Bagikan melalui


Penginstalan kustom Microsoft Entra Connect

Gunakan pengaturan kustom di Microsoft Entra Connect saat Anda menginginkan lebih banyak opsi untuk penginstalan. Gunakan pengaturan ini, misalnya, jika Anda memiliki beberapa hutan atau jika Anda ingin mengonfigurasi fitur opsional. Gunakan pengaturan kustom dalam semua kasus di mana penginstalan ekspres tidak memenuhi kebutuhan penyebaran atau topologi Anda.

Prasyarat:

Pengaturan penginstalan kustom

Untuk menyiapkan penginstalan kustom untuk Microsoft Entra Connect, buka halaman panduan yang dijelaskan bagian berikut ini.

Pengaturan Ekspres

Pada halaman Pengaturan Ekspres, pilih Kustomisasi untuk memulai penginstalan pengaturan yang dikustomisasi. Sisa artikel ini memandu Anda melalui proses penginstalan kustom. Gunakan tautan berikut ini untuk masuk ke halaman tertentu dengan cepat:

Pasang komponen yang diperlukan

Saat Anda memasang layanan sinkronisasi, Anda dapat membiarkan bagian konfigurasi opsional tidak dipilih. Microsoft Entra Connect menyiapkan semuanya secara otomatis. Ini menyiapkan instans SQL Server 2019 Express LocalDB, membuat grup yang sesuai, dan menetapkan izin. Jika Anda ingin mengubah default, pilih kotak yang sesuai. Tabel berikut ini meringkas opsi ini dan menyediakan tautan ke informasi tambahan.

Cuplikan layar memperlihatkan pilihan opsional untuk komponen penginstalan yang diperlukan di Microsoft Entra Connect.

Konfigurasi Opsional Deskripsi
Menentukan lokasi penginstalan kustom Memungkinkan Anda mengubah jalur penginstalan default untuk Microsoft Entra Connect.
Menggunakan Microsoft SQL Server yang sudah ada Memungkinkan Anda menentukan nama SQL Server dan nama instans. Pilih opsi ini jika Anda sudah memiliki server database yang ingin Anda gunakan. Untuk Nama Instans, masukkan nama instans, koma, dan nomor port jika instans SQL Server Anda tidak mengaktifkan penjelajahan. Kemudian tentukan nama database Microsoft Entra Connect. Hak istimewa SQL Anda menentukan apakah database baru dapat dibuat atau administrator SQL Anda harus membuat database terlebih dahulu. Jika Anda memiliki izin administrator SQL Server (SA), lihat Menginstal Microsoft Entra Connect dengan menggunakan database yang sudah ada. Jika Anda memiliki izin yang didelegasikan (DBO), lihat Menginstal Microsoft Entra Connect dengan menggunakan izin administrator yang didelegasikan SQL.
Menggunakan akun layanan yang sudah ada Secara default, Microsoft Entra Connect menyediakan akun layanan virtual untuk layanan sinkronisasi. Jika Anda menggunakan instans SQL Server jarak jauh atau menggunakan proksi yang memerlukan autentikasi, Anda dapat menggunakan akun layanan terkelola atau akun layanan yang dilindungi kata sandi di domain. Dalam kasus tersebut, masukkan akun yang ingin Anda gunakan. Untuk menjalankan penginstalan, Anda harus menjadi SA di SQL sehingga Anda dapat membuat mandat masuk untuk akun layanan. Untuk informasi selengkapnya, lihat Akun dan izin Microsoft Entra Connect.

Dengan menggunakan versi terbaru, administrator SQL kini dapat menyediakan database di luar jangkauan. Kemudian administrator Microsoft Entra Connect dapat menginstalnya dengan hak pemilik database. Untuk informasi selengkapnya, lihat Menginstal Microsoft Entra Connect dengan menggunakan izin administrator yang didelegasikan SQL.
Menentukan grup sinkronisasi kustom Secara default, ketika layanan sinkronisasi diinstal, Microsoft Entra Connect membuat empat grup yang bersifat lokal ke server. Grup ini adalah Administrator, Operator, Penelusuran, dan Reset Kata Sandi. Anda dapat menentukan grup Anda sendiri di sini. Volume harus berada di server lokal. Mereka tidak dapat ditemukan di domain.
Mengimpor pengaturan sinkronisasi Memungkinkan Anda untuk mengimpor pengaturan dari versi lain Microsoft Entra Connect. Untuk informasi selengkapnya, lihat Mengimpor dan mengekspor pengaturan konfigurasi Microsoft Entra Connect.

Rincian masuk pengguna

Setelah memasang komponen yang diperlukan, pilih metode masuk tunggal pengguna Anda. Tabel berikut ini menjelaskan secara singkat opsi yang tersedia. Untuk deskripsi lengkap tentang metode masuk, lihat Masuk pengguna.

Cuplikan layar yang menampilkan halaman

Opsi akses menyeluruh Deskripsi
Sinkronisasi hash kata sandi Pengguna dapat masuk ke layanan awan Microsoft, seperti Microsoft 365, dengan menggunakan kata sandi yang sama dengan yang mereka gunakan di jaringan lokal mereka. Kata sandi pengguna disinkronkan ke ID Microsoft Entra sebagai hash kata sandi. Autentikasi terjadi di cloud. Untuk informasi selengkapnya, lihat Sinkronisasi hash kata sandi.
Autentikasi pass-through Pengguna dapat masuk ke layanan awan Microsoft, seperti Microsoft 365, dengan menggunakan kata sandi yang sama dengan yang mereka gunakan di jaringan lokal mereka. Kata sandi pengguna divalidasi dengan diteruskan ke pengontrol domain Direktori Aktif lokal.
Federasi dengan AD FS Pengguna dapat masuk ke layanan awan Microsoft, seperti Microsoft 365, dengan menggunakan kata sandi yang sama dengan yang mereka gunakan di jaringan lokal mereka. Pengguna dialihkan ke instans Azure Directory Federation Services (Layanan Federasi Direktori Aktif) lokal mereka untuk masuk. Autentikasi terjadi secara lokal.
Federasi dengan PingFederate Pengguna dapat masuk ke layanan awan Microsoft, seperti Microsoft 365, dengan menggunakan kata sandi yang sama dengan yang mereka gunakan di jaringan lokal mereka. Pengguna dialihkan ke instans PingFederate lokal mereka untuk masuk. Autentikasi terjadi secara lokal.
Jangan konfigurasikan Tidak ada fitur masuk pengguna yang terpasang atau dikonfigurasi. Pilih opsi ini jika Anda sudah memiliki server federasi pihak ketiga atau solusi lain di tempat.
Mengaktifkan akses menyeluruh Opsi ini tersedia dengan sinkronisasi hash kata sandi dan autentikasi pass-through. Ini memberikan satu pengalaman masuk untuk pengguna desktop di jaringan perusahaan. Untuk informasi selengkapnya, lihat Akses menyeluruh.

