Megosztás a következőn keresztül:

A Microsoft 365 címtár-szinkronizálásának üzembe helyezése a Microsoft Azure-ban

  • Cikk

Microsoft Entra Connect (korábbi nevén címtár-szinkronizálási eszköz, címtár-szinkronizálási eszköz vagy DirSync.exe eszköz) egy olyan alkalmazás, amelyet egy tartományhoz csatlakoztatott kiszolgálóra telepít a helyi Active Directory Tartományi szolgáltatások (AD DS) felhasználóinak a Microsoft Entra Microsoft 365-előfizetés bérlője. A Microsoft 365 a címtárszolgáltatáshoz Microsoft Entra ID használ. A Microsoft 365-előfizetése tartalmaz egy Microsoft Entra bérlőt. Ez a bérlő a szervezet identitásainak más felhőbeli számítási feladatokkal való kezelésére is használható, beleértve az Egyéb SaaS-alkalmazásokat és -alkalmazásokat az Azure-ban.

A Microsoft Entra Connectet telepítheti helyszíni kiszolgálóra, de az Azure-beli virtuális gépekre is telepítheti az alábbi okokból:

  • Gyorsabban építhet ki és konfigurálhat felhőalapú kiszolgálókat, így a szolgáltatások hamarabb elérhetővé válnak a felhasználók számára.
  • Az Azure kevesebb erőfeszítéssel jobb webhely-rendelkezésre állást biztosít.
  • Csökkentheti a szervezet helyszíni kiszolgálóinak számát.

Ehhez a megoldáshoz kapcsolatra van szükség a helyszíni hálózat és az Azure-beli virtuális hálózat között. További információ: Helyszíni hálózat csatlakoztatása Microsoft Azure-beli virtuális hálózathoz.

Megjegyzés:

Ez a cikk egyetlen tartomány szinkronizálását ismerteti egyetlen erdőben. Microsoft Entra Connect szinkronizálja az Active Directory-erdő összes AD DS-tartományát a Microsoft 365-höz. Ha több Active Directory-erdővel szeretne szinkronizálni a Microsoft 365-höz, tekintse meg a Többerdős címtár-szinkronizálás egyetlen Sign-On forgatókönyvvel című cikket.

A Microsoft 365 címtár-szinkronizálásának üzembe helyezésének áttekintése az Azure-ban

Az alábbi ábrán Microsoft Entra Connect fut egy Azure-beli virtuális gépen (a címtárszinkronizálási kiszolgálón), amely egy helyszíni AD DS-erdőt szinkronizál egy Microsoft 365-előfizetéssel.

Microsoft Entra Connect eszköz egy Azure-beli virtuális gépen, amely szinkronizálja a helyszíni fiókokat egy forgalommal rendelkező Microsoft 365-előfizetés Microsoft Entra bérlőjével.

Az ábrán két hálózat található, amelyeket helyek közötti VPN- vagy ExpressRoute-kapcsolat köt össze. Van egy helyszíni hálózat, ahol az AD DS-tartományvezérlők találhatók, és van egy Azure-beli virtuális hálózat címtárszinkronizálási kiszolgálóval, amely egy Microsoft Entra Connectet futtató virtuális gép. A címtár-szinkronizálási kiszolgálóról két fő forgalom folyik:

  • Microsoft Entra Connect lekérdez egy tartományvezérlőt a helyszíni hálózaton a fiókok és jelszavak módosításához.
  • Microsoft Entra Connect elküldi a fiókokat és a jelszavakat a Microsoft 365-előfizetés Microsoft Entra példányának. Mivel a címtárszinkronizálási kiszolgáló a helyszíni hálózat egy kiterjesztett részén található, ezeket a módosításokat a rendszer a helyszíni hálózat proxykiszolgálóján keresztül küldi el.

