A Microsoft Entra Connect testreszabott telepítése
A Microsoft Entra Csatlakozás egyéni beállításait akkor használja, ha további beállításokat szeretne a telepítéshez. Használja ezeket a beállításokat, például ha több erdőt használ, vagy ha opcionális funkciókat szeretne konfigurálni. Minden olyan esetben használjon egyéni beállításokat, amikor az expressz telepítés nem felel meg az üzembe helyezési vagy topológiai igényeknek.
Előfeltételek:
- Töltse le a Microsoft Entra Csatlakozás.
- Végezze el az előfeltétel-lépéseket a Microsoft Entra Csatlakozás: Hardver és előfeltételek című témakörben.
- Győződjön meg arról, hogy rendelkezik a Microsoft Entra Csatlakozás-fiókokban és -engedélyekben leírt fiókokkal.
Egyéni telepítési beállítások
A Microsoft Entra Csatlakozás egyéni telepítésének beállításához tekintse át az alábbi szakaszokban leírt varázslólapokat.
Gyorsbeállítások
Az Express Gépház lapon válassza a Testreszabás lehetőséget a testreszabott beállítások telepítésének elindításához. A cikk további része végigvezeti az egyéni telepítési folyamaton. Az alábbi hivatkozások segítségével gyorsan megnyithatja egy adott oldal adatait:
- Szükséges összetevők
- Felhasználói bejelentkezés
- Csatlakozás a Microsoft Entra-azonosítóhoz
- Szinkronizál
Szükséges összetevők telepítése
A szinkronizálási szolgáltatások telepítésekor a választható konfigurációs szakaszt kijelöletlenül hagyhatja. A Microsoft Entra Csatlakozás mindent automatikusan beállít. Beállít egy SQL Server 2019 Express LocalDB-példányt, létrehozza a megfelelő csoportokat, és engedélyeket rendel hozzá. Ha módosítani szeretné az alapértelmezett beállításokat, jelölje ki a megfelelő mezőket. Az alábbi táblázat összefoglalja ezeket a lehetőségeket, és további információkra mutató hivatkozásokat tartalmaz.
| Választható konfiguráció | Leírás |
|---|---|
| Egyéni telepítési hely megadása | Lehetővé teszi a Microsoft Entra Csatlakozás alapértelmezett telepítési útvonalának módosítását. |
| Meglévő SQL Server használata | Lehetővé teszi az SQL Server nevét és a példány nevét. Válassza ezt a lehetőséget, ha már rendelkezik használni kívánt adatbázis-kiszolgálóval. A Példánynév mezőbe írja be a példány nevét, a vesszőt és a portszámot, ha az SQL Server-példányon nincs engedélyezve a böngészés. Ezután adja meg a Microsoft Entra Csatlakozás adatbázis nevét. Az SQL-jogosultságok határozzák meg, hogy létre lehet-e hozni egy új adatbázist, vagy az SQL-rendszergazdának előre létre kell hoznia az adatbázist. Ha rendelkezik SQL Server-rendszergazdai (SA) engedélyekkel, tekintse meg a Microsoft Entra Csatlakozás telepítése meglévő adatbázis használatával című témakört. Ha rendelkezik delegált engedélyekkel (DBO), olvassa el a Microsoft Entra Csatlakozás telepítése az SQL delegált rendszergazdai engedélyeinek használatával című témakört. |
| Meglévő szolgáltatásfiók használata | Alapértelmezés szerint a Microsoft Entra Csatlakozás biztosít egy virtuális szolgáltatásfiókot a szinkronizálási szolgáltatásokhoz. Ha az SQL Server távoli példányát használja, vagy hitelesítést igénylő proxyt használ, használhat felügyelt szolgáltatásfiókot vagy jelszóval védett szolgáltatásfiókot a tartományban. Ezekben az esetekben adja meg a használni kívánt fiókot. A telepítés futtatásához sa-nak kell lennie az SQL-ben, hogy bejelentkezési hitelesítő adatokat hozhasson létre a szolgáltatásfiókhoz. További információ: Microsoft Entra Csatlakozás fiókok és engedélyek. A legújabb build használatával az SQL-rendszergazda mostantól sávon kívül építheti ki az adatbázist. Ezután a Microsoft Entra Csatlakozás rendszergazdája telepítheti adatbázis-tulajdonosi jogosultságokkal. További információ: A Microsoft Entra Csatlakozás telepítése az SQL delegált rendszergazdai engedélyeinek használatával. |
| Egyéni szinkronizálási csoportok megadása | Alapértelmezés szerint a szinkronizálási szolgáltatások telepítésekor a Microsoft Entra Csatlakozás négy csoportot hoz létre, amelyek helyiek a kiszolgálón. Ezek a csoportok Rendszergazda istratorok, operátorok, tallózás és jelszó-visszaállítás. Itt megadhatja a saját csoportjait. A csoportoknak helyinek kell lenniük a kiszolgálón. Nem találhatók a tartományban. |
| Szinkronizálási beállítások importálása | Így importálhatja a beállításokat a Microsoft Entra Connect más verzióból. További információ: A Microsoft Entra Csatlakozás konfigurációs beállításainak importálása és exportálása. |
Felhasználói bejelentkezés
A szükséges összetevők telepítése után válassza ki a felhasználók egyszeri bejelentkezési módszerét. Az alábbi táblázat röviden ismerteti a rendelkezésre álló lehetőségeket. A bejelentkezési módok teljes leírásáért lásd: Felhasználói bejelentkezés.
