Topológiák a Microsoft Entra Csatlakozás

  • Cikk

Ez a cikk különböző helyszíni és Microsoft Entra-topológiákat ismertet, amelyek a Microsoft Entra Csatlakozás Syncet használják kulcsintegrációs megoldásként. Ez a cikk a támogatott és a nem támogatott konfigurációkat is tartalmazza.

A cikkben szereplő képek jelmagyarázata:

Leírás Szimbólum
Helyszíni Active Directory-erdő Helyszíni Active Directory-erdő
Helyszíni Active Directory szűrt importálással Active Directory szűrt importálással
Microsoft Entra Csatlakozás Szinkronizálási kiszolgáló Microsoft Entra Csatlakozás Szinkronizálási kiszolgáló
Microsoft Entra Csatlakozás Szinkronizálási kiszolgáló "előkészítési módja" Microsoft Entra Csatlakozás Szinkronizálási kiszolgáló
GALSync a Microsoft Identity Managerrel (MIM) 2016 GALSync a MIM 2016-tal
Microsoft Entra Csatlakozás Sync-kiszolgáló részletes leírása Microsoft Entra Csatlakozás Sync-kiszolgáló részletes leírása
Microsoft Entra ID Microsoft Entra ID
Nem támogatott forgatókönyv Nem támogatott forgatókönyv

Fontos

A Microsoft nem támogatja a Microsoft Entra Csatlakozás Sync módosítását vagy üzemeltetését a hivatalosan dokumentált konfigurációkon vagy műveleteken kívül. Ezen konfigurációk vagy műveletek bármelyike a Microsoft Entra Csatlakozás Sync inkonzisztens vagy nem támogatott állapotát eredményezheti. Ennek eredményeképpen a Microsoft nem tud technikai támogatást nyújtani az ilyen üzemelő példányokhoz.

Egyetlen erdő, egyetlen Microsoft Entra-bérlő

Topológia egyetlen erdőhöz és egyetlen bérlőhöz

A leggyakoribb topológia egyetlen helyszíni erdő, egy vagy több tartománnyal és egyetlen Microsoft Entra-bérlővel. A Microsoft Entra-hitelesítéshez jelszókivonat-szinkronizálást használunk. A Microsoft Entra Csatlakozás expressz telepítése csak ezt a topológiát támogatja.

Egyetlen erdő, több szinkronizálási kiszolgáló egy Microsoft Entra-bérlőhöz

Egyetlen erdő nem támogatott, szűrt topológiája

Ha több Microsoft Entra Csatlakozás Szinkronizálási kiszolgáló csatlakozik ugyanahhoz a Microsoft Entra-bérlőhöz, az átmeneti kiszolgáló kivételével nem támogatott. Ez akkor sem támogatott, ha ezek a kiszolgálók úgy vannak konfigurálva, hogy egy kölcsönösen kizáró objektumkészlettel szinkronizáljanak. Ezt a topológiát akkor is figyelembe vette, ha egyetlen kiszolgálóról nem tudja elérni az erdő összes tartományát, vagy ha több kiszolgáló között szeretné elosztani a terhelést. (Nem fordul elő hiba, ha új Azure AD-szinkronizáló-kiszolgáló van konfigurálva egy új Microsoft Entra-erdőhöz és egy új ellenőrzött gyermektartományhoz.)

Több erdő, egyetlen Microsoft Entra-bérlő

Több erdő és egyetlen bérlő topológiája

Számos szervezet több helyi Active Directory erdővel rendelkező környezettel rendelkezik. Több oka is van annak, hogy egynél több helyi Active Directory erdő van. Ilyenek például a fiókerőforrás-erdőkkel kapcsolatos tervek, valamint egy fúzió vagy felvásárlás eredménye.

Ha több erdővel rendelkezik, az összes erdőnek elérhetőnek kell lennie egyetlen Microsoft Entra Csatlakozás Sync-kiszolgálónak. A kiszolgálót tartományhoz kell csatlakoztatni. Ha az összes erdő eléréséhez szükséges, elhelyezheti a kiszolgálót egy szegélyhálózaton (más néven DMZ-ben, demilitarizált zónában és szűrt alhálózatban).

A Microsoft Entra Csatlakozás telepítővarázsló számos lehetőséget kínál a több erdőben képviselt felhasználók összevonására. A cél az, hogy a felhasználó csak egyszer jelenik meg a Microsoft Entra-azonosítóban. A telepítővarázsló egyéni telepítési útvonalában konfigurálhat néhány gyakori topológiát. A felhasználók egyedi azonosítására szolgáló lapon válassza ki a topológiát képviselő megfelelő beállítást. Az összevonás csak a felhasználók számára van konfigurálva. A duplikált csoportok nem konszolidálódnak az alapértelmezett konfigurációval.

A gyakori topológiákat a különálló topológiákról, a teljes hálóról és a fiók-erőforrás topológiáról szóló szakaszok ismertetik.

A Microsoft Entra Csatlakozás Sync alapértelmezett konfigurációja a következőket feltételezi:

  • Minden felhasználó csak egy engedélyezett fiókkal rendelkezik, és a fiók erdője a felhasználó hitelesítésére szolgál. Ez a feltételezés a jelszókivonat-szinkronizálásra, az átmenő hitelesítésre és az összevonásra használható. A UserPrincipalName és a sourceAnchor/immutableID az erdőből származik.
  • Minden felhasználónak csak egy postaládája van.
  • A felhasználó postaládáját üzemeltető erdő a legjobb adatminőséggel rendelkezik az Exchange globális címlistájában (GAL) látható attribútumokhoz. Ha nincs postaláda a felhasználó számára, bármely erdő használható ezekhez az attribútumértékekhez.
  • Ha van csatolt postaládája, egy másik erdőben is van egy fiók, amelyet bejelentkezéshez használnak.

Ha a környezet nem felel meg ezeknek a feltételezéseknek, a következő dolgok történnek:

  • Ha több aktív fiókkal vagy több postaládával rendelkezik, a szinkronizálási motor kiválaszt egyet, és figyelmen kívül hagyja a másikat.
  • A csatolt postaláda más aktív fiókkal nem exportálható a Microsoft Entra-azonosítóba. A felhasználói fiók egyetlen csoportban sem szerepel tagként. A DirSync csatolt postaládái mindig normál postaládaként jelenik meg. Ez a változás szándékosan más viselkedés, hogy jobban támogassa a többerdős forgatókönyveket.

További részleteket az alapértelmezett konfiguráció ismertetése című témakörben talál.

Több erdő, több szinkronizálási kiszolgáló egy Microsoft Entra-bérlőhöz

Nem támogatott topológia több erdőhöz és több szinkronizálási kiszolgálóhoz

Ha több Microsoft Entra Csatlakozás Szinkronizálási kiszolgáló csatlakozik egyetlen Microsoft Entra-bérlőhöz, az nem támogatott. Kivételt képez az átmeneti kiszolgáló használata.

Ez a topológia abban különbözik az alábbitól, hogy az egyetlen Microsoft Entra-bérlőhöz csatlakoztatott több szinkronizálási kiszolgáló nem támogatott. (Bár nem támogatott, ez továbbra is működik.)

Több erdő, egyetlen szinkronizálási kiszolgáló, a felhasználók csak egy könyvtárban jelennek meg

Lehetőség a felhasználók csak egyszer való ábrázolására az összes könyvtárban

Több erdő és különálló topológia ábrázolása

Ebben a környezetben minden helyszíni erdő külön entitásként lesz kezelve. Egyetlen felhasználó sem található más erdőben. Minden erdő saját Exchange-szervezettel rendelkezik, és nincs GALSync az erdők között. Ez a topológia lehet az egyesülés/felvásárlás utáni helyzet, vagy egy olyan szervezetben, ahol az egyes üzleti egységek egymástól függetlenül működnek. Ezek az erdők ugyanabban a szervezetben találhatók a Microsoft Entra ID-ban, és egységes GAL-val jelennek meg. Az előző képen minden erdő minden objektuma egyszer jelenik meg a metaversen, és összesíti a cél Microsoft Entra-bérlőben.

Több erdő: egyező felhasználók

Az összes ilyen forgatókönyvben gyakori, hogy a terjesztési és biztonsági csoportok felhasználók, névjegyek és idegenbiztonsági tagok (FSP-k) kombinációját tartalmazhatják. Az FSP-k a Active Directory tartományi szolgáltatások (AD DS) használatával képviselik a biztonsági csoport más erdőinek tagjait. Minden FSP a Microsoft Entra ID-ban található valós objektumra lesz feloldva.

Több erdő: teljes háló opcionális GALSynctel

Lehetőség a levelezési attribútum használatára, ha a felhasználói identitások több könyvtárban is léteznek

Több erdő teljes hálós topológiája

A teljes hálós topológia lehetővé teszi, hogy a felhasználók és az erőforrások bármely erdőben legyenek elhelyezve. Általában kétirányú megbízhatósági kapcsolat van az erdők között.

Ha az Exchange több erdőben is jelen van, előfordulhat, hogy (opcionálisan) egy helyszíni GALSync-megoldás is létezik. Ekkor minden felhasználó névjegyként fog megjelenni az összes többi erdőben. A GALSync általában a Microsoft Identity Manageren keresztül implementálva van. A Microsoft Entra Csatlakozás nem használható a helyszíni GALSynchez.

Ebben az esetben az identitásobjektumok a levelezési attribútumon keresztül csatlakoznak. Az egyik erdőben postaládával rendelkező felhasználó a többi erdőben lévő partnerekkel csatlakozik.

Több erdő: fiókerőforrás-erdő

Lehetőség az ObjectSID és az msExchMasterAccountSID attribútumok használatára, ha az identitások több könyvtárban is léteznek

Fiókerőforrás erdőtopológiája több erdőhöz

Egy fiókerőforrás-erdő topológiájában egy vagy több aktív felhasználói fiókkal rendelkező fiókerdővel rendelkezik. Egy vagy több , letiltott fiókkal rendelkező erőforráserdővel is rendelkezik.

Ebben a forgatókönyvben egy (vagy több) erőforráserdő megbízik az összes fiókerdőben. Az erőforráserdő általában kiterjesztett Active Directory-sémával rendelkezik az Exchange és a Lync használatával. Az összes Exchange- és Lync-szolgáltatás, valamint a többi megosztott szolgáltatás ebben az erdőben található. A felhasználók letiltott felhasználói fiókkal rendelkeznek ebben az erdőben, és a postaláda a fiókerdőhöz van csatolva.

A Microsoft 365 és a topológia szempontjai

Egyes Microsoft 365-számítási feladatok bizonyos korlátozásokkal rendelkeznek a támogatott topológiákra:

Számítási feladat Korlátozások
Exchange Online Az Exchange Online által támogatott hibrid topológiákkal kapcsolatos további információkért lásd a több Active Directory-erdővel rendelkező hibrid telepítéseket ismertető témakört.
Skype Vállalati verzió Ha több helyszíni erdőt használ, csak a fiókerőforrás erdőtopológiája támogatott. További információ: 2015. Skype Vállalati kiszolgáló környezetvédelmi követelményei.

Ha Ön nagyobb szervezet, érdemes megfontolnia a Microsoft 365 PreferredDataLocation funkció használatát. Ez lehetővé teszi annak meghatározását, hogy a felhasználó erőforrásai mely adatközponti régióban találhatók.

Átmeneti kiszolgáló

Átmeneti kiszolgáló topológiában

A Microsoft Entra Csatlakozás támogatja a második kiszolgáló átmeneti módban történő telepítését. Az ebben a módban lévő kiszolgálók az összes csatlakoztatott könyvtárból beolvasják az adatokat, de nem írnak semmit a csatlakoztatott könyvtárakba. A normál szinkronizálási ciklust használja, ezért az identitásadatok frissített másolatával rendelkezik.

Ha az elsődleges kiszolgáló meghibásodik, feladatátvételt végezhet az átmeneti kiszolgálóra. Ezt a Microsoft Entra Csatlakozás varázslóban teheti meg. Ez a második kiszolgáló egy másik adatközpontban is elhelyezhető, mert az elsődleges kiszolgálóval nincs megosztva infrastruktúra. Manuálisan kell átmásolnia az elsődleges kiszolgálón végrehajtott konfigurációs módosításokat a második kiszolgálóra.

Az átmeneti kiszolgálóval tesztelheti az új egyéni konfigurációt, és az adatokra gyakorolt hatását. Megtekintheti a módosításokat, és módosíthatja a konfigurációt. Ha elégedett az új konfigurációval, az átmeneti kiszolgálót aktív kiszolgálóvá teheti, és a régi aktív kiszolgálót átmeneti üzemmódra állíthatja.

Ezzel a módszerrel is lecserélheti az aktív szinkronizálási kiszolgálót. Készítse elő az új kiszolgálót, és állítsa átmeneti módba. Győződjön meg arról, hogy jó állapotban van, tiltsa le az előkészítési módot (aktívvá téve), és állítsa le az aktuálisan aktív kiszolgálót.

Több átmeneti kiszolgáló is lehet, ha több biztonsági másolatot szeretne készíteni különböző adatközpontokban.

Több Microsoft Entra-bérlő

Azt javasoljuk, hogy egyetlen bérlő legyen a Microsoft Entra-azonosítóban egy szervezet számára. Mielőtt több Microsoft Entra-bérlőt szeretne használni, olvassa el az Rendszergazda istrative units management in Microsoft Entra ID című cikket. Azokat a gyakori forgatókönyveket ismerteti, ahol egyetlen bérlőt használhat.

AD-objektumok szinkronizálása több Microsoft Entra-bérlővel

Több Microsoft Entra-bérlő topológiáját bemutató diagram.

Ez a topológia a következő használati eseteket valósítja meg:

  • A Microsoft Entra Csatlakozás egyetlen Active Directoryból szinkronizálhatja a felhasználókat, csoportokat és névjegyeket több Microsoft Entra-bérlővel. Ezek a bérlők különböző Azure-környezetekben lehetnek, például a 21Vianet-környezet által üzemeltetett Microsoft Azure-ban vagy az Azure Government-környezetben, de ugyanabban az Azure-környezetben is lehetnek, például két olyan bérlőben, amelyek mindkettő az Azure Commercialben találhatók. A lehetőségekről további információt az Azure Government-alkalmazások identitásának tervezése című témakörben talál.
  • Ugyanaz a forráshorgony használható egyetlen objektumhoz külön bérlőkben (de ugyanazon bérlő több objektumához nem). (Az ellenőrzött tartomány nem lehet ugyanaz két bérlőben. További részletekre van szükség annak engedélyezéséhez, hogy ugyanaz az objektum két UPN-et használjon.)
  • Minden szinkronizálni kívánt Microsoft Entra-bérlőhöz telepítenie kell egy Microsoft Entra Csatlakozás-kiszolgálót – egy Microsoft Entra Csatlakozás kiszolgáló nem szinkronizálható egynél több Microsoft Entra-bérlővel.
  • A különböző bérlőkhöz különböző szinkronizálási hatókörök és különböző szinkronizálási szabályok támogatottak.
  • Csak egy Microsoft Entra-bérlő szinkronizálása konfigurálható úgy, hogy ugyanarra az objektumra visszaírjon az Active Directoryba. Ebbe beletartoznak az eszköz- és csoportvisszaírók, valamint a hibrid Exchange-konfigurációk is – ezek a funkciók csak egy bérlőben konfigurálhatók. Itt az egyetlen kivétel a jelszóvisszaíró – lásd alább.
  • A jelszókivonat-szinkronizálás az Active Directoryból több Microsoft Entra-bérlőre való konfigurálását is támogatja ugyanahhoz a felhasználói objektumhoz. Ha a jelszókivonat-szinkronizálás engedélyezve van egy bérlőnél, akkor a jelszóvisszaírás is engedélyezve lehet, és ez több bérlőn is elvégezhető: ha a jelszó egy bérlőn módosul, akkor a jelszóvisszaíró az Active Directoryban frissíti, a jelszókivonat-szinkronizálás pedig frissíti a jelszót a többi bérlőben.
  • Több Microsoft Entra-bérlőben sem lehet ugyanazt az egyéni tartománynevet hozzáadni és ellenőrizni, még akkor sem, ha ezek a bérlők különböző Azure-környezetekben találhatók.
  • Nem támogatott olyan hibrid szolgáltatások konfigurálása, amelyek erdőszintű konfigurációt használnak az AD-ben, például a közvetlen egyszeri bejelentkezés és a Microsoft Entra hibrid csatlakoztatása (nem célzott megközelítés), több bérlővel. Ez felülírná a másik bérlő konfigurációját, így az már nem használható. További információt a Microsoft Entra hibrid csatlakozás üzembe helyezésének megtervezése című témakörben talál.
  • Az eszközobjektumokat több bérlővel is szinkronizálhatja, de az eszköz lehet hibrid Microsoft Entra, amely csak egy bérlőhöz csatlakozik.
  • Minden Microsoft Entra Csatlakozás példánynak tartományhoz csatlakoztatott gépen kell futnia.

Feljegyzés

A globális címlista-szinkronizálás (GalSync) nem történik meg automatikusan ebben a topológiában, és további egyéni MIM-implementációt igényel annak biztosításához, hogy minden bérlő teljes globális címlistával (GAL) rendelkezzen az Exchange Online-ban és Skype Vállalati verzió Online-ban.

GALSync visszaírással

Nem támogatott topológia több erdőhöz és több könyvtárhoz, a GALSync a Microsoft Entra ID-ra összpontosítNem támogatott topológia több erdőhöz és több könyvtárhoz, a GALSync a helyi Active Directory

GALSync helyszíni szinkronizálási kiszolgálóval

GALSync több erdő és több könyvtár topológiájában

A Microsoft Identity Manager helyszíni használatával szinkronizálhatja a felhasználókat (a GALSync használatával) két Exchange-szervezet között. Az egyik szervezet felhasználói külföldi felhasználóként/partnerként jelennek meg a másik szervezetben. Ezek a helyi Active Directory példányok ezután szinkronizálhatók saját Microsoft Entra-bérlőikkel.

Jogosulatlan ügyfelek használata a Microsoft Entra Csatlakozás háttérrendszer eléréséhez

Jogosulatlan ügyfelek használata a Microsoft Entra Csatlakozás háttérrendszer eléréséhez

A Microsoft Entra Csatlakozás kiszolgáló a Microsoft Entra Csatlakozás háttérrendszeren keresztül kommunikál a Microsoft Entra-azonosítóval. A háttérrendszerrel csak a Microsoft Entra Csatlakozás kommunikálhat. A Microsoft Entra Csatlakozás háttérrendszerrel nem lehet más szoftverrel vagy módszerrel kommunikálni.

Következő lépések

A Microsoft Entra Csatlakozás telepítésének megismeréséhez tekintse meg a Microsoft Entra Csatlakozás egyéni telepítését ismertető témakört.

További információ a Microsoft Entra Csatlakozás Sync konfigurációjáról.

További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.