Выборочная установка Microsoft Entra Connect
Используйте настраиваемые параметры в Microsoft Entra Connect, если требуется дополнительные параметры для установки. Их можно использовать, например, если у вас несколько лесов, если требуется настроить дополнительные функции, а также во всех случаях, когда экспресс-установка не удовлетворяет вашим требованиям к развертыванию или топологии.
Необходимые условия:
- Скачайте Microsoft Entra Connect.
- Выполните необходимые действия в Microsoft Entra Connect: оборудование и предварительные требования.
- Убедитесь, что у вас есть учетные записи, описанные в учетных записях и разрешениях Microsoft Entra Connect.
Параметры выборочной установки
Чтобы настроить настраиваемую установку для Microsoft Entra Connect, перейдите на страницы мастера, описанные в следующих разделах.
Стандартные параметры
На странице Стандартные параметры выберите Настройка, чтобы перейти к выборочной установке. В оставшейся части этой статьи описывается процесс выборочной установки. Используйте следующие ссылки для быстрого перехода к сведениям о конкретной странице:
- Необходимые компоненты
- Вход пользователей
- Подключение к идентификатору Microsoft Entra
- Синхронизация
Установка необходимых компонентов
При установке служб синхронизации можно не выбирать раздел с необязательными параметрами. Microsoft Entra Connect настраивает все автоматически. а именно настроит экземпляр SQL Server 2019 Express LocalDB, создаст соответствующие группы и назначит им разрешения. Если вы хотите изменить значения по умолчанию, установите соответствующие флажки. В следующей таблице представлены необязательные параметры установки и даны ссылки на дополнительные сведения.
Дополнительные настройки | Description |
---|---|
Укажите пользовательское расположение установки | Позволяет изменить путь установки по умолчанию для Microsoft Entra Connect. |
Использование существующего SQL Server | Позволяет указать имя сервера и экземпляра SQL Server. Выберите этот параметр, если у вас уже есть сервер базы данных, который вы хотите использовать. В поле Имя экземпляра введите имя экземпляра, а за ним через запятую номер порта, если для этого экземпляра SQL Server не включен режим просмотра. Затем укажите имя базы данных Microsoft Entra Connect. От ваших разрешений SQL зависит, можно ли будет при этом создать базу данных или же администратор SQL должен будет создать ее заранее. Если у вас есть разрешения администратора SQL Server (SA), см. статью "Установка Microsoft Entra Connect" с помощью существующей базы данных. Если у вас есть делегированные разрешения (DBO), см. статью "Установка Microsoft Entra Connect с помощью делегированных разрешений администратора SQL". |
Использование существующей учетной записи службы | По умолчанию Microsoft Entra Connect предоставляет учетную запись виртуальной службы для служб синхронизации. Если работать предстоит с удаленным экземпляром SQL Server или с прокси-сервером, требующим проверки подлинности, вы можете использовать управляемую учетную запись службы или защищенную паролем учетную запись службы в том же домене. В этих случаях выберите учетную запись, которую требуется использовать. Для запуска установки необходимы разрешения SA в SQL, чтобы можно было создать учетные данные для входа в учетную запись службы. Дополнительные сведения см. в статье "Учетные записи и разрешения Microsoft Entra Connect". Если используется последняя сборка, то администратор SQL может подготовить базу данных к работе с помощью аппаратного контроллера управления, Затем администратор Microsoft Entra Connect может установить его с правами владельца базы данных. Дополнительные сведения см. в статье "Установка Microsoft Entra Connect с помощью делегированных разрешений администратора SQL". |
Указание пользовательских групп синхронизации | По умолчанию при установке служб синхронизации Microsoft Entra Connect создает четыре группы, которые являются локальными для сервера. "Администраторы", "Операторы", "Просмотр" и "Сброс пароля". Здесь также можно указать собственные группы. Группы должны быть локальными для этого сервера и не могут располагаться в домене. |
Импорт параметров синхронизации | Позволяет импортировать параметры из других версий Microsoft Entra Connect. Дополнительные сведения см. в разделе "Импорт и экспорт параметров конфигурации Microsoft Entra Connect". |
Вход пользователя
После установки необходимых компонентов выберите метод единого входа для пользователей. В следующей таблице дано краткое описание доступных параметров. Полное описание способов входа см. в статье Параметры входа в Azure AD Connect.