| Egyszeri bejelentkezés lehetőség | Leírás |
|---|---|
| Jelszókivonat szinkronizálása | A felhasználók a helyszíni hálózatukban használt jelszóval jelentkezhetnek be a Microsoft felhőszolgáltatásaiba, például a Microsoft 365-be. A felhasználói jelszavakat a rendszer jelszókivonatként szinkronizálja a Microsoft Entra-azonosítóval. A hitelesítés a felhőben történik. További információ: Jelszókivonat-szinkronizálás. |
| Átmenő hitelesítés | A felhasználók a helyszíni hálózatukban használt jelszóval jelentkezhetnek be a Microsoft felhőszolgáltatásaiba, például a Microsoft 365-be. A felhasználói jelszavak érvényesítése a helyi Active Directory tartományvezérlőnek való továbbítással történik. |
| Összevonás az AD FS rendszerrel | A felhasználók a helyszíni hálózatukban használt jelszóval jelentkezhetnek be a Microsoft felhőszolgáltatásaiba, például a Microsoft 365-be. A rendszer átirányítja a felhasználókat a helyszíni Azure Directory Összevonási szolgáltatások (AD FS) példányra a bejelentkezéshez. A hitelesítés a helyszínen történik. |
| Összevonás a PingFederate-tel | A felhasználók a helyszíni hálózatukban használt jelszóval jelentkezhetnek be a Microsoft felhőszolgáltatásaiba, például a Microsoft 365-be. A rendszer átirányítja a felhasználókat a helyszíni PingFederate-példányukra a bejelentkezéshez. A hitelesítés a helyszínen történik. |
| Nincs konfigurálás | Nincs telepítve vagy konfigurálva felhasználói bejelentkezési funkció. Akkor válassza ezt a lehetőséget, ha már rendelkezik egy külső összevonási kiszolgálóval vagy egy másik megoldással. |
| Egyszeri bejelentkezés engedélyezése | Ez a beállítás jelszókivonat-szinkronizálással és átmenő hitelesítéssel is elérhető. Egyetlen bejelentkezési felületet biztosít a vállalati hálózatok asztali felhasználói számára. További információ: Egyszeri bejelentkezés. Megjegyzés: Az AD FS-ügyfelek számára ez a beállítás nem érhető el. Az AD FS már ugyanazt az egyszeri bejelentkezési szintet kínálja. |
Csatlakozás a Microsoft Entra-azonosítóhoz
A Microsoft Entra ID-Csatlakozás lapon adjon meg egy hibrid identitás Rendszergazda istrator-fiókot és jelszót. Ha az előző oldalon az AD FS-szel rendelkező összevonás lehetőséget választotta, ne jelentkezzen be olyan fiókkal, amely olyan tartományban található, amelyet engedélyezni szeretne az összevonáshoz.
Érdemes lehet egy fiókot használni az alapértelmezett onmicrosoft.com tartományban, amely a Microsoft Entra-bérlőhöz tartozik. Ez a fiók csak szolgáltatásfiók létrehozásához használható a Microsoft Entra-azonosítóban. A telepítés befejezése után nem használható.
Feljegyzés
Ajánlott eljárás a helyszíni szinkronizált fiókok használata a Microsoft Entra szerepkör-hozzárendelésekhez. Ha a helyszíni fiók biztonsága sérül, ezzel a Microsoft Entra-erőforrásokat is veszélyeztetheti. Az ajánlott eljárások teljes listájáért tekintse meg a Microsoft Entra-szerepkörök ajánlott eljárásait
Ha a globális Rendszergazda istrator-fiókjában engedélyezve van a többtényezős hitelesítés, a bejelentkezési ablakban ismét meg kell adnia a jelszót, és el kell végeznie a többtényezős hitelesítéssel. Ez a lépés lehet egy ellenőrző kód megadása, vagy egy telefonhívás.
A globális Rendszergazda istrator-fiók jogosultsági identitáskezelést is engedélyezhet.
Ha nem jelszó nélküli forgatókönyvekhez, például összevont fiókokhoz, intelligens kártyákhoz és MFA-forgatókönyvekhez szeretne hitelesítési támogatást használni, a varázsló indításakor megadhatja az /InteractiveAuth kapcsolót. Ez a kapcsoló megkerüli a varázsló hitelesítési felhasználói felületét, és az MSAL-kódtár felhasználói felületével kezeli a hitelesítést.
Ha hibaüzenetet lát, vagy csatlakozási problémákat tapasztal, tekintse meg a csatlakozási problémák hibaelhárítását.
Lapok szinkronizálása
A következő szakaszok a Szinkronizálás szakasz lapjait ismertetik.
Csatlakoztassa a címtárakat
Az Active Directory tartományi szolgáltatások (AD DS) szolgáltatáshoz való csatlakozáshoz a Microsoft Entra Csatlakozás egy megfelelő engedélyekkel rendelkező fiók erdőnevére és hitelesítő adataira van szüksége.
Miután megadta az erdő nevét, és kiválasztotta a Címtár hozzáadása lehetőséget, megjelenik egy ablak. Az alábbi táblázat a beállításokat ismerteti.
| Lehetőség | Leírás |
|---|---|
| Új fiók létrehozása | Hozza létre azt az AD DS-fiókot, amelyhez a Microsoft Entra Csatlakozás csatlakoznia kell az Active Directory-erdőhöz a címtár-szinkronizálás során. A beállítás kiválasztása után adja meg egy vállalati rendszergazdai fiók felhasználónevét és jelszavát. A Microsoft Entra Csatlakozás a megadott vállalati rendszergazdai fiókkal hozza létre a szükséges AD DS-fiókot. A tartományrészt NetBIOS vagy FQDN formátumban is megadhatja. Írja be a FABRIKAM\administrator vagy fabrikam.com\administrator nevet. |
| Meglévő fiók használata | Adjon meg egy meglévő AD DS-fiókot, amellyel a Microsoft Entra Csatlakozás csatlakozhat az Active Directory-erdőhöz a címtár-szinkronizálás során. A tartományrészt NetBIOS vagy FQDN formátumban is megadhatja. Írja be a FABRIKAM\syncuser vagy fabrikam.com\syncuser nevet. Ez a fiók lehet egy normál felhasználói fiók, mert csak az alapértelmezett olvasási engedélyekre van szüksége. A forgatókönyvtől függően azonban további engedélyekre lehet szükség. További információ: Microsoft Entra Csatlakozás fiókok és engedélyek. |
Feljegyzés
Az 1.4.18.0-s buildben nem használhat vállalati rendszergazdai vagy tartományi rendszergazdai fiókot AD DS-összekötő fiókként. Ha a Meglévő fiók használata lehetőséget választja, ha vállalati rendszergazdai fiókot vagy tartományi rendszergazdai fiókot próbál meg megadni, a következő hibaüzenet jelenik meg: "Vállalati vagy tartományi rendszergazdai fiók használata az AD-erdőfiókhoz nem engedélyezett. Engedje, hogy a Microsoft Entra Connect hozza létre a fiókot, vagy adjon meg egy szinkronizálási fiókot a megfelelő engedélyekkel.“
Microsoft Entra bejelentkezési konfiguráció
A Microsoft Entra bejelentkezési konfigurációs lapján tekintse át a helyszíni AD DS-ben található egyszerű felhasználónév (UPN) tartományokat. Ezek az UPN-tartományok a Microsoft Entra-azonosítóban lettek ellenőrizve. Ezen a lapon konfigurálja a userPrincipalName attribútumot.
