Integrowanie domen lokalna usługa Active Directory z identyfikatorem Entra firmy Microsoft

Microsoft Entra ID to oparta na chmurze wielodostępna usługa katalogów i tożsamości. Ta architektura referencyjna przedstawia najlepsze rozwiązania dotyczące integrowania domen lokalna usługa Active Directory z identyfikatorem Entra firmy Microsoft w celu zapewnienia uwierzytelniania tożsamości opartego na chmurze.

Architektura

Uzyskaj dostęp do diagramu programu Visio w trybie online za pośrednictwem platformy Microsoft 365. Pamiętaj, że aby uzyskać dostęp do tego diagramu, musisz mieć licencję programu Visio. Możesz też pobrać plik programu Visio z tej architektury (zobacz kartę Visio "Microsoft Entra ID").

Aby uzyskać dodatkowe informacje, zobacz Choose a solution for integrating on-premises Active Directory with Azure (Wybieranie rozwiązania do integracji lokalnej usługi Active Directory z platformą Azure).

Elementy

Architektura ma następujące składniki.

• Dzierżawa firmy Microsoft Entra. Wystąpienie identyfikatora Entra firmy Microsoft utworzonego przez organizację. Pełni rolę usługi katalogowej dla aplikacji w chmurze, przechowując obiekty skopiowane z lokalnej usługi Active Directory i zapewnia usługi zarządzania tożsamościami.

• Podsieć warstwy internetowej. Ta podsieć przechowuje maszyny wirtualne, które obsługują aplikacje internetowe. Identyfikator Entra firmy Microsoft może pełnić rolę brokera tożsamości dla tej aplikacji.

• Lokalny serwer AD DS. Lokalna usługa katalogów i tożsamości. Katalog usług AD DS można zsynchronizować z identyfikatorem Entra firmy Microsoft, aby umożliwić mu uwierzytelnianie użytkowników lokalnych.

• Microsoft Entra Połączenie Sync Server. Komputer lokalny z uruchomioną usługą synchronizacji microsoft Entra Połączenie. Ta usługa synchronizuje informacje przechowywane w lokalna usługa Active Directory z identyfikatorem Entra firmy Microsoft. Na przykład w przypadku aprowizacji lub anulowania aprowizacji grup i użytkowników w środowisku lokalnym te zmiany są propagowane do identyfikatora Entra firmy Microsoft.

  Uwaga

  Ze względów bezpieczeństwa identyfikator Entra firmy Microsoft przechowuje hasła użytkownika jako skrót. Jeśli użytkownik wymaga zresetowania hasła, należy to wykonać lokalnie, a nowy skrót musi zostać wysłany do identyfikatora Entra firmy Microsoft. Wersje Microsoft Entra ID P1 lub P2 zawierają funkcje, które mogą zezwalać na wprowadzanie zmian haseł w chmurze, a następnie zapisywać je z powrotem w lokalnych usługach AD DS.

• Maszyny wirtualne dotyczące aplikacji n-warstwowej. Aby uzyskać więcej informacji na temat tych zasobów, zobacz [Uruchamianie maszyn wirtualnych dla architektury N-warstwowej][implementowanie architektury wielowarstwowej na platformie Azure].

Szczegóły scenariusza

Potencjalne przypadki użycia

Typowe zastosowania tej architektury referencyjnej obejmują:

• Aplikacje internetowe wdrożone na platformie Azure, które zapewniają dostęp do zdalnych użytkowników należących do Twojej organizacji.
• Wdrażanie samoobsługowych funkcji dla użytkowników końcowych, takich jak resetowanie haseł i delegowanie zarządzania grupami. Wymaga to wydania Microsoft Entra ID P1 lub P2.
• Architektury, w których sieć lokalna i sieć wirtualna platformy Azure aplikacji nie są połączone przy użyciu tunelu sieci VPN ani obwodu usługi ExpressRoute.

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.

Konfigurowanie usługi Microsoft Entra Połączenie Sync

Usługa Microsoft Entra Połączenie Sync zapewnia, że informacje o tożsamości przechowywane w chmurze są spójne z informacjami o tożsamości przechowywanymi lokalnie. Ta usługa jest instalowana przy użyciu oprogramowania Microsoft Entra Połączenie.

Przed wdrożeniem usługi Microsoft Entra Połączenie Sync określ wymagania dotyczące synchronizacji w organizacji. Na przykład: co synchronizować, z których domen i jak często. Aby uzyskać więcej informacji, zobacz Determine directory synchronization requirements (Określanie wymagań dotyczących synchronizacji katalogu).

Usługę Microsoft Entra Połączenie Sync można uruchomić na maszynie wirtualnej lub komputerze hostowanym lokalnie. W zależności od zmienności informacji w katalogu usługi Active Directory obciążenie usługi Microsoft Entra Połączenie Sync jest mało prawdopodobne po początkowej synchronizacji z identyfikatorem Entra firmy Microsoft. Uruchamianie usługi na maszynie wirtualnej ułatwia skalowanie serwera, gdy zajdzie taka potrzeba. Aby ustalić, czy skalowanie jest konieczne, należy monitorować aktywność na maszynie wirtualnej, zgodnie z opisem w sekcji Zagadnienia dotyczące monitorowania.

