Az Azure Active Directory Connect egyéni telepítése

Ha további beállításokat szeretne a telepítéshez, az Azure Active Directory (Azure AD) Connect egyéni beállításait használhatja. Használja ezeket a beállításokat, például ha több erdőt használ, vagy ha opcionális funkciókat szeretne konfigurálni. Minden olyan esetben használjon egyéni beállításokat, amikor az expressz telepítés nem felel meg az üzembe helyezés vagy a topológia igényeinek.

Előfeltételek:

Egyéni telepítési beállítások

Ha egyéni telepítést szeretne beállítani Azure AD Connecthez, tekintse át az alábbi szakaszokban ismertetett varázslólapokat.

Gyorsbeállítások

Az Express Settings (Express-beállítások) lapon válassza a Testreszabás lehetőséget a testreszabott beállítások telepítésének elindításához. A cikk további részei végigvezetik az egyéni telepítési folyamaton. Az alábbi hivatkozások segítségével gyorsan megnyithatja az adott oldal adatait:

Szükséges összetevők telepítése

A szinkronizálási szolgáltatások telepítésekor a választható konfigurációs szakaszt kijelöletlenül hagyhatja. Azure AD A Csatlakozás automatikusan beállít mindent. Beállít egy SQL Server 2019 Express LocalDB-példányt, létrehozza a megfelelő csoportokat, és engedélyeket rendel hozzá. Ha módosítani szeretné az alapértelmezett beállításokat, jelölje be a megfelelő mezőket. Az alábbi táblázat összefoglalja ezeket a lehetőségeket, és további információkra mutató hivatkozásokat tartalmaz.

Képernyőkép a szükséges telepítési összetevők választható kiválasztásáról a Azure AD Connectben.

Választható konfiguráció Description
Egyéni telepítési hely megadása Lehetővé teszi a Azure AD Connect alapértelmezett telepítési útvonalának módosítását.
Meglévő SQL Server használata Lehetővé teszi a SQL Server név és a példánynév megadását. Válassza ezt a lehetőséget, ha már rendelkezik egy használni kívánt adatbázis-kiszolgálóval. A Példánynév mezőben adja meg a példány nevét, a vesszőt és a portszámot, ha a SQL Server példányon nincs engedélyezve a böngészés. Ezután adja meg a Azure AD Connect-adatbázis nevét. Az SQL-jogosultságok határozzák meg, hogy létre lehet-e hozni egy új adatbázist, vagy az SQL-rendszergazdának előre létre kell hoznia az adatbázist. Ha SQL Server rendszergazdai (SA) engedélyekkel rendelkezik, olvassa el a Azure AD Csatlakozás telepítése meglévő adatbázissal című témakört. Ha rendelkezik delegált engedélyekkel (DBO), olvassa el a Azure AD Connect telepítése SQL-delegált rendszergazdai engedélyekkel című témakört.
Meglévő szolgáltatásfiók használata Alapértelmezés szerint a Azure AD Connect virtuális szolgáltatásfiókot biztosít a szinkronizálási szolgáltatásokhoz. Ha távoli SQL Server-példányt használ, vagy hitelesítést igénylő proxyt használ, használhat felügyelt szolgáltatásfiókot vagy jelszóval védett szolgáltatásfiókot a tartományban. Ezekben az esetekben adja meg a használni kívánt fiókot. A telepítés futtatásához sa-nak kell lennie az SQL-ben, hogy bejelentkezési hitelesítő adatokat hozhasson létre a szolgáltatásfiókhoz. További információ: Azure AD Fiókok és engedélyek csatlakoztatása.

A legújabb build használatával az SQL-rendszergazda mostantól sávon kívül építheti ki az adatbázist. Ezután a Azure AD Connect rendszergazdája telepítheti azt adatbázis-tulajdonosi jogosultságokkal. További információ: Azure AD Csatlakozás telepítése SQL delegált rendszergazdai engedélyekkel.
Egyéni szinkronizálási csoportok megadása Alapértelmezés szerint a szinkronizálási szolgáltatások telepítésekor a Azure AD Connect négy csoportot hoz létre, amelyek helyiek a kiszolgálón. Ezek a csoportok a rendszergazdák, az operátorok, a tallózás és a jelszó-visszaállítás. Itt megadhatja a saját csoportjait. A csoportoknak helyinek kell lenniük a kiszolgálón. Nem találhatók a tartományban.
Szinkronizálási beállítások importálása (előzetes verzió) Így importálhatja a beállításokat az Azure AD Connect más verzióból. További információ: Azure AD Csatlakozás konfigurációs beállításainak importálása és exportálása.

Felhasználói bejelentkezés

A szükséges összetevők telepítése után válassza ki a felhasználók egyszeri bejelentkezési módszerét. Az alábbi táblázat röviden ismerteti az elérhető lehetőségeket. A bejelentkezési módok teljes leírásáért lásd: Felhasználói bejelentkezés.

Képernyőkép a

Egyszeri bejelentkezés lehetőség Description
Jelszókivonat szinkronizálása A felhasználók a helyszíni hálózatukban használt jelszóval jelentkezhetnek be a Microsoft felhőszolgáltatásaiba, például a Microsoft 365-be. A felhasználói jelszavakat a rendszer jelszókivonatként szinkronizálja Azure AD. A hitelesítés a felhőben történik. További információ: Jelszókivonat-szinkronizálás.
Átmenő hitelesítés A felhasználók a helyszíni hálózatukban használt jelszóval jelentkezhetnek be a Microsoft felhőszolgáltatásaiba, például a Microsoft 365-be. A felhasználói jelszavak érvényesítése a helyi Active Directory tartományvezérlőnek való továbbítással történik.
Összevonás az AD FS rendszerrel A felhasználók a helyszíni hálózatukban használt jelszóval jelentkezhetnek be a Microsoft felhőszolgáltatásaiba, például a Microsoft 365-be. A rendszer átirányítja a felhasználókat a helyszíni Azure Directory összevonási szolgáltatások (AD FS) példányára a bejelentkezéshez. A hitelesítés a helyszínen történik.
Összevonás a PingFederate-tel A felhasználók a helyszíni hálózatukban használt jelszóval jelentkezhetnek be a Microsoft felhőszolgáltatásaiba, például a Microsoft 365-be. A rendszer átirányítja a felhasználókat a helyszíni PingFederate-példányra a bejelentkezéshez. A hitelesítés a helyszínen történik.
Nincs konfigurálás Nincs felhasználói bejelentkezési funkció telepítve vagy konfigurálva. Akkor válassza ezt a lehetőséget, ha már rendelkezik egy külső összevonási kiszolgálóval vagy egy másik megoldással.
Egyszeri bejelentkezés engedélyezése Ez a lehetőség jelszókivonat-szinkronizálással és átmenő hitelesítéssel is elérhető. Egyszeri bejelentkezési élményt biztosít a vállalati hálózatok asztali felhasználói számára. További információ: Egyszeri bejelentkezés.