Catatan: Untuk pelanggan AD FS, opsi ini tidak tersedia. Layanan Federasi Direktori Aktif sudah menawarkan tingkat akses menyeluruh yang sama.

Menyambungkan ke ID Microsoft Entra

Pada halaman Sambungkan ke ID Microsoft Entra, masukkan akun dan kata sandi Administrator Identitas Hibrid. Jika Anda memilih Federasi dengan Layanan Federasi Direktori Aktif di halaman sebelumnya, jangan masuk dengan akun yang berada di domain yang anda rencanakan untuk diaktifkan pada federasi.

Anda mungkin ingin menggunakan akun di domain onmicrosoft.com default, yang disertakan dengan penyewa Microsoft Entra Anda. Akun ini hanya digunakan untuk membuat akun layanan di ID Microsoft Entra. Ini tidak digunakan setelah penginstalan selesai.

Catatan

Praktik terbaik adalah menghindari penggunaan akun lokal yang disinkronkan untuk penetapan peran Microsoft Entra. Jika akun lokal disusupi, ini juga dapat digunakan untuk membahayakan sumber daya Microsoft Entra Anda. Untuk daftar lengkap praktik terbaik, lihat Praktik terbaik untuk peran Microsoft Entra

Cuplikan layar memperlihatkan halaman

Jika akun Administrator Global Anda mengaktifkan autentikasi multifaktor, Anda menyediakan kata sandi lagi di jendela masuk, dan Anda harus menyelesaikan tantangan autentikasi multifaktor. Tantangannya bisa menjadi kode verifikasi atau panggilan telepon.

Cuplikan layar memperlihatkan halaman

Akun Administrator Global juga dapat mengaktifkan manajemen identitas istimewa.

Untuk menggunakan dukungan autentikasi untuk skenario non-kata sandi seperti akun federasi, smartcard, dan skenario MFA, Anda dapat memberikan sakelar /InteractiveAuth saat memulai panduan. Menggunakan sakelar ini akan melewati antarmuka pengguna autentikasi Wizard dan menggunakan UI pustaka MSAL untuk menangani autentikasi.

Jika Anda melihat kesalahan atau mengalami masalah dengan konektivitas, lihat Memecahkan masalah konektivitas.

Menyinkronkan halaman

Bagian berikut ini menguraikan halaman di bagian Sinkronkan.

Menyambungkan direktori Anda

Untuk menyambungkan ke Active Directory Domain Services (AD DS), Microsoft Entra Connect memerlukan nama forest dan kredensial akun yang memiliki izin yang memadai.

Cuplikan layar yang menampilkan halaman

Setelah Anda memasukkan nama forest dan memilih Tambahkan Direktori, sebuah jendela akan muncul. Tabel berikut ini menjelaskan opsi Anda.

Opsi Deskripsi
Buat akun baru Buat akun AD DS yang perlu disambungkan Microsoft Entra Connect ke forest Direktori Aktif selama sinkronisasi direktori. Setelah Anda memilih opsi ini, masukkan nama pengguna dan kata sandi untuk akun admin perusahaan. Microsoft Entra Connect menggunakan akun admin perusahaan yang disediakan untuk membuat akun AD DS yang diperlukan. Anda dapat memasukkan bagian domain dalam format NetBIOS atau format FQDN. Yaitu, masukkan FABRIKAM\administrator atau fabrikam.com\administrator.
Gunakan akun yang sudah ada Berikan akun AD DS yang sudah ada yang dapat digunakan Microsoft Entra Connect untuk menyambungkan ke forest Direktori Aktif selama sinkronisasi direktori. Anda dapat memasukkan bagian domain dalam format NetBIOS atau format FQDN. Yaitu, masukkan FABRIKAM\syncuser atau fabrikam.com\syncuser. Akun ini bisa menjadi akun pengguna biasa karena hanya membutuhkan izin baca default. Tetapi tergantung pada skenario Anda, Anda mungkin memerlukan lebih banyak izin. Untuk informasi selengkapnya, lihat Akun dan izin Microsoft Entra Connect.

Cuplikan layar memperlihatkan halaman

Catatan

Pada build 1.4.18.0, Anda tidak dapat menggunakan admin perusahaan atau akun admin domain sebagai akun konektor AD DS. Saat memilih Gunakan akun yang ada, jika Anda mencoba memasukkan akun admin enterprise atau akun admin domain, Anda akan melihat kesalahan berikut: "Menggunakan akun administrator Perusahaan atau Domain untuk akun forest AD Anda tidak diizinkan . Biarkan Microsoft Entra Connect membuat akun untuk Anda atau tentukan akun sinkronisasi dengan izin yang benar."

Konfigurasi masuk Microsoft Entra

Pada halaman konfigurasi masuk Microsoft Entra, tinjau domain nama prinsipal pengguna (UPN) di AD DS lokal. Domain UPN ini telah diverifikasi di ID Microsoft Entra. Pada halaman ini, Anda mengonfigurasi atribut yang akan digunakan untuk userPrincipalName.

