Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ha további beállításokat szeretne a telepítéshez, használja az egyéni beállításokat a Microsoft Entra Connectben. Használja ezeket a beállításokat, például ha több erdőt használ, vagy ha opcionális funkciókat szeretne konfigurálni. Minden olyan esetben használjon egyéni beállításokat, amikor az expressz telepítés nem felel meg az üzembe helyezési vagy topológiai igényeknek.
Előfeltételek:
- Töltse le a Microsoft Entra Connectet.
- Végezze el a Microsoft Entra Connect előfeltételeinek lépéseit : Hardver és előfeltételek.
- Győződjön meg arról, hogy rendelkezik a Microsoft Entra Connect-fiókokban és -engedélyekben leírt fiókokkal.
Egyéni telepítési beállítások
A Microsoft Entra Connect egyéni telepítésének beállításához tekintse át az alábbi szakaszokban ismertetett varázslólapokat.
TLS 1.2-kényszerítés a Microsoft Entra Connect Synchez
A Transport Layer Security (TLS) protokoll 1.2-es verziója egy titkosítási protokoll, amely biztonságos kommunikációt biztosít. A TLS protokoll elsődleges célja az adatvédelem és az adatintegritás biztosítása. A TLS számos iteráción ment keresztül, és az 1.2-es verzió a RFC 5246szabványban került meghatározásra. A Microsoft Entra Connect Sync legújabb verziója teljes mértékben támogatja a TLS 1.2 használatát a Microsoft Entra ID azonosítóval való kommunikációhoz. A Microsoft Entra Connect Sync legújabb verzióinak telepítése előtt mindenképpen engedélyezze a TLS 1.2-t.
További információért lásd: Microsoft Entra Connect Sync TLS 1.2 érvényesítése
Gyorsbeállítások
Az Express beállítások lapon válassza a Testreszabás lehetőséget a testreszabott beállítások telepítésének elindításához. A cikk további része végigvezeti az egyéni telepítési folyamaton. Az alábbi hivatkozások segítségével gyorsan megnyithatja egy adott oldal adatait:
- Szükséges összetevők
- Felhasználói bejelentkezés
- Csatlakozás a Microsoft Entra-azonosítóhoz
- Szinkronizál
Szükséges összetevők telepítése
A szinkronizálási szolgáltatások telepítésekor a választható konfigurációs szakaszt kijelöletlenül hagyhatja. A Microsoft Entra Connect mindent automatikusan beállít. Beállít egy SQL Server 2019 Express LocalDB-példányt, létrehozza a megfelelő csoportokat, és engedélyeket rendel hozzá. Ha módosítani szeretné az alapértelmezett beállításokat, jelölje ki a megfelelő mezőket. Az alábbi táblázat összefoglalja ezeket a lehetőségeket, és további információkra mutató hivatkozásokat tartalmaz.
| Választható konfiguráció | Leírás |
|---|---|
| Egyéni telepítési hely megadása | Lehetővé teszi a Microsoft Entra Connect alapértelmezett telepítési útvonalának módosítását. |
| Meglévő SQL Server használata | Lehetővé teszi az SQL Server és a példány nevének megadását. Válassza ezt a lehetőséget, ha már rendelkezik használni kívánt adatbázis-kiszolgálóval. A Példánynév mezőbe írja be a példány nevét, a vesszőt és a portszámot, ha az SQL Server-példányon nincs engedélyezve a böngészés. Ezután adja meg a Microsoft Entra Connect-adatbázis nevét. Az SQL-jogosultságok határozzák meg, hogy létre lehet-e hozni egy új adatbázist, vagy az SQL-rendszergazdának előre létre kell hoznia az adatbázist. Ha rendelkezik SQL Server-rendszergazdai (SA-) engedélyekkel, tekintse meg a Microsoft Entra Connect telepítése meglévő adatbázis használatával című témakört. Ha delegált engedélyekkel (DBO) rendelkezik, tekintse meg a Microsoft Entra Connect telepítését az SQL delegált rendszergazdai engedélyekkel. |
| Meglévő szolgáltatásfiók használata | A Microsoft Entra Connect alapértelmezés szerint egy virtuális szolgáltatásfiókot biztosít a szinkronizálási szolgáltatásokhoz. Ha az SQL Server távoli példányát használja, vagy hitelesítést igénylő proxyt használ, használhat felügyelt szolgáltatásfiókot vagy jelszóval védett szolgáltatásfiókot a tartományban. Ezekben az esetekben adja meg a használni kívánt fiókot. A telepítés futtatásához sa-nak kell lennie az SQL-ben, hogy bejelentkezési hitelesítő adatokat hozhasson létre a szolgáltatásfiókhoz. További információ: Microsoft Entra Connect-fiókok és -engedélyek.
A legújabb build használatával az SQL-rendszergazda mostantól sávon kívül építheti ki az adatbázist. Ezután a Microsoft Entra Connect rendszergazdája telepítheti adatbázis-tulajdonosi jogosultságokkal. További információ: A Microsoft Entra Connect telepítése az SQL delegált rendszergazdai engedélyeinek használatával. |
| Egyéni szinkronizálási csoportok megadása | Alapértelmezés szerint a szinkronizálási szolgáltatások telepítésekor a Microsoft Entra Connect négy olyan csoportot hoz létre, amelyek helyiek a kiszolgálón. Ezek a csoportok a Rendszergazdák, Operátorok, Tallózás és Jelszó visszaállítás. Itt megadhatja a saját csoportjait. A csoportoknak helyinek kell lenniük a kiszolgálón. Nem találhatók a tartományban. |
| Szinkronizálási beállítások importálása | Így importálhatja a beállításokat a Microsoft Entra Connect más verzióból. További információ: A Microsoft Entra Connect konfigurációs beállításainak importálása és exportálása. |
Felhasználói bejelentkezés
A szükséges összetevők telepítése után válassza ki a felhasználók egyszeri bejelentkezési módszerét. Az alábbi táblázat röviden ismerteti a rendelkezésre álló lehetőségeket. A bejelentkezési módok teljes leírásáért lásd: Felhasználói bejelentkezés.
