Del via

Distribuer Microsoft 365-katalogsynkronisering i Microsoft Azure

  • Artikkel

Microsoft Entra Connect (tidligere kjent som verktøyet katalogsynkronisering, katalogsynkroniseringsverktøy eller DirSync.exe verktøyet) er et program som du installerer på en domenetilkoblet server for å synkronisere lokal Active Directory Domain Services (AD DS)-brukere til Microsoft Entra tenant for Microsoft 365-abonnementet. Microsoft 365 bruker Microsoft Entra ID for katalogtjenesten. Microsoft 365-abonnementet omfatter en Microsoft Entra tenant. Denne leieren kan også brukes til administrasjon av organisasjonens identiteter med andre skyarbeidsbelastninger, inkludert andre SaaS-programmer og -apper i Azure.

Du kan installere Microsoft Entra Connect på en lokal server, men du kan også installere den på en virtuell maskin i Azure av følgende årsaker:

  • Du kan klargjøre og konfigurere skybaserte servere raskere, noe som gjør tjenestene tilgjengelige for brukerne raskere.
  • Azure tilbyr bedre områdetilgjengelighet med mindre innsats.
  • Du kan redusere antallet lokale servere i organisasjonen.

Denne løsningen krever tilkobling mellom det lokale nettverket og det virtuelle Azure-nettverket. Hvis du vil ha mer informasjon, kan du se Koble et lokalt nettverk til et virtuelt Microsoft Azure-nettverk.

Obs!

Denne artikkelen beskriver synkronisering av ett enkelt domene i én enkelt skog. Microsoft Entra Connect synkroniserer alle AD DS-domener i Active Directory-skogen med Microsoft 365. Hvis du har flere Active Directory-skoger å synkronisere med Microsoft 365, kan du se Katalogsynkronisering med flere skoger med enkel Sign-On scenario.

Oversikt over distribusjon av katalogsynkronisering for Microsoft 365 i Azure

Diagrammet nedenfor viser Microsoft Entra Connect som kjører på en virtuell maskin i Azure (katalogsynkroniseringsserveren) som synkroniserer en lokal AD DS-skog til et Microsoft 365-abonnement.

Microsoft Entra Connect-verktøyet på en virtuell maskin i Azure som synkroniserer lokale kontoer til den Microsoft Entra leieren av et Microsoft 365-abonnement med trafikkflyt.

I diagrammet er det to nettverk som er koblet til et område-til-område VPN eller ExpressRoute-tilkobling. Det finnes et lokalt nettverk der AD DS-domenekontrollere er plassert, og det finnes et virtuelt Azure-nettverk med en katalogsynkroniseringsserver, som er en virtuell maskin som kjører Microsoft Entra Connect. Det finnes to hovedtrafikkflyter som kommer fra katalogsynkroniseringsserveren:

  • Microsoft Entra Connect spør en domenekontroller på det lokale nettverket om endringer i kontoer og passord.
  • Microsoft Entra Connect sender endringene til kontoer og passord til Microsoft Entra forekomst av Microsoft 365-abonnementet. Fordi katalogsynkroniseringsserveren er i en utvidet del av det lokale nettverket, sendes disse endringene via det lokale nettverkets proxy-server.

Obs!

Denne løsningen beskriver synkronisering av ett Active Directory-domene i én active directory-skog. Microsoft Entra Connect synkroniserer alle Active Directory-domener i Active Directory-skogen med Microsoft 365. Hvis du har flere Active Directory-skoger å synkronisere med Microsoft 365, kan du se Katalogsynkronisering med flere skoger med enkel Sign-On scenario.

Det er to hovedtrinn når du distribuerer denne løsningen:

  1. Opprett et virtuelt Azure-nettverk og opprett en VPN-tilkobling fra område til nettsted til det lokale nettverket. Hvis du vil ha mer informasjon, kan du se Koble et lokalt nettverk til et virtuelt Microsoft Azure-nettverk.

  2. Installer Microsoft Entra Koble til på en domenetilkoblet virtuell maskin i Azure, og synkroniser deretter den lokale AD DS-en til Microsoft 365. Dette innebærer:

    • Opprett en virtuell Azure-maskin for å kjøre Microsoft Entra Connect.

    • Installere og konfigurere Microsoft Entra Connect.

    Konfigurering av Microsoft Entra Connect krever legitimasjon (brukernavn og passord) for en administratorkonto for Microsoft Entra og en AD DS-bedriftsadministratorkonto. Microsoft Entra Connect kjører umiddelbart og kontinuerlig for å synkronisere den lokale AD DS-skogen til Microsoft 365.

