Microsoft 365 Directory -synkronoinnin käyttöönotto Microsoft Azuressa

  • Artikkeli

Microsoft Entra Connect (tunnettiin aiemmin nimellä Hakemiston synkronointi -työkalu, Hakemiston synkronointi -työkalu tai DirSync.exe-työkalu) on sovellus, jonka asennat toimialueeseen liitettyyn palvelimeen synkronoimaan paikallinen Active Directory toimialuepalvelut (AD DS) -käyttäjät Microsoft Entra Microsoft 365 -tilauksesi vuokraaja. Microsoft 365 käyttää Microsoft Entra ID hakemistopalvelussaan. Microsoft 365 -tilauksesi sisältää Microsoft Entra vuokraajan. Tätä vuokraajaa voidaan käyttää myös organisaatiosi käyttäjätietojen hallintaan muiden pilvipalvelukuormitusten kanssa, mukaan lukien muut SaaS-sovellukset ja sovellukset Azuressa.

Voit asentaa Microsoft Entra Yhdistä paikalliseen palvelimeen, mutta voit asentaa sen myös Azuren näennäiskoneeseen seuraavista syistä:

  • Voit valmistella ja määrittää pilvipohjaisia palvelimia nopeammin, jolloin palvelut ovat käyttäjiesi käytettävissä nopeammin.
  • Azure tarjoaa paremman sivuston käytettävyyden vähemmällä vaivalla.
  • Voit vähentää paikallisten palvelimien määrää organisaatiossasi.

Tämä ratkaisu edellyttää yhteyttä paikallisen verkon ja Azure-näennäisverkon välillä. Lisätietoja on artikkelissa Paikallisen verkon yhdistäminen Microsoft Azure -näennäisverkkoon.

Huomautus

Tässä artikkelissa kuvataan yksittäisen toimialueen synkronointi yhdessä toimialuepuuryhmässä. Microsoft Entra Connect synkronoi kaikki Active Directory -toimialuepuuryhmäsi AD DS -toimialueet Microsoft 365:n kanssa. Jos sinulla on useita Active Directory -toimialuepuuryhmien synkronointia Microsoft 365:n kanssa, katso Multi-Forest Directory Sync with Single Sign-On Scenario.

Yleiskatsaus Microsoft 365 -hakemistosynkronoinnin käyttöönotosta Azuressa

Seuraavassa kaaviossa näytetään Microsoft Entra Yhdistä azuren näennäiskoneessa (hakemistosynkronointipalvelin), joka synkronoi paikallisen AD DS -toimialuepuuryhmän Microsoft 365 -tilaukseen.

Microsoft Entra Yhdistä-työkalun Azuren näennäiskoneessa synkronoiden paikalliset tilit Microsoft 365 -tilauksen Microsoft Entra vuokraajaan liikennetyönkulun kanssa.

Kaaviossa on kaksi verkkoa, jotka on yhdistetty sivustosta sivustoon -VPN- tai ExpressRoute-yhteydellä. On olemassa paikallinen verkko, jossa AD DS -toimialueen ohjauskoneet sijaitsevat, ja siellä on Azure-näennäisverkko, jossa on hakemiston synkronointipalvelin, joka on Microsoft Entra Connect -näennäiskone. Hakemiston synkronointipalvelimesta on peräisin kaksi pääasiallista liikenteen työnkulkua:

  • Microsoft Entra Connect tekee kyselyn toimialueen ohjauskoneeseen paikallisessa verkossa tilien ja salasanojen muuttamista varten.
  • Microsoft Entra Connect lähettää muutokset tileihin ja salasanoihin Microsoft 365 -tilauksesi Microsoft Entra esiintymään. Koska hakemiston synkronointipalvelin sijaitsee paikallisessa verkossa laajennetussa osassa, muutokset lähetetään paikallisen verkon välityspalvelimen kautta.