| Egyszeri bejelentkezés lehetőség | Leírás |
|---|---|
| Jelszókivonat szinkronizálása | A felhasználók a helyszíni hálózatukban használt jelszóval jelentkezhetnek be a Microsoft felhőszolgáltatásaiba, például a Microsoft 365-be. A felhasználói jelszavakat a rendszer jelszókivonatként szinkronizálja a Microsoft Entra-azonosítóval. A hitelesítés a felhőben történik. További információ: Jelszókivonat-szinkronizálás. |
| Közvetlen hitelesítés | A felhasználók a helyszíni hálózatukban használt jelszóval jelentkezhetnek be a Microsoft felhőszolgáltatásaiba, például a Microsoft 365-be. A felhasználói jelszavak érvényesítése a helyi Active Directory tartományvezérlőnek való továbbítással történik. |
| Összevonás az AD FS rendszerrel | A felhasználók a helyszíni hálózatukban használt jelszóval jelentkezhetnek be a Microsoft felhőszolgáltatásaiba, például a Microsoft 365-be. A rendszer átirányítja a felhasználókat a helyszíni Azure Active Directory Federation Services (AD FS) példányára bejelentkezés céljából. A hitelesítés a helyszínen történik. |
| Összevonás a PingFederate-tel | A felhasználók a helyszíni hálózatukban használt jelszóval jelentkezhetnek be a Microsoft felhőszolgáltatásaiba, például a Microsoft 365-be. A rendszer átirányítja a felhasználókat a helyszíni PingFederate-példányukra a bejelentkezéshez. A hitelesítés a helyszínen történik. |
| Ne konfiguráljon | Nincs telepítve vagy konfigurálva felhasználói bejelentkezési funkció. Akkor válassza ezt a lehetőséget, ha már rendelkezik egy külső összevonási kiszolgálóval vagy egy másik megoldással. |
| Egyszeri bejelentkezés engedélyezése | Ez a beállítás jelszókivonat-szinkronizálással és átmenő hitelesítéssel is elérhető. Egyetlen bejelentkezési felületet biztosít a vállalati hálózatok asztali felhasználói számára. További információ: Egyszeri bejelentkezés.
Megjegyzés: Az AD FS-ügyfelek számára ez a beállítás nem érhető el. Az AD FS már ugyanazt az egyszeri bejelentkezési szintet kínálja. |
Csatlakozás a Microsoft Entra-azonosítóhoz
A Csatlakozás a Microsoft Entra-azonosítóhoz lapon adjon meg egy hibrid identitás-rendszergazdai fiókot és jelszót. Ha az előző oldalon az AD FS-szel rendelkező összevonás lehetőséget választotta, ne jelentkezzen be olyan fiókkal, amely olyan tartományban található, amelyet engedélyezni szeretne az összevonáshoz.
Érdemes lehet egy fiókot használni az alapértelmezett onmicrosoft.com tartományban, amely a Microsoft Entra-bérlőhöz tartozik. Ez a fiók csak szolgáltatásfiók létrehozásához használható a Microsoft Entra-azonosítóban. A telepítés befejezése után nem használható.
Megjegyzés
Ajánlott eljárás elkerülni a helyszíni szinkronizált fiókok használatát a Microsoft Entra szerepkör-hozzárendelésekhez. Ha a helyszíni fiók biztonsága sérül, ezzel a Microsoft Entra-erőforrásokat is veszélyeztetheti. Az ajánlott eljárások teljes listájáért tekintse meg a Microsoft Entra-szerepkörök ajánlott eljárásait
Ha a hibrid identitás-rendszergazdai fiók többtényezős hitelesítést engedélyez, a bejelentkezési ablakban ismét meg kell adnia a jelszót, és el kell végeznie a többtényezős hitelesítéssel kapcsolatos feladatot. Ez a lépés lehet egy ellenőrző kód megadása, vagy egy telefonhívás.
A hibrid identitáskezelő fiók jogosultsági szintű identitáskezelési is engedélyezve lehet.
Ha nem jelszó nélküli forgatókönyvekhez, például összevont fiókokhoz, intelligens kártyákhoz és MFA-forgatókönyvekhez szeretne hitelesítési támogatást használni, a varázsló indításakor megadhatja az /InteractiveAuth kapcsolót. Ez a kapcsoló megkerüli a varázsló hitelesítési felhasználói felületét, és az MSAL-kódtár felhasználói felületével kezeli a hitelesítést.
Ha hibaüzenetet lát, vagy csatlakozási problémákat tapasztal, tekintse meg a csatlakozási problémák hibaelhárítását.
Lapok szinkronizálása
A következő szakaszok a Szinkronizálás szakasz lapjait ismertetik.
Kapcsolja össze a címtárait
Az Active Directory tartományi szolgáltatásokhoz (AD DS) való csatlakozáshoz a Microsoft Entra Connectnek szüksége van egy megfelelő engedélyekkel rendelkező fiókhoz tartozó erdőnévre és hitelesítő adatokra.
Miután megadta az erdő nevét, és kiválasztotta a Címtár hozzáadása lehetőséget, megjelenik egy ablak. Az alábbi táblázat a beállításokat ismerteti.