Метод единого входа | Description |
---|---|
Синхронизация хэша паролей | Пользователи могут входить в облачные службы Майкрософт, например в Microsoft 365, используя тот же пароль, что и в локальной сети. Пароли пользователей синхронизируются с идентификатором Microsoft Entra в виде хэша паролей. Проверка подлинности выполняется в облаке. Дополнительные сведения см. в статье "Реализация синхронизации хэшированных паролей в службе синхронизации Azure AD Connect". |
Сквозная проверка подлинности | Пользователи могут входить в облачные службы Майкрософт, например в Microsoft 365, используя тот же пароль, что и в локальной сети. Пароли пользователей передаются для проверки на локальный контроллер домена Active Directory. |
Федерация с AD FS | Пользователи могут входить в облачные службы Майкрософт, например в Microsoft 365, используя тот же пароль, что и в локальной сети. Для входа пользователи перенаправляются на локальный экземпляр служб федерации Azure Active Directory (AD FS). Проверка подлинности выполняется локально. |
Федерация с PingFederate | Пользователи могут входить в облачные службы Майкрософт, например в Microsoft 365, используя тот же пароль, что и в локальной сети. Для входа пользователи перенаправляются в свой локальный экземпляр PingFederate. Проверка подлинности выполняется локально. |
Не настраивать | Ни один компонент для входа пользователей не устанавливается и не настраивается. Выберите этот параметр, если у вас уже есть сервер федерации стороннего производителя или другое решение. |
Включение единого входа | Этот параметр доступен при использовании как синхронизации хэша паролей, так и сквозной проверки подлинности. Он обеспечивает единый вход для пользователей настольных компьютеров в корпоративных сетях. См. сведения о едином входе. Примечание. Этот параметр недоступен для клиентов AD FS. AD FS уже предлагает тот же уровень единого входа. |
Подключение к идентификатору Microsoft Entra
На странице "Подключение к идентификатору Microsoft Entra ID" введите учетную запись и пароль администратора гибридного удостоверения. Если на предыдущей странице вы выбрали параметр Федерация с AD FS, не используйте для входа учетную запись домена, который планируется включить в федерацию.
Может потребоваться использовать учетную запись в домене onmicrosoft.com по умолчанию, который поставляется с клиентом Microsoft Entra. Эта учетная запись используется только для создания учетной записи службы в идентификаторе Microsoft Entra. и не используется после завершения установки.
Примечание.
Рекомендуется избегать использования локальных синхронизированных учетных записей для назначений ролей Microsoft Entra. Если локальная учетная запись скомпрометирована, это также можно использовать для компрометации ресурсов Microsoft Entra. Полный список рекомендаций см. в рекомендациях по ролям Microsoft Entra
Если у вашей учетной записи глобального администратора включена многофакторная проверка подлинности, вы снова укажите пароль в окне входа, и необходимо выполнить задачу многофакторной проверки подлинности. введя код проверки или совершив телефонный звонок.
Учетная запись глобального администратора также может включать управление привилегированными удостоверениями .
Чтобы использовать поддержку проверки подлинности в сценариях без пароля, таких как федеративные учетные записи, смарт-карты и сценарии MFA, при запуске мастера можно использовать параметр /InteractiveAuth. Этот параметр позволит обойти пользовательский интерфейс проверки подлинности в мастере и использовать для проверки подлинности пользовательский интерфейс библиотеки MSAL.
Если вы получили сообщение об ошибке или испытываете проблемы с подключением, см. статью "Устранение неполадок подключения к Azure Active Directory".
Страницы синхронизации
В следующих разделах описываются страницы раздела Синхронизация.
Подключить каталоги
Чтобы подключиться к службам домен Active Directory (AD DS), Microsoft Entra Connect требуется имя леса и учетные данные учетной записи с достаточными разрешениями.
После ввода имени леса и нажатия кнопки Добавить каталог появится окно. Варианты выбора в этом окне описаны в следующей таблице.
Вариант | Описание |
---|---|
Создать учетную запись | Создайте учетную запись AD DS, которую Microsoft Entra Connect необходимо подключить к лесу Active Directory во время синхронизации каталогов. Выбрав этот вариант, введите имя пользователя и пароль учетной записи администратора предприятия. Microsoft Entra Connect использует предоставленную учетную запись администратора предприятия для создания необходимой учетной записи AD DS. Доменную часть можно ввести в формате NetBIOS или полного доменного имени, т. е. FABRIKAM\administrator или fabrikam.com\administrator. |
Использовать существующую учетную запись | Укажите существующую учетную запись AD DS, которую Microsoft Entra Connect может использовать для подключения к лесу Active Directory во время синхронизации каталогов. Доменную часть можно ввести в формате NetBIOS или полного доменного имени, т. е. FABRIKAM\syncuser или fabrikam.com\syncuser. Эта учетная запись может принадлежать обычному пользователю, так как стандартных разрешений для чтения вполне достаточно. Для некоторых сценариев могут, однако, потребоваться дополнительные разрешения. Дополнительные сведения см. в статье "Учетные записи и разрешения Microsoft Entra Connect". |
Примечание.
По состоянию на сборку 1.4.18.0 нельзя использовать учетную запись администратора предприятия или администратора домена в качестве учетной записи соединителя AD DS. Если выбран вариант Использовать существующую учетную запись, при попытке ввести учетную запись администратора предприятия или учетную запись администратора домена появляется следующее сообщение об ошибке: "Использование учетной записи администратора предприятия или домена для учетной записи леса AD не допускается. Создайте учетную запись с помощью Microsoft Entra Connect или укажите учетную запись синхронизации с соответствующими разрешениями".