Før du distribuerer denne løsningen i produksjon, kan du bruke instruksjonene i den simulerte virksomhetsbasekonfigurasjonen til å konfigurere denne konfigurasjonen som et konseptbevis, demonstrasjoner eller eksperimentering.

Viktig

Når Microsoft Entra tilkoblingskonfigurasjonen er fullført, lagres ikke legitimasjonen for AD DS-bedriftsadministratorkontoen.

Obs!

Denne løsningen beskriver synkronisering av én enkelt AD DS-skog til Microsoft 365. Topologien som beskrives i denne artikkelen representerer bare én måte å implementere denne løsningen på. Organisasjonens topologi kan variere basert på dine unike nettverkskrav og sikkerhetshensyn.

Plan for å drifte en katalogsynkroniseringsserver for Microsoft 365 i Azure

Forutsetninger

Før du begynner, kan du se gjennom følgende forutsetninger for denne løsningen:

  • Se gjennom det relaterte planleggingsinnholdet i Planlegg det virtuelle Nettverket i Azure.

  • Sørg for at du oppfyller alle forutsetninger for å konfigurere det virtuelle Azure-nettverket.

  • Ha et Microsoft 365-abonnement som inkluderer Active Directory-integreringsfunksjonen. Hvis du vil ha informasjon om Microsoft 365-abonnementer, kan du gå til abonnementssiden for Microsoft 365.

  • Klargjør én Azure Virtual Machine som kjører Microsoft Entra Connect for å synkronisere den lokale AD DS-skogen med Microsoft 365.

    Du må ha legitimasjonen (navn og passord) for en AD DS-bedriftsadministratorkonto og en Microsoft Entra administratorkonto.

Forutsetninger for løsningsarkitekturutforming

Listen nedenfor beskriver utformingsvalgene som er gjort for denne løsningen.

  • Denne løsningen bruker ett enkelt virtuelt Azure-nettverk med en VPN-tilkobling fra område til nettsted. Det virtuelle Azure-nettverket er vert for ett enkelt delnett som har én server, katalogsynkroniseringsserveren som kjører Microsoft Entra Connect.

  • Det finnes en domenekontroller og DNS-servere på det lokale nettverket.

  • Microsoft Entra Connect utfører synkronisering av hash for passord i stedet for enkel pålogging. Du trenger ikke å distribuere en Active Directory Federation Services infrastruktur (AD FS). Hvis du vil lære mer om synkronisering av hash for passord og alternativer for enkel pålogging, kan du se Velge riktig godkjenningsmetode for Microsoft Entra hybrid identitetsløsning.

Det finnes andre utformingsvalg som du kan vurdere når du distribuerer denne løsningen i miljøet ditt. Disse inkluderer blant annet:

  • Hvis det finnes eksisterende DNS-servere i et eksisterende virtuelt Azure-nettverk, må du avgjøre om du vil at katalogsynkroniseringsserveren skal bruke dem til navneløsing i stedet for DNS-servere på det lokale nettverket.

  • Hvis det finnes domenekontrollere i et eksisterende virtuelt Azure-nettverk, må du avgjøre om konfigurering av Active Directory-områder og -tjenester kan være et bedre alternativ for deg. Katalogsynkroniseringsserveren kan spørre domenekontrollerne i det virtuelle Azure-nettverket om endringer i kontoer og passord i stedet for domenekontrollere på det lokale nettverket.

Veikart for distribusjon

Distribusjon av Microsoft Entra Connect på en virtuell maskin i Azure består av tre faser:

  • Fase 1: Opprett og konfigurer det virtuelle Azure-nettverket

  • Fase 2: Opprett og konfigurer den virtuelle Azure-maskinen

  • Fase 3: Installer og konfigurer Microsoft Entra Connect

Etter distribusjonen må du også tilordne plasseringer og lisenser for de nye brukerkontoene i Microsoft 365.

Fase 1: Opprett og konfigurer det virtuelle Azure-nettverket

Hvis du vil opprette og konfigurere det virtuelle Azure-nettverket, fullfører du fase 1: Klargjør det lokale nettverket og fase 2: Opprett det lokale virtuelle nettverket i Azure i veikartet for distribusjon av Koble et lokalt nettverk til et virtuelt Microsoft Azure-nettverk.

Dette er den resulterende konfigurasjonen.

Fase 1 av katalogsynkroniseringsserveren for Microsoft 365 driftet i Azure.