Megjegyzés: Az AD FS-ügyfelek esetében ez a beállítás nem érhető el. Az AD FS már ugyanolyan szintű egyszeri bejelentkezést kínál.

Csatlakozás az Azure AD szolgáltatáshoz

A Csatlakozás Azure AD lapon adjon meg egy hibrid identitáskezelő fiókot és jelszót. Ha az előző oldalon az Összevonás AD FS-szel lehetőséget választotta, ne jelentkezzen be olyan fiókkal, amely olyan tartományban található, amelyet engedélyezni szeretne az összevonáshoz.

Érdemes lehet az alapértelmezett onmicrosoft.com tartományban lévő fiókot használni, amely a Azure AD bérlőhöz tartozik. Ez a fiók csak szolgáltatásfiók létrehozására használható Azure AD. A telepítés befejezése után nem lesz használatban.

Megjegyzés

Az ajánlott eljárás, hogy ne használjon helyszíni szinkronizált fiókokat Azure AD szerepkör-hozzárendelésekhez. Ha a helyszíni fiók biztonsága sérül, ezzel a Azure AD erőforrásokat is veszélyeztetheti. Az ajánlott eljárások teljes listáját az ajánlott eljárások Azure AD szerepkörökhöz című témakör tartalmazza.

Képernyőkép a

Ha a globális rendszergazdai fiókjában engedélyezve van a többtényezős hitelesítés, adja meg ismét a jelszót a bejelentkezési ablakban, és el kell végeznie a többtényezős hitelesítést. Ez a lépés lehet egy ellenőrző kód megadása, vagy egy telefonhívás.

Képernyőkép a

A globális rendszergazdai fiók jogosultsági szintű identitáskezelést is engedélyezhet.

Ha hitelesítési támogatást szeretne használni a nem jelszóval nem rendelkező forgatókönyvekhez, például összevont fiókokhoz, intelligens kártyákhoz és MFA-forgatókönyvekhez, a varázsló indításakor megadhatja az /InteractiveAuth kapcsolót. Ezzel a kapcsolóval megkerüli a varázsló hitelesítési felhasználói felületét, és az MSAL-kódtár felhasználói felületével kezeli a hitelesítést.

Ha hibaüzenetet lát, vagy csatlakozási problémákat tapasztal, olvassa el a Csatlakozási problémák elhárítása című témakört.

Lapok szinkronizálása

Az alábbi szakaszok a Szinkronizálás szakasz lapjait ismertetik.

Csatlakoztassa a címtárakat

A Active Directory tartományi szolgáltatások (AD DS)-hez való csatlakozáshoz Azure AD Connectnek szüksége van egy megfelelő engedélyekkel rendelkező fiók erdőnevére és hitelesítő adataira.

Képernyőkép a

Miután megadta az erdő nevét, és a Címtár hozzáadása lehetőséget választja, megjelenik egy ablak. Az alábbi táblázat ismerteti a beállításokat.

Beállítás Leírás
Új fiók létrehozása Hozza létre azt az AD DS-fiókot, amelyet Azure AD Connectnek csatlakoznia kell az Active Directory-erdőhöz a címtár-szinkronizálás során. A beállítás kiválasztása után adja meg egy vállalati rendszergazdai fiók felhasználónevét és jelszavát. Azure AD A Connect a megadott vállalati rendszergazdai fiókot használja a szükséges AD DS-fiók létrehozásához. A tartományrészt NetBIOS vagy FQDN formátumban is megadhatja. Ez azt adja meg, hogy FABRIKAM\administrator vagy fabrikam.com\administrator.
Meglévő fiók használata Adjon meg egy meglévő AD DS-fiókot, amellyel a Azure AD Connect képes csatlakozni az Active Directory-erdőhöz a címtár-szinkronizálás során. A tartományrészt NetBIOS vagy FQDN formátumban is megadhatja. Ez azt adja meg, hogy FABRIKAM\syncuser vagy fabrikam.com\syncuser. Ez a fiók lehet normál felhasználói fiók, mert csak az alapértelmezett olvasási engedélyekre van szüksége. A forgatókönyvtől függően azonban további engedélyekre lehet szüksége. További információ: Azure AD Fiókok és engedélyek csatlakoztatása.

Képernyőkép a

Megjegyzés

Az 1.4.18.0-s buildben nem használhat vállalati rendszergazdai vagy tartományi rendszergazdai fiókot AD DS-összekötő fiókként. Ha a Meglévő fiók használata lehetőséget választja, ha vállalati rendszergazdai fiókot vagy tartományi rendszergazdai fiókot próbál meg megadni, a következő hibaüzenet jelenik meg: "Vállalati vagy tartományi rendszergazdai fiók használata az AD-erdőfiókhoz nem engedélyezett. Engedje, hogy az Azure AD Connect hozza létre a fiókot, vagy adjon meg egy szinkronizálási fiókot a megfelelő engedélyekkel.“

Azure AD-bejelentkezés konfigurálása

A Azure AD bejelentkezési konfigurációs lapon tekintse át a helyszíni AD DS-ben található egyszerű felhasználónevek (UPN) tartományait. Ezeket az UPN-tartományokat Azure AD ellenőrizték. Ezen a lapon konfigurálja a userPrincipalName attribútumot.