Tekintse át az összes olyan tartományt, amely nincs hozzáadva vagy nem ellenőrzöttként van megjelölve. Győződjön meg arról, hogy a használt tartományok a Microsoft Entra-azonosítóban vannak ellenőrizve. A tartományok ellenőrzése után válassza a körkörös frissítés ikont. További információ: Tartomány hozzáadása és ellenőrzése.
A felhasználók a userPrincipalName attribútumot használják, amikor bejelentkeznek a Microsoft Entra ID-be és a Microsoft 365-be. A Microsoft Entra-azonosítónak ellenőriznie kell a tartományokat( más néven UPN-utótagot) a felhasználók szinkronizálása előtt. A Microsoft azt javasolja, hogy tartsa meg az alapértelmezett userPrincipalName attribútumot.
Ha a userPrincipalName attribútum nem átirányítható, és nem ellenőrizhető, akkor választhat egy másik attribútumot. Kiválaszthatja például az e-mailt a bejelentkezési azonosítót tartalmazó attribútumként. Ha nem userPrincipalName attribútumot használ, az alternatív azonosítóként ismert.
A Másodlagos azonosító attribútum értékének igazodnia kell az RFC 822 szabványhoz. A Másodlagos azonosító a jelszókivonat-szinkronizálással, az átmenő hitelesítéssel és az összevonással egyaránt használható. Az Active Directoryban az attribútum nem definiálható többértékűként, még akkor sem, ha csak egyetlen értékkel rendelkezik. A másodlagos azonosítóval kapcsolatos további információkért lásd : Átmenő hitelesítés: Gyakori kérdések.
Feljegyzés
Ha engedélyezi az átmenő hitelesítést, legalább egy ellenőrzött tartománnyal kell rendelkeznie az egyéni telepítési folyamat folytatásához.
Figyelmeztetés
A másodlagos azonosítók nem kompatibilisek az összes Microsoft 365-számítási feladattal. További információ: Alternatív bejelentkezési azonosítók konfigurálása.
Tartományok és szervezeti egységek szűrése
Alapértelmezés szerint az összes tartomány és szervezeti egység (OU) szinkronizálva van. Ha nem szeretne szinkronizálni bizonyos tartományokat vagy szervezeti egységeket a Microsoft Entra-azonosítóval, törölheti a megfelelő kijelöléseket.
Ez a lap tartományalapú és szervezeti egységalapú szűrést konfigurál. Ha módosításokat tervez, tekintse meg a tartományalapú szűrést és a szervezeti egység szerinti szűrést. Egyes szervezeti egységek alapvető fontosságúak a funkciókhoz, ezért hagyja őket kijelölve.
Ha szervezeti egységalapú szűrést használ az 1.1.524.0-snál régebbi Microsoft Entra Csatlakozás verzióval, a rendszer alapértelmezés szerint szinkronizálja az új szervezeti egységeket. Ha nem szeretné, hogy az új szervezeti egységek szinkronizálva legyenek, a szervezeti egységalapú szűrési lépés után módosíthatja az alapértelmezett viselkedést . A Microsoft Entra Csatlakozás 1.1.524.0-s vagy újabb verziója esetén jelezheti, hogy szinkronizálni szeretné-e az új szervezeti egységeket.
Ha csoportalapú szűrést szeretne használni, győződjön meg arról, hogy a csoport szervezeti egysége szerepel, és a szervezeti egység szűrése nem történik meg. A szervezeti egység szűrése a csoportalapú szűrés kiértékelése előtt történik.
Előfordulhat, hogy egyes tartományok nem érhetők el tűzfalkorlátozások miatt. Ezek a tartományok alapértelmezés szerint nincsenek kijelölve, és figyelmeztetést jelenítenek meg.
Ha ezt a figyelmeztetést látja, győződjön meg arról, hogy ezek a tartományok valóban nem érhetők el, és hogy a figyelmeztetés várható.
Felhasználók egyedi azonosítása
A Felhasználók azonosítása lapon válassza ki, hogyan azonosíthatja a helyszíni címtárak felhasználóit, és hogyan azonosíthatja őket a sourceAnchor attribútum használatával.
Válassza ki, hogyan történjen a felhasználók azonosítása a helyszíni címtárakban
Az Erdők közötti egyeztetés funkcióval meghatározhatja, hogyan jelennek meg az AD DS-erdők felhasználói a Microsoft Entra-azonosítóban. Előfordulhat, hogy egy felhasználó csak egyszer jelenik meg az összes erdőben, vagy engedélyezett és letiltott fiókok kombinációjával rendelkezik. A felhasználók egyes erdőkben esetleg kapcsolattartóként is szerepelhetnek.