Denne illustrasjonen viser et lokalt nettverk som er koblet til et virtuelt Azure-nettverk via en VPN- eller ExpressRoute-tilkobling fra område til område.

Fase 2: Opprett og konfigurer den virtuelle Azure-maskinen

Opprett den virtuelle maskinen i Azure ved hjelp av instruksjonene Opprett din første virtuelle Windows-maskin i Azure Portal. Bruk følgende innstillinger:

  1. Velg det samme abonnementet, plasseringen og ressursgruppen som det virtuelle nettverket, i Grunnleggende-ruten . Registrer brukernavnet og passordet på et sikkert sted. Du trenger disse senere for å koble til den virtuelle maskinen.

  2. Velg A2 Standardstørrelse i ruten Velg en størrelse.

  3. Velg Standardlagringstype i Lagring-delen i Innstillinger-ruten. I Nettverk-delen velger du navnet på det virtuelle nettverket og delnettet for å være vert for katalogsynkroniseringsserveren (ikke GatewaySubnet). La alle andre innstillinger stå på standardverdiene.

Kontroller at katalogsynkroniseringsserveren bruker DNS på riktig måte ved å kontrollere den interne DNS-en for å sikre at en Adresse (A)-post ble lagt til for den virtuelle maskinen med IP-adressen.

Bruk instruksjonene i Koble til den virtuelle maskinen, og logg på for å koble til katalogsynkroniseringsserveren med tilkobling til eksternt skrivebord. Når du har logget på, kan du koble den virtuelle maskinen til det lokale AD DS-domenet.

Hvis Microsoft Entra Koble til for å få tilgang til Internett-ressurser, må du konfigurere katalogsynkroniseringsserveren til å bruke proxy-serveren for det lokale nettverket. Du bør kontakte nettverksadministratoren for å få flere konfigurasjonstrinn som skal utføres.

Dette er den resulterende konfigurasjonen.

Fase 2 av katalogsynkroniseringsserveren for Microsoft 365 driftet i Azure.

Denne illustrasjonen viser den virtuelle maskinen for katalogsynkroniseringsserveren i det lokale virtuelle Azure-nettverket.

Fase 3: Installer og konfigurer Microsoft Entra Connect

Fullfør følgende fremgangsmåte:

  1. Koble til katalogsynkroniseringsserveren ved hjelp av en tilkobling til eksternt skrivebord med en AD DS-domenekonto som har lokale administratorrettigheter. Se Koble til den virtuelle maskinen og logge på.

  2. Åpne artikkelen Konfigurer katalogsynkronisering for Microsoft 365 fra katalogsynkroniseringsserveren, og følg instruksjonene for katalogsynkronisering med synkronisering av hash for passord.

Forsiktig!

Installasjonsprogrammet oppretter den AAD_xxxxxxxxxxxx kontoen i organisasjonsenheten for lokale brukere (OU). Ikke flytt eller fjern denne kontoen, eller synkroniseringen vil mislykkes.

Dette er den resulterende konfigurasjonen.

Fase 3 av katalogsynkroniseringsserveren for Microsoft 365 driftet i Azure.

Denne illustrasjonen viser katalogsynkroniseringsserveren med Microsoft Entra Connect i det lokale virtuelle Azure-nettverket.

Tilordne plasseringer og lisenser til brukere i Microsoft 365

Microsoft Entra Connect legger til kontoer i Microsoft 365-abonnementet fra lokal AD DS, men for at brukerne skal kunne logge seg på Microsoft 365 og bruke tjenestene, må kontoene konfigureres med en plassering og lisenser. Bruk disse trinnene for å legge til plasseringen og aktivere lisenser for de aktuelle brukerkontoene:

  1. Logg på Administrasjonssenter for Microsoft 365, og klikk deretter Admin.

  2. Klikk Brukere> aktivebrukere i navigasjonsruten til venstre.

  3. Merk av for brukeren du vil aktivere, i listen over brukerkontoer.

  4. Klikk Rediger for produktlisenser på siden for brukeren.

  5. Velg en plassering for brukeren for plasseringproduktlisenssiden, og aktiver deretter de riktige lisensene for brukeren.

  6. Klikk Lagre når du er ferdig, og klikk deretter Lukk to ganger.

  7. Gå tilbake til trinn 3 for flere brukere.

Se også

Microsoft 365 løsnings- og arkitektursenter

Koble et lokalt nettverk til et virtuelt Microsoft Azure-nettverk

Last ned Microsoft Entra Connect

Konfigurere katalogsynkronisering for Microsoft 365