שתף באמצעות

פריסת סינכרון מדריכי כתובות של Microsoft 365 ב- Microsoft Azure

  • מאמר

Microsoft Entra Connect (שנקרא בעבר כלי סינכרון מדריכי כתובות, כלי סינכרון מדריכי כתובות או כלי DirSync.exe) הוא יישום שאתה מתקין בשרת המצורף לתחום כדי לסנכרן את משתמשי Active Directory מקומי Domain Services (AD DS) שלך עם Microsoft Entra דייר של מנוי Microsoft 365 שלך. Microsoft 365 משתמש Microsoft Entra מזהה שירות מדריך הכתובות שלו. מנוי Microsoft 365 שלך כולל Microsoft Entra שלך. דייר זה יכול לשמש גם לניהול הזהויות של הארגון שלך עם עומסי עבודה אחרים בענן, כולל אפליקציות ואפליקציות SaaS אחרות ב- Azure.

באפשרותך להתקין Microsoft Entra התחבר בשרת מקומי, אך באפשרותך גם להתקין אותו במחשב וירטואלי ב- Azure מהסיבות הבאות:

  • באפשרותך להקצות שרתים מבוססי ענן ולקבוע את תצורתם מהר יותר, כך שהשירותים יהיו זמינים למשתמשים שלך מוקדם יותר.
  • Azure מציע זמינות אתרים טובה יותר בפחות מאמץ.
  • באפשרותך להפחית את מספר השרתים המקומיים בארגון שלך.

פתרון זה דורש קישוריות בין הרשת המקומית לרשת הווירטואלית של Azure. לקבלת מידע נוסף, ראה חיבור רשת מקומית לרשת וירטואלית של Microsoft Azure.

הערה

מאמר זה מתאר סינכרון של תחום יחיד ביער יחיד. Microsoft Entra Connect מסנכרן את כל התחומים של AD DS ביער Active Directory שלך עם Microsoft 365. אם יש לך יערות מרובים של Active Directory לסינכרון עם Microsoft 365, ראה סינכרון מדריכי כתובות מרובה יערות עם תרחיש Sign-On יחיד.

מבט כולל על פריסת סינכרון מדריכי כתובות של Microsoft 365 ב- Azure

הדיאגרמה הבאה מציגה Microsoft Entra התחבר פועל במחשב וירטואלי ב- Azure (שרת סינכרון מדריכי כתובות) המסנכרן יער AD DS מקומי עם מנוי Microsoft 365.

Microsoft Entra הכלי Connect במחשב וירטואלי ב- Azure המסנכרן חשבונות מקומיים עם דייר Microsoft Entra של מנוי Microsoft 365 עם זרימת תעבורה.

בדיאגרמה, קיימות שתי רשתות המחוברות באמצעות VPN של אתר לאתר או חיבור ExpressRoute. קיימת רשת מקומית שבה ממוקמים בקרי תחום AD DS, ויש רשת וירטואלית של Azure עם שרת סינכרון מדריכי כתובות, שהוא מחשב וירטואלי שפועל בו Microsoft Entra Connect. קיימות שתי זרימות תעבורה עיקריות שמקורן בשרת סינכרון מדריכי הכתובות:

  • Microsoft Entra חיבור שאילתות לבקר תחום ברשת המקומית לקבלת שינויים בחשבונות ובסיסמאות.
  • Microsoft Entra Connect שולחת את השינויים בחשבונות ובסיסמאות למופע Microsoft Entra של מנוי Microsoft 365 שלך. מאחר שהשרת לסינכרון מדריכי כתובות נמצא בחלק מורחב של הרשת המקומית שלך, שינויים אלה נשלחים דרך שרת ה- Proxy של הרשת המקומית.

הערה

פתרון זה מתאר סינכרון של תחום Active Directory יחיד, ביער Active Directory יחיד. Microsoft Entra Connect מסנכרן את כל התחומים של Active Directory ביער Active Directory שלך עם Microsoft 365. אם יש לך יערות מרובים של Active Directory לסינכרון עם Microsoft 365, ראה סינכרון מדריכי כתובות מרובה יערות עם תרחיש Sign-On יחיד.

קיימים שני שלבים עיקריים בעת פריסת פתרון זה:

  1. צור רשת וירטואלית של Azure וצור חיבור VPN של אתר לאתר לרשת המקומית שלך. לקבלת מידע נוסף, ראה חיבור רשת מקומית לרשת וירטואלית של Microsoft Azure.

  2. התקן Microsoft Entra התחבר במחשב וירטואלי המצורף לתחום ב- Azure ולאחר מכן סנכרן את AD DS המקומי עם Microsoft 365. הדבר כרוך ב:

    • יוצר מחשב וירטואלי של Azure להפעלת Microsoft Entra Connect.

    • התקנה והגדרה של Microsoft Entra התחבר.

    קביעת Microsoft Entra ההתחברות מחייבת את האישורים (שם משתמש וסיסמה) של חשבון מנהל Microsoft Entra וחשבון מנהל מערכת ארגוני של AD DS. Microsoft Entra Connect פועל באופן מיידי ועל בסיס קבוע כדי לסנכרן את היער המקומי של AD DS עם Microsoft 365.