Cuplikan layar memperlihatkan domain yang belum diverifikasi di halaman

Tinjau setiap domain yang ditandai sebagai Tidak Ditambahkan atau Tidak Diverifikasi. Pastikan bahwa domain yang Anda gunakan telah diverifikasi di ID Microsoft Entra. Setelah memverifikasi domain, pilih ikon refresh melingkar. Untuk informasi selengkapnya, lihat Tambahkan dan verifikasi domain.

Pengguna menggunakan atribut userPrincipalName saat mereka masuk ke ID Microsoft Entra dan Microsoft 365. ID Microsoft Entra harus memverifikasi domain, juga dikenal sebagai akhiran UPN, sebelum pengguna disinkronkan. Microsoft menyarankan agar Anda menyimpan atribut default userPrincipalName.

Jika atribut userPrincipalName tidak dapat diubah dan tidak dapat diverifikasi, maka Anda dapat memilih atribut lain. Anda dapat, misalnya, memilih email sebagai atribut yang memegang ID masuk. Saat Anda menggunakan atribut selain userPrincipalName, atribut ini dikenal sebagai ID alternatif.

Nilai atribut ID alternatif harus mengikuti standar RFC 822. Anda dapat menggunakan ID alternatif dengan sinkronisasi hash kata sandi, autentikasi pass-through, dan federasi. Di Direktori Aktif, atribut tidak dapat didefinisikan sebagai multinilai, meskipun hanya memiliki satu nilai. Untuk informasi selengkapnya tentang ID alternatif, lihat Autentikasi pass-through: Pertanyaan yang sering diajukan.

Catatan

Ketika Anda mengaktifkan autentikasi pass-through, Anda harus memiliki setidaknya satu domain terverifikasi untuk melanjutkan melalui proses penginstalan kustom.

Peringatan

ID alternatif tidak kompatibel dengan semua beban kerja Microsoft 365. Untuk informasi selengkapnya, lihat Mengonfigurasi ID masuk alternatif.

Pemfilteran domain dan unit organisasi

Secara default, semua domain dan unit organisasi (OUs) disinkronkan. Jika Anda tidak ingin menyinkronkan beberapa domain atau OU ke ID Microsoft Entra, Anda dapat menghapus pilihan yang sesuai.

Cuplikan layar memperlihatkan halaman Pemfilteran Domain dan O U.

Halaman ini mengonfigurasi pemfilteran berbasis domain dan berbasis unit organisasi. Jika Anda berencana membuat perubahan, lihat Pemfilteran berbasis domain dan pemfilteran berbasis unit organisasi. Beberapa unit organisasi sangat penting untuk fungsionalitas, jadi Anda harus membiarkannya dipilih.

Jika Anda menggunakan pemfilteran berbasis OU dengan versi Microsoft Entra Connect yang lebih lama dari 1.1.524.0, OU baru disinkronkan secara default. Jika Anda tidak ingin unit organisasi baru disinkronkan, maka Anda dapat menyesuaikan perilaku default setelah langkah pemfilteran berbasis unit organisasi. Untuk Microsoft Entra Connect 1.1.524.0 atau yang lebih baru, Anda dapat menunjukkan apakah Anda ingin OU baru disinkronkan.

Jika Anda berencana menggunakan pemfilteran berbasis grup, maka pastikan unit organisasi dengan grup disertakan dan tidak difilter dengan menggunakan pemfilteran unit organisasi. Pemfilteran unit organisasi dievaluasi sebelum pemfilteran berbasis grup dievaluasi.

Ada kemungkinan juga bahwa beberapa domain tidak dapat dijangkau karena pembatasan firewall. Domain ini tidak dipilih secara default, dan mereka menampilkan peringatan.

Cuplikan layar memperlihatkan domain yang tidak dapat dijangkau.

Jika Anda melihat peringatan ini, pastikan bahwa domain ini memang tidak dapat dijangkau dan peringatan telah diperkirakan.

Mengidentifikasi pengguna Anda secara unik

Pada halaman Mengidentifikasi pengguna, pilih cara mengidentifikasi pengguna di direktori lokal Anda dan cara mengidentifikasinya dengan menggunakan atribut sourceAnchor.

Pilih bagaimana pengguna harus diidentifikasi di direktori lokal Anda

Dengan menggunakan fitur Pencocokan di seluruh forest , Anda dapat menentukan bagaimana pengguna dari forest AD DS Anda diwakili dalam ID Microsoft Entra. Pengguna mungkin hanya diwakili sekali di semua hutan atau mungkin memiliki kombinasi akun yang diaktifkan dan dinonaktifkan. Pengguna mungkin juga diwakili sebagai kontak di beberapa hutan.

Cuplikan layar memperlihatkan halaman tempat Anda dapat mengidentifikasi pengguna secara unik.

Pengaturan Deskripsi
Pengguna hanya diwakili sekali di semua hutan Semua pengguna dibuat sebagai objek individual di ID Microsoft Entra. Objek tidak digabungkan dalam metaverse.
Atribut surat Opsi ini menggabungkan pengguna dan kontak jika atribut surat memiliki nilai yang sama di forest yang berbeda. Gunakan opsi ini saat kontak Anda dibuat dengan menggunakan GALSync. Jika Anda memilih opsi ini, objek pengguna yang atribut emailnya tidak diisi tidak disinkronkan ke ID Microsoft Entra.
Atribut ObjectSID dan msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID Opsi ini bergabung dengan pengguna yang diaktifkan di hutan akun dengan pengguna dinonaktifkan di hutan sumber daya. Di Exchange, konfigurasi ini dikenal sebagai kotak surat yang ditautkan. Anda bisa menggunakan opsi ini jika Anda hanya menggunakan Lync dan jika Exchange tidak ada di hutan sumber daya.
Atribut SAMAccountName dan MailNickName Opsi ini bergabung pada atribut di mana ID masuk untuk pengguna diharapkan ditemukan.
Pilih atribut tertentu Opsi ini memungkinkan Anda memilih atribut Anda sendiri. Jika Anda memilih opsi ini, objek pengguna yang atributnya (dipilih) tidak diisi tidak disinkronkan ke ID Microsoft Entra. Batasan: Hanya atribut yang sudah ada dalam metaverse yang tersedia untuk opsi ini.

