

Viz také

Centrum řešení a architektury Microsoftu 365

Připojení místní sítě k virtuální síti Microsoft Azure

Stáhnout Microsoft Entra Connect

Nastavení synchronizace adresářů pro Microsoft 365