| Lehetőség | Leírás |
|---|---|
| Új fiók létrehozása | Hozza létre azt az AD DS-fiókot, amelyhez a Microsoft Entra Connectnek csatlakoznia kell az Active Directory-erdőhöz a címtár-szinkronizálás során. A beállítás kiválasztása után adja meg egy vállalati rendszergazdai fiók felhasználónevét és jelszavát. A Microsoft Entra Connect a megadott vállalati rendszergazdai fiókkal hozza létre a szükséges AD DS-fiókot. A tartományrészt NetBIOS vagy FQDN formátumban is megadhatja. Azaz, írja be FABRIKAM\administrator vagy fabrikam.com\administrator. |
| Meglévő fiók használata | Adjon meg egy meglévő AD DS-fiókot, amellyel a Microsoft Entra Connect csatlakozhat az Active Directory-erdőhöz a címtár-szinkronizálás során. A tartományrészt NetBIOS vagy FQDN formátumban is megadhatja. Írja be FABRIKAM\syncuser vagy fabrikam.com\syncuser. Ez a fiók lehet egy normál felhasználói fiók, mert csak az alapértelmezett olvasási engedélyekre van szüksége. A forgatókönyvtől függően azonban további engedélyekre lehet szükség. További információ: Microsoft Entra Connect-fiókok és -engedélyek. |
Megjegyzés
Az 1.4.18.0-s buildben nem használhat vállalati rendszergazdai vagy tartományi rendszergazdai fiókot AD DS-összekötő fiókként. Ha a Meglévő fiók használata lehetőséget választja, ha vállalati rendszergazdai fiókot vagy tartományi rendszergazdai fiókot próbál meg megadni, a következő hibaüzenet jelenik meg: "Vállalati vagy tartományi rendszergazdai fiók használata az AD-erdőfiókhoz nem engedélyezett. Engedje, hogy a Microsoft Entra Connect hozza létre a fiókot, vagy adjon meg egy szinkronizálási fiókot a megfelelő engedélyekkel.“
Microsoft Entra bejelentkezési konfiguráció
A Microsoft Entra bejelentkezési konfigurációs lapján tekintse át a felhasználói főnév (UPN) tartományokat a helyszíni AD DS környezetben. Ezek az UPN-tartományok a Microsoft Entra-azonosítóban lettek ellenőrizve. Ezen a lapon konfigurálja a userPrincipalName attribútumot.
Tekintse át az összes olyan tartományt, amely nincs hozzáadva vagy nem ellenőrzöttként van megjelölve. Győződjön meg arról, hogy a használt tartományok a Microsoft Entra-azonosítóban vannak ellenőrizve. A tartományok ellenőrzése után válassza a körkörös frissítés ikont. További információ: Tartomány hozzáadása és ellenőrzése.
A felhasználók a userPrincipalName attribútumot használják, amikor bejelentkeznek a Microsoft Entra ID-be és a Microsoft 365-be. A Microsoft Entra-azonosítónak ellenőriznie kell a tartományokat( más néven UPN-utótagot) a felhasználók szinkronizálása előtt. A Microsoft azt javasolja, hogy tartsa meg az alapértelmezett userPrincipalName attribútumot.
Ha a userPrincipalName attribútum nem átirányítható, és nem ellenőrizhető, akkor választhat egy másik attribútumot. Kiválaszthatja például az e-mailt a bejelentkezési azonosítót tartalmazó attribútumként. Ha nem userPrincipalName attribútumot használ, az alternate ID-ként ismert.
A Másodlagos azonosító attribútum értékének igazodnia kell az RFC 822 szabványhoz. A Másodlagos azonosító a jelszókivonat-szinkronizálással, az átmenő hitelesítéssel és az összevonással egyaránt használható. Az Active Directoryban az attribútum nem definiálható többértékűként, még akkor sem, ha csak egyetlen értékkel rendelkezik. A másodlagos azonosítóval kapcsolatos további információkért lásd : Átmenő hitelesítés: Gyakori kérdések.
Megjegyzés
Ha engedélyezi az átmenő hitelesítést, legalább egy ellenőrzött tartománnyal kell rendelkeznie az egyéni telepítési folyamat folytatásához.
Figyelmeztetés
A másodlagos azonosítók nem kompatibilisek az összes Microsoft 365-számítási feladattal. További információ: Alternatív bejelentkezési azonosítók konfigurálása.
Domain és OU szűrés
Alapértelmezés szerint az összes tartomány és szervezeti egység (OU) szinkronizálva van. Ha nem szeretne szinkronizálni bizonyos tartományokat vagy szervezeti egységeket a Microsoft Entra-azonosítóval, törölheti a megfelelő kijelöléseket.
Ez a lap tartományalapú és szervezeti egységalapú szűrést konfigurál. Ha módosításokat tervez, tekintse meg a tartományalapú szűrést és a szervezeti egység szerinti szűrést. Egyes szervezeti egységek alapvető fontosságúak a funkciókhoz, ezért hagyja őket kijelölve.
Ha szervezeti egységalapú szűrést használ az 1.1.524.0-snál régebbi Microsoft Entra Connect-verzióval, a rendszer alapértelmezés szerint szinkronizálja az új szervezeti egységeket. Ha nem szeretné, hogy az új szervezeti egységek szinkronizálva legyenek, a szervezeti egységalapú szűrési lépés után módosíthatja az alapértelmezett viselkedést . A Microsoft Entra Connect 1.1.524.0-s vagy újabb verziói esetében jelezheti, hogy szinkronizálni szeretné-e az új szervezeti egységeket.
Ha csoportalapú szűrést szeretne használni, győződjön meg arról, hogy a csoport szervezeti egysége bele van foglalva, és nem kerül kiszűrésre az OU-szűrés használatával. A szervezeti egység szűrése a csoportalapú szűrés kiértékelése előtt történik.
Előfordulhat, hogy egyes tartományok nem érhetők el tűzfalkorlátozások miatt. Ezek a tartományok alapértelmezés szerint nincsenek kijelölve, és figyelmeztetést jelenítenek meg. Ha ezt a figyelmeztetést látja, győződjön meg arról, hogy ezek a tartományok valóban nem érhetők el, és hogy a figyelmeztetés várható.
Felhasználók egyedi azonosítása
A Felhasználók azonosítása lapon válassza ki, hogyan azonosíthatja a helyszíni címtárak felhasználóit, és hogyan azonosíthatja őket a sourceAnchor attribútum használatával.