Képernyőkép a nem ellenőrzött tartományokról az

Tekintse át az összes olyan tartományt, amely Nincs hozzáadva vagy Nem ellenőrzöttként van megjelölve. Győződjön meg arról, hogy a használt tartományok ellenőrizve lettek a Azure AD. A tartományok ellenőrzése után válassza a körkörös frissítés ikont. További információ: Tartomány hozzáadása és ellenőrzése.

A felhasználók a userPrincipalName attribútumot használják, amikor bejelentkeznek Azure AD és a Microsoft 365-be. Azure AD a felhasználók szinkronizálása előtt ellenőriznie kell a tartományokat( más néven UPN-utótagot). A Microsoft azt javasolja, hogy tartsa meg az alapértelmezett userPrincipalName attribútumot.

Ha a userPrincipalName attribútum nem átirányítható, és nem ellenőrizhető, akkor választhat egy másik attribútumot. Kiválaszthatja például az e-mailt a bejelentkezési azonosítót tartalmazó attribútumként. Ha a userPrincipalName attribútumtól eltérő attribútumot használ, azt alternatív azonosítónak nevezzük.

A Másodlagos azonosító attribútum értékének igazodnia kell az RFC 822 szabványhoz. A Másodlagos azonosító a jelszókivonat-szinkronizálással, az átmenő hitelesítéssel és az összevonással egyaránt használható. Az Active Directoryban az attribútum nem definiálható többértékűként, még akkor sem, ha csak egyetlen értékkel rendelkezik. A másodlagos azonosítóval kapcsolatos további információkért lásd : Átmenő hitelesítés: Gyakori kérdések.

Megjegyzés

Ha engedélyezi az átmenő hitelesítést, legalább egy ellenőrzött tartománnyal kell rendelkeznie az egyéni telepítési folyamat folytatásához.

Figyelmeztetés

A másodlagos azonosítók nem kompatibilisek az összes Microsoft 365-számítási feladattal. További információ: Alternatív bejelentkezési azonosítók konfigurálása.

Tartományok és szervezeti egységek szűrése

Alapértelmezés szerint minden tartomány és szervezeti egység (SZERVEZETI EGYSÉG) szinkronizálva van. Ha nem szeretne szinkronizálni bizonyos tartományokat vagy szervezeti egységeket Azure AD, törölheti a megfelelő kijelöléseket.

Képernyőkép a Tartomány és az O U szűrési oldalról.

Ez a lap tartományalapú és szervezeti egység alapú szűrést konfigurál. Ha módosításokat tervez, tekintse meg a Tartományalapú szűrés és szervezeti egység szerinti szűrés című témakört. Egyes szervezeti egységek elengedhetetlenek a funkciókhoz, ezért ezeket ki kell választania.

Ha szervezeti egységalapú szűrést használ az 1.1.524.0-snál régebbi Azure AD Connect-verzióval, a rendszer alapértelmezés szerint szinkronizálja az új szervezeti egységeket. Ha nem szeretné, hogy az új szervezeti egységek szinkronizálva legyenek, módosíthatja az alapértelmezett viselkedést a szervezeti egységalapú szűrési lépés után. Az Azure AD Connect 1.1.524.0-s vagy újabb verziója esetén megadhatja, hogy szinkronizálni szeretné-e az új szervezeti egységeket.

Ha csoportalapú szűrést szeretne használni, győződjön meg arról, hogy a csoport szervezeti egysége szerepel, és nem szűri a szervezeti egység szűrésével. A szervezeti egység szűrésének kiértékelése a csoportalapú szűrés kiértékelése előtt történik.

Előfordulhat, hogy egyes tartományok nem érhetők el tűzfalkorlátozások miatt. Ezek a tartományok alapértelmezés szerint nincsenek kijelölve, és figyelmeztetést jelenítenek meg.

A nem elérhető tartományokat ábrázoló képernyőkép.

Ha ezt a figyelmeztetést látja, győződjön meg arról, hogy ezek a tartományok valóban nem érhetők el, és hogy a figyelmeztetés várható.

Felhasználók egyedi azonosítása

A Felhasználók azonosítása lapon válassza ki, hogyan azonosíthatja a helyszíni címtárakban lévő felhasználókat, és hogyan azonosíthatja őket a sourceAnchor attribútum használatával.

Válassza ki, hogyan történjen a felhasználók azonosítása a helyszíni címtárakban

Az Egyezés erdők között funkcióval meghatározhatja, hogy az AD DS-erdők felhasználói hogyan jelenjenek meg a Azure AD. Előfordulhat, hogy egy felhasználó csak egyszer jelenik meg az összes erdőben, vagy rendelkezhet engedélyezett és letiltott fiókok kombinációjával. A felhasználók egyes erdőkben esetleg kapcsolattartóként is szerepelhetnek.

Képernyőkép arról a lapról, amelyen egyedileg azonosíthatja a felhasználókat.

Beállítás Leírás
A felhasználók csak egyszer jelennek meg az összes erdőben Minden felhasználó külön objektumként van létrehozva az Azure AD szolgáltatásban. Az objektumok nem csatlakoznak a metaverzumhoz.
Mail attribute (Mail attribútum) Ez a beállítás összekapcsolja a felhasználókat és a kapcsolattartókat, amennyiben a levél attribútum ugyanazzal az értékkel rendelkezik különböző felhőkben. Ezt a lehetőséget akkor használja, ha a névjegyek a GALSync használatával lettek létrehozva. Ha ezt a beállítást választja, a rendszer nem szinkronizálja az Azure AD azokat a felhasználói objektumokat, amelyeknek a levelezési attribútuma nincs feltöltve.
ObjectSID és msExchangeMasterAccountSID/msRTCSIP-OriginatorSID attribútumok Ez a beállítás összeköt egy fiókerdőben található engedélyezett felhasználót egy erőforráserdőben található letiltott felhasználóval. Az Exchange ezt a konfigurációt csatolt postaládaként ismeri. Ezt a lehetőséget akkor használhatja, ha csak a Lyncet használja, és ha az Exchange nem található meg az erőforrás-erdőben.
SAMAccountName és MailNickName attribútumok Ez a beállítás olyan attribútumokhoz csatlakozik, ahol a felhasználó bejelentkezési azonosítója várhatóan megtalálható lesz.
Adott attribútum kiválasztása Ez a beállítás lehetővé teszi, hogy kiválassza a saját attribútumát. Ha ezt a beállítást választja, a rendszer nem szinkronizálja az Azure AD azokat a felhasználói objektumokat, amelyek (kijelölt) attribútuma nincs feltöltve. Korlátozás: Ehhez a beállításhoz csak a metaverzumban már szereplő attribútumok érhetők el.