Memilih bagaimana pengguna harus diidentifikasi dengan menggunakan jangkar sumber

Atribut sourceAnchor tidak dapat diubah selama masa pakai objek pengguna. Ini adalah kunci utama yang menautkan pengguna lokal dengan pengguna di ID Microsoft Entra.

Pengaturan Deskripsi
Biarkan Azure mengelola jangkar sumber Pilih opsi ini jika Anda ingin MICROSOFT Entra ID memilih atribut untuk Anda. Jika Anda memilih opsi ini, Microsoft Entra Connect menerapkan logika pemilihan atribut sourceAnchor yang dijelaskan dalam Menggunakan ms-DS-ConsistencyGuid sebagai sourceAnchor. Setelah penginstalan kustom selesai, Anda akan melihat atribut mana yang dipilih sebagai atribut sourceAnchor.
Pilih atribut tertentu Pilih opsi ini jika Anda ingin menentukan atribut AD yang ada sebagai atribut sourceAnchor.

Karena atribut sourceAnchor tidak dapat diubah, Anda harus memilih atribut yang sesuai. Kandidat yang baik adalah objectGUID. Atribut ini tidak diubah kecuali akun pengguna dipindahkan antara hutan atau domain. Jangan pilih atribut yang dapat berubah saat seseorang menikah atau mengubah tugas.

Anda tidak dapat menggunakan atribut yang menyertakan tanda (@), sehingga Anda tidak dapat menggunakan email dan userPrincipalName. Atribut ini juga peka huruf besar/kecil, jadi saat Anda memindahkan objek di antara hutan, pastikan untuk mempertahankan huruf besar dan huruf kecil. Atribut biner terkodekan Base64, tetapi jenis atribut lainnya tetap dalam keadaan tidak dikodekan.

Dalam skenario federasi dan beberapa antarmuka ID Microsoft Entra, atribut sourceAnchor juga dikenal sebagai immutableID.

Untuk informasi selengkapnya tentang jangkar sumber, lihat Konsep desain.

Menyinkronkan pemfilteran berdasarkan grup

Fitur filtering-on-groups memungkinkan Anda menyinkronkan hanya sebagian kecil objek untuk pilot. Untuk menggunakan fitur ini, buat grup untuk tujuan ini dalam instans Direktori Aktif lokal Anda. Kemudian tambahkan pengguna dan grup yang harus disinkronkan ke ID Microsoft Entra sebagai anggota langsung. Anda nantinya dapat menambahkan pengguna atau menghapus pengguna dari grup ini untuk mempertahankan daftar objek yang harus ada di ID Microsoft Entra.

Semua objek yang ingin Anda sinkronkan harus menjadi anggota langsung grup. Pengguna, grup, kontak, dan komputer atau perangkat semuanya harus menjadi anggota langsung. Keanggotaan grup berlapis tidak diselesaikan. Saat Anda menambahkan grup sebagai anggota, hanya grup itu sendiri yang ditambahkan. Anggotanya tidak ditambahkan.

Cuplikan layar memperlihatkan halaman tempat Anda bisa memilih cara memfilter pengguna dan perangkat.

Peringatan

Fitur ini dimaksudkan untuk hanya mendukung penyebaran pilot. Jangan menggunakannya dalam penyebaran produksi penuh.

Dalam penyebaran produksi penuh, akan sulit untuk mempertahankan satu kelompok dan semua objeknya untuk disinkronkan. Alih-alih fitur filtering-on-groups, gunakan salah satu metode yang dijelaskan dalam Mengonfigurasi pemfilteran.

Fitur opsional

Pada halaman berikutnya, Anda dapat memilih fitur opsional untuk skenario Anda.

Peringatan

Microsoft Entra Connect versi 1.0.8641.0 dan sebelumnya mengandalkan Azure Access Control Service untuk tulis balik kata sandi. Layanan ini dihentikan pada 7 November 2018. Jika Anda menggunakan salah satu versi Microsoft Entra Connect ini dan telah mengaktifkan tulis balik kata sandi, pengguna mungkin kehilangan kemampuan untuk mengubah atau mengatur ulang kata sandi mereka saat layanan dihentikan. Versi Microsoft Entra Connect ini tidak mendukung tulis balik kata sandi.

Jika Anda ingin menggunakan tulis balik kata sandi, unduh versi terbaru Microsoft Entra Connect.

Cuplikan layar memperlihatkan halaman

Peringatan

Jika Sinkronisasi Microsoft Azure AD atau Sinkronisasi Langsung (DirSync) aktif, jangan aktifkan fitur tulis balik apa pun di Microsoft Entra Connect.

Fitur opsional Deskripsi
Penyebaran hibrid Exchange Fitur penyebaran hibrid Exchange memungkinkan koeksistensi kotak surat Exchange baik lokal maupun di Microsoft 365. Microsoft Entra Connect menyinkronkan sekumpulan atribut tertentu dari Microsoft Entra kembali ke direktori lokal Anda.
Folder publik email Exchange Fitur folder publik email Exchange memungkinkan Anda menyinkronkan objek folder publik yang diaktifkan email dari instans Direktori Aktif lokal Anda ke ID Microsoft Entra. Perhatikan bahwa sinkronisasi grup yang berisi folder publik sebagai anggota tidak didukung, dan mencoba melakukannya akan menyebabkan kesalahan sinkronisasi.
Pemfilteran aplikasi dan atribut Microsoft Entra Dengan mengaktifkan aplikasi Microsoft Entra dan pemfilteran atribut, Anda dapat menyesuaikan kumpulan atribut yang disinkronkan. Opsi ini menambahkan dua halaman konfigurasi lagi ke wizard. Untuk informasi selengkapnya, lihat Aplikasi Microsoft Entra dan pemfilteran atribut.
Sinkronisasi hash kata sandi Jika Anda memilih federasi sebagai solusi masuk, Anda dapat mengaktifkan sinkronisasi hash kata sandi. Kemudian Anda dapat menggunakannya sebagai opsi cadangan.