לפני שתפרוס פתרון זה בייצור, באפשרותך להשתמש בהוראות תחת תצורת הבסיס הארגוני המדומה כדי להגדיר תצורה זו כהגהת רעיון, עבור הדגמות או להתנסות.

חשוב

לאחר Microsoft Entra התצורה של Connect, הוא אינו שומר את אישורי חשבון מנהל המערכת של הארגון AD DS.

הערה

פתרון זה מתאר סינכרון יער AD DS יחיד עם Microsoft 365. הטופולוגיה המפורטת במאמר זה מייצגת דרך אחת בלבד ליישום פתרון זה. הטופולוגיה של הארגון שלך עשויה להיות שונה בהתאם לדרישות הרשת הייחודיות ולשיקולי האבטחה שלך.

תכנון לאירוח שרת סינכרון מדריכי כתובות עבור Microsoft 365 ב- Azure

דרישות מוקדמות

לפני שתתחיל, סקור את הדרישות המוקדמות הבאות עבור פתרון זה:

  • סקור את תוכן התכנון הקשור בתכנון הרשת הווירטואלית של Azure.

  • ודא שאתה עומד בכל הדרישות המוקדמות לקביעת התצורה של הרשת הווירטואלית של Azure.

  • יש לך מנוי של Microsoft 365 הכולל את תכונת השילוב של Active Directory. לקבלת מידע אודות מנויי Microsoft 365, עבור אל דף המנוי של Microsoft 365.

  • הקצה מחשב וירטואלי אחד של Azure שמפעיל Microsoft Entra Connect כדי לסנכרן את היער המקומי של AD DS עם Microsoft 365.

    דרושים לך האישורים (השמות והסיסמאות) עבור חשבון מנהל מערכת ארגוני של AD DS וחשבון מנהל Microsoft Entra שלך.

הנחות עיצוב של ארכיטקטורת פתרונות

הרשימה הבאה מתארת את אפשרויות העיצוב שבוצעו עבור פתרון זה.

  • פתרון זה משתמש ברשת וירטואלית אחת של Azure עם חיבור VPN של אתר לאתר. הרשת הווירטואלית של Azure מארחת רשת משנה יחידה הכוללת שרת אחד, שרת סינכרון מדריכי הכתובות Microsoft Entra Connect.

  • ברשת המקומית, בקר תחום ושרתי DNS קיימים.

  • Microsoft Entra חיבור מבצע סינכרון Hash של סיסמאות במקום כניסה יחידה. אינך צריך לפרוס תשתית של Active Directory Federation Services (AD FS). לקבלת מידע נוסף על סינכרון קוד Hash של סיסמאות ואפשרויות כניסה יחידה, ראה בחירת שיטת האימות הנכונה עבור פתרון הזהות ההיברידית Microsoft Entra שלך.

קיימות אפשרויות עיצוב אחרות שאתה עשוי לשקול בעת פריסת פתרון זה בסביבה שלך. הכוללות את הנקודות הבאות:

  • אם קיימים שרתי DNS ברשת וירטואלית קיימת של Azure, קבע אם ברצונך שהשרת של סינכרון מדריכי הכתובות ישתמש בהם לפתרון שמות במקום בשרתי DNS ברשת המקומית.

  • אם קיימים בקרי תחום ברשת וירטואלית קיימת של Azure, קבע אם הגדרת אתרים ושירותים של Active Directory עשויה להיות אפשרות טובה יותר עבורך. שרת סינכרון מדריכי הכתובות יכול לבצע שאילתה בבקרי התחום ברשת הווירטואלית של Azure לקבלת שינויים בחשבונות ובסיסמאות במקום בבקרי תחום ברשת המקומית.

מפת דרכים של פריסה

פריסת Microsoft Entra התחבר במחשב וירטואלי ב- Azure כוללת שלושה שלבים:

  • שלב 1: יצירה ותצורה של הרשת הווירטואלית של Azure

  • שלב 2: יצירה ותצורה של המחשב הווירטואלי של Azure

  • שלב 3: התקנה ותצורה של Microsoft Entra חיבור

לאחר הפריסה, עליך גם להקצות מיקומים ורשיונות עבור חשבונות המשתמשים החדשים ב- Microsoft 365.

שלב 1: יצירה ותצורה של הרשת הווירטואלית של Azure

כדי ליצור ולהגדיר את הרשת הווירטואלית של Azure, השלם את שלב 1: הכנת הרשת המקומית שלך ושלב 2: צור את הרשת הווירטואלית המקומית ב- Azure במפת הדרכים של הפריסה של חיבור רשת מקומית לרשת וירטואלית של Microsoft Azure.

זוהי התצורה המתוצאת שלך.

שלב 1 של שרת סינכרון מדריכי כתובות עבור Microsoft 365 המתארח ב- Azure.

איור זה מציג רשת מקומית המחוברת לרשת וירטואלית של Azure באמצעות VPN באתר או חיבור ExpressRoute.