Huomautus

Tämä ratkaisu kuvaa yksittäisen Active Directory -toimialueen synkronointia yhdessä Active Directory -toimialuepuuryhmässä. Microsoft Entra Connect synkronoi kaikki Active Directory -toimialueet Microsoft 365:n kanssa. Jos sinulla on useita Active Directory -toimialuepuuryhmien synkronointia Microsoft 365:n kanssa, katso Multi-Forest Directory Sync with Single Sign-On Scenario.

Tämän ratkaisun käyttöönotossa on kaksi päävaihetta:

  1. Luo Azure-näennäisverkko ja muodosta sivuston ja sivuston välinen VPN-yhteys paikalliseen verkkoon. Lisätietoja on artikkelissa Paikallisen verkon yhdistäminen Microsoft Azure -näennäisverkkoon.

  2. Asenna Microsoft Entra Yhdistä toimialueeseen liitettyihin näennäiskoneeseen Azuressa ja synkronoi sitten paikallinen AD DS Microsoft 365:een. Tähän liittyy:

    • Luodaan Azure-näennäiskone, jota voi käyttää Microsoft Entra Connectissa.

    • Asennetaan ja määritetään Microsoft Entra Yhdistä.

    Microsoft Entra Connectin määrittäminen edellyttää Microsoft Entra järjestelmänvalvojatilin ja AD DS -yritysjärjestelmänvalvojatilin tunnistetietoja (käyttäjänimi ja salasana). Microsoft Entra Connect synkronoi paikallisen AD DS -toimialuepuuryhmän Microsoft 365:een välittömästi ja jatkuvasti.

Ennen kuin otat tämän ratkaisun käyttöön tuotannossa, voit käyttää simuloidun yrityskannan määrityksen ohjeita määrittääksesi tämän määrityksen soveltuvuusselvitykseksi, esittelyksi tai kokeiluksi.

Tärkeää

Kun Microsoft Entra Yhdistä-määritys on valmis, se ei tallenna AD DS -yritysjärjestelmänvalvojatilin tunnistetietoja.

Huomautus

Tässä ratkaisussa kuvataan yksittäisen AD DS -toimialuepuuryhmän synkronointi Microsoft 365:een. Tässä artikkelissa käsitelty topologia edustaa vain yhtä tapaa toteuttaa tämä ratkaisu. Organisaatiosi topologia voi vaihdella yksilöllisten verkkovaatimusten ja suojausnäkökohtien mukaan.

Microsoft 365:n hakemistosynkronointipalvelimen isännöintisuunnitelma Azuressa

Ennakkovaatimukset

Ennen kuin aloitat, tutustu seuraaviin tämän ratkaisun edellytyksiin:

  • Tarkastele aiheeseen liittyvää suunnittelusisältöä Azure-näennäisverkon suunnittelussa.

  • Varmista, että täytät kaikki Azure-näennäisverkon määrittämisen edellytykset.

  • Sinulla on Microsoft 365 -tilaus, joka sisältää Active Directory -integrointiominaisuuden. Jos haluat lisätietoja Microsoft 365 -tilauksista, siirry Microsoft 365 -tilaussivulle.

  • Valmistele yksi Azure-näennäiskone, joka suoritetaan Microsoft Entra Connect paikallisen AD DS -toimialuepuuryhmän synkronoimiseksi Microsoft 365:n kanssa.

    Sinulla on oltava AD DS -yritysjärjestelmänvalvojatilin ja Microsoft Entra järjestelmänvalvojatilin tunnistetiedot (nimet ja salasanat).

Ratkaisun arkkitehtuurin suunnitteluoletukset

Seuraavassa luettelossa kuvataan tämän ratkaisun suunnitteluvalinnat.

  • Tämä ratkaisu käyttää yhtä Azure-näennäisverkkoa, jossa on sivustosta sivustoon -VPN-yhteys. Azure-näennäisverkko isännöi yhtä aliverkkoa, jossa on yksi palvelin eli hakemiston synkronointipalvelin, joka on käynnissä Microsoft Entra Connectia.