Megjegyzés:

Ez a megoldás egyetlen Active Directory-tartomány szinkronizálását ismerteti egyetlen Active Directory-erdőben. Microsoft Entra Connect szinkronizálja az Active Directory-erdő összes Active Directory-tartományát a Microsoft 365-höz. Ha több Active Directory-erdővel szeretne szinkronizálni a Microsoft 365-höz, tekintse meg a Többerdős címtár-szinkronizálás egyetlen Sign-On forgatókönyvvel című cikket.

A megoldás üzembe helyezése két fő lépésből áll:

  1. Hozzon létre egy Azure-beli virtuális hálózatot, és hozzon létre egy helyek közötti VPN-kapcsolatot a helyszíni hálózattal. További információ: Helyszíni hálózat csatlakoztatása Microsoft Azure-beli virtuális hálózathoz.

  2. Telepítse Microsoft Entra Connectet egy tartományhoz csatlakoztatott virtuális gépen az Azure-ban, majd szinkronizálja a helyszíni AD DS-t a Microsoft 365-tel. Ez a következőket foglalja magában:

    • Azure-beli virtuális gép létrehozása Microsoft Entra Connect futtatásához.

    • A Microsoft Entra Connect telepítése és konfigurálása.

    A Microsoft Entra Connect konfigurálásához egy Microsoft Entra rendszergazdai fiók és egy AD DS vállalati rendszergazdai fiók hitelesítő adataira (felhasználónévre és jelszóra) van szükség. Microsoft Entra Connect azonnal és folyamatosan fut, hogy szinkronizálja a helyszíni AD DS-erdőt a Microsoft 365-tel.

Mielőtt éles környezetben üzembe helyezené ezt a megoldást, a Szimulált vállalati alapkonfiguráció című cikk utasításait követve konfigurálhatja ezt a konfigurációt megvalósíthatósági bizonyítékként, bemutatókhoz vagy kísérletezéshez.

Fontos

Ha Microsoft Entra Connect-konfiguráció befejeződik, nem menti az AD DS vállalati rendszergazdai fiók hitelesítő adatait.

Megjegyzés:

Ez a megoldás egyetlen AD DS-erdő Microsoft 365-be történő szinkronizálását ismerteti. A cikkben ismertetett topológia csak egy módszert jelent a megoldás implementálására. A szervezet topológiája az egyedi hálózati követelményektől és biztonsági szempontoktól függően eltérő lehet.

Címtárszinkronizálási kiszolgáló üzemeltetése az Azure-ban a Microsoft 365-höz

Előfeltételek

Mielőtt hozzákezdene, tekintse át a megoldás következő előfeltételeit:

  • Tekintse át a kapcsolódó tervezési tartalmakat az Azure-beli virtuális hálózat megtervezése című témakörben.

  • Győződjön meg arról, hogy megfelel az Azure-beli virtuális hálózat konfigurálásának előfeltételeinek.

  • Olyan Microsoft 365-előfizetéssel rendelkezik, amely tartalmazza az Active Directory integrációs funkciót. A Microsoft 365-előfizetésekkel kapcsolatos információkért látogasson el a Microsoft 365-előfizetések oldalára.

  • Hozzon létre egy Azure-beli virtuális gépet, amely Microsoft Entra Connectet futtatva szinkronizálja a helyszíni AD DS-erdőt a Microsoft 365-tel.

    Rendelkeznie kell az AD DS vállalati rendszergazdai fiókjához tartozó hitelesítő adatokkal (névvel és jelszóval), valamint egy Microsoft Entra rendszergazdai fiókkal.

Megoldásarchitektúra tervezési előfeltételei

Az alábbi lista a megoldáshoz választott tervezési lehetőségeket ismerteti.

  • Ez a megoldás egyetlen Azure-beli virtuális hálózatot használ helyek közötti VPN-kapcsolattal. Az Azure-beli virtuális hálózat egyetlen alhálózatot üzemeltet, amely egyetlen kiszolgálóval rendelkezik, a Microsoft Entra Connectet futtató címtárszinkronizálási kiszolgálóval.

  • A helyszíni hálózaton tartományvezérlő és DNS-kiszolgálók léteznek.