Válassza ki, hogyan kell azonosítani a felhasználókat egy forráshorgony használatával

A sourceAnchor attribútum nem módosítható egy felhasználói objektum élettartama alatt. Ez az elsődleges kulcs, amely összekapcsolja a helyszíni felhasználót a Azure AD felhasználóval.

Beállítás Leírás
Hagyja, hogy az Azure kezelje a forráshorgonyt Válassza ezt a lehetőséget, ha azt szeretné, hogy az Azure AD válassza ki az attribútumot. Ha ezt a lehetőséget választja, a Azure AD Connect a sourceAnchor attribútumkijelölési logikát alkalmazza, amely az ms-DS-ConsistencyGuid használata sourceAnchorként című szakaszban található. Az egyéni telepítés befejezése után láthatja, hogy melyik attribútum lett kiválasztva sourceAnchor attribútumként.
Adott attribútum kiválasztása Válassza ezt a lehetőséget, ha egy meglévő AD-attribútumot szeretne megadni sourceAnchor attribútumként.

Mivel a sourceAnchor attribútum nem módosítható, ki kell választania egy megfelelő attribútumot. Egy jó jelölt az objectGUID. Ez az attribútum csak akkor módosul, ha a felhasználói fiók erdők vagy tartományok között van áthelyezve. Ne válasszon olyan attribútumokat, amelyek megváltozhatnak, ha egy személy hozzárendeli vagy módosítja a hozzárendeléseket.

Nem használhat at sign (@) attribútumokat, így nem használhatja az e-maileket és a userPrincipalName nevet. Az attribútum a kis- és nagybetűket is megkülönbözteti, ezért amikor áthelyez egy objektumot az erdők között, ügyeljen arra, hogy a kis- és nagybetűket megőrizze. A bináris attribútumok Base64 kódolásúak, de más attribútumtípusok kódolatlan állapotban maradnak.

Összevonási forgatókönyvekben és néhány Azure AD felületen a sourceAnchor attribútumot immutableID-nek is nevezik.

A forráshorgonyról további információt a Tervezési fogalmak című témakörben talál.

Szinkronizálás szűrése csoportok alapján

A csoportokon való szűrés funkcióval csak az objektumok egy kis részhalmazát szinkronizálhatja egy próbaüzemhez. A funkció használatához hozzon létre egy csoportot erre a célra az Active Directory helyszíni példányában. Ezután adja hozzá a felhasználókat és csoportokat, amelyeket közvetlen tagokként kíván szinkronizálni az Azure AD szolgáltatásba. Később hozzáadhat felhasználókat, vagy eltávolíthat felhasználókat ebből a csoportból, hogy fenntartsa a Azure AD-ben található objektumok listáját.

A szinkronizálni kívánt objektumoknak a csoport közvetlen tagjainak kell lenniük. A felhasználóknak, csoportoknak, partnereknek és számítógépeknek vagy eszközöknek mind közvetlen tagoknak kell lenniük. A beágyazott csoporttagság nincs feloldva. Ha tagként ad hozzá egy csoportot, csak magát a csoportot adja hozzá. A tagok nem lesznek hozzáadva.

Képernyőkép arról a lapról, amelyen kiválaszthatja, hogyan szűrheti a felhasználókat és az eszközöket.

Figyelmeztetés

Ez a funkció csak próbatelepítések támogatására szolgál. Ne használja teljes éles környezetben.

Teljes éles környezetben nehéz lenne egyetlen csoportot és annak összes objektumát szinkronizálni. A csoportokon történő szűrés funkció helyett használja a Szűrés konfigurálása című cikkben ismertetett módszerek egyikét.

Választható szolgáltatások

A következő lapon kiválaszthatja a forgatókönyv választható funkcióit.

Figyelmeztetés

Azure AD Connect 1.0.8641.0-s és korábbi verziói az Azure Access Control Service-ra támaszkodnak a jelszóvisszaíráshoz. Ezt a szolgáltatást 2018. november 7-én megszüntették. Ha a Azure AD Connect ezen verzióinak bármelyikét használja, és engedélyezte a jelszóvisszaírót, előfordulhat, hogy a felhasználók elveszítik a jelszavuk módosítását vagy alaphelyzetbe állítását a szolgáltatás kivonásakor. A Azure AD Connect ezen verziói nem támogatják a jelszóvisszaírót.

További információ: Migrálás az Azure Access Control Service-ből.

Ha jelszóvisszaírót szeretne használni, töltse le a Azure AD Connect legújabb verzióját.

Képernyőkép a

Figyelmeztetés

Ha Azure AD-szinkronizáló vagy közvetlen szinkronizálás (DirSync) aktív, ne aktiváljon visszaírási funkciókat a Azure AD Connectben.