Jika Anda memilih autentikasi pass-through, Anda dapat mengaktifkan opsi ini untuk memastikan dukungan untuk klien lama dan untuk menyediakan cadangan.

Untuk informasi selengkapnya, lihat Sinkronisasi hash kata sandi.
Tulis balik kata sandi Gunakan opsi ini untuk memastikan bahwa perubahan kata sandi yang berasal dari ID Microsoft Entra ditulis kembali ke direktori lokal Anda. Untuk informasi selengkapnya, lihat Mulai menggunakan manajemen kata sandi.
Tulis balik grup Jika Anda menggunakan Grup Microsoft 365, maka Anda dapat mewakili grup dalam instans Direktori Aktif lokal Anda. Opsi ini hanya tersedia jika Anda memiliki Exchange dalam instans Direktori Aktif lokal Anda. Untuk informasi selengkapnya, lihat Tulis balik grup Microsoft Entra Connect.
Tulis balik perangkat Untuk skenario akses kondisional, gunakan opsi ini untuk menulis kembali objek perangkat di ID Microsoft Entra ke instans Direktori Aktif lokal Anda. Untuk informasi selengkapnya, lihat Mengaktifkan tulis balik perangkat di Microsoft Entra Connect.
Sinkronisasi atribut ekstensi direktori Pilih opsi ini untuk menyinkronkan atribut tertentu ke ID Microsoft Entra. Untuk informasi selengkapnya, lihat Ekstensi direktori.

Pemfilteran aplikasi dan atribut Microsoft Entra

Jika Anda ingin membatasi atribut mana yang disinkronkan ke ID Microsoft Entra, maka mulailah dengan memilih layanan yang Anda gunakan. Jika Anda mengubah pilihan pada halaman ini, Anda harus secara eksplisit memilih layanan baru dengan menjalankan ulang instalan wizard.

Cuplikan layar memperlihatkan fitur aplikasi Microsoft Entra opsional.

Berdasarkan layanan yang Anda pilih di langkah sebelumnya, halaman ini memperlihatkan semua atribut yang disinkronkan. Daftar ini adalah kombinasi dari semua tipe objek yang sedang disinkronkan. Jika Anda memerlukan beberapa atribut untuk tetap tidak disinkronkan, Anda dapat menghapus pilihan dari atribut tersebut.

Cuplikan layar memperlihatkan fitur atribut Microsoft Entra opsional.

Peringatan

Menghapus atribut bisa mempengaruhi fungsionalitas. Untuk praktik dan rekomendasi terbaik, lihat Atribut untuk disinkronkan.

Sinkronisasi atribut Ekstensi Direktori

Anda dapat memperluas skema di MICROSOFT Entra ID dengan menggunakan atribut kustom yang ditambahkan organisasi Anda atau dengan menggunakan atribut lain di Direktori Aktif. Untuk menggunakan fitur ini, pada halaman Fitur Opsional, pilih Sinkronisasi atribut Ekstensi Direktori. Pada halaman Ekstensi Direktori, Anda dapat memilih lebih banyak atribut untuk disinkronkan.

Catatan

Bidang Atribut yang Tersedia peka huruf besar/kecil.

Cuplikan layar memperlihatkan halaman

Untuk informasi selengkapnya, lihat Ekstensi direktori.

Mengaktifkan akses menyeluruh

Pada halaman Masuk tunggal Anda mengonfigurasi masuk tunggal untuk digunakan dengan sinkronisasi kata sandi atau autentikasi pass-through. Anda melakukan langkah ini sekali untuk setiap forest yang sedang disinkronkan ke ID Microsoft Entra. Konfigurasi melibatkan dua langkah:

  1. Buat akun komputer yang diperlukan dalam instans Direktori Aktif lokal Anda.
  2. Mengonfigurasi zona intranet mesin klien untuk mendukung akses menyeluruh.

Membuat akun komputer di Direktori Aktif

Untuk setiap forest yang telah ditambahkan di Microsoft Entra Connect, Anda perlu menyediakan info masuk administrator domain sehingga akun komputer dapat dibuat di setiap forest. Mandat hanya digunakan untuk membuat akun. Mereka tidak disimpan atau digunakan untuk operasi lainnya. Tambahkan info masuk di halaman Aktifkan akses menyeluruh, seperti yang ditunjukkan gambar berikut ini.

Cuplikan layar yang menampilkan halaman

Catatan

Anda dapat melewati hutan di mana Anda tidak ingin menggunakan akses menyeluruh.

Mengonfigurasi zona intranet untuk mesin klien

Untuk memastikan bahwa klien masuk secara otomatis di zona intranet, pastikan URL adalah bagian dari zona intranet. Langkah ini memastikan bahwa komputer yang bergabung dengan domain secara otomatis mengirim tiket Kerberos ke ID Microsoft Entra saat tersambung ke jaringan perusahaan.

Pada komputasi yang memiliki alat kelola Kebijakan Grup:

  1. Buka alat manajemen Kebijakan Grup.

  2. Edit kebijakan grup yang akan diterapkan ke semua pengguna. Misalnya, kebijakan Domain Default.

  3. Masuk ke Konfigrasi Pengguna>Templat administratif>Komponen Windows>Internet Explorer>Kontrol Panel Internet>Halaman keamanan. Lalu pilih Situs ke Daftar Penugasan Zona.

  4. Aktifkan kebijakan. Kemudian, dalam kotak dialog, masukkan nama https://autologon.microsoftazuread-sso.comnilai dan https://aadg.windows.net.nsatc.net dengan nilai 1 untuk kedua URL. Pengaturan Anda akan terlihat seperti gambar berikut.