Конфигурация входа в Microsoft Entra
На странице конфигурации входа в Microsoft Entra просмотрите домены имени участника-пользователя (UPN) в локальной службе AD DS. Эти домены участника-пользователя были проверены в идентификаторе Microsoft Entra. На этой странице настраивается атрибут, который будет использоваться в качестве параметра userPrincipalName.
Проверьте каждый домен, напротив которого стоит отметка Не добавлено или Не проверено. Убедитесь, что используемые домены проверены в идентификаторе Microsoft Entra. Проверив домены, щелкните значок обновления со стрелками по кругу. Дополнительные сведения см. в статье "Добавление имени личного домена с помощью портала Azure Active Directory".
Пользователи используют атрибут userPrincipalName при входе в идентификатор Microsoft Entra и Microsoft 365. Идентификатор Microsoft Entra должен проверить домены, также известные как суффикс имени участника-пользователя, прежде чем пользователи синхронизированы. Майкрософт рекомендует оставить атрибут userPrincipalName, заданный по умолчанию.
Если атрибут userPrincipalName не поддерживает маршрутизацию и не может быть проверен, можно выбрать другой атрибут. Например, в качестве атрибута, содержащего идентификатор для входа, можно выбрать адрес электронной почты. Если используется атрибут, отличный от userPrincipalName, то он называется альтернативным идентификатором.
Значение альтернативного идентификатора должно соответствовать стандарту RFC 822. Альтернативный идентификатор может использоваться для синхронизации хэша паролей, сквозной проверки подлинности и федерации. В Active Directory атрибут нельзя определить как многозначный, даже если он содержит только одно значение. Дополнительные сведения об альтернативных идентификаторах см. в статье "Сквозная проверка подлинности Azure Active Directory: ответы на часто задаваемые вопросы".
Примечание.
Если выбрана сквозная проверка подлинности, для продолжения выборочной установки необходимо будет иметь по крайней мере один проверенный домен.
Предупреждение
Альтернативный идентификаторы совместимы не со всеми рабочими нагрузками Microsoft 365. Дополнительные сведения см. в статье "Настройка альтернативного идентификатора для входа".
Фильтрация доменов и подразделений
По умолчанию синхронизируются все домены и подразделения (OU). Если вы не хотите синхронизировать некоторые домены или подразделения с идентификатором Microsoft Entra, можно очистить соответствующие выбранные элементы.
На этой странице настраивается фильтрация по доменам и подразделениям. Если вы собираетесь внести какие-то изменения, сначала ознакомьтесь с разделами о фильтрации по доменам и фильтрации по подразделениям статьи "Синхронизация Azure AD Connect: настройка фильтрации". Некоторые подразделения обязательны для работы тех или иных функций, поэтому их следует оставить выбранными.
Если вы используете фильтрацию на основе подразделений с версией Microsoft Entra Connect старше 1.1.524.0, новые подразделения синхронизируются по умолчанию. Если вы не хотите синхронизировать новые подразделения, то сможете изменить поведение по умолчанию после настройки фильтрации по подразделениям. Для Microsoft Entra Connect 1.1.524.0 или более поздней версии можно указать, нужно ли синхронизировать новые подразделения.
Если вы собираетесь использовать фильтрацию по группам, проследите за тем, чтобы подразделение, содержащее группу, было включено и не отфильтровывалось по подразделениям. Фильтрация по подразделениям выполняется до фильтрации по группам.
Некоторые домены могут также быть недоступны из-за ограничений на брандмауэре. Такие домены исключены по умолчанию, и для них отображается предупреждение.
Если вы видите такое предупреждение, убедитесь, что эти домены действительно недоступны и это предупреждение не является ошибкой.
Уникальная идентификация пользователей
На странице Идентификация пользователей выберите, как следует идентифицировать пользователей в локальных каталогах и по атрибуту sourceAnchor.
Выбор способа идентификации пользователей в локальных каталогах
С помощью функции сопоставления между лесами можно определить, как пользователи из лесов AD DS представлены в идентификаторе Microsoft Entra. Пользователь может иметь как одно представление на всем множестве лесов, так и комбинацию включенных и отключенных учетных записей. В некоторых лесах пользователь также может быть представлен как контакт.