| Beállítás | Leírás |
|---|---|
| A felhasználók csak egyszer jelennek meg az összes erdőben | Minden felhasználó egyéni objektumként jön létre a Microsoft Entra-azonosítóban. Az objektumok nincsenek összekapcsolva a metaversen. |
| Mail attribútum | Ez a beállítás összekapcsolja a felhasználókat és a kapcsolattartókat, amennyiben a levél attribútum ugyanazzal az értékkel rendelkezik különböző felhőkben. Ezt a lehetőséget akkor használja, ha a névjegyeket a GALSync használatával hozta létre. Ha ezt a beállítást választja, a rendszer nem szinkronizálja azokat a felhasználói objektumokat, amelyeknek a levelezési attribútuma nem tölthető fel. |
| ObjectSID és msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID attribútumok | Ez a beállítás összeköt egy fiókerdőben található engedélyezett felhasználót egy erőforráserdőben található letiltott felhasználóval. Az Exchange ezt a konfigurációt csatolt postaládaként ismeri. Ezt a lehetőséget akkor használhatja, ha csak a Lyncet használja, és ha az Exchange nem található az erőforrás-erdőben. |
| SAMAccountName és MailNickName attribútumok | Ez a beállítás olyan attribútumokhoz csatlakozik, ahol a felhasználó bejelentkezési azonosítója várhatóan megtalálható lesz. |
| Adott attribútum kiválasztása | Ez a beállítás lehetővé teszi, hogy kiválassza a saját attribútumát. Ha ezt a beállítást választja, a rendszer nem szinkronizálja azokat a felhasználói objektumokat, amelyek (kijelölt) attribútuma nem tölthető fel. Korlátozás: Ehhez a beállításhoz csak a metaverzumban már szereplő attribútumok érhetők el. |
A felhasználók azonosításának módjának kiválasztása forráshorgony használatával
A sourceAnchor attribútum nem módosítható egy felhasználói objektum élettartama alatt. Ez az elsődleges kulcs, amely összekapcsolja a helyszíni felhasználót a Microsoft Entra-azonosítóban lévő felhasználóval.
| Beállítás | Leírás |
|---|---|
| Hagyja, hogy az Azure kezelje a forráshorgonyt | Válassza ezt a lehetőséget, ha azt szeretné, hogy a Microsoft Entra ID válassza ki az attribútumot. Ha ezt a lehetőséget választja, a Microsoft Entra Csatlakozás a sourceAnchor attribútum kiválasztási logikáját alkalmazza, amely az ms-DS-ConsistencyGuid forrásanchorként való használatát ismerteti. Az egyéni telepítés befejezése után láthatja, hogy melyik attribútum lett kiválasztva a sourceAnchor attribútumként. |
| Adott attribútum kiválasztása | Válassza ezt a lehetőséget, ha forrásAnchor attribútumként meg szeretne adni egy meglévő AD-attribútumot. |
Mivel a sourceAnchor attribútum nem módosítható, ki kell választania egy megfelelő attribútumot. Egy jó jelölt az objectGUID. Ez az attribútum csak akkor változik, ha a felhasználói fiók erdők vagy tartományok között van áthelyezve. Ne válasszon olyan attribútumokat, amelyek megváltozhatnak, ha egy személy feleségül veszi vagy módosítja a feladatokat.
Nem használhat at sign (@) attribútumokat, így nem használhatja az e-maileket és a userPrincipalName nevet. Az attribútum megkülönbözteti a kis- és nagybetűket is, ezért ha egy objektumot erdők között helyez át, ügyeljen arra, hogy a nagybetűket és a kisbetűket megőrizze. A bináris attribútumok Base64 kódolásúak, de más attribútumtípusok nem kódolt állapotban maradnak.
Összevonási forgatókönyvekben és néhány Microsoft Entra ID-felületen a sourceAnchor attribútumot immutableID-nek is nevezik.
A forráshorgonyról további információt a tervezési fogalmakban talál.
Szinkronizálás szűrése csoportok alapján
A csoportokon belüli szűrés funkció lehetővé teszi, hogy csak egy kis részhalmazt szinkronizáljon egy próbaobjektumhoz. A funkció használatához hozzon létre egy csoportot erre a célra az Active Directory helyszíni példányában. Ezután vegye fel azokat a felhasználókat és csoportokat, amelyeket közvetlen tagokként szinkronizálni kell a Microsoft Entra-azonosítóval. Később hozzáadhat felhasználókat, vagy eltávolíthat felhasználókat ebből a csoportból, hogy megőrizze a Microsoft Entra-azonosítóban található objektumok listáját.
A szinkronizálni kívánt objektumoknak a csoport közvetlen tagjainak kell lenniük. A felhasználóknak, csoportoknak, partnereknek és számítógépeknek vagy eszközöknek mind közvetlen tagoknak kell lenniük. A beágyazott csoporttagság nincs feloldva. Ha tagként vesz fel egy csoportot, a rendszer csak magát a csoportot adja hozzá. A tagok nincsenek hozzáadva.
Figyelmeztetés
Ez a funkció csak a próbatelepítést támogatja. Ne használja teljes éles környezetben.
Teljes éles környezetben nehéz lenne egyetlen csoportot és annak összes objektumát szinkronizálni. A csoportokon való szűrés funkció helyett használja a Szűrés konfigurálása című cikkben ismertetett módszerek egyikét.
Választható funkciók
A következő lapon kiválaszthatja a forgatókönyv választható funkcióit.
Figyelmeztetés
A Microsoft Entra Csatlakozás 1.0.8641.0-s és korábbi verziói az Azure Access Control Service-ra támaszkodnak a jelszóvisszaíráshoz. Ezt a szolgáltatást 2018. november 7-én megszüntették. Ha a Microsoft Entra Csatlakozás ezen verzióinak bármelyikét használja, és engedélyezte a jelszóvisszaírást, előfordulhat, hogy a felhasználók a szolgáltatás kivonásakor elveszítik a jelszavuk módosítását vagy alaphelyzetbe állítását. A Microsoft Entra Csatlakozás ezen verziói nem támogatják a jelszóvisszaírót.
Ha jelszóvisszaírót szeretne használni, töltse le a Microsoft Entra Csatlakozás legújabb verzióját.