    Cuplikan layar memperlihatkan zona intranet.

  5. Pilih OK dua kali.

Mengonfigurasi federasi dengan Layanan Federasi Direktori Aktif

Anda dapat mengonfigurasi Layanan Federasi Direktori Aktif dengan Microsoft Entra Connect hanya dengan beberapa klik. Sebelum memulai, Anda perlu:

  • Windows Server 2012 R2 atau yang lebih baru untuk server federasi. Manajemen jarak jauh harus difungsikan.
  • Windows Server 2012 R2 atau yang lebih baru untuk server Proksi Aplikasi Web. Manajemen jarak jauh harus difungsikan.
  • Sertifikat TLS/SSL untuk nama layanan federasi yang ingin Anda gunakan (misalnya, sts.contoso.com).

Catatan

Anda dapat memperbarui sertifikat TLS/SSL untuk farm Layanan Federasi Direktori Aktif Anda dengan menggunakan Microsoft Entra Connect meskipun Anda tidak menggunakannya untuk mengelola kepercayaan federasi Anda.

Prasyarat konfigurasi Layanan Federasi Direktori Aktif

Untuk mengonfigurasi farm Layanan Federasi Direktori Aktif Anda dengan menggunakan Microsoft Entra Connect, pastikan WinRM diaktifkan di server jarak jauh. Pastikan Anda telah menyelesaikan tugas lain dalam prasyarat Federasi. Pastikan juga Anda mengikuti persyaratan port yang tercantum dalam tabel server Microsoft Entra Connect dan Federasi/WAP.

Buat pertanian Layanan Federasi Direktori Aktif baru atau gunakan Layanan Federasi Direktori Aktif yang sudah ada

Anda dapat menggunakan Layanan Federasi Direktori Aktif yang sudah ada atau membuat yang baru. Jika Anda memilih untuk membuat yang baru, Anda harus memberikan sertifikat TLS/SSL. Jika sertifikat TLS/SSL dilindungi oleh kata sandi, maka Anda akan diminta untuk memberikan kata sandi.

Cuplikan layar memperlihatkan halaman

Jika Anda memilih untuk menggunakan farm Layanan Federasi Direktori Aktif yang ada, Anda akan melihat halaman tempat Anda dapat mengonfigurasi hubungan kepercayaan antara LAYANAN Federasi Direktori Aktif dan ID Microsoft Entra.

Catatan

Anda dapat menggunakan Microsoft Entra Connect untuk mengelola hanya satu farm Layanan Federasi Direktori Aktif. Jika Anda memiliki kepercayaan federasi yang sudah ada di mana ID Microsoft Entra dikonfigurasi pada farm Layanan Federasi Direktori Aktif yang dipilih, Microsoft Entra Connect membuat kembali kepercayaan dari awal.

Tentukan server Layanan Federasi Direktori Aktif

Tentukan server tempat Anda ingin memasang Layanan Federasi Direktori Aktif. Anda dapat menambahkan satu atau beberapa server, tergantung pada kebutuhan kapasitas Anda. Sebelum Anda menyetel konfigurasi ini, bergabunglah dengan semua server Layanan Federasi Direktori Aktif ke Active Directory. Langkah ini tidak diperlukan untuk server Proksi Aplikasi Web.

Microsoft merekomendasikan untuk memasang satu server Layanan Federasi Direktori Aktif untuk pengujian dan penerapan pilot. Setelah konfigurasi awal, Anda dapat menambahkan dan menyebarkan lebih banyak server untuk memenuhi kebutuhan penskalaan Anda dengan menjalankan Microsoft Entra Connect lagi.

Catatan

Sebelum Anda menyiapkan konfigurasi ini, pastikan bahwa semua server Anda digabungkan ke domain Microsoft Entra.

Cuplikan layar memperlihatkan halaman

Tentukan server Proksi Aplikasi Web

Tentukan server Proksi Aplikasi Web Anda. Server Proksi Aplikasi Web disebarkan di jaringan perimeter Anda, menghadap ke ekstranet. Ini mendukung permintaan autentikasi dari ekstranet. Anda dapat menambahkan satu atau beberapa server, tergantung pada kebutuhan kapasitas Anda.

Microsoft merekomendasikan untuk memasang satu server Proksi Aplikasi Web untuk pengujian dan penerapan pilot. Setelah konfigurasi awal, Anda dapat menambahkan dan menyebarkan lebih banyak server untuk memenuhi kebutuhan penskalaan Anda dengan menjalankan Microsoft Entra Connect lagi. Kami menyarankan agar Anda memiliki jumlah server proksi yang setara untuk memenuhi autentikasi dari intranet.

Catatan

  • Jika akun yang Anda gunakan bukan admin lokal di server Proksi Aplikasi Web, maka Anda akan dimintai info masuk admin.
  • Sebelum Anda menentukan server Web Proksi Aplikasi, pastikan bahwa ada konektivitas HTTP/HTTPS antara server Microsoft Entra Connect dan server web Proksi Aplikasi.
  • Pastikan bahwa ada konektivitas HTTP / HTTPS antara Server Aplikasi Web dan server Layanan Federasi Direktori Aktif untuk memungkinkan permintaan alur autentikasi.

Cuplikan layar memperlihatkan halaman Server Proksi Aplikasi Web.

Anda diminta untuk memasukkan info masuk sehingga server aplikasi web dapat membuat koneksi aman ke server Layanan Federasi Direktori Aktif. Mandat ini harus untuk akun administrator lokal di server Layanan Federasi Direktori Aktif.