Válassza ki, hogyan történjen a felhasználók azonosítása a helyszíni címtárakban
Az Erdők közötti egyeztetés funkció használatával meghatározhatja, hogyan jelennek meg az AD DS-erdők felhasználói a Microsoft Entra ID-ben. Előfordulhat, hogy egy felhasználó csak egyszer jelenik meg az összes erdőben, vagy engedélyezett és letiltott fiókok kombinációjával rendelkezik. A felhasználók egyes erdőkben esetleg kapcsolattartóként is szerepelhetnek.
| Beállítás | Leírás |
|---|---|
| A felhasználók csak egyszer jelennek meg az összes erdőben | Minden felhasználó egyéni objektumként jön létre a Microsoft Entra-azonosítóban. Az objektumok nincsenek összekapcsolva a metaversen. |
| Levéltulajdonság | Ez a beállítás összekapcsolja a felhasználókat és a kapcsolattartókat, amennyiben a levél attribútum ugyanazzal az értékkel rendelkezik különböző felhőkben. Ezt a lehetőséget akkor használja, ha a névjegyeket a GALSync használatával hozta létre. Ha ezt a beállítást választja, a levelezési attribútummal nem rendelkező felhasználói objektumok nem lesznek szinkronizálva a Microsoft Entra ID-hez. |
| ObjectSID és msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID attribútumok | Ez a beállítás összeköt egy fiókerdőben található engedélyezett felhasználót egy erőforráserdőben található letiltott felhasználóval. Az Exchange ezt a konfigurációt csatolt postaládaként ismeri. Ezt a lehetőséget akkor használhatja, ha csak a Lyncet használja, és ha az Exchange nem található az erőforrás-erdőben. |
| SAMAccountName és MailNickName attribútumok | Ez a beállítás olyan attribútumokhoz csatlakozik, ahol a felhasználó bejelentkezési azonosítója várhatóan megtalálható lesz. |
| Adott attribútum kiválasztása | Ez a beállítás lehetővé teszi, hogy kiválassza a saját attribútumát. Ha ezt a beállítást választja, a rendszer nem szinkronizálja azokat a felhasználói objektumokat, amelyek (kijelölt) attribútuma nincs kitöltve. Korlátozás: Ehhez a beállításhoz csak a metaverzumban már szereplő attribútumok érhetők el. |
A felhasználók azonosításának módjának kiválasztása forráshorgony használatával
A sourceAnchor attribútum nem módosítható egy felhasználói objektum élettartama alatt. Ez az elsődleges kulcs, amely összekapcsolja a helyszíni felhasználót a Microsoft Entra-azonosítóban lévő felhasználóval.
| Beállítás | Leírás |
|---|---|
| Hagyja, hogy az Azure kezelje a forráshorgonyt | Válassza ezt a lehetőséget, ha azt szeretné, hogy a Microsoft Entra ID válassza ki az attribútumot. Ha ezt a lehetőséget választja, a Microsoft Entra Connect a sourceAnchor attribútum kiválasztási logikáját alkalmazza, amelyet az ms-DS-ConsistencyGuid használata sourceAnchorként című cikkben ismertetett. Az egyéni telepítés befejezése után láthatja, hogy melyik attribútum lett kiválasztva a sourceAnchor attribútumként. |
| Adott attribútum kiválasztása | Válassza ezt a lehetőséget, ha forrásAnchor attribútumként meg szeretne adni egy meglévő AD-attribútumot. |
Mivel a sourceAnchor attribútum nem módosítható, ki kell választania egy megfelelő attribútumot. Egy jó jelölt az objectGUID. Ez az attribútum csak akkor változik, ha a felhasználói fiók erdők vagy tartományok között van áthelyezve. Ne válasszon olyan attribútumokat, amelyek megváltozhatnak, ha egy személy feleségül veszi vagy módosítja a feladatokat.
Nem használhat at sign (@) attribútumokat, így nem használhatja az e-maileket és a userPrincipalName nevet. Az attribútum megkülönbözteti a kis- és nagybetűket is, ezért ha egy objektumot erdők között helyez át, ügyeljen arra, hogy a nagybetűket és a kisbetűket megőrizze. A bináris attribútumok Base64 kódolásúak, de más attribútumtípusok nem kódolt állapotban maradnak.
Összevonási forgatókönyvekben és néhány Microsoft Entra ID-felületen a sourceAnchor attribútumot immutableID-nek is nevezik.
A forráshorgonyról további információt a tervezési fogalmakban talál.
Szinkronizálás szűrése csoportok alapján
A csoportokra történő szűrés funkció lehetővé teszi, hogy csak egy kis részhalmazt szinkronizáljon egy tesztelés során. A funkció használatához hozzon létre egy csoportot erre a célra az Active Directory helyszíni példányában. Ezután vegye fel azokat a felhasználókat és csoportokat, amelyeket közvetlen tagokként szinkronizálni kell a Microsoft Entra-azonosítóval. Később hozzáadhat felhasználókat, vagy eltávolíthat felhasználókat ebből a csoportból, hogy megőrizze a Microsoft Entra-azonosítóban található objektumok listáját.
A szinkronizálni kívánt objektumoknak a csoport közvetlen tagjainak kell lenniük. A felhasználóknak, csoportoknak, partnereknek és számítógépeknek vagy eszközöknek mind közvetlen tagoknak kell lenniük. A beágyazott csoporttagságot nem oldották fel. Ha tagként vesz fel egy csoportot, a rendszer csak magát a csoportot adja hozzá. A tagok még nincsenek hozzáadva.
Figyelmeztetés
Ez a funkció csak a próbatelepítést támogatja. Ne használja éles környezetben teljes mértékben.
Teljes éles környezetben nehéz lenne egyetlen csoportot és annak összes objektumát szinkronizálni. A csoportokon való szűrés funkció helyett használja a Szűrés konfigurálása című cikkben ismertetett módszerek egyikét.
Választható funkciók
A következő lapon kiválaszthatja a forgatókönyv választható funkcióit.
Figyelmeztetés
A Microsoft Entra Connect 1.0.8641.0-s és korábbi verziói az Azure Access Control Service-ra támaszkodnak a jelszóvisszaíráshoz. Ezt a szolgáltatást 2018. november 7-én megszüntették. Ha a Microsoft Entra Connect ezen verzióinak bármelyikét használja, és engedélyezte a jelszóvisszaírást, előfordulhat, hogy a felhasználók a szolgáltatás kivonásakor elveszítik a jelszavuk módosítását vagy alaphelyzetbe állítását. A Microsoft Entra Connect ezen verziói nem támogatják a jelszóvisszaírást.
Ha jelszóvisszaírót szeretne használni, töltse le a Microsoft Entra Connect legújabb verzióját.