Választható szolgáltatások Description
Exchange hibrid üzembe helyezése Az Exchange hibrid üzembe helyezési funkciója lehetővé teszi az Exchange-postaládák egyidejű használatát a helyszínen és a Microsoft 365-ben is. Azure AD A Connect egy adott attribútumkészletet szinkronizál Azure AD vissza a helyszíni címtárba.
Nyilvános Exchange-levelek mappái Az Exchange levelezési nyilvános mappák funkciójával szinkronizálhatja a levelezési célú nyilvános mappa objektumait a helyszíni Active Directory-példányról a Azure AD. Vegye figyelembe, hogy a nyilvános mappákat tagként tartalmazó csoportok szinkronizálása nem támogatott, és ennek megkísérlése szinkronizálási hibát eredményez.
Azure AD app and attribute filtering (Azure AD alkalmazás- és attribútumszűrés) Az Azure AD alkalmazás- és attribútumszűrés engedélyezésével testre szabhatja a szinkronizált attribútumok készletét. Ez a beállítás két további konfigurációs oldallal bővíti a varázslót. További információkért lásd: Azure AD alkalmazás- és attribútumszűrés.
Jelszókivonat szinkronizálása Ha az összevonást választotta bejelentkezési megoldásként, engedélyezheti a jelszókivonat-szinkronizálást. Ezután biztonsági mentési lehetőségként is használhatja.

Ha az átmenő hitelesítést választotta, engedélyezheti ezt a beállítást a régi ügyfelek támogatásának biztosításához és a biztonsági mentés biztosításához.

További információ: Jelszókivonat-szinkronizálás.
Jelszóvisszaíró Ezzel a beállítással biztosíthatja, hogy a Azure AD származó jelszómódosítások vissza legyenek írva a helyszíni címtárba. További részletekért lásd: A jelszókezelés első lépései.
Group writeback (Csoportvisszaíró) Ha Microsoft 365-csoportok használ, akkor csoportokat jelölhet az Active Directory helyszíni példányában. Ez a beállítás csak akkor érhető el, ha az Exchange az Active Directory helyszíni példányában található. További információ: Azure AD Csoportvisszaíró csatlakoztatása.
Eszközvisszaíró Feltételes hozzáférési forgatókönyvek esetén ezzel a beállítással írhatja vissza az eszközobjektumokat a Azure AD az Active Directory helyszíni példányára. További információkért lásd: Eszközvisszaírás engedélyezése az Azure AD Connectben.
Directory extension attribute sync (Címtárbővítmény-attribútumok szinkronizálása) Ezt a lehetőséget választva szinkronizálhatja a megadott attribútumokat Azure AD. További információkért lásd: Címtárbővítmények.

Azure AD app and attribute filtering (Azure AD alkalmazás- és attribútumszűrés)

Ha korlátozni szeretné, hogy mely attribútumok szinkronizálódnak Azure AD, először válassza ki a használt szolgáltatásokat. Ha módosítja a beállításokat ezen a lapon, a telepítővarázsló újrafuttatásával explicit módon ki kell választania egy új szolgáltatást.

Képernyőkép az Azure A D-alkalmazások választható funkcióiról.

Az előző lépésben kiválasztott szolgáltatások alapján ez a lap az összes szinkronizált attribútumot megjeleníti. Ez a lista az összes szinkronizált objektumtípus kombinációja. Ha néhány attribútumra szüksége van ahhoz, hogy továbbra is szinkronizálatlan maradjon, törölheti a kijelölést ezekből az attribútumokból.

Képernyőkép az Azure A D-attribútumok választható funkcióiról.

Figyelmeztetés

Az attribútumok eltávolítása hatással lehet a funkciókra. Az ajánlott eljárásokért és javaslatokért lásd: Szinkronizálandó attribútumok.

Címtárbővítmény-attribútumok szinkronizálása

A sémát Azure AD bővítheti a szervezet által hozzáadott egyéni attribútumok vagy az Active Directoryban található egyéb attribútumok használatával. A funkció használatához a Választható szolgáltatások lapon válassza a Címtárbővítmény attribútumszinkronizálása lehetőséget. A Címtárbővítmények lapon további szinkronizálandó attribútumokat is kiválaszthat.

Megjegyzés

Az Elérhető attribútumok mező megkülönbözteti a kis- és nagybetűket.

Képernyőkép a

További információkért lásd: Címtárbővítmények.

Egyszeri bejelentkezés engedélyezése

Az Egyszeri bejelentkezés lapon konfigurálja az egyszeri bejelentkezést jelszó-szinkronizáláshoz vagy átmenő hitelesítéshez. Ezt a lépést egyszer kell elvégeznie minden olyan erdő esetében, amely szinkronizálva van a Azure AD. A konfiguráció két lépésből áll:

  1. Hozza létre a szükséges számítógépfiókot az Active Directory helyszíni példányában.
  2. Konfigurálja az ügyfélszámítógépek intranetes zónáját az egyszeri bejelentkezés támogatásához.

A számítógépfiók létrehozása a helyszíni Active Directoryban

A Azure AD Connectben hozzáadott összes erdőhöz meg kell adnia a tartományi rendszergazdai hitelesítő adatokat, hogy a számítógépfiók minden erdőben létrehozható legyen. A hitelesítő adatok csak a fiók létrehozásához használhatók. A rendszer nem tárolja és nem használja fel őket semmilyen más művelethez. Adja hozzá a hitelesítő adatokat az Egyszeri bejelentkezés engedélyezése lapon az alábbi képen látható módon.

Képernyőkép az

Megjegyzés

Kihagyhatja azokat az erdőket, ahol nem szeretne egyszeri bejelentkezést használni.

Az intranetes zóna konfigurálása az ügyfélszámítógépekhez

Annak ellenőrzéséhez, hogy az ügyfél automatikusan bejelentkezik-e az intranetes zónába, győződjön meg arról, hogy az URL-cím az intranetes zóna része. Ez a lépés biztosítja, hogy a tartományhoz csatlakoztatott számítógép automatikusan kerberos-jegyet küldjön a Azure AD, amikor csatlakozik a vállalati hálózathoz.