Figyelmeztetés
Ha Azure AD-szinkronizáló vagy közvetlen szinkronizálás (DirSync) aktív, ne aktiváljon visszaírási funkciókat a Microsoft Entra Csatlakozás.
| Választható funkciók | Leírás |
|---|---|
| Exchange hibrid üzembe helyezése | Az Exchange hibrid üzembe helyezési funkciója lehetővé teszi az Exchange-postaládák egyidejű használatát a helyszínen és a Microsoft 365-ben is. A Microsoft Entra Csatlakozás szinkronizálja a Microsoft Entra adott attribútumkészletét a helyszíni címtárba. |
| Nyilvános Exchange-levelek mappái | Az Exchange levelezési nyilvános mappák funkciójával szinkronizálhatja a levelezésre képes nyilvános mappa objektumait az Active Directory helyszíni példányából a Microsoft Entra-azonosítóba. Vegye figyelembe, hogy a nyilvános mappákat tagként tartalmazó csoportok szinkronizálása nem támogatott, és ennek megkísérlése szinkronizálási hibát fog eredményezni. |
| Microsoft Entra alkalmazás- és attribútumszűrés | A Microsoft Entra alkalmazás- és attribútumszűrés engedélyezésével testre szabhatja a szinkronizált attribútumok készletét. Ez a beállítás két további konfigurációs oldallal bővíti a varázslót. További információ: Microsoft Entra alkalmazás és attribútumszűrés. |
| Jelszókivonat szinkronizálása | Ha az összevonást választotta bejelentkezési megoldásként, engedélyezheti a jelszókivonat-szinkronizálást. Ezután biztonsági mentési lehetőségként is használhatja. Ha az átmenő hitelesítést választotta, engedélyezheti ezt a beállítást az örökölt ügyfelek támogatásának biztosításához és a biztonsági mentés biztosításához. További információ: Jelszókivonat-szinkronizálás. |
| Jelszóvisszaíró | Ezzel a beállítással biztosíthatja, hogy a Microsoft Entra-azonosítóból származó jelszómódosítások vissza legyenek írva a helyszíni címtárba. További részletekért lásd: A jelszókezelés első lépései. |
| Group writeback (Csoportvisszaíró) | Ha Microsoft 365-csoportok használ, akkor az Active Directory helyszíni példányában jelölhet csoportokat. Ez a beállítás csak akkor érhető el, ha az Exchange az Active Directory helyszíni példányában található. További információ: Microsoft Entra Csatlakozás csoportvisszaíró. |
| Eszközvisszaírás | Feltételes hozzáférési forgatókönyvek esetén ezzel a beállítással visszaírhatja az eszközobjektumokat a Microsoft Entra ID-ban az Active Directory helyszíni példányába. További információ: Eszközvisszaíró engedélyezése a Microsoft Entra Csatlakozás. |
| Directory extension attribute sync (Címtárbővítmény-attribútumok szinkronizálása) | Ezzel a beállítással szinkronizálhatja a megadott attribútumokat a Microsoft Entra-azonosítóval. További információkért lásd: Címtárbővítmények. |
Microsoft Entra alkalmazás- és attribútumszűrés
Ha korlátozni szeretné, hogy mely attribútumok szinkronizálódnak a Microsoft Entra-azonosítóval, először válassza ki a használt szolgáltatásokat. Ha módosítja a beállításokat ezen a lapon, a telepítővarázsló újrafuttatásával explicit módon ki kell választania egy új szolgáltatást.
Az előző lépésben kiválasztott szolgáltatások alapján ez a lap az összes szinkronizált attribútumot megjeleníti. Ez a lista az összes szinkronizált objektumtípus kombinációja. Ha bizonyos attribútumokra szüksége van ahhoz, hogy ne legyenek szinkronizálva, törölheti a kijelölést ezekből az attribútumokból.
Figyelmeztetés
Az attribútumok eltávolítása hatással lehet a funkciókra. Az ajánlott eljárásokért és javaslatokért tekintse meg a szinkronizálandó attribútumokat.
Címtárbővítmény-attribútumok szinkronizálása
A sémát a Microsoft Entra ID-ban kibővítheti a szervezet által hozzáadott egyéni attribútumok vagy az Active Directoryban található egyéb attribútumok használatával. A funkció használatához a Választható szolgáltatások lapon válassza a Címtárbővítmény attribútum szinkronizálása lehetőséget. A Címtárbővítmények lapon további szinkronizálandó attribútumok közül választhat.
Feljegyzés
Az Elérhető attribútumok mező megkülönbözteti a kis- és nagybetűket .
További információkért lásd: Címtárbővítmények.
Egyszeri bejelentkezés engedélyezése
Az egyszeri bejelentkezés lapon konfigurálhatja az egyszeri bejelentkezést a jelszó-szinkronizáláshoz vagy az átmenő hitelesítéshez. Ezt a lépést minden egyes, a Microsoft Entra-azonosítóval szinkronizált erdő esetében egyszer kell elvégeznie. A konfiguráció két lépésből áll:
- Hozza létre a szükséges számítógépfiókot az Active Directory helyszíni példányában.
- Konfigurálja az ügyfélgépek intranetes zónáját az egyszeri bejelentkezés támogatásához.
A számítógépfiók létrehozása a helyszíni Active Directoryban
A Microsoft Entra Csatlakozás-ban hozzáadott összes erdőhöz meg kell adnia a tartományi rendszergazdai hitelesítő adatokat, hogy a számítógépfiók minden erdőben létrehozható legyen. A hitelesítő adatok csak a fiók létrehozásához használhatók. A rendszer nem tárolja és nem használja őket semmilyen más művelethez. Adja hozzá a hitelesítő adatokat az Egyszeri bejelentkezés engedélyezése lapon az alábbi képen látható módon.
Feljegyzés
Kihagyhatja azokat az erdőket, ahol nem szeretne egyszeri bejelentkezést használni.
Az intranetes zóna konfigurálása ügyfélszámítógépekhez
Annak érdekében, hogy az ügyfél automatikusan jelentkezzen be az intranet zónában, győződjön meg arról, hogy az URL-cím az intranetes zóna része. Ez a lépés biztosítja, hogy a tartományhoz csatlakoztatott számítógép automatikusan Kerberos-jegyet küldjön a Microsoft Entra-azonosítónak, amikor az csatlakozik a vállalati hálózathoz.
Csoportházirend-kezelési eszközökkel rendelkező számítógépen:
Nyissa meg a Csoportházirend felügyeleti eszközeit.