Параметр | Description |
---|---|
Пользователи представлены только один раз во всех каталогах | Все пользователи создаются как отдельные объекты в идентификаторе Microsoft Entra. Объекты не соединены в метавселенной. |
Атрибут почты | Этот параметр соединяет пользователей и контакты, если атрибут почты имеет то же значение в разных лесах. Используйте этот параметр, если ваши контакты создавались с помощью GALSync. Если выбрать этот параметр, пользовательские объекты, атрибут почты которых не заполнен, не синхронизированы с идентификатором Microsoft Entra. |
Атрибуты ObjectSID и msExchangeMasterAccountSID | Этот параметр соединяет включенного пользователя в лесу учетной записи с отключенным пользователем в лесу ресурсов. В Exchange такая конфигурация называется связанным почтовым ящиком. Этот параметр можно использовать, если вы используете только Lync и если Exchange нет в лесу ресурсов. |
Атрибуты SAMAccountName и MailNickName | Это параметр предписывает соединять атрибуты, в которых, как ожидается, будет указан идентификатор пользователя для входа. |
Выбрать атрибут | Этот параметр позволяет выбрать собственный атрибут. Если выбрать этот параметр, пользовательские объекты, атрибут которых (выбранный) не заполняется, не синхронизируются с идентификатором Microsoft Entra. Ограничение: для использования с этим параметром доступны только те атрибуты, которые уже есть в метавселенной. |
Выбор способа идентификации пользователей по привязке к источнику
Атрибут sourceAnchor остается неизменным в течение всего времени существования объекта-пользователя. Это первичный ключ, который связывает локального пользователя с пользователем в идентификаторе Microsoft Entra.
Параметр | Description |
---|---|
Позволить Azure управлять привязкой к источнику | Выберите этот параметр, если требуется, чтобы идентификатор Microsoft Entra выбрал атрибут. Если выбрать этот параметр, Microsoft Entra Connect применяет логику выбора атрибута sourceAnchor, описанную в разделе Using ms-DS-ConsistencyGuid в качестве sourceAnchor. После завершения выборочной установки вы увидите, какой атрибут был выбран в качестве sourceAnchor. |
Выбрать атрибут | Выберите этот параметр, если хотите в качестве sourceAnchor указать имеющийся атрибут AD. |
Так как изменить атрибут sourceAnchor нельзя, необходимо правильно выбрать атрибут для этой цели. Хорошим кандидатом является objectGUID. Этот атрибут не меняется, если только учетная запись пользователя не перемещается между лесами и доменами. Не выбирайте атрибуты, которые могут меняться при вступлении в брак или новом назначении пользователя.
Нельзя использовать атрибуты, включающие символ @, поэтому не годятся такие атрибуты, как адрес электронной почты и userPrincipalName. Этот атрибут также чувствителен к регистру символов, поэтому при перемещении объекта между лесами обязательно сохраняйте верхний и нижний регистры. Двоичные атрибуты представляются в кодировке Base64, а прочие типы атрибутов остаются в исходном виде.
В сценариях федерации и некоторых интерфейсах идентификатора Microsoft Entra атрибут sourceAnchor также известен как неизменяемый ИДЕНТИФИКАТОР.
Дополнительные сведения о привязке к источнику см. в разделе "sourceAnchor" статьи "Azure AD Connect: принципы проектирования".
Фильтрация синхронизации на основе групп
Фильтрация по группам позволяет синхронизировать только небольшое подмножество объектов для пилотного развертывания. Чтобы использовать эту функцию, создайте группу в локальном экземпляре службы Active Directory. Затем добавьте пользователей и группы, которые должны быть синхронизированы с идентификатором Microsoft Entra в качестве прямых членов. Позже вы можете добавить пользователей или удалить пользователей из этой группы, чтобы сохранить список объектов, которые должны присутствовать в идентификаторе Microsoft Entra.
Все объекты, которые вы хотите синхронизировать, должны быть непосредственными членами группы. Это, в частности, относится к пользователям, группам, контактам и компьютерам или устройствам. Разрешение членства во вложенных группах не производится. При добавлении группы в другую группу добавляется только она сама, но не ее члены.
Предупреждение
Эта функция предназначена для использования только в пилотном развертывании. Не используйте ее для развертывания в полноценной рабочей среде.
В полноценной рабочей среде трудно будет поддерживать единую группу со всеми объектами, предназначенными для синхронизации. Вместо фильтрации по группам используйте один из методов, описанных в статье "Синхронизация Azure AD Connect: настройка фильтрации".
Дополнительные функции
На следующей странице можно выбрать дополнительные функции и компоненты для своего сценария.
Предупреждение
Microsoft Entra Connect версии 1.0.8641.0 и более ранних версий использует службу Azure контроль доступа для обратной записи паролей. Использование этой службы было прекращено с 7 ноября 2018 г. Если вы используете любую из этих версий Microsoft Entra Connect и включили обратную запись паролей, пользователи могут потерять возможность изменять или сбрасывать пароли при выходе из эксплуатации службы. Эти версии Microsoft Entra Connect не поддерживают обратную запись паролей.
Если вы хотите использовать обратную запись паролей, скачайте последнюю версию Microsoft Entra Connect.
Предупреждение
Если активна синхронизация Azure AD или прямая синхронизация (DirSync), не активируйте какие-либо функции обратной записи в Microsoft Entra Connect.