Olyan számítógépen, amelyen Csoportházirend felügyeleti eszközök vannak:

  1. Nyissa meg a Csoportházirend felügyeleti eszközöket.

  2. Szerkessze az összes felhasználóra alkalmazandó csoportházirendet. Például az Alapértelmezett tartományházirend.

  3. Lépjen a Felhasználó konfigurációja>Felügyeleti sablonok>Windows-összetevők>Internet Explorer>Internet Vezérlőpult>Biztonsági lapra. Ezután válassza a Helyek és zónák közötti hozzárendelési lista lehetőséget.

  4. Engedélyezze a szabályzatot. Ezután a párbeszédpanelen adja meg a érték nevét https://autologon.microsoftazuread-sso.com és értékét.1 A beállításnak az alábbi képhez hasonlóan kell kinéznie.

    Képernyőkép az intranetes zónákról.

  5. Kattintson kétszer az OK gombra .

AD FS-összevonás konfigurálása

Az AD FS-t néhány kattintással konfigurálhatja Azure AD Connect használatával. A kezdés előtt a következőkre lesz szüksége:

  • Windows Server 2012 R2 vagy újabb az összevonási kiszolgálóhoz. Engedélyezni kell a távfelügyeletet.
  • Windows Server 2012 R2 vagy újabb a webes alkalmazásproxy-kiszolgálóhoz. Engedélyezni kell a távfelügyeletet.
  • TLS-/SSL-tanúsítvány a használni kívánt összevonási szolgáltatásnévhez (például sts.contoso.com).

Megjegyzés

Az AD FS-farm TLS-/SSL-tanúsítványát akkor is frissítheti a Azure AD Connect használatával, ha nem használja az összevonási megbízhatóság kezelésére.

Az AD FS konfigurációs előfeltételei

Az AD FS-farm Azure AD Connect használatával történő konfigurálásához győződjön meg arról, hogy a WinRM engedélyezve van a távoli kiszolgálókon. Győződjön meg arról, hogy elvégezte az összevonási előfeltételekben szereplő egyéb feladatokat. Győződjön meg arról is, hogy követi a Azure AD Connect and Federation/WAP servers (Csatlakozás és összevonás/WAP-kiszolgálók) táblában felsorolt portkövetelményeket.

Új AD FS farm létrehozása vagy meglévő AD FS farm használata

Használhat egy meglévő AD FS-farmot, vagy létrehozhat egy újat. Ha újat hoz létre, meg kell adnia a TLS-/SSL-tanúsítványt. Ha a TLS-/SSL-tanúsítványt jelszó védi, a rendszer kérni fogja a jelszó megadását.

Képernyőkép az

Ha egy meglévő AD FS-farmot használ, megjelenik az a lap, ahol konfigurálhatja az AD FS és a Azure AD közötti megbízhatósági kapcsolatot.

Megjegyzés

A Azure AD Connect használatával csak egy AD FS-farmot kezelhet. Ha olyan meglévő összevonási megbízhatósági kapcsolattal rendelkezik, amelyben Azure AD konfigurálva van a kiválasztott AD FS-farmon, Azure AD Connect újra létrehozza a megbízhatóságot az alapoktól.

Az AD FS kiszolgálók megadása

Adja meg azokat a kiszolgálókat, amelyeket telepíteni szeretne az AD FS-hez. A kapacitásigénytől függően hozzáadhat egy vagy több kiszolgálót. A konfiguráció beállítása előtt csatlakoztassa az összes AD FS-kiszolgálót az Active Directoryhoz. Ez a lépés nem szükséges a webes alkalmazásproxy-kiszolgálókhoz.

A Microsoft a teszt- és próbatelepítésekhez egyetlen AD FS-kiszolgáló üzembe helyezését javasolja. A kezdeti konfigurációt követően további kiszolgálókat adhat hozzá és helyezhet üzembe a skálázási igényeknek megfelelően, ha újra futtatja Azure AD Connectet.

Megjegyzés

A konfiguráció beállítása előtt győződjön meg arról, hogy az összes kiszolgáló csatlakozik egy Azure AD tartományhoz.

Képernyőkép az

A webalkalmazás-proxy kiszolgálók megadása

Adja meg a webes alkalmazásproxy-kiszolgálókat. A webes alkalmazásproxy kiszolgáló a szegélyhálózaton van üzembe helyezve, az extranettel szemben. Támogatja az extranetről érkező hitelesítési kéréseket. A kapacitásigénytől függően hozzáadhat egy vagy több kiszolgálót.

A Microsoft azt javasolja, hogy egyetlen webes alkalmazásproxy-kiszolgálót telepítsen tesztelési és próbatelepítésekhez. A kezdeti konfigurációt követően további kiszolgálókat adhat hozzá és helyezhet üzembe a skálázási igényeknek megfelelően, ha újra futtatja Azure AD Connectet. Azt javasoljuk, hogy az intranetről történő hitelesítéshez elegendő számú proxykiszolgálót használjon.

Megjegyzés

  • Ha a használt fiók nem helyi rendszergazda a webes alkalmazásproxy-kiszolgálókon, a rendszer rendszergazdai hitelesítő adatokat kér.
  • A webes alkalmazásproxy-kiszolgálók megadása előtt győződjön meg arról, hogy http/HTTPS-kapcsolat van a Azure AD Connect-kiszolgáló és a webes alkalmazásproxy-kiszolgáló között.
  • Győződjön meg arról, hogy http/HTTPS-kapcsolat van a webalkalmazás-kiszolgáló és az AD FS-kiszolgáló között, hogy a hitelesítési kérések áthaladhassanak.

Képernyőkép a Webes alkalmazásproxy kiszolgálók oldalról.

A rendszer hitelesítő adatokat kér, hogy a webalkalmazás-kiszolgáló biztonságos kapcsolatot létesíthessen az AD FS-kiszolgálóval. Ezeknek a hitelesítő adatoknak egy helyi rendszergazdai fióknak kell lenniük az AD FS-kiszolgálón.