Szerkessze az összes felhasználóra alkalmazandó csoportházirendet. Például az Alapértelmezett tartományházirend.
Nyissa meg a Felhasználói konfiguráció> Rendszergazda a>windowsos összetevők>Internet Explorer>Internet Vezérlőpult> Security lapot. Ezután válassza a Hely a zónához hozzárendelési lista lehetőséget.
Engedélyezze a szabályzatot. Ezután a párbeszédpanelen adja meg a két URL-cím értékének
https://autologon.microsoftazuread-sso.com1nevét éshttps://aadg.windows.net.nsatc.netértékét. A beállításnak az alábbi képhez hasonlóan kell kinéznie.
Kattintson kétszer az OK gombra .
AD FS-összevonás konfigurálása
Néhány kattintással konfigurálhatja az AD FS-t a Microsoft Entra Csatlakozás használatával. A kezdés előtt a következőkre van szüksége:
- Windows Server 2012 R2 vagy újabb az összevonási kiszolgálóhoz. A távfelügyeletet engedélyezni kell.
- Windows Server 2012 R2 vagy újabb a webes alkalmazásproxy kiszolgálóhoz. A távfelügyeletet engedélyezni kell.
- TLS/SSL-tanúsítvány a használni kívánt összevonási szolgáltatásnévhez (például sts.contoso.com).
Feljegyzés
Az AD FS-farm TLS/SSL-tanúsítványát a Microsoft Entra Csatlakozás használatával akkor is frissítheti, ha nem használja az összevonási megbízhatóság kezelésére.
Az AD FS konfigurációs előfeltételei
Az AD FS-farm Microsoft Entra Csatlakozás használatával történő konfigurálásához győződjön meg arról, hogy a WinRM engedélyezve van a távoli kiszolgálókon. Győződjön meg arról, hogy elvégezte a többi feladatot az összevonási előfeltételekben. Ügyeljen arra is, hogy kövesse a Microsoft Entra Csatlakozás és összevonási/WAP-kiszolgálók táblában felsorolt portkövetelményeket.
Új AD FS farm létrehozása vagy meglévő AD FS farm használata
Használhat egy meglévő AD FS-farmot, vagy létrehozhat egy újat. Ha újat hoz létre, meg kell adnia a TLS-/SSL-tanúsítványt. Ha a TLS/SSL-tanúsítványt jelszó védi, a rendszer kéri a jelszó megadását.
Ha egy meglévő AD FS-farmot használ, megjelenik az a lap, amelyen konfigurálhatja az AD FS és a Microsoft Entra ID közötti megbízhatósági kapcsolatot.
Feljegyzés
A Microsoft Entra Csatlakozás használatával csak egy AD FS-farmot kezelhet. Ha rendelkezik egy meglévő összevonási megbízhatósági kapcsolattal, amelynél a Microsoft Entra-azonosító a kiválasztott AD FS-farmon van konfigurálva, a Microsoft Entra Csatlakozás az alapoktól újra létrehozza a megbízhatóságot.
Az AD FS kiszolgálók megadása
Adja meg azokat a kiszolgálókat, ahol telepíteni szeretné az AD FS-t. A kapacitásigénytől függően hozzáadhat egy vagy több kiszolgálót. A konfiguráció beállítása előtt csatlakozzon az összes AD FS-kiszolgálóhoz az Active Directoryhoz. Ez a lépés nem szükséges a webes alkalmazásproxy kiszolgálókhoz.
A Microsoft a teszt- és próbatelepítésekhez egyetlen AD FS-kiszolgáló üzembe helyezését javasolja. A kezdeti konfiguráció után a Microsoft Entra Csatlakozás ismételt futtatásával további kiszolgálókat adhat hozzá és helyezhet üzembe a skálázási igényeknek megfelelően.
Feljegyzés
A konfiguráció beállítása előtt győződjön meg arról, hogy az összes kiszolgáló egy Microsoft Entra-tartományhoz csatlakozik.
A webalkalmazás-proxy kiszolgálók megadása
Adja meg a webes alkalmazásproxy kiszolgálókat. A webes alkalmazásproxy kiszolgáló a peremhálózaton van üzembe helyezve, és az extranet felé néz. Támogatja az extranetről érkező hitelesítési kéréseket. A kapacitásigénytől függően hozzáadhat egy vagy több kiszolgálót.
A Microsoft azt javasolja, hogy egyetlen webes alkalmazásproxy-kiszolgálót telepítsen tesztelési és próbatelepítésekhez. A kezdeti konfiguráció után a Microsoft Entra Csatlakozás ismételt futtatásával további kiszolgálókat adhat hozzá és helyezhet üzembe a skálázási igényeknek megfelelően. Azt javasoljuk, hogy az intranetről történő hitelesítés kielégítése érdekében azonos számú proxykiszolgálóval rendelkezzen.
Feljegyzés
- Ha a használt fiók nem helyi rendszergazda a webes alkalmazásproxy-kiszolgálókon, a rendszer rendszergazdai hitelesítő adatokat kér.
- A webes alkalmazásproxy kiszolgálók megadása előtt győződjön meg arról, hogy HTTP-/HTTPS-kapcsolat van a Microsoft Entra Csatlakozás kiszolgáló és a webes alkalmazásproxy kiszolgáló között.
- Győződjön meg arról, hogy HTTP-/HTTPS-kapcsolat van a webalkalmazás-kiszolgáló és az AD FS-kiszolgáló között, hogy engedélyezve legyen a hitelesítési kérelmek áthaladása.
A rendszer kéri a hitelesítő adatok megadását, hogy a webalkalmazás-kiszolgáló biztonságos kapcsolatot létesíthessen az AD FS-kiszolgálóval. Ezeknek a hitelesítő adatoknak egy helyi rendszergazdai fióknak kell lenniük az AD FS-kiszolgálón.