Дополнительные функции | Description |
---|---|
Гибридное развертывание Exchange | Функция гибридного развертывания Exchange обеспечивает сосуществование почтовых ящиков Exchange в локальной среде и в службе Microsoft 365. Microsoft Entra Connect синхронизирует определенный набор атрибутов из Microsoft Entra обратно в локальный каталог. |
Общедоступные папки почты Exchange | Функция общедоступных папок Exchange позволяет синхронизировать объекты общедоступной папки с поддержкой почты из локального экземпляра Active Directory с идентификатором Microsoft Entra. Обратите внимание, что синхронизация групп, содержащих общие папки в качестве членов, не поддерживается, и попытка сделать это приведет к ошибке синхронизации. |
Фильтрация приложений и атрибутов Microsoft Entra | Включение фильтрации приложений и атрибутов Microsoft Entra позволяет настроить набор синхронизированных атрибутов. При установке этого параметра в мастер добавляется две дополнительные страницы конфигурации. Дополнительные сведения см. в разделе "Microsoft Entra app and attribute filtering". |
Синхронизация хэша паролей | Синхронизацию хэша паролей можно включить, если в качестве метода входа вы выбрали федерацию. Ее можно затем использовать как резервный вариант. Если вы выбрали сквозную проверку подлинности, то можете включить этот параметр, чтобы обеспечить поддержку старых клиентов, а также в качестве резервного варианта. Дополнительные сведения см. в статье Реализация синхронизации хэшированных паролей в службе синхронизации Azure AD Connect. |
Компонент обратной записи паролей | Используйте этот параметр, чтобы убедиться, что изменения паролей, поступающие в идентификатор Microsoft Entra, записываются обратно в локальный каталог. Дополнительные сведения см. в статье Приступая к работе с компонентами управления паролями. |
Обратная запись групп | Если вы используете Группы Microsoft 365, то можете представлять группы в своем локальном экземпляре Active Directory. Этот параметр доступен, только если в локальном экземпляре Active Directory имеется Exchange. Дополнительные сведения см. в разделе обратной записи группы Microsoft Entra Connect. |
Обратная запись устройств | В сценариях условного доступа используйте этот параметр для записи обратно объектов устройств в идентификаторе Microsoft Entra в локальный экземпляр Active Directory. Дополнительные сведения см. в разделе "Включение обратной записи устройств" в Microsoft Entra Connect. |
Синхронизация атрибутов расширений каталога | Выберите этот параметр, чтобы синхронизировать указанные атрибуты с идентификатором Microsoft Entra. Дополнительные сведения см. в статье о расширениях каталогов. |
Фильтрация приложений и атрибутов Microsoft Entra
Если вы хотите ограничить, какие атрибуты синхронизируются с идентификатором Microsoft Entra, сначала выберите используемые службы. При изменении параметров на этой странице необходимо будет явно выбрать новую службу, заново запустив мастер установки.
С учетом служб, выбранных на предыдущем этапе, на этой странице отображаются все синхронизируемые атрибуты. Этот список объединяет в себе все типы объектов, для которых выполняется синхронизация. Если требуется, чтобы какие-то атрибуты оставались несинхронизированными, можно снять флажки этих атрибутов.
Предупреждение
Удаление атрибутов может повлиять на функциональность. Рекомендации см. в разделе "Атрибуты для синхронизации" статьи "Службы синхронизации Azure AD Connect: атрибуты, синхронизируемые с Azure Active Directory".
Синхронизация атрибутов расширения каталога
Вы можете расширить схему в идентификаторе Microsoft Entra с помощью настраиваемых атрибутов, которые ваша организация добавила или с помощью других атрибутов в Active Directory. Чтобы использовать эту функцию, на странице Дополнительные компоненты установите флажок Синхронизация атрибутов расширений каталога. Затем на странице Расширения каталогов можно будет выбрать дополнительные атрибуты для синхронизации.
Примечание.
Значения в поле Доступные атрибуты следует вводить с учетом регистра.
Дополнительные сведения см. в статье о расширениях каталогов.
Включение единого входа
На странице Единый вход настройте единый вход для использования с синхронизацией паролей или сквозной проверкой подлинности. Этот шаг выполняется один раз для каждого леса, синхронизированного с идентификатором Microsoft Entra. Настройка состоит из двух этапов:
- Создание необходимой учетной записи компьютера в локальном экземпляре Active Directory.
- Настройка зоны интрасети клиентских компьютеров для поддержки единого входа.
Создание учетной записи компьютера в Active Directory
Для каждого леса, добавленного в Microsoft Entra Connect, необходимо указать учетные данные администратора домена, чтобы учетная запись компьютера была создана в каждом лесу. Эти учетные данные используются только для создания учетной записи — они не хранятся и не используются в каких-либо других операциях. Добавьте учетные данные на странице Включить единый вход, как показано на следующем рисунке.
Примечание.
Вы можете пропустить леса, в которых не собираетесь использовать единый вход.