Képernyőkép a

Szolgáltatásfiók megadása az AD FS szolgáltatáshoz

Az AD FS szolgáltatáshoz tartományi szolgáltatásfiókra van szükség a felhasználók hitelesítéséhez és a felhasználói adatok kereséséhez az Active Directoryban. A szolgáltatásfiókok két típusát tudja támogatni:

  • Csoport által felügyelt szolgáltatásfiók: Ezt a fióktípust Windows Server 2012 vezette be az AD DS-be. Ez a fióktípus olyan szolgáltatásokat nyújt, mint az AD FS. Ez egy olyan fiók, amelyben nem kell rendszeresen frissítenie a jelszót. Ezt a lehetőséget akkor alkalmazza, ha Windows Server 2012 tartományvezérlőkkel rendelkezik a tartományban, amelyhez az AD FS-kiszolgálók tartoznak.
  • Tartományi felhasználói fiók: Ehhez a fióktípushoz meg kell adnia egy jelszót, és rendszeresen frissítenie kell, amikor lejár. Ezt a beállítást csak akkor használja, ha nincs Windows Server 2012 tartományvezérlő abban a tartományban, amelyhez az AD FS-kiszolgálók tartoznak.

Ha a Csoportszintű felügyeltszolgáltatás-fiók létrehozása lehetőséget választotta, és ezt a funkciót még soha nem használták az Active Directoryban, adja meg a vállalati rendszergazdai hitelesítő adatait. A hitelesítő adatok a kulcstároló indításához és a szolgáltatás az Active Directoryban való engedélyezéséhez szükségesek.

Megjegyzés

Azure AD Connect ellenőrzi, hogy az AD FS szolgáltatás már regisztrálva van-e egyszerű szolgáltatásnévként (SPN) a tartományban. Az AD DS nem engedélyezi a duplikált egyszerű szolgáltatásnevek egyidejű regisztrálását. Ha duplikált egyszerű szolgáltatásnév található, addig nem folytathatja tovább, amíg el nem távolítja az egyszerű szolgáltatásneveket.

Képernyőkép az

Válassza ki az összevonni kívánt Azure AD tartományt

Az AD FS és a Azure AD közötti összevonási kapcsolat beállításához használja a Azure AD Tartomány lapot. Itt úgy konfigurálhatja az AD FS-t, hogy biztonsági jogkivonatokat biztosítson Azure AD. Emellett úgy is konfigurálhatja a Azure AD, hogy megbízzanak az AD FS-példány jogkivonataiban.

Ezen a lapon csak egyetlen tartományt konfigurálhat a kezdeti telepítés során. További kiszolgálókat később, az Azure AD Connect ismételt futtatásával konfigurálhat.

Képernyőkép az

Az összevonáshoz kiválasztott Azure AD-tartomány ellenőrzése

Ha kijelöli az összevonni kívánt tartományt, Azure AD Connect olyan információkat biztosít, amelyekkel ellenőrizheti a nem ellenőrzött tartományokat. További információ: Tartomány hozzáadása és ellenőrzése.

Képernyőkép az

Megjegyzés

Azure AD Connect megpróbálja ellenőrizni a tartományt a konfigurációs szakaszban. Ha nem adja hozzá a szükséges DNS-rekordokat, a konfiguráció nem hajtható végre.

PingFederate-összevonás konfigurálása

A PingFederate-et néhány kattintással konfigurálhatja Azure AD Connect használatával. A következő előfeltételek szükségesek:

A tartomány hitelesítése

Miután úgy döntött, hogy a PingFederate használatával állítja be az összevonást, a rendszer megkéri, hogy ellenőrizze az összevonni kívánt tartományt. Válassza ki a tartományt a legördülő menüből.

Képernyőkép az

A PingFederate-beállítások exportálása

Konfigurálja a PingFederate-et összevonási kiszolgálóként az egyes összevont Azure-tartományokhoz. Válassza a Beállítások exportálása lehetőséget, ha meg szeretné osztani ezeket az adatokat a PingFederate rendszergazdájával. Az összevonási kiszolgáló rendszergazdája frissíti a konfigurációt, majd megadja a PingFederate-kiszolgáló URL-címét és portszámát, hogy Azure AD Connect ellenőrizni tudja a metaadat-beállításokat.

Képernyőkép a

Az érvényesítéssel kapcsolatos problémák megoldásához forduljon a PingFederate-rendszergazdához. Az alábbi képen egy olyan PingFederate-kiszolgáló adatai láthatók, amely nem rendelkezik érvényes megbízhatósági kapcsolattal az Azure-ral.

Képernyőkép a kiszolgáló adatairól: A PingFederate kiszolgáló megtalálható, de az Azure szolgáltatói kapcsolata hiányzik vagy le van tiltva.

Az összevonási kapcsolat ellenőrzése

Azure AD Connect megpróbálja ellenőrizni azokat a hitelesítési végpontokat, amelyeket az előző lépésben lekért a PingFederate metaadataiból. Azure AD Connect először megpróbálja feloldani a végpontokat a helyi DNS-kiszolgálók használatával. Ezután megpróbálja feloldani a végpontokat egy külső DNS-szolgáltató használatával. Az érvényesítéssel kapcsolatos problémák megoldásához forduljon a PingFederate-rendszergazdához.

Képernyőkép a

Összevonási bejelentkezés ellenőrzése

Végezetül az újonnan konfigurált összevont bejelentkezési folyamat ellenőrzéséhez bejelentkezhet az összevont tartományba. Ha a bejelentkezés sikeres, akkor a PingFederate összevonás sikeresen konfigurálva lesz.

Képernyőkép az

Configure (Konfigurálás) és Verify (Ellenőrzés) lap

A konfiguráció a Konfigurálás lapon történik.

Megjegyzés

Ha konfigurálta az összevonást, a telepítés folytatása előtt győződjön meg arról, hogy az összevonási kiszolgálók névfeloldását is konfigurálta.

Képernyőkép a

Átmeneti mód használata

Az előkészítési móddal párhuzamosan új szinkronizálási kiszolgálót is beállíthat. Ha ezt a beállítást szeretné használni, akkor csak egy szinkronizálási kiszolgáló exportálhat egy címtárba a felhőben. Ha azonban át szeretne lépni egy másik kiszolgálóról, például egy DirSyncet futtató kiszolgálóról, akkor átmeneti módban engedélyezheti Azure AD Connectet.