  • Paikallisessa verkossa on toimialueen ohjauskone ja DNS-palvelimet.

  • Microsoft Entra Connect suorittaa salasanan hajautuksen synkronoinnin kertakirjautumisen sijaan. Sinun ei tarvitse ottaa käyttöön Active Directory -liittoutumispalvelut (AD FS) -infrastruktuuria. Lisätietoja salasanan hajautuksen synkronoinnista ja kertakirjautumisasetuksista on artikkelissa Oikean todentamismenetelmän valitseminen Microsoft Entra hybriditunnistetietoratkaisullesi.

On myös muita suunnitteluvaihtoehtoja, joita voit harkita, kun otat tämän ratkaisun käyttöön ympäristössäsi. Näitä ovat esimerkiksi seuraavat:

  • Jos olemassa olevassa Azure-näennäisverkossa on OLEMASSA OLEVIA DNS-palvelimia, määritä, haluatko hakemistosi synkronointipalvelimen käyttävän niitä nimien selvittämiseen paikallisen verkon DNS-palvelimien sijaan.

  • Jos olemassa olevassa Azure-näennäisverkossa on toimialueen ohjauskoneita, määritä, voisiko Active Directory -sivustojen ja -palveluiden määrittäminen olla sinulle parempi vaihtoehto. Hakemiston synkronointipalvelin voi kysellä Azure-näennäisverkon toimialueen ohjauskoneilta muutoksia tileihin ja salasanoihin paikallisen verkon toimialueen ohjauskoneiden sijaan.

Käyttöönoton toteutussuunnitelma

Microsoft Entra Käyttöönotto Azuren näennäiskoneessa koostuu kolmesta vaiheesta:

  • Vaihe 1: Azure-näennäisverkon luominen ja määrittäminen

  • Vaihe 2: Azure-näennäiskoneen luominen ja määrittäminen

  • Vaihe 3: Asenna ja määritä Microsoft Entra Yhdistä

Käyttöönoton jälkeen sinun on myös määritettävä sijainnit ja käyttöoikeudet uusille käyttäjätileille Microsoft 365:ssä.

Vaihe 1: Azure-näennäisverkon luominen ja määrittäminen

Jos haluat luoda ja määrittää Azure-näennäisverkon, suorita vaihe 1: Paikallisen verkon valmisteleminen ja vaihe 2: Luo paikallinen näennäisverkko Azuressa paikallisen verkon yhdistämisen toteutussuunnitelmassa Microsoft Azure -näennäisverkkoon.

Tämä on määrityksesi.

Azuressa isännöity Microsoft 365:n hakemistosynkronointipalvelimen vaihe 1.

Tässä kuvassa näkyy paikallinen verkko, joka on yhdistetty Azure-näennäisverkkoon sivuston ja sivuston VÄLISEN VPN-yhteyden tai ExpressRoute-yhteyden kautta.

Vaihe 2: Azure-näennäiskoneen luominen ja määrittäminen

Luo näennäiskone Azuressa noudattamalla ohjeita Ensimmäisen Windows-näennäiskoneen luominen Azure-portaali. Käytä seuraavia asetuksia:

  1. Valitse Perustiedot-ruudussa sama tilaus, sijainti ja resurssiryhmä kuin näennäisverkkosi. Tallenna käyttäjänimi ja salasana suojattuun sijaintiin. Tarvitset näitä myöhemmin muodostaaksesi yhteyden näennäiskoneeseen.

  2. Valitse Valitse koko -ruudussa A2 Vakiokoko .

  3. Valitse Asetukset-ruudunTallennustila-osassa Vakiotallennustyyppi. Valitse Verkko-osassa näennäisverkon nimi ja aliverkko hakemiston synkronointipalvelimen isännöintiin (ei GatewaySubnet). Jätä kaikki muut asetukset oletusarvoihinsa.

Varmista, että hakemiston synkronointipalvelin käyttää DNS:ää oikein, tarkistamalla sisäinen DNS ja varmistamalla, että näennäiskoneelle ja sen IP-osoitteella on lisätty Osoite (A) -tietue.