שלב 2: יצירה ותצורה של המחשב הווירטואלי של Azure

צור את המחשב הווירטואלי ב- Azure באמצעות ההוראות צור את המחשב הווירטואלי הראשון של Windows בפורטל Azure. השתמש בהגדרות הבאות:

  1. בחלונית יסודות , בחר את אותו מנוי, מיקום וקבוצת משאבים כמו הרשת הווירטואלית שלך. תעד את שם המשתמש והסיסמה במיקום מאובטח. תזדקק להם מאוחר יותר כדי להתחבר למחשב הווירטואלי.

  2. בחלונית בחר גודל , בחר את הגודל הרגיל A2 .

  3. בחלונית הגדרות , במקטע אחסון , בחר את סוג האחסון הרגיל. במקטע רשת, בחר את שם הרשת הווירטואלית ואת רשת המשנה לאירוח שרת סינכרון מדריכי הכתובות (לא GatewaySubnet). השאר את כל ההגדרות האחרות בערכי ברירת המחדל שלהן.

ודא כי שרת סינכרון מדריכי הכתובות משתמש כראוי ב- DNS על-ידי בדיקת ה- DNS הפנימי שלך כדי לוודא שנוספה רשומת כתובת (A) עבור המחשב הווירטואלי עם כתובת ה- IP שלו.

השתמש בהוראות המופיעות תחת התחבר למחשב הווירטואלי והיכנס כדי להתחבר לשרת סינכרון מדריך הכתובות באמצעות חיבור לשולחן עבודה מרוחק. לאחר הכניסה, צרף את המחשב הווירטואלי לתחום AD DS המקומי.

כדי Microsoft Entra התחבר כדי לקבל גישה למשאבי אינטרנט, עליך לקבוע את התצורה של שרת סינכרון מדריכי הכתובות לשימוש בשרת ה- Proxy של הרשת המקומית. עליך לפנות למנהל הרשת כדי שביצוע שלבי קביעת התצורה הנו נוספים.

זוהי התצורה המתוצאת שלך.

שלב 2 של שרת סינכרון מדריכי כתובות עבור Microsoft 365 המתארח ב- Azure.

איור זה מציג את המחשב הווירטואלי של שרת סינכרון מדריכי הכתובות ברשת הווירטואלית המקומית של Azure.

שלב 3: התקנה ותצורה של Microsoft Entra חיבור

בצע את ההליך הבא:

  1. התחבר לשרת סינכרון מדריכי הכתובות באמצעות חיבור לשולחן עבודה מרוחק עם חשבון תחום AD DS בעל הרשאות מנהל מערכת מקומי. ראה התחברות למחשב הווירטואלי והיכנס.

  2. משרת סינכרון מדריכי הכתובות, פתח את המאמר הגדרת סינכרון מדריכי כתובות עבור Microsoft 365 ובצע את ההוראות עבור סינכרון מדריכי כתובות עם סינכרון קוד Hash של סיסמאות.

זהירות

תוכנית ההתקנה יוצרת AAD_xxxxxxxxxxxx החשבון ביחידה הארגונית (OU) של המשתמשים המקומיים. אל תעביר או תסיר חשבון זה או שהסינכרון ייכשל.

זוהי התצורה המתוצאת שלך.

שלב 3 של שרת סינכרון מדריכי כתובות עבור Microsoft 365 המתארח ב- Azure.

איור זה מציג את שרת סינכרון מדריכי הכתובות Microsoft Entra התחבר ברשת הווירטואלית המקומית של Azure.

הקצאת מיקומים ורשיונות למשתמשים ב- Microsoft 365

Microsoft Entra Connect מוסיף חשבונות למנוי Microsoft 365 שלך מ- AD DS המקומי, אך כדי שמשתמשים ייכנסו ל- Microsoft 365 ולהשתמש בשירותים שלו, יש לקבוע את תצורת החשבונות עם מיקום ורשיונות. השתמש בשלבים אלה כדי להוסיף את המיקום ולהפעיל רשיונות עבור חשבונות המשתמשים המתאימים:

  1. היכנס אל הכרטיסיה מרכז הניהול של Microsoft 365 ולאחר מכן לחץ על מרכז הניהול.

  2. בניווט הימני, לחץ על משתמשים>פעילים.

  3. ברשימת חשבונות המשתמשים, בחר את תיבת הסימון לצד המשתמש שברצונך להפעיל.

  4. בדף של המשתמש, לחץ על ערוך עבור רשיונות מוצר.

  5. בדף רשיונות מוצר , בחר מיקום עבור המשתמש עבור מיקום ולאחר מכן הפוך את הרשיונות המתאימים לזמינים עבור המשתמש.

  6. לאחר לסיום, לחץ על שמור ולאחר מכן לחץ על סגור פעמיים.

  7. חזור לשלב 3 עבור משתמשים נוספים.

למידע נוסף

מרכז הפתרונות והארכיטקטורה של Microsoft 365

חיבור רשת מקומית לרשת וירטואלית של Microsoft Azure

הורד את Microsoft Entra Connect

הגדרת סינכרון מדריכי כתובות עבור Microsoft 365