Szolgáltatásfiók megadása az AD FS szolgáltatáshoz
Az AD FS szolgáltatáshoz tartományi szolgáltatásfiók szükséges a felhasználók hitelesítéséhez és a felhasználói adatok kereséséhez az Active Directoryban. A szolgáltatásfiókok két típusát tudja támogatni:
- Csoport által felügyelt szolgáltatásfiók: Ezt a fióktípust a Windows Server 2012 vezette be az AD DS-be. Ez a fióktípus olyan szolgáltatásokat biztosít, mint az AD FS. Ez egy olyan fiók, amelyben nem kell rendszeresen frissítenie a jelszót. Ezt a lehetőséget akkor alkalmazza, ha Windows Server 2012 tartományvezérlőkkel rendelkezik a tartományban, amelyhez az AD FS-kiszolgálók tartoznak.
- Tartományi felhasználói fiók: Az ilyen típusú fiókhoz meg kell adnia egy jelszót, és rendszeresen frissítenie kell, amikor lejár. Ezt a lehetőséget csak akkor használja, ha nem rendelkezik Windows Server 2012 tartományvezérlőkkel abban a tartományban, amelyhez az AD FS-kiszolgálók tartoznak.
Ha a Csoport által felügyelt szolgáltatásfiók létrehozása lehetőséget választotta, és ezt a funkciót még soha nem használta az Active Directoryban, adja meg a vállalati rendszergazdai hitelesítő adatait. A hitelesítő adatok a kulcstároló indításához és a szolgáltatás az Active Directoryban való engedélyezéséhez szükségesek.
Feljegyzés
A Microsoft Entra Csatlakozás ellenőrzi, hogy az AD FS szolgáltatás már regisztrálva van-e egyszerű szolgáltatásnévként (SPN) a tartományban. Az AD DS nem teszi lehetővé, hogy a duplikált egyszerű szolgáltatásneveket egyszerre regisztrálják. Ha duplikált egyszerű szolgáltatásnév található, az egyszerű szolgáltatásnév eltávolításáig nem folytathat tovább.
Válassza ki azt a Microsoft Entra-tartományt, amelyet össze szeretne egyesíteni
Az AD FS és a Microsoft Entra ID összevonási kapcsolatának beállításához használja a Microsoft Entra Domain lapot. Itt úgy konfigurálja az AD FS-t, hogy biztonsági jogkivonatokat biztosítson a Microsoft Entra ID-nak. Úgy is konfigurálhatja a Microsoft Entra-azonosítót, hogy megbízzanak az AD FS-példány jogkivonataiban.
Ezen a lapon csak egyetlen tartományt konfigurálhat a kezdeti telepítés során. Később további tartományokat is konfigurálhat a Microsoft Entra Csatlakozás ismételt futtatásával.
Az összevonáshoz kiválasztott Microsoft Entra tartomány ellenőrzése
Amikor kiválasztja a összevonni kívánt tartományt, a Microsoft Entra Csatlakozás olyan információkat biztosít, amelyekkel ellenőrizetlen tartományt ellenőrizhet. További információ: Tartomány hozzáadása és ellenőrzése.
Feljegyzés
A Microsoft Entra Csatlakozás megpróbálja ellenőrizni a tartományt a konfigurációs szakaszban. Ha nem adja hozzá a szükséges DNS-rekordokat, a konfiguráció nem hajtható végre.
PingFederate-összevonás konfigurálása
Néhány kattintással konfigurálhatja a PingFederate-et a Microsoft Entra Csatlakozás használatával. A következő előfeltételek szükségesek:
- PingFederate 8.4 vagy újabb. További információkért tekintse meg a PingFederate és a Microsoft Entra ID és a Microsoft 365 integrációját a Ping Identity dokumentációjában.
- TLS/SSL-tanúsítvány a használni kívánt összevonási szolgáltatásnévhez (például sts.contoso.com).
A tartomány hitelesítése
Miután úgy döntött, hogy a PingFederate használatával állítja be az összevonást, a rendszer megkéri, hogy ellenőrizze a összevonni kívánt tartományt. Válassza ki a tartományt a legördülő menüből.
A PingFederate-beállítások exportálása
Konfigurálja a PingFederate-et összevonási kiszolgálóként minden egyes összevont Azure-tartományhoz. Válassza az Exportálás Gépház lehetőséget, ha meg szeretné osztani ezeket az adatokat a PingFederate rendszergazdájával. Az összevonási kiszolgáló rendszergazdája frissíti a konfigurációt, majd megadja a PingFederate-kiszolgáló URL-címét és portszámát, hogy a Microsoft Entra Csatlakozás ellenőrizze a metaadatok beállításait.
Az érvényesítéssel kapcsolatos problémák megoldásához forduljon a PingFederate-rendszergazdához. Az alábbi képen egy olyan PingFederate-kiszolgáló adatai láthatók, amely nem rendelkezik érvényes megbízhatósági kapcsolattal az Azure-ral.
Az összevonási kapcsolat ellenőrzése
A Microsoft Entra Csatlakozás megpróbálja ellenőrizni azokat a hitelesítési végpontokat, amelyeket az előző lépésben lekért a PingFederate metaadataiból. A Microsoft Entra Csatlakozás először megpróbálja feloldani a végpontokat a helyi DNS-kiszolgálók használatával. Ezután megkísérli feloldani a végpontokat egy külső DNS-szolgáltató használatával. Az érvényesítéssel kapcsolatos problémák megoldásához forduljon a PingFederate-rendszergazdához.
Összevonási bejelentkezés ellenőrzése
Végezetül az újonnan konfigurált összevont bejelentkezési folyamat ellenőrzéséhez bejelentkezhet az összevont tartományba. Ha a bejelentkezés sikeres, akkor a PingFederate-összevonás sikeresen konfigurálva van.
Configure (Konfigurálás) és Verify (Ellenőrzés) lap
A konfiguráció a Konfigurálás lapon történik.
Feljegyzés
Ha összevonást konfigurált, a telepítés folytatása előtt győződjön meg arról, hogy az összevonási kiszolgálók névfeloldását is konfigurálta.
Átmeneti mód használata
Az előkészítési móddal párhuzamosan új szinkronizálási kiszolgálót is beállíthat. Ha ezt a beállítást szeretné használni, akkor csak egy szinkronizálási kiszolgáló exportálhat egy könyvtárba a felhőben. Ha azonban át szeretne lépni egy másik kiszolgálóról, például egy DirSyncet futtató kiszolgálóról, akkor átmeneti módban engedélyezheti a Microsoft Entra Csatlakozás.