  • Microsoft Entra Connect egyszeri bejelentkezés helyett jelszókivonat-szinkronizálást hajt végre. Nem kell üzembe helyeznie egy Active Directory összevonási szolgáltatások (AD FS) (AD FS) infrastruktúrát. A jelszókivonat-szinkronizálásról és az egyszeri bejelentkezési lehetőségekről a megfelelő hitelesítési módszer kiválasztása a Microsoft Entra hibrid identitáskezelési megoldáshoz című témakörben olvashat bővebben.

Más tervezési lehetőségeket is figyelembe vehet, amikor üzembe helyezi ezt a megoldást a környezetben. Ezek közé tartoznak például az alábbiak:

  • Ha meglévő DNS-kiszolgálók vannak egy meglévő Azure-beli virtuális hálózatban, határozza meg, hogy szeretné-e, hogy a címtár-szinkronizálási kiszolgáló névfeloldás céljából használja őket a helyszíni hálózat DNS-kiszolgálói helyett.

  • Ha egy meglévő Azure-beli virtuális hálózatban vannak tartományvezérlők, állapítsa meg, hogy az Active Directory-helyek és -szolgáltatások konfigurálása jobb megoldás lehet-e Önnek. A címtár-szinkronizálási kiszolgáló lekérdezheti az Azure-beli virtuális hálózat tartományvezérlőit a fiókok és jelszavak változásairól a helyszíni hálózat tartományvezérlői helyett.

Üzembe helyezési ütemterv

A Microsoft Entra Connect üzembe helyezése egy Azure-beli virtuális gépen három fázisból áll:

  • 1. fázis: Az Azure-beli virtuális hálózat létrehozása és konfigurálása

  • 2. fázis: Az Azure-beli virtuális gép létrehozása és konfigurálása

  • 3. fázis: A Microsoft Entra Connect telepítése és konfigurálása

Az üzembe helyezést követően helyeket és licenceket is hozzá kell rendelnie az új felhasználói fiókokhoz a Microsoft 365-ben.

1. fázis: Az Azure-beli virtuális hálózat létrehozása és konfigurálása

Az Azure-beli virtuális hálózat létrehozásához és konfigurálásához végezze el az 1. fázis: A helyszíni hálózat előkészítése és a 2. fázis: A létesítmények közötti virtuális hálózat létrehozása az Azure-ban című szakaszt a Helyszíni hálózat csatlakoztatása Microsoft Azure-beli virtuális hálózathoz című üzembehelyezési ütemtervben.

Ez az eredményként kapott konfiguráció.

Az Azure-ban üzemeltetett Microsoft 365 címtárszinkronizálási kiszolgálójának 1. fázisa.

Ez az ábra egy azure-beli virtuális hálózathoz helyek közötti VPN- vagy ExpressRoute-kapcsolaton keresztül csatlakozó helyszíni hálózatot mutat be.

2. fázis: Az Azure-beli virtuális gép létrehozása és konfigurálása

Hozza létre a virtuális gépet az Azure-ban az első Windows rendszerű virtuális gép létrehozása a Azure Portal című útmutató alapján. Használja a következő beállításokat:

  1. Az Alapvető beállítások panelen válassza ki ugyanazt az előfizetést, helyet és erőforráscsoportot, mint a virtuális hálózat. Rögzítse a felhasználónevet és a jelszót egy biztonságos helyen. Ezekre később szüksége lesz a virtuális géphez való csatlakozáshoz.

  2. A Méret kiválasztása panelen válassza az A2 Standard méretet.

  3. A Beállítások panel Tárolás szakaszában válassza a Standard tárolótípust. A Hálózat szakaszban válassza ki a virtuális hálózat nevét és a címtárszinkronizálási kiszolgálót üzemeltető alhálózatot (ne a GatewaySubnetet). Hagyja meg az összes többi beállítást az alapértelmezett értéken.

Ellenőrizze, hogy a címtárszinkronizálási kiszolgáló megfelelően használja-e a DNS-t. Ehhez ellenőrizze a belső DNS-t, és győződjön meg arról, hogy hozzá lett adva egy címrekord (A) a virtuális géphez az IP-címével.