Figyelmeztetés
Ha Azure AD-szinkronizáló vagy közvetlen szinkronizálás (DirSync) aktív, ne aktiváljon visszaírási funkciókat a Microsoft Entra Connectben.
| Választható funkciók | Leírás |
|---|---|
| Exchange hibrid üzembe helyezése | Az Exchange hibrid üzembe helyezési funkciója lehetővé teszi az Exchange-postaládák egyidejű használatát a helyszínen és a Microsoft 365-ben is. A Microsoft Entra Connect egy adott attribútumkészletet szinkronizál a Microsoft Entra ból a helyszíni címtárba. |
| Nyilvános Exchange-levelek mappái | Az Exchange levelezési nyilvános mappák funkciójával szinkronizálhatja a levelezésre képes nyilvános mappa objektumait az Active Directory helyszíni példányából a Microsoft Entra-azonosítóba. Vegye figyelembe, hogy a nyilvános mappákat tagként tartalmazó csoportok szinkronizálása nem támogatott, és ennek megkísérlése szinkronizálási hibát fog eredményezni. |
| Microsoft Entra alkalmazás- és attribútumszűrés | A Microsoft Entra alkalmazás- és attribútumszűrés engedélyezésével testre szabhatja a szinkronizált attribútumok készletét. Ez a beállítás két további konfigurációs oldallal bővíti a varázslót. További információ: Microsoft Entra alkalmazás és attribútumszűrés. |
| Jelszókivonat szinkronizálása | Ha az összevonást választotta bejelentkezési megoldásként, engedélyezheti a jelszókivonat-szinkronizálást. Ezután biztonsági mentési lehetőségként is használhatja.
Ha az átmenő hitelesítést választotta, engedélyezheti ezt a beállítást az örökölt ügyfelek támogatásának biztosításához és a biztonsági mentés biztosításához. További információ: Jelszókivonat-szinkronizálás. |
| Jelszó visszaírása | Ezzel a beállítással biztosíthatja, hogy a Microsoft Entra-azonosítóból származó jelszómódosítások vissza legyenek írva a helyszíni címtárba. További részletekért lásd: A jelszókezelés első lépései. |
| Csoportvisszaírás | Ha Microsoft 365-csoportokat használ, akkor az Active Directory helyszíni példányában meg tud jeleníteni csoportokat. Ez a beállítás csak akkor érhető el, ha az Exchange az Active Directory helyszíni példányában található. További információkért lásd: Microsoft Entra Connect csoportvisszaírás. |
| Eszközvisszaírás | Feltételes hozzáférési forgatókönyvek esetén ezzel a beállítással visszaírhatja az eszközobjektumokat a Microsoft Entra ID-ban az Active Directory helyszíni példányába. További információkért lásd: Eszköz-visszaírás engedélyezése a Microsoft Entra Connect alkalmazásban. |
| Directory extension attribute sync (Címtárbővítmény-attribútumok szinkronizálása) | Ezzel a beállítással szinkronizálhatja a megadott attribútumokat a Microsoft Entra-azonosítóval. További információkért lásd: Címtárbővítmények. |
Microsoft Entra alkalmazás- és attribútumszűrés
Ha korlátozni szeretné, hogy mely attribútumok szinkronizálódnak a Microsoft Entra-azonosítóval, először válassza ki a használt szolgáltatásokat. Ha módosítja a beállításokat ezen a lapon, a telepítővarázsló újrafuttatásával explicit módon ki kell választania egy új szolgáltatást.
Az előző lépésben kiválasztott szolgáltatások alapján ez a lap az összes szinkronizált attribútumot megjeleníti. Ez a lista az összes szinkronizált objektumtípus kombinációja. Ha bizonyos attribútumokra szüksége van ahhoz, hogy ne legyenek szinkronizálva, törölheti a kijelölést ezekből az attribútumokból.
Figyelmeztetés
Az attribútumok eltávolítása hatással lehet a funkciókra. Az ajánlott eljárásokért és javaslatokért tekintse meg a szinkronizálandó attribútumokat.
Címtárbővítmény-attribútumok szinkronizálása
A sémát a Microsoft Entra ID-ban kibővítheti a szervezet által hozzáadott egyéni attribútumok vagy az Active Directoryban található egyéb attribútumok használatával. A funkció használatához a Választható szolgáltatások lapon válassza a Címtárbővítmény attribútum szinkronizálása lehetőséget. A Címtárbővítmények lapon további szinkronizálandó attribútumok közül választhat.
Megjegyzés
Az Elérhető attribútumok mező megkülönbözteti a kis- és nagybetűket.
További információkért lásd: Címtárbővítmények.
Egyszeri bejelentkezés engedélyezése
Az egyszeri bejelentkezés lapon konfigurálhatja az egyszeri bejelentkezést a jelszó-szinkronizáláshoz vagy az átmenő hitelesítéshez. Ezt a lépést minden egyes, a Microsoft Entra-azonosítóval szinkronizált erdő esetében egyszer kell elvégeznie. A konfiguráció két lépésből áll:
- Hozza létre a szükséges számítógépfiókot az Active Directory helyszíni példányában.
- Konfigurálja az ügyfélgépek intranetes zónáját az egyszeri bejelentkezés támogatásához.
A számítógépfiók létrehozása a helyszíni Active Directoryban
A Microsoft Entra Connectben hozzáadott összes erdőhöz meg kell adnia a tartományi rendszergazdai hitelesítő adatokat, hogy a számítógépfiók minden erdőben létrehozható legyen. A hitelesítő adatok csak a fiók létrehozásához használhatók. A rendszer nem tárolja és nem használja őket semmilyen más művelethez. Adja hozzá a hitelesítő adatokat az Egyszeri bejelentkezés engedélyezése lapon az alábbi képen látható módon.
Megjegyzés
Kihagyhatja azokat az erdőket, ahol nem szeretne egyszeri bejelentkezést használni.
Az intranetes zóna konfigurálása ügyfélszámítógépekhez
Annak érdekében, hogy az ügyfél automatikusan jelentkezzen be az intranet zónában, győződjön meg arról, hogy az URL-cím az intranetes zóna része. Ez a lépés biztosítja, hogy a tartományhoz csatlakoztatott számítógép automatikusan Kerberos-jegyet küldjön a Microsoft Entra-azonosítónak, amikor az csatlakozik a vállalati hálózathoz.
Csoportházirend-kezelési eszközökkel rendelkező számítógépen:
Nyissa meg a Csoportházirend felügyeleti eszközeit.