Настройка зоны интрасети для клиентских компьютеров
Чтобы клиент автоматически подключался к зоне интрасети, обеспечьте, чтобы его URL-адрес входил в эту зону. Этот шаг гарантирует, что присоединенный к домену компьютер автоматически отправляет запрос Kerberos в идентификатор Microsoft Entra при подключении к корпоративной сети.
На компьютере с инструментами управления групповыми политиками сделайте следующее:
Откройте средства управления групповыми политиками.
Откройте для изменения групповую политику, которая будет применяться ко всем пользователям — например, политику домена по умолчанию.
Выберите Конфигурация пользователя>Административные шаблоны>Компоненты Windows>Internet Explorer>Панель управления браузером>Вкладка "Безопасность". Выберите Список назначений зоны для веб-сайтов.
Включите политику. Затем в диалоговом окне введите имя
https://autologon.microsoftazuread-sso.com
значения иhttps://aadg.windows.net.nsatc.net
значение для обоих1
URL-адресов. Настройки должны выглядеть так, как показано на следующем рисунке.Нажмите дважды кнопку ОК.
Настройка федерации с AD FS
Вы можете настроить AD FS с помощью Microsoft Entra Connect всего за несколько щелчков. Прежде всего потребуется следующее:
- Сервер Windows Server 2012 R2 или более поздней версии в качестве сервера федерации. Удаленное управление должно быть включено.
- Сервер Windows Server 2012 R2 или более поздней версии в качестве прокси-сервера веб-приложения. Удаленное управление должно быть включено.
- Сертификат TLS/SSL для имени службы федерации, которую предполагается использовать (например, sts.contoso.com).
Примечание.
Вы можете обновить TLS/SSL-сертификат для фермы AD FS с помощью Microsoft Entra Connect, даже если вы не используете его для управления доверием федерации.
Предварительные требования для настройки AD FS
Чтобы настроить ферму AD FS с помощью Microsoft Entra Connect, убедитесь, что WinRM включена на удаленных серверах. Выполните остальные пункты из списка необходимого для федерации. Кроме того, следуйте требованиям к портам, перечисленным в таблице серверов Microsoft Entra Connect и федерации или WAP.
Создание новой фермы AD FS или использование существующей фермы AD FS
Вы можете использовать существующую ферму AD FS или создать другую. Если вы решите создать ферму, необходимо будет предоставить TLS/SSL-сертификат. Если TLS/SSL-сертификат защищен паролем, появится запрос на ввод пароля.
Если вы решили использовать существующую ферму AD FS, вы увидите страницу, на которой можно настроить отношение доверия между AD FS и идентификатором Microsoft Entra.
Примечание.
Для управления одной фермой AD FS можно использовать Microsoft Entra Connect. Если у вас есть существующее доверие федерации, в котором идентификатор Microsoft Entra настроен на выбранной ферме AD FS, Microsoft Entra Connect повторно создает доверие с нуля.
Указание серверов AD FS
Укажите серверы, на которых требуется установить AD FS. Можно добавить один или несколько серверов в зависимости от запланированной загрузки. Перед настройкой этой конфигурации присоедините все AD FS серверы к Active Directory. Для прокси-серверов веб-приложений этот шаг не обязателен.
Мы рекомендуем установить одиночный сервер AD FS для тестовых и пилотных развертываний. После начальной конфигурации можно добавить и развернуть дополнительные серверы для удовлетворения потребностей масштабирования, выполнив Microsoft Entra Connect еще раз.
Примечание.
Перед настройкой этой конфигурации убедитесь, что все серверы присоединены к домену Microsoft Entra.
Указание прокси-серверов веб-приложений
Укажите прокси-серверы веб-приложений. Прокси-сервер веб-приложения развертывается в промежуточной подсети и обращен к экстрасети. Он поддерживает запросы на проверку подлинности из экстрасети. Можно добавить один или несколько серверов в зависимости от запланированной загрузки.
Мы рекомендуем установить одиночный прокси-сервер веб-приложений для тестовых и пилотных развертываний. После начальной конфигурации можно добавить и развернуть дополнительные серверы для удовлетворения потребностей масштабирования, выполнив Microsoft Entra Connect еще раз. Для проверки подлинности из интрасети рекомендуется предусмотреть адекватное число прокси-серверов.
Примечание.
- Если используемая учетная запись не имеет прав локального администратора на прокси-серверах веб-приложений, появится запрос на ввод учетных данных администратора.
- Перед указанием прокси-серверов веб-приложений убедитесь, что между сервером Microsoft Entra Connect и прокси-сервером веб-приложения есть подключение HTTP/HTTPS.
- Убедитесь в наличии HTTP/HTTPS-подключения между сервером веб-приложений и сервером AD FS, чтобы между ними проходили запросы на проверку подлинности.
Вам будет предложено ввести учетные данные, чтобы сервер веб-приложений мог установить защищенное подключение к серверу AD FS. Эти учетные данные должны принадлежать учетной записи локального администратора на сервере AD FS.