Jeśli masz wiele domen lokalnych w lesie, zalecamy przechowywanie i synchronizowanie informacji dla całego lasu z jedną dzierżawą firmy Microsoft Entra. Filtruj informacje o tożsamościach, które występują w więcej niż jednej domenie, tak aby każda tożsamość była wyświetlana tylko raz w identyfikatorze Entra firmy Microsoft, zamiast duplikować. Duplikowanie może doprowadzić do niespójności podczas synchronizacji danych. Aby uzyskać więcej informacji, zobacz sekcję opisującą topologię.

Użyj filtrowania, aby tylko niezbędne dane są przechowywane w identyfikatorze Entra firmy Microsoft. Na przykład organizacja może nie chcieć przechowywać informacji o nieaktywnych kontach w identyfikatorze Entra firmy Microsoft. Filtrowanie może być oparte na grupie, domenie, jednostce organizacyjnej (OU) lub atrybucie. W celu wygenerowania bardziej złożonych zasad możliwe jest łączenie ze sobą kilku filtrów. Można na przykład zsynchronizować obiekty przechowywane w domenie, które mają określoną wartość w wybranym atrybucie. Aby uzyskać szczegółowe informacje, zobacz Microsoft Entra Połączenie Sync: Configure Filtering (Synchronizacja firmy Microsoft: konfigurowanie filtrowania).

Aby zaimplementować wysoką dostępność usługi synchronizacji programu AD Connect, należy uruchomić dodatkowy serwer przejściowy. Aby uzyskać więcej informacji, zobacz sekcję opisującą zalecenia dotyczące topologii.

Weryfikowanie konfiguracji i zasad zabezpieczeń

Zarządzanie hasłami użytkowników. Wersje Microsoft Entra ID P1 lub P2 obsługują zapisywanie zwrotne haseł, umożliwiając użytkownikom lokalnym wykonywanie samoobsługowych resetowania haseł z poziomu witryny Azure Portal. Ta funkcja powinna być włączona tylko po przejrzeniu zasad zabezpieczeń haseł w organizacji. Można na przykład ograniczyć liczbę użytkowników, którzy mogą zmieniać hasła, oraz dostosować sposób zarządzania hasłami. Aby uzyskać więcej informacji, zobacz Customizing Password Management to fit your organization's needs (Dostosowanie zarządzania hasłami zgodnie z potrzebami organizacji).

Zabezpieczanie lokalnych aplikacji, do których można uzyskać dostęp z zewnętrz. Użyj serwera proxy aplikacji Microsoft Entra, aby zapewnić kontrolowany dostęp do lokalnych aplikacji internetowych użytkownikom spoza sieci za pośrednictwem identyfikatora Entra firmy Microsoft. Tylko użytkownicy, którzy mają prawidłowe poświadczenia w katalogu platformy Azure, są uprawnieni do korzystania z aplikacji. Aby uzyskać więcej informacji, zobacz artykuł Enable Application Proxy in the Azure portal (Włączanie serwera proxy aplikacji w witrynie Azure Portal).

Aktywnie monitoruj identyfikator Entra firmy Microsoft pod kątem oznak podejrzanych działań. Rozważ użycie wersji Microsoft Entra ID P2, która obejmuje Ochrona tożsamości Microsoft Entra. Usługa Identity Protection używa adaptacyjnych algorytmów uczenia maszynowego i algorytmów heurystycznych na potrzeby wykrywania anomalii i podejrzanych zdarzeń, które mogą wskazywać na naruszenia tożsamości. Może na przykład wykryć potencjalnie nietypową aktywność, w tym nieregularne działania związane z logowaniem, logowania z nieznanych źródeł lub adresów IP o podejrzanej aktywności lub logowania z urządzeń, które mogą być zainfekowane. Usługa Identity Protection używa tych danych do generowania raportów i alertów, które umożliwiają badanie tych zdarzeń o podwyższonym ryzyku i podejmowanie odpowiednich działań. Aby uzyskać więcej informacji, zobacz Ochrona tożsamości Microsoft Entra.

Funkcja raportowania identyfikatora Entra firmy Microsoft w witrynie Azure Portal umożliwia monitorowanie działań związanych z zabezpieczeniami występujących w systemie. Aby uzyskać więcej informacji na temat korzystania z tych raportów, zobacz Przewodnik raportowania identyfikatorów firmy Microsoft.

Weryfikowanie topologii sieci

Skonfiguruj Połączenie firmy Microsoft, aby zaimplementować topologię, która najlepiej odpowiada wymaganiom organizacji. Topologie obsługiwane przez firmę Microsoft Entra Połączenie obejmują:

• Pojedynczy las, pojedynczy katalog Microsoft Entra. W tej topologii firma Microsoft Entra Połączenie synchronizuje obiekty i informacje o tożsamości z co najmniej jednej domeny w jednym lesie lokalnym w jednej dzierżawie firmy Microsoft Entra. Ta topologia jest domyślną implementacją przez instalację ekspresową firmy Microsoft Entra Połączenie.