Szerkessze az összes felhasználókra alkalmazandó csoportházirendet. Például az Alapértelmezett domainek irányelve.
Nyissa meg a Felhasználói konfigurációk>Felügyeleti sablonok>Windows-összetevők>Internet Explorer>Internet Vezérlőpult>Biztonsági lapot. Ezután válassza a Helyek zónához rendelési listáját.
Engedélyezze a szabályzatot. Ezután a párbeszédpanelen adja meg a két URL-cím értékének
https://autologon.microsoftazuread-sso.comhttps://aadg.windows.net.nsatc.netnevét és1értékét. A beállításnak az alábbi képhez hasonlóan kell kinéznie.
Kattintson kétszer az OK gombra .
AD FS-összevonás konfigurálása
Az AD FS-t néhány kattintással konfigurálhatja a Microsoft Entra Connecttel. A kezdés előtt a következőkre van szüksége:
- Windows Server 2012 R2 vagy újabb az összevonási kiszolgálóhoz. A távfelügyeletet engedélyezni kell.
- Windows Server 2012 R2 vagy újabb a webalkalmazás-proxy kiszolgálóhoz. A távfelügyeletet engedélyezni kell.
- TLS/SSL-tanúsítvány a használni kívánt összevonási szolgáltatásnévhez (például sts.contoso.com).
Megjegyzés
Az AD FS-farm TLS/SSL-tanúsítványát a Microsoft Entra Connect használatával akkor is frissítheti, ha nem használja az összevonási megbízhatóság kezelésére.
Az AD FS konfigurációs előfeltételei
Az AD FS-farm Microsoft Entra Connect használatával történő konfigurálásához győződjön meg arról, hogy a WinRM engedélyezve van a távoli kiszolgálókon. Győződjön meg arról, hogy elvégezte a többi feladatot az összevonási előfeltételekben. Azt is ellenőrizze, hogy betartja a Microsoft Entra Connect és Federation/WAP-kiszolgálók táblázatban felsorolt portkövetelményeket.
A rendszer kéri a hitelesítő adatok megadását, hogy a webalkalmazás-kiszolgáló biztonságos kapcsolatot létesíthessen az AD FS-kiszolgálóval. Ezeknek a hitelesítő adatoknak egy helyi rendszergazdai fióknak kell lenniük az AD FS-kiszolgálón.
Új AD FS farm létrehozása vagy meglévő AD FS farm használata
Használhat egy meglévő AD FS-farmot, vagy létrehozhat egy újat. Ha újat hoz létre, meg kell adnia a TLS-/SSL-tanúsítványt. Ha a TLS/SSL-tanúsítványt jelszó védi, a rendszer kéri a jelszó megadását.
Ha egy meglévő AD FS-farmot használ, megjelenik az a lap, amelyen konfigurálhatja az AD FS és a Microsoft Entra ID közötti megbízhatósági kapcsolatot.
Megjegyzés
A Microsoft Entra Connect használatával csak egy AD FS-farmot kezelhet. Ha már rendelkezik olyan összevonási megbízhatósági kapcsolattal, amelyben a Microsoft Entra-azonosító a kiválasztott AD FS-farmon van konfigurálva, a Microsoft Entra Connect újra létrehozza a megbízhatóságot az alapoktól.
Az AD FS kiszolgálók megadása
Adja meg azokat a kiszolgálókat, ahol telepíteni szeretné az AD FS-t. A kapacitásigénytől függően hozzáadhat egy vagy több kiszolgálót. A konfiguráció beállítása előtt csatlakozzon az összes AD FS-kiszolgálóhoz az Active Directoryhoz. Ez a lépés nem szükséges a webes alkalmazásproxy kiszolgálókhoz.
A Microsoft a teszt- és próbatelepítésekhez egyetlen AD FS-kiszolgáló üzembe helyezését javasolja. A kezdeti konfiguráció után a Microsoft Entra Connect ismételt futtatásával további kiszolgálókat adhat hozzá és helyezhet üzembe a skálázási igényeknek megfelelően.
Megjegyzés
A konfiguráció beállítása előtt győződjön meg arról, hogy az összes kiszolgáló egy Microsoft Entra-tartományhoz csatlakozik.
A webalkalmazás-proxy kiszolgálók megadása
Adja meg a webalkalmazás-proxy kiszolgálóit. A webes alkalmazásproxy kiszolgáló a peremhálózatra van telepítve, és az extranet irányába néz. Támogatja az extranetről érkező hitelesítési kéréseket. A kapacitásigénytől függően hozzáadhat egy vagy több kiszolgálót.
A Microsoft azt javasolja, hogy egyetlen webes alkalmazásproxy-kiszolgálót telepítsen tesztelési és próbatelepítésekhez. A kezdeti konfiguráció után a Microsoft Entra Connect ismételt futtatásával további kiszolgálókat adhat hozzá és helyezhet üzembe a skálázási igényeknek megfelelően. Azt javasoljuk, hogy az intranetről történő hitelesítés kielégítése érdekében azonos számú proxykiszolgálóval rendelkezzen.
Megjegyzés
- Ha a használt fiók nem helyi rendszergazda a webalkalmazás proxykiszolgálókon, akkor rendszergazdai jogosultságokat kér a rendszer.
- A webes alkalmazásproxy kiszolgálók megadása előtt győződjön meg arról, hogy HTTP/HTTPS kapcsolat van a Microsoft Entra Connect-kiszolgáló és a webes alkalmazásproxy kiszolgáló között.
- Győződjön meg arról, hogy HTTP-/HTTPS-kapcsolat van a webalkalmazás-kiszolgáló és az AD FS-kiszolgáló között, hogy engedélyezve legyen a hitelesítési kérelmek áthaladása.
Szolgáltatásfiók megadása az AD FS szolgáltatáshoz
Az AD FS szolgáltatáshoz tartományi szolgáltatásfiók szükséges a felhasználók hitelesítéséhez és a felhasználói adatok kereséséhez az Active Directoryban. A szolgáltatásfiókok két típusát tudja támogatni:
- Csoport által felügyelt szolgáltatásfiók: Ezt a fióktípust a Windows Server 2012 vezette be az AD DS-be. Ez a fióktípus olyan szolgáltatásokat biztosít, mint az AD FS. Ez egy olyan fiók, amelyben nem kell rendszeresen frissítenie a jelszót. Ezt a lehetőséget akkor alkalmazza, ha Windows Server 2012 tartományvezérlőkkel rendelkezik a tartományban, amelyhez az AD FS-kiszolgálók tartoznak.