Укажите учетную запись службы для службы AD FS
Службе AD FS требуется учетная запись службы домена, чтобы выполнять проверку подлинности пользователей и искать информацию о них в Active Directory. Поддерживаются два типа учетных записей службы.
- Групповая управляемая учетная запись службы. Этот тип учетной записи был введен в AD DS начиная с Windows Server 2012. Он предоставляет такие службы, как AD FS. Это одиночная учетная запись, в которой не требуется регулярно обновлять пароль. Используйте этот параметр, если у вас уже есть контроллеры домена Windows Server 2012 в домене, к которому принадлежат серверы AD FS.
- Учетная запись пользователя домена. Для учетной записи этого типа необходимо указать пароль, который нужно будет регулярно обновлять по истечении срока действия. Используйте этот тип, только если у вас нет контроллеров домена Windows Server 2012 в домене, к которому принадлежат серверы AD FS.
Если вы выбрали вариант Создать групповую управляемую учетную запись службы, а эта учетная запись никогда не использовалась в Active Directory, введите учетные данные администратора предприятия. Эти учетные данные необходимы, чтобы инициировать хранилище ключей и включить эту учетную запись в Active Directory.
Примечание.
Microsoft Entra Connect проверяет, зарегистрирована ли служба AD FS в качестве имени субъекта-службы (SPN) в домене. AD DS не разрешает одновременно регистрировать повторяющиеся имена субъектов-служб. Если будет обнаружено дублирующееся имя субъекта-службы, вы не сможете продолжить, пока это имя не будет удалено.
Выберите домен Microsoft Entra, который требуется федеративно
Используйте страницу домена Microsoft Entra, чтобы настроить связь федерации между AD FS и идентификатором Microsoft Entra. Здесь вы настроите AD FS для предоставления маркеров безопасности идентификатору Microsoft Entra. Вы также настроите идентификатор Microsoft Entra, чтобы доверять маркерам из этого экземпляра AD FS.
Во время первоначальной установки на этой странице можно настроить только один домен. Вы можете настроить дополнительные домены позже, снова запустив Microsoft Entra Connect.
Проверка выбранного домена Microsoft Entra для федерации
При выборе домена, который требуется объединить, Microsoft Entra Connect предоставляет сведения, которые можно использовать для проверки непроверенного домена. Дополнительные сведения см. в статье "Добавление имени личного домена с помощью портала Azure Active Directory".
Примечание.
Microsoft Entra Connect пытается проверить домен на этапе настройки. Если не добавить необходимые записи службы доменных имен (DNS), настройка завершена не будет.
Настройка федерации с PingFederate
Вы можете настроить PingFederate с помощью Microsoft Entra Connect всего за несколько щелчков. Ниже перечислены необходимые компоненты.
- PingFederate 8.4 или более поздней версии. Дополнительные сведения см. в разделе интеграции PingFederate с идентификатором Microsoft Entra ID и Microsoft 365 в документации по Ping Identity.
- Сертификат TLS/SSL для имени службы федерации, которую предполагается использовать (например, sts.contoso.com).
Проверка домена
После того как вы решите настроить федерацию с помощью PingFederate, вам будет предложено проверить домен, который требуется включить в федерацию. Выберите домен в раскрывающемся меню.
Экспорт параметров PingFederate
Настройте PingFederate в качестве сервера федерации для каждого федеративного домена Azure. Нажмите кнопку Экспортировать параметры и передайте полученные сведения своему администратору PingFederate. Администратор сервера федерации обновляет конфигурацию, а затем предоставляет URL-адрес сервера PingFederate и номер порта, чтобы Microsoft Entra Connect могли проверить параметры метаданных.
Если при проверке возникнут проблемы, обратитесь к администратору PingFederate для их устранения. На следующем рисунке показаны сведения о сервере PingFederate, у которого нет действующего отношения доверия с Azure.
Проверка подключения федерации
Microsoft Entra Connect пытается проверить конечные точки проверки подлинности, полученные из метаданных PingFederate на предыдущем шаге. Microsoft Entra Connect сначала пытается разрешить конечные точки с помощью локальных DNS-серверов. а затем через внешнего поставщика услуг DNS. Если при проверке возникнут проблемы, обратитесь к администратору PingFederate для их устранения.
Проверка федеративного входа
Теперь вы можете проверить процесс входа в настроенной федерации, выполнив вход в федеративный домен. Если он завершится успешно, значит федерация с PingFederate настроена правильно.
Страницы настройки и проверки
Параметры настраиваются на странице Настройка.
Примечание.
Если вы настроили федерацию, то необходимо также настроить разрешение имен для серверов федерации, прежде чем продолжать установку.