Käytä ohjeita kohdassa Yhdistä näennäiskoneeseen ja kirjaudu sisään muodostaaksesi yhteyden hakemiston synkronointipalvelimeen etätyöpöytäyhteydellä. Kun olet kirjautunut sisään, liity näennäiskoneeseen paikalliseen AD DS -toimialueeseen.

Jotta voit Microsoft Entra Muodostaa yhteyden Internet-resursseihin, sinun on määritettävä hakemiston synkronointipalvelin käyttämään paikallisen verkon välityspalvelinta. Ota yhteyttä verkonvalvojaan, jos haluat suorittaa muita määritysvaiheita.

Tämä on määrityksesi.

Azuressa isännöity Microsoft 365:n hakemiston synkronointipalvelimen vaihe 2.

Tässä kuvassa näkyy hakemiston synkronointipalvelimen näennäiskone paikallisessa Azure-näennäisverkossa.

Vaihe 3: Asenna ja määritä Microsoft Entra Yhdistä

Suorita seuraavat toimet:

  1. Muodosta yhteys hakemiston synkronointipalvelimeen etätyöpöytäyhteydellä AD DS -toimialuetilillä, jolla on paikallisen järjestelmänvalvojan oikeudet. Katso Näennäiskoneeseen yhdistäminen ja sisäänkirjautuminen.

  2. Avaa microsoft 365:n hakemistosynkronoinnin määritys -artikkeli hakemistosynkronointipalvelimesta ja noudata ohjeita hakemiston synkronoinnille salasanan hajautuksen synkronoinnin kanssa.

Varoitus

Asennusohjelma luo AAD_xxxxxxxxxxxx-tilin Organisaation paikalliset käyttäjät -yksikköön (OU). Älä siirrä tai poista tätä tiliä, tai synkronointi epäonnistuu.

Tämä on määrityksesi.

Azuressa isännöity Microsoft 365:n hakemiston synkronointipalvelimen vaihe 3.

Tässä kuvassa näkyy hakemiston synkronointipalvelin Microsoft Entra Yhdistä paikallisessa Azure-näennäisverkossa.

Sijaintien ja käyttöoikeuksien määrittäminen käyttäjille Microsoft 365:ssä

Microsoft Entra Connect lisää tilejä Microsoft 365 -tilaukseesi paikallisesta AD DS:stä, mutta jotta käyttäjät voivat kirjautua Microsoft 365:een ja käyttää sen palveluita, tileille on määritettävä sijainti ja käyttöoikeudet. Näiden vaiheiden avulla voit lisätä sijainnin ja aktivoida tarvittavien käyttäjätilien käyttöoikeudet:

  1. Kirjaudu Microsoft 365 -hallintakeskus ja valitse sitten Hallinta.

  2. Valitse vasemmassa siirtymisruudussa Käyttäjät Aktiiviset>käyttäjät.

  3. Valitse käyttäjätililuettelosta sen käyttäjän vieressä oleva valintaruutu, jonka haluat aktivoida.

  4. Valitse käyttäjän sivulla Muokkaatuotteiden käyttöoikeuksia varten.

  5. Valitse Tuotteen käyttöoikeudet - sivulla sijainti käyttäjälle sijaintia varten ja ota sitten asianmukaiset käyttöoikeudet käyttöön käyttäjälle.

  6. Kun olet valmis, valitse Tallenna ja valitse sitten Sulje kahdesti.

  7. Siirry takaisin vaiheeseen 3 muiden käyttäjien kohdalla.

Tutustu myös seuraaviin ohjeartikkeleihin:

Microsoft 365 -ratkaisu- ja arkkitehtuurikeskus

Paikallisen verkon yhdistäminen Microsoft Azure -näennäisverkkoon

Lataa Microsoft Entra yhdistäminen

Microsoft 365:n hakemistosynkronoinnin määrittäminen