- Tartományi felhasználói fiók: Az ilyen típusú fiókhoz meg kell adnia egy jelszót, és rendszeresen frissítenie kell, amikor lejár. Ezt a lehetőséget csak akkor használja, ha nem rendelkezik Windows Server 2012 tartományvezérlőkkel abban a tartományban, amelyhez az AD FS-kiszolgálók tartoznak.
Ha a Csoport által felügyelt szolgáltatásfiók létrehozása lehetőséget választotta, és ezt a funkciót még soha nem használta az Active Directoryban, adja meg a vállalati rendszergazdai hitelesítő adatait. A hitelesítő adatok a kulcstároló indításához és a szolgáltatás az Active Directoryban való engedélyezéséhez szükségesek.
Megjegyzés
A Microsoft Entra Connect ellenőrzi, hogy az AD FS szolgáltatás már regisztrálva van-e egyszerű szolgáltatásnévként (SPN) a tartományban. Az AD DS nem teszi lehetővé, hogy a duplikált SPN-eket egyszerre regisztrálják. Ha duplikált SPN található, nem folytathatja a folyamatot, amíg az SPN-t el nem távolítják.
Válassza ki azt a Microsoft Entra-tartományt, amelyet össze szeretne egyesíteni
Az AD FS és a Microsoft Entra ID összevonási kapcsolatának beállításához használja a Microsoft Entra Domain lapot. Itt úgy konfigurálja az AD FS-t, hogy biztonsági jogkivonatokat továbbítson a Microsoft Entra ID-nek. Microsoft Entra ID-t is úgy konfigurálhatja, hogy megbízzon az AD FS-példányból származó jogkivonatokban.
Ezen a lapon csak egyetlen tartományt konfigurálhat a kezdeti telepítés során. Később további tartományokat is konfigurálhat a Microsoft Entra Connect ismételt futtatásával.
A rendszer kéri a hitelesítő adatok megadását, hogy a webalkalmazás-kiszolgáló biztonságos kapcsolatot létesíthessen az AD FS-kiszolgálóval. Ezeknek a hitelesítő adatoknak egy helyi rendszergazdai fióknak kell lenniük az AD FS-kiszolgálón.
Az összevonáshoz kiválasztott Microsoft Entra tartomány ellenőrzése
Amikor kiválasztja a összevonni kívánt tartományt, a Microsoft Entra Connect olyan információkat biztosít, amelyekkel ellenőrizetlen tartományt ellenőrizhet. További információ: Tartomány hozzáadása és ellenőrzése.
Megjegyzés
A Microsoft Entra Connect megpróbálja ellenőrizni a tartományt a konfigurációs szakaszban. Ha nem adja hozzá a szükséges DNS-rekordokat, a konfiguráció nem hajtható végre.
PingFederate-összevonás konfigurálása
Néhány kattintással konfigurálhatja a PingFederate-et a Microsoft Entra Connect használatával. A következő előfeltételek szükségesek:
- PingFederate 8.4 vagy újabb. További információkért tekintse meg a PingFederate és a Microsoft Entra ID és a Microsoft 365 integrációját a Ping Identity dokumentációjában.
- TLS/SSL-tanúsítvány a használni kívánt összevonási szolgáltatásnévhez (például sts.contoso.com).
A tartomány hitelesítése
Miután úgy döntött, hogy a PingFederate használatával állítja be az összevonást, a rendszer megkéri, hogy ellenőrizze a összevonni kívánt tartományt. Válassza ki a tartományt a legördülő menüből.
A PingFederate-beállítások exportálása
Konfigurálja a PingFederate-et összevonási kiszolgálóként minden egyes összevont Azure-tartományhoz. Válassza az Exportálási beállítások lehetőséget , ha meg szeretné osztani ezeket az adatokat a PingFederate rendszergazdájával. Az összevonási kiszolgáló rendszergazdája frissíti a konfigurációt, majd megadja a PingFederate-kiszolgáló URL-címét és portszámát, hogy a Microsoft Entra Connect ellenőrizni tudja a metaadatok beállításait.
A rendszer kéri a hitelesítő adatok megadását, hogy a webalkalmazás-kiszolgáló biztonságos kapcsolatot létesíthessen az AD FS-kiszolgálóval. Ezeknek a hitelesítő adatoknak egy helyi rendszergazdai fióknak kell lenniük az AD FS-kiszolgálón.
Az érvényesítéssel kapcsolatos problémák megoldásához forduljon a PingFederate-rendszergazdához. Az alábbi képen egy olyan PingFederate-kiszolgáló adatai láthatók, amely nem rendelkezik érvényes megbízhatósági kapcsolattal az Azure-ral.
Az összevonási kapcsolat ellenőrzése
A Microsoft Entra Connect megpróbálja ellenőrizni azokat a hitelesítési végpontokat, amelyeket az előző lépésben lekért a PingFederate metaadataiból. A Microsoft Entra Connect először megpróbálja feloldani a végpontokat a helyi DNS-kiszolgálók használatával. Ezután megkísérli feloldani a végpontokat egy külső DNS-szolgáltató használatával. Az érvényesítéssel kapcsolatos problémák megoldásához forduljon a PingFederate-rendszergazdához.
Federált bejelentkezés ellenőrzése
Végezetül az újonnan konfigurált összevont bejelentkezési folyamat ellenőrzéséhez bejelentkezhet az összevont tartományba. Ha a bejelentkezés sikeres, akkor a PingFederate-összevonás sikeresen konfigurálva van.
Konfigurálás és ellenőrzés oldalak
A konfiguráció a Konfigurálás lapon történik.
Megjegyzés
Ha összevonást konfigurált, a telepítés folytatása előtt győződjön meg arról, hogy az összevonási kiszolgálók névfeloldását is konfigurálta.