Cuplikan layar yang menampilkan halaman

Tentukan akun layanan untuk Layanan Federasi Direktori Aktif

Layanan Federasi Direktori Aktif memerlukan akun layanan domain untuk mengautentikasi pengguna dan mencari informasi pengguna di Direktori Aktif. Ini dapat mendukung dua jenis akun layanan:

  • Akun layanan terkelola grup: Jenis akun ini dimasukkan ke dalam AD DS oleh Windows Server 2012. Jenis akun ini menyediakan layanan seperti Layanan Federasi Direktori Aktif. Ini adalah satu akun di mana Anda tidak perlu memperbarui kata sandi secara teratur. Gunakan opsi ini jika Anda sudah memiliki pengontrol domain Windows Server 2012 di domain tempat server Layanan Federasi Direktori Aktif Anda berada.
  • Akun pengguna domain: Jenis akun ini mengharuskan Anda untuk memberikan kata sandi dan memperbaruinya secara teratur ketika kedaluwarsa. Gunakan opsi ini hanya ketika Anda tidak memiliki pengontrol domain Windows Server 2012 di domain tempat server Layanan Federasi Direktori Aktif Anda berada.

Jika Anda memilih Buat Grup Akun Layanan Terkelola dan fitur ini belum pernah digunakan di Direktori Aktif, lalu masukkan info masuk admin perusahaan Anda. Info masuk ini digunakan untuk memulai penyimpanan kunci dan mengaktifkan fitur di Direktori Aktif.

Catatan

Microsoft Entra Connect memeriksa apakah layanan LAYANAN Federasi Direktori Aktif sudah terdaftar sebagai nama perwakilan layanan (SPN) di domain. AD DS tidak mengizinkan SPN duplikat didaftarkan secara bersamaan. Jika SPN duplikat ditemukan, Anda tidak dapat melanjutkan lebih lanjut sampai SPN dihapus.

Cuplikan layar memperlihatkan halaman

Pilih domain Microsoft Entra yang ingin Anda federasi

Gunakan halaman Domain Microsoft Entra untuk menyiapkan hubungan federasi antara LAYANAN Federasi Direktori Aktif dan ID Microsoft Entra. Di sini, Anda mengonfigurasi Layanan Federasi Direktori Aktif untuk menyediakan token keamanan ke ID Microsoft Entra. Anda juga mengonfigurasi ID Microsoft Entra untuk mempercayai token dari instans LAYANAN Federasi Direktori Aktif ini.

Di halaman ini, Anda hanya dapat mengonfigurasi satu domain dalam penginstalan awal. Anda dapat mengonfigurasi lebih banyak domain nanti dengan menjalankan Microsoft Entra Connect lagi.

Cuplikan layar yang memperlihatkan halaman

Verifikasi domain Microsoft Entra yang dipilih untuk federasi

Saat Anda memilih domain yang ingin Anda gabungkan, Microsoft Entra Connect menyediakan informasi yang bisa Anda gunakan untuk memverifikasi domain yang belum diverifikasi. Untuk informasi selengkapnya, lihat Tambahkan dan verifikasi domain.

Cuplikan layar memperlihatkan halaman

Catatan

Microsoft Entra Connect mencoba memverifikasi domain selama tahap konfigurasi. Jika Anda tidak menambahkan catatan Domain Name System (DNS) yang diperlukan, konfigurasi tidak bisa diselesaikan.

Mengonfigurasi federasi dengan PingFederate

Anda dapat mengonfigurasi PingFederate dengan Microsoft Entra Connect hanya dengan beberapa klik. Prasyarat berikut diperlukan:

Memverifikasi domain

Setelah Anda memilih untuk menyiapkan federasi dengan menggunakan PingFederate, Anda diminta untuk memverifikasi domain yang ingin Anda federasikan. Pilih domain dari menu turun.

Cuplikan layar yang memperlihatkan halaman

Mengekspor pengaturan PingFederate

Mengonfigurasi PingFederate sebagai server federasi untuk setiap domain Azure federasi. Pilih Ekspor Pengaturan untuk berbagi informasi ini dengan administrator PingFederate Anda. Administrator server federasi memperbarui konfigurasi lalu menyediakan URL server PingFederate dan nomor port sehingga Microsoft Entra Connect dapat memverifikasi pengaturan metadata.

Cuplikan layar yang menampilkan halaman

Hubungi administrator PingFederate Anda untuk mengatasi masalah validasi apa pun. Gambar berikut ini memperlihatkan informasi tentang server PingFederate yang tidak memiliki hubungan kepercayaan yang valid dengan Azure.

Cuplikan layar memperlihatkan informasi server: Server PingFederate ditemukan, tetapi koneksi penyedia layanan untuk Azure hilang atau dinonaktifkan.

Memverifikasi konektivitas federasi

Microsoft Entra Connect mencoba memvalidasi titik akhir autentikasi yang diambilnya dari metadata PingFederate di langkah sebelumnya. Microsoft Entra Connect pertama kali mencoba mengatasi titik akhir dengan menggunakan server DNS lokal Anda. Selanjutnya, ia mencoba untuk mengatasi titik akhir dengan menggunakan penyedia DNS eksternal. Hubungi administrator PingFederate Anda untuk mengatasi masalah validasi apa pun.

Cuplikan layar memperlihatkan halaman

Memverifikasi masuk federasi

Terakhir, Anda dapat memverifikasi alur login federasi yang baru dikonfigurasi dengan masuk ke domain federasi. Jika berhasil masuk, maka federasi dengan PingFederate berhasil dikonfigurasi.

Cuplikan layar yang menampilkan halaman

Mengonfigurasi dan memverifikasi halaman

Konfigurasi terjadi pada halaman Konfigurasi.

Catatan

Jika Anda mengonfigurasi federasi, maka pastikan Anda juga telah mengonfigurasi Resolusi nama untuk server federasi sebelum melanjutkan penginstalan.

Cuplikan layar memperlihatkan halaman

Gunakan mode pementasan

Dimungkinkan untuk menyiapkan server sinkronisasi baru secara paralel dengan mode pementasan. Jika Anda ingin menggunakan pengaturan ini, maka hanya satu server sinkronisasi yang dapat mengekspor ke satu direktori di cloud. Tetapi jika Anda ingin berpindah dari server lain, misalnya server yang menjalankan DirSync, maka Anda dapat mengaktifkan Microsoft Entra Connect dalam mode penahapan.