A Csatlakozás a virtuális géphez című témakörben található utasításokat követve jelentkezzen be a címtár-szinkronizálási kiszolgálóhoz távoli asztali kapcsolattal való csatlakozáshoz. Bejelentkezés után csatlakoztassa a virtuális gépet a helyszíni AD DS-tartományhoz.

Ahhoz, hogy Microsoft Entra Csatlakozzon az internetes erőforrásokhoz való hozzáféréshez, konfigurálnia kell a címtár-szinkronizálási kiszolgálót a helyszíni hálózat proxykiszolgálójának használatára. További konfigurálási lépésekért forduljon a hálózati rendszergazdához.

Ez az eredményként kapott konfiguráció.

Az Azure-ban üzemeltetett Microsoft 365 címtárszinkronizálási kiszolgálójának 2. fázisa.

Ez az ábra a címtárszinkronizálási kiszolgáló virtuális gépét mutatja a létesítmények közötti Azure-beli virtuális hálózaton.

3. fázis: A Microsoft Entra Connect telepítése és konfigurálása

Hajtsa végre a következő eljárást:

  1. Csatlakozzon a címtárszinkronizálási kiszolgálóhoz távoli asztali kapcsolattal egy helyi rendszergazdai jogosultságokkal rendelkező AD DS-tartományi fiókkal. Lásd: Csatlakozás a virtuális géphez és bejelentkezés.

  2. A címtár-szinkronizálási kiszolgálóról nyissa meg a Címtár-szinkronizálás beállítása a Microsoft 365-höz című cikket, és kövesse a jelszókivonat-szinkronizálással történő címtár-szinkronizálásra vonatkozó utasításokat.

Figyelem!

A telepítő létrehozza a AAD_xxxxxxxxxxxx fiókot a Helyi felhasználók szervezeti egységben (OU). Ne helyezze át vagy távolítsa el ezt a fiókot, vagy a szinkronizálás sikertelen lesz.

Ez az eredményként kapott konfiguráció.

Az Azure-ban üzemeltetett Microsoft 365 címtárszinkronizálási kiszolgálójának 3. fázisa.

Ez az ábra a címtár-szinkronizálási kiszolgálót mutatja be a Microsoft Entra Connecttel a létesítmények közötti Azure-beli virtuális hálózaton.

Helyek és licencek hozzárendelése felhasználókhoz a Microsoft 365-ben

Microsoft Entra Connect fiókokat ad hozzá a Microsoft 365-előfizetéséhez a helyszíni AD DS-ből, de ahhoz, hogy a felhasználók bejelentkezhessenek a Microsoft 365-be, és használhassák annak szolgáltatásait, a fiókokat helyekkel és licencekkel kell konfigurálni. Az alábbi lépésekkel adhatja hozzá a helyet, és aktiválhatja a licenceket a megfelelő felhasználói fiókokhoz:

  1. Jelentkezzen be a Microsoft 365 Felügyeleti központ, majd kattintson a Rendszergazda elemre.

  2. A bal oldali navigációs sávon kattintson a Felhasználók>aktív felhasználók elemre.

  3. A felhasználói fiókok listájában jelölje be az aktiválni kívánt felhasználó melletti jelölőnégyzetet.

  4. A felhasználó oldalán kattintson a Terméklicencekszerkesztése elemre.

  5. A Terméklicencek lapon válassza ki a felhasználó tartózkodási helyét a Hely mezőben, majd engedélyezze a felhasználó számára a megfelelő licenceket.

  6. Ha elkészült, kattintson a Mentés, majd kétszer a Bezárás gombra.

  7. Vissza a 3. lépésre további felhasználók esetén.

Lásd még

Microsoft 365 megoldás- és architektúraközpont

Helyszíni hálózat csatlakoztatása Microsoft Azure-beli virtuális hálózathoz

Microsoft Entra Connect letöltése

Címtár-szinkronizálás beállítása a Microsoft 365-höz