  Uwaga

  Nie używaj wielu serwerów microsoft Entra Połączenie Sync do łączenia różnych domen w tym samym lesie lokalnym z tą samą dzierżawą firmy Microsoft Entra, chyba że używasz serwera w trybie przejściowym, opisanym poniżej.

• Wiele lasów, pojedynczy katalog Microsoft Entra. W tej topologii firma Microsoft Entra Połączenie synchronizuje obiekty i informacje o tożsamości z wielu lasów do jednej dzierżawy firmy Microsoft Entra. Z tej topologii należy korzystać, gdy organizacja ma więcej niż jeden lokalny las. Informacje o tożsamości można skonsolidować, aby każdy unikatowy użytkownik był reprezentowany raz w katalogu Microsoft Entra, nawet jeśli użytkownik istnieje w więcej niż jednym lesie. Wszystkie lasy używają tego samego serwera microsoft Entra Połączenie Sync. Serwer Microsoft Entra Połączenie Sync nie musi być częścią żadnej domeny, ale musi być dostępny ze wszystkich lasów.

  Uwaga

  W tej topologii nie używaj oddzielnych serwerów microsoft Entra Połączenie Sync w celu połączenia każdego lasu lokalnego z jedną dzierżawą firmy Microsoft Entra. Może to spowodować zduplikowane informacje o tożsamości w identyfikatorze Entra firmy Microsoft, jeśli użytkownicy znajdują się w więcej niż jednym lesie.

• Wiele lasów, oddzielne topologie. Ta topologia scala informacje o tożsamościach z oddzielnych lasów w jedną dzierżawę firmy Microsoft Entra, traktując wszystkie lasy jako oddzielne jednostki. Ta topologia jest przydatna, jeśli łączysz lasy z różnych organizacji, a informacje o tożsamości dla każdego użytkownika są przechowywane tylko w jednym lesie.

  Uwaga

  Jeśli synchronizowane są globalne listy adresowe w każdym lesie, użytkownik z jednego lasu może być obecny w innym jako kontakt. Może się to zdarzyć, jeśli organizacja wdrożyła rozwiązanie GALSync za pomocą programu Forefront Identity Manager 2010 lub Microsoft Identity Manager 2016. W tym scenariuszu można sprecyzować, aby użytkownicy byli definiowani przez atrybut Mail. Można także dopasować tożsamości za pomocą atrybutów ObjectSID i msExchMasterAccountSID. Jest to przydatne w przypadku co najmniej jednego lasu zasobów z wyłączonymi kontami.

• Serwer przejściowy. W tej konfiguracji uruchomisz drugie wystąpienie serwera Microsoft Entra Połączenie Sync równolegle z pierwszym wystąpieniem. Ta struktura obsługuje scenariusze, takie jak:

  • Wysoka dostępność.

  • Testowanie i wdrażanie nowej konfiguracji serwera Microsoft Entra Połączenie Sync.

  • Wprowadzenie nowego serwera i likwidowanie starej konfiguracji.

    W tych scenariuszach drugie wystąpienie jest uruchamiane w trybie przejściowym. Serwer rejestruje zaimportowane obiekty i dane synchronizacji w bazie danych, ale nie przekazuje danych do identyfikatora Entra firmy Microsoft. Jeśli wyłączysz tryb przejściowy, serwer zacznie zapisywać dane w identyfikatorze Entra firmy Microsoft, a także rozpoczyna zapisywanie zwrotne haseł w katalogach lokalnych, jeśli jest to konieczne. Aby uzyskać więcej informacji, zobacz Microsoft Entra Połączenie Sync: operational tasks and considerations (Microsoft Entra Połączenie Sync: zadania operacyjne i zagadnienia.

• Wiele katalogów firmy Microsoft Entra. Zazwyczaj tworzysz pojedynczy katalog Microsoft Entra dla organizacji, ale mogą wystąpić sytuacje, w których należy podzielić informacje na partycje w oddzielnych katalogach firmy Microsoft Entra. W takim przypadku należy unikać problemów z synchronizacją i zapisywaniem zwrotnym haseł, upewniając się, że każdy obiekt z lasu lokalnego jest wyświetlany tylko w jednym katalogu Microsoft Entra. Aby zaimplementować ten scenariusz, skonfiguruj oddzielne serwery microsoft Entra Połączenie Sync dla każdego katalogu firmy Microsoft Entra i użyj filtrowania, aby każdy serwer microsoft Entra Połączenie Sync działał na wzajemnie wykluczającym się zestawie obiektów.

Aby uzyskać więcej informacji na temat tych topologii, zobacz Topologie dla firmy Microsoft Entra Połączenie.

Konfigurowanie metody uwierzytelniania użytkownika

Domyślnie serwer microsoft Entra Połączenie