Saat Anda mengaktifkan pengaturan pementasan, mesin sinkronisasi mengimpor dan menyinkronkan data seperti biasa. Tetapi tidak mengekspor data ke MICROSOFT Entra ID atau Direktori Aktif. Dalam mode pementasan, fitur sinkronisasi kata sandi dan fitur sandi tulis balik dinonaktifkan.

Cuplikan layar memperlihatkan opsi

Dalam mode pementasan, Anda dapat membuat perubahan yang diperlukan pada mesin sinkronisasi dan meninjau apa yang akan diekspor. Ketika konfigurasi terlihat bagus, jalankan lagi wizard penginstalan dan nonaktifkan mode pementasan.

Data sekarang diekspor ke ID Microsoft Entra dari server. Pastikan untuk menonaktifkan server lain pada saat yang sama sehingga hanya satu server yang aktif mengekspor.

Untuk informasi selengkapnya, lihat Mode pementasan.

Memverifikasi konfigurasi federasi Anda

Microsoft Entra Connect memverifikasi pengaturan DNS saat Anda memilih tombol Verifikasi . Ini memeriksa pengaturan berikut:

  • Konektivitas intranet
    • Mengatasi FQDN federasi: Microsoft Entra Connect memeriksa apakah DNS dapat menyelesaikan FQDN federasi untuk memastikan konektivitas. Jika Microsoft Entra Connect tidak dapat menyelesaikan FQDN, verifikasi gagal. Untuk menyelesaikan verifikasi, pastikan bahwa catatan DNS hadir untuk layanan federasi FQDN.
    • Catatan DNS A: Microsoft Entra Connect memeriksa apakah layanan federasi Anda memiliki catatan A. Dengan tidak adanya rekaman A, verifikasi gagal. Untuk menyelesaikan verifikasi, buat rekaman A (bukan rekaman CNAME) untuk federasi Anda FQDN.
  • Konektivitas ekstranet
    • Mengatasi FQDN federasi: Microsoft Entra Connect memeriksa apakah DNS dapat menyelesaikan FQDN federasi untuk memastikan konektivitas.

      Cuplikan layar memperlihatkan halaman

      Cuplikan layar yang menampilkan halaman

Untuk memvalidasi autentikasi end-to-end, lakukan satu atau beberapa tes berikut secara manual:

  • Saat sinkronisasi selesai, di Microsoft Entra Connect, gunakan tugas tambahan Verifikasi masuk federasi untuk memverifikasi autentikasi untuk akun pengguna lokal yang Anda pilih.
  • Dari mesin yang bergabung dengan domain di intranet, pastikan Anda dapat masuk dari browser. Sambungkan ke https://myapps.microsoft.com. Kemudian gunakan akun masuk Anda untuk memverifikasi masuk. Akun administrator AD DS bawaan tidak disinkronkan, dan Anda tidak dapat menggunakannya untuk verifikasi.
  • Pastikan Anda dapat masuk dari perangkat di ekstranet. Di mesin rumah atau perangkat seluler, sambungkan ke https://myapps.microsoft.com. Kemudian berikan informasi masuk Anda.
  • Memvalidasi rincian masuk klien kaya. Sambungkan ke https://testconnectivity.microsoft.com. Lalu pilih Office 365>Uji Akses Menyeluruh Office 365.

Pecahkan masalah

Bagian ini berisi informasi pemecahan masalah yang bisa Anda gunakan jika Anda mengalami masalah saat menginstal Microsoft Entra Connect.

Saat Anda mengkustomisasi penginstalan Microsoft Entra Connect, pada halaman Instal komponen yang diperlukan, Anda dapat memilih Gunakan SQL Server yang sudah ada. Anda mungkin melihat kesalahan berikut: "Database Sinkronisasi AAD sudah berisi data dan tidak dapat ditimpa. Silakan hapus database yang ada, lalu coba kembali."

Cuplikan layar yang menampilkan halaman

Anda melihat kesalahan ini karena database bernama Sinkronisasi AAD sudah ada pada instans SQL dari SQL Server yang Anda tentukan.

Anda biasanya melihat kesalahan ini setelah menghapus instalan Microsoft Entra Connect. Database tidak dihapus dari komputer yang menjalankan SQL Server saat Anda menghapus instalan Microsoft Entra Connect.

Untuk memperbaiki masalah ini:

  1. Periksa database SINKRONISASI AAD yang digunakan Microsoft Entra Connect sebelum dihapus instalasinya. Pastikan bahwa database tidak lagi digunakan.

  2. Cadangkan databasenya.

  3. Menghapus database:

    1. Gunakan Microsoft SQL Server Management Studio untuk menyambungkan ke instans SQL.
    2. Temukan database Sinkronisasi AAD dan klik kanan database tersebut.
    3. Pada menu konteks, pilih Hapus.
    4. Pilih OK untuk menghapus database.

Cuplikan layar yang menampilkan Microsoft SQL Server Management Studio. Sinkronisasi A D dipilih.

Setelah Anda menghapus database Sinkronisasi AAD, pilih Pasang untuk mencoba kembali penginstalan.

Langkah berikutnya

Setelah penginstalan selesai, keluar dari Windows. Kemudian masuk lagi sebelum Anda menggunakan Synchronization Service Manager atau Editor Aturan Sinkronisasi.

Setelah menginstal Microsoft Entra Connect, Anda dapat memverifikasi penginstalan dan menetapkan lisensi.

Untuk informasi selengkapnya tentang fitur yang Anda aktifkan selama penginstalan, lihat Mencegah penghapusan yang tidak disengaja dan Microsoft Entra Connect Health.

Untuk informasi selengkapnya tentang topik umum lainnya, lihat Sinkronisasi Microsoft Entra Connect: Penjadwal dan Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.