Использование промежуточного режима
Промежуточный режим позволяет установить новый сервер синхронизации для параллельной работы. Если вы хотите использовать такую конфигурацию, то экспорт в один облачный каталог возможен будет только с одного сервера синхронизации. Но если вы хотите перейти с другого сервера, например на сервере под управлением DirSync, вы можете включить Microsoft Entra Connect в промежуточном режиме.
При включенной промежуточной конфигурации модуль синхронизации импортирует и синхронизирует данные как обычно, Но он не экспортирует данные в идентификатор Microsoft Entra или Active Directory. В промежуточном режиме функция синхронизации паролей и компонент обратной записи паролей отключены.
В промежуточном режиме можно внести необходимые изменения в подсистему синхронизации и проверить, что будет экспортировано. Если вы довольны конфигурацией, снова запустите мастер установки и отключите промежуточный режим.
Теперь данные экспортируются в идентификатор Microsoft Entra с сервера. Обязательно отключите другой сервер, чтобы только один сервер активно экспортировал данные.
Дополнительные сведения см. в разделе Промежуточный режим.
Проверьте конфигурации федерации
Microsoft Entra Connect проверяет параметры DNS при нажатии кнопки "Проверить ". В частности, будет проверено следующее:
- Возможность подключения к интрасети
- Разрешить полное доменное имя федерации: Microsoft Entra Connect проверяет, может ли DNS разрешить полное доменное имя федерации, чтобы обеспечить подключение. Если Microsoft Entra Connect не может разрешить полное доменное имя, проверка завершается ошибкой. Для успешного прохождения проверки убедитесь, что для полного доменного имени службы федерации имеется соответствующая запись DNS.
- Запись DNS A: Microsoft Entra Connect проверяет, имеет ли служба федерации запись A. Если запись типа А отсутствует, проверка не пройдена. Чтобы эта проверка была пройдена успешно, создайте для полного доменного имени федерации запись типа A, а не запись CNAME.
- Возможность подключения к экстрасети
Разрешить полное доменное имя федерации: Microsoft Entra Connect проверяет, может ли DNS разрешить полное доменное имя федерации, чтобы обеспечить подключение.
Чтобы убедиться, что сквозная проверка подлинности работает, вручную проведите один или несколько из следующих тестов.
- После завершения синхронизации в Microsoft Entra Connect используйте дополнительную задачу "Проверить федеративное имя входа ", чтобы проверить проверку подлинности для выбранной локальной учетной записи пользователя.
- Проверьте возможность входа с помощью браузера, запущенного на присоединенном к домену компьютере в интрасети. соединение с https://myapps.microsoft.com; Затем проверьте вход, используя учетную запись для входа. Встроенная учетная запись администратора AD DS не синхронизирована, и ее нельзя использовать для проверки.
- Проверьте возможность входа с устройства из экстрасети. На домашнем компьютере или мобильном устройстве перейдите по адресу https://myapps.microsoft.com и укажите свои учетные данные.
- Проверьте возможность входа клиента с расширенными возможностями. соединение с https://testconnectivity.microsoft.com; Затем выберите Office 365 > Тест единого входа в Office 365.
Устранение неполадок
В этом разделе содержатся сведения об устранении неполадок, которые можно использовать при установке Microsoft Entra Connect.
При настройке установки Microsoft Entra Connect на странице " Установка необходимых компонентов" можно выбрать "Использовать существующий SQL Server". При этом может появиться следующая ошибка: "База данных ADSync уже содержит данные и не может быть перезаписана. Удалите существующую базу данных и повторите попытку".
Эта ошибка возникает, так как база данных с именем ADSync уже существует в указанном экземпляре SQL Server.
Обычно эта ошибка возникает после удаления Microsoft Entra Connect. База данных не удаляется с компьютера, на котором выполняется SQL Server при удалении Microsoft Entra Connect.
Чтобы устранить эту проблему, выполните следующие действия.
Проверьте базу данных ADSync, используемую Microsoft Entra Connect перед удалением. Убедитесь, что она больше не используется.
Создайте резервную копию базы данных.
Удалите базу данных:
- Откройте среду Microsoft SQL Server Management Studio и подключитесь к соответствующему экземпляру SQL Server.
- Найдите базу данных ADSync и щелкните ее правой кнопкой мыши.
- В контекстном меню выберите пункт Удалить.
- Нажмите кнопку ОК, чтобы удалить базу данных.
После удаления базы данных ADSync нажмите кнопку Установить, чтобы повторить установку.
Следующие шаги
По завершении установки выйдите из Windows, а затем снова войдите, прежде чем начинать использовать Synchronization Service Manager или редактор правил синхронизации.
После установки Microsoft Entra Connect можно проверить установку и назначить лицензии.
Дополнительные сведения о функциях, включенных во время установки, см. в разделе "Запрет случайного удаления " и "Работоспособное состояние Microsoft Entra Connect".
Дополнительные сведения о других распространенных разделах см. в разделе Microsoft Entra Connect Sync: Планировщик и интеграция локальных удостоверений с идентификатором Microsoft Entra.