Az előkészítési beállítás engedélyezésekor a szinkronizálási motor a szokásos módon importálja és szinkronizálja az adatokat. De nem exportál adatokat a Microsoft Entra-azonosítóba vagy az Active Directoryba. Átmeneti módban a jelszószinkronizálási funkció és a jelszóvisszaíró funkció le van tiltva.
Átmeneti módban elvégezheti a szükséges módosításokat a szinkronizálási motoron, és áttekintheti, hogy mi lesz exportálva. Ha a konfiguráció megfelelőnek tűnik, futtassa le újra a telepítővarázslót, és tiltsa le az átmeneti módot.
A rendszer most exportálja az adatokat a Microsoft Entra-azonosítóba a kiszolgálóról. Mindenképpen tiltsa le ezzel egy időben a másik kiszolgálót, hogy egyszerre csak egy kiszolgáló exportáljon aktívan.
További információkért lásd: Átmeneti mód.
Összevonási konfiguráció ellenőrzése
A Microsoft Entra Csatlakozás ellenőrzi a DNS-beállításokat az Ellenőrzés gomb kiválasztásakor. A következő beállításokat ellenőrzi:
- Intranetes kapcsolat
- Összevonási teljes tartománynév feloldása: A Microsoft Entra Csatlakozás ellenőrzi, hogy a DNS fel tudja-e oldani az összevonás teljes tartománynevét a kapcsolat biztosítása érdekében. Ha a Microsoft Entra Csatlakozás nem tudja feloldani a teljes tartománynevet, az ellenőrzés sikertelen lesz. Az ellenőrzés befejezéséhez győződjön meg arról, hogy az összevonási szolgáltatás teljes tartománynevéhez tartozik DNS-rekord.
- DNS A rekord: A Microsoft Entra Csatlakozás ellenőrzi, hogy az összevonási szolgáltatás rendelkezik-e A rekorddal. A rekord hiányában az ellenőrzés meghiúsul. Az ellenőrzés elvégzéséhez hozzon létre egy A rekordot (nem CNAME rekordot) az összevonási teljes tartománynévhez.
- Extranetes kapcsolat
Összevonási teljes tartománynév feloldása: A Microsoft Entra Csatlakozás ellenőrzi, hogy a DNS fel tudja-e oldani az összevonás teljes tartománynevét a kapcsolat biztosítása érdekében.
A teljes körű hitelesítés ellenőrzéséhez manuálisan végezze el az alábbi tesztek egyikét:
- Amikor a szinkronizálás befejeződik, a Microsoft Entra Csatlakozás az Összevont bejelentkezés ellenőrzése további feladattal ellenőrizheti egy kiválasztott helyszíni felhasználói fiók hitelesítését.
- Az intranet tartományhoz csatlakoztatott gépéről győződjön meg arról, hogy bejelentkezhet egy böngészőből. Csatlakozás.https://myapps.microsoft.com Ezután a bejelentkezett fiókjával ellenőrizze a bejelentkezést. A beépített AD DS-rendszergazdai fiók nincs szinkronizálva, és nem használhatja ellenőrzésre.
- Győződjön meg arról, hogy az extraneten lévő eszközről is bejelentkezhet. Otthoni gépen vagy mobileszközön csatlakozzon a https://myapps.microsoft.comhálózathoz. Ezután adja meg a hitelesítő adatait.
- Ellenőrizze a gazdag ügyféllel való bejelentkezést. Csatlakozás.https://testconnectivity.microsoft.com Ezután válassza az Office 365>Office 365 egyszeri bejelentkezési teszt lehetőséget.
Hibaelhárítás
Ez a szakasz hibaelhárítási információkat tartalmaz, amelyeket akkor használhat, ha probléma merül fel a Microsoft Entra Csatlakozás telepítése során.
Ha testre szab egy Microsoft Entra Csatlakozás-telepítést, a Szükséges összetevők telepítése lapon válassza a Meglévő SQL Server használata lehetőséget. A következő hibaüzenet jelenhet meg: "Az ADSync-adatbázis már tartalmaz adatokat, és nem írható felül. Távolítsa el a meglévő adatbázist, és próbálkozzon újra."
Ez a hiba azért jelenik meg, mert egy ADSync nevű adatbázis már létezik a megadott SQL Server SQL-példányán.
Ez a hiba általában a Microsoft Entra Csatlakozás eltávolítása után jelenik meg. A Microsoft Entra Csatlakozás eltávolításakor az adatbázis nem törlődik az SQL Servert futtató számítógépről.
A probléma megoldása:
Ellenőrizze azt az ADSync-adatbázist, amelyet a Microsoft Entra Csatlakozás az eltávolítás előtt. Győződjön meg arról, hogy az adatbázis már nincs használatban.
Biztonsági másolatot készít az adatbázisról.
Az adatbázis törlése:
- A Microsoft SQL Server Management Studio használatával csatlakozzon az SQL-példányhoz.
- Keresse meg az ADSync-adatbázist , és kattintson rá a jobb gombbal.
- A helyi menüben válassza a Törlés lehetőséget.
- Az adatbázis törléséhez kattintson az OK gombra .
Az ADSync-adatbázis törlése után válassza a Telepítés lehetőséget a telepítés újrapróbálkozásához.
Következő lépések
A telepítés befejezése után jelentkezzen ki a Windowsból. Ezután jelentkezzen be újra a Szinkronizálási szolgáltatáskezelő vagy a Szinkronizálási szabályszerkesztő használata előtt.
Most, hogy telepítette a Microsoft Entra Csatlakozás, ellenőrizheti a telepítést, és licenceket rendelhet hozzá.
A telepítés során engedélyezett funkciókról további információt a Véletlen törlés megakadályozása és a Microsoft Entra Csatlakozás Health című témakörben talál.
További információ a gyakori témakörökről: Microsoft Entra Csatlakozás Sync: Scheduler és Integrálja a helyszíni identitásokat a Microsoft Entra ID-val.