Ha engedélyezi az előkészítési beállítást, a szinkronizálási motor a szokásos módon importálja és szinkronizálja az adatokat. Azonban nem exportál adatokat Azure AD vagy Active Directoryba. Átmeneti módban a jelszó-szinkronizálási funkció és a jelszóvisszaíró funkció le van tiltva.

Képernyőkép az

Átmeneti módban elvégezheti a szükséges módosításokat a szinkronizálási motoron, és áttekintheti, hogy mi lesz exportálva. Ha a konfiguráció megfelelőnek tűnik, futtassa le újra a telepítővarázslót, és tiltsa le az átmeneti módot.

A rendszer most exportálja az adatokat Azure AD a kiszolgálóról. Mindenképpen tiltsa le ezzel egy időben a másik kiszolgálót, hogy egyszerre csak egy kiszolgáló exportáljon aktívan.

További információkért lásd: Átmeneti mód.

Összevonási konfiguráció ellenőrzése

Azure AD A Connect ellenőrzi a DNS-beállításokat, amikor az Ellenőrzés gombra kattint. A következő beállításokat ellenőrzi:

  • Intranetes kapcsolat
    • Összevonási teljes tartománynév feloldása: Azure AD Connect ellenőrzi, hogy a DNS fel tudja-e oldani az összevonási teljes tartománynevet a kapcsolat biztosítása érdekében. Ha Azure AD Connect nem tudja feloldani az FQDN-t, az ellenőrzés sikertelen lesz. Az ellenőrzés befejezéséhez győződjön meg arról, hogy az összevonási szolgáltatás teljes tartománynevéhez tartozik DNS-rekord.
    • DNS A rekord: Azure AD Connect ellenőrzi, hogy az összevonási szolgáltatás rendelkezik-e A rekorddal. A rekord hiányában az ellenőrzés sikertelen lesz. Az ellenőrzés befejezéséhez hozzon létre egy A rekordot (nem CNAME rekordot) az összevonási teljes tartománynévhez.
  • Extranetes kapcsolat
    • Összevonási teljes tartománynév feloldása: Azure AD Connect ellenőrzi, hogy a DNS fel tudja-e oldani az összevonási teljes tartománynevet a kapcsolat biztosítása érdekében.

      Képernyőkép a

      Képernyőkép a

A teljes körű hitelesítés ellenőrzéséhez manuálisan végezze el az alábbi tesztek egyikét:

  • Amikor a szinkronizálás befejeződik, az Azure AD Connectben az Összevont bejelentkezés ellenőrzése további feladattal ellenőrizheti egy ön által választott helyszíni felhasználói fiók hitelesítését.
  • Az intranet tartományhoz csatlakoztatott gépéről győződjön meg arról, hogy böngészőből tud bejelentkezni. Csatlakozás a(z) rendszerhez https://myapps.microsoft.com. Ezután a bejelentkezett fiókjával ellenőrizze a bejelentkezést. A beépített AD DS-rendszergazdai fiók nincs szinkronizálva, és nem használható ellenőrzésre.
  • Győződjön meg arról, hogy be tud jelentkezni egy eszközről az extraneten. Otthoni gépen vagy mobileszközön csatlakozzon a https://myapps.microsoft.com(z) rendszerhez. Ezután adja meg a hitelesítő adatait.
  • Ellenőrizze a gazdag ügyféllel való bejelentkezést. Csatlakozás a(z) rendszerhez https://testconnectivity.microsoft.com. Ezután válassza Office 365>Office 365 Egy Sign-On teszt lehetőséget.

Hibaelhárítás

Ez a szakasz hibaelhárítási információkat tartalmaz, amelyeket akkor használhat, ha probléma merült fel a Azure AD Connect telepítése során.

Ha testre szab egy Azure AD Connect-telepítést, a Szükséges összetevők telepítése lapon válassza a Meglévő SQL Server használata lehetőséget. A következő hibaüzenet jelenhet meg: "Az ADSync-adatbázis már tartalmaz adatokat, és nem írható felül. Távolítsa el a meglévő adatbázist, és próbálkozzon újra."

Képernyőkép a

Ez a hiba azért jelenik meg, mert egy ADSync nevű adatbázis már létezik a megadott SQL Server SQL-példányán.

Ez a hiba általában akkor jelenik meg, ha eltávolította Azure AD Connectet. Az adatbázis nem törlődik a SQL Server futtató számítógépről Azure AD Connect eltávolításakor.

A probléma megoldása:

  1. Ellenőrizze azt az ADSync-adatbázist, amelyet Azure AD Connect használt az eltávolítás előtt. Győződjön meg arról, hogy az adatbázis már nincs használatban.

  2. Biztonsági másolatot készít az adatbázisról.

  3. Törölje az adatbázist:

    1. A Microsoft SQL Server Management Studio használatával csatlakozzon az SQL-példányhoz.
    2. Keresse meg az ADSync-adatbázist , és kattintson rá a jobb gombbal.
    3. A helyi menüben válassza a Törlés lehetőséget.
    4. Az adatbázis törléséhez kattintson az OK gombra .

A Microsoft SQL Server Management Studio képernyőképe. A D Sync ki van jelölve.

Az ADSync-adatbázis törlése után válassza a Telepítés lehetőséget a telepítés újrapróbálásához.

Következő lépések

A telepítés befejezése után jelentkezzen ki a Windowsból. Ezután jelentkezzen be újra a Szinkronizálási Service Manager vagy a Szinkronizálási szabályszerkesztő használata előtt.

Most, hogy telepítette Azure AD Connectet, ellenőrizheti a telepítést, és hozzárendelheti a licenceket.

A telepítés során engedélyezett funkciókról további információt a Véletlen törlés megakadályozása és a Connect Health Azure AD című témakörben talál.

További információ a gyakori témakörökről: Azure AD Szinkronizálás csatlakoztatása: Ütemező és A helyszíni identitások integrálása Azure AD.