Átmeneti mód használata
Az előkészítési móddal párhuzamosan új szinkronizálási kiszolgálót is beállíthat. Ha ezt a beállítást szeretné használni, akkor csak egy szinkronizálási kiszolgáló exportálhat egy könyvtárba a felhőben. Ha azonban át szeretne lépni egy másik kiszolgálóról, például egy DirSyncet futtató kiszolgálóról, akkor átmeneti módban engedélyezheti a Microsoft Entra Connect szolgáltatást.
Az előkészítési beállítás engedélyezésekor a szinkronizálási motor a szokásos módon importálja és szinkronizálja az adatokat. De nem exportál adatokat a Microsoft Entra-azonosítóba vagy az Active Directoryba. Átmeneti módban a jelszószinkronizálási funkció és a jelszóvisszaíró funkció le van tiltva.
Átmeneti módban elvégezheti a szükséges módosításokat a szinkronizálási motoron, és áttekintheti, hogy mi lesz exportálva. Ha a konfiguráció megfelelőnek tűnik, futtassa le újra a telepítővarázslót, és tiltsa le az átmeneti módot.
A rendszer most exportálja az adatokat a Microsoft Entra-azonosítóba a kiszolgálóról. Mindenképpen tiltsa le ezzel egy időben a másik kiszolgálót, hogy egyszerre csak egy kiszolgáló exportáljon aktívan.
További információkért lásd: Átmeneti mód.
Federáció konfigurációjának ellenőrzése
A Microsoft Entra Connect ellenőrzi a DNS-beállításokat az Ellenőrzés gomb kiválasztásakor. A következő beállításokat ellenőrzi:
Intranetes kapcsolat
- Federációs FQDN feloldása: A Microsoft Entra Connect ellenőrzi, hogy a DNS fel tudja-e oldani a federációs FQDN-t a kapcsolat biztosításához. Ha a Microsoft Entra Connect nem tudja feloldani az FQDN-t, az ellenőrzés sikertelen lesz. Az ellenőrzés befejezéséhez győződjön meg arról, hogy egy DNS-rekord létezik az összevonási szolgáltatás teljes tartományneve számára.
- DNS A rekord: A Microsoft Entra Connect ellenőrzi, hogy az összevonási szolgáltatás rendelkezik-e A rekorddal. A "A record" hiányában az ellenőrzés meghiúsul. Az ellenőrzés elvégzéséhez hozzon létre egy A rekordot (nem CNAME rekordot) a federáció teljes tartománynevéhez.
Extranetes kapcsolat
- Federációs FQDN feloldása: A Microsoft Entra Connect ellenőrzi, hogy a DNS fel tudja-e oldani a federációs FQDN-t a kapcsolat biztosításához. err A teljes körű hitelesítés ellenőrzéséhez manuálisan végezze el az alábbi tesztek egyikét:
Amikor a szinkronizálás befejeződik, a Microsoft Entra Connectben használja az Összevont bejelentkezés ellenőrzése további feladatot, hogy ellenőrizze a kiválasztott helyszíni felhasználói fiók hitelesítését.
Az intraneten lévő, tartományba csatlakoztatott gépen ellenőrizze, hogy be tud-e jelentkezni egy böngészőből. Csatlakozás ehhez: https://myapps.microsoft.com. Ezután a bejelentkezett fiókjával ellenőrizze a bejelentkezést. A beépített AD DS-rendszergazdai fiók nincs szinkronizálva, és nem használhatja ellenőrzésre.
Győződjön meg arról, hogy az extraneten lévő eszközről is bejelentkezhet. Otthoni gépen vagy mobileszközön csatlakozzon a https://myapps.microsoft.comhálózathoz. Ezután adja meg a hitelesítő adatait.
Gazdag kliens bejelentkezésének ellenőrzése. Csatlakozás ehhez: https://testconnectivity.microsoft.com. Ezután válassza az Office 365>Office 365 egyszeri bejelentkezési teszt lehetőséget.
Hibaelhárítás
Ez a szakasz hibaelhárítási információkat tartalmaz, amelyeket akkor használhat, ha probléma merül fel a Microsoft Entra Connect telepítése során.
Ha testre szab egy Microsoft Entra Connect-telepítést, a Szükséges összetevők telepítése lapon válassza a Meglévő SQL Server használata lehetőséget. A következő hibaüzenet jelenhet meg: "Az ADSync-adatbázis már tartalmaz adatokat, és nem írható felül. Távolítsa el a meglévő adatbázist, és próbálkozzon újra."
Ez a hiba azért jelenik meg, mert egy ADSync nevű adatbázis már létezik a megadott SQL Server SQL-példányán.
Ez a hiba általában a Microsoft Entra Connect eltávolítása után jelenik meg. A Microsoft Entra Connect eltávolításakor az adatbázis nem törlődik az SQL Servert futtató számítógépről.
A probléma megoldása:
Ellenőrizze a Microsoft Entra Connect által az eltávolítás előtt használt ADSync-adatbázist. Győződjön meg arról, hogy az adatbázis már nincs használatban.
Készíts biztonsági másolatot az adatbázisról.
Az adatbázis törlése:
- A Microsoft SQL Server Management Studio használatával csatlakozzon az SQL-példányhoz.
- Keresse meg az ADSync-adatbázist , és kattintson rá a jobb gombbal.
- A helyi menüben válassza a Törlés lehetőséget.
- Az adatbázis törléséhez kattintson az OK gombra .
Az ADSync-adatbázis törlése után válassza a Telepítés lehetőséget a telepítés újrapróbálkozásához.
Következő lépések
A telepítés befejezése után jelentkezzen ki a Windowsból. Ezután jelentkezzen be újra a Szinkronizálási szolgáltatáskezelő vagy a Szinkronizálási szabályszerkesztő használata előtt.
Most, hogy telepítette a Microsoft Entra Connectet, ellenőrizheti a telepítést, és licenceket rendelhet hozzá.
A telepítés során engedélyezett funkciókról további információt a Véletlen törlés megakadályozása és a Microsoft Entra Connect Health című témakörben talál.
További információ a gyakori témakörökről: Microsoft Entra Connect Sync: Scheduler és Integrálja a helyszíni identitásokat a Microsoft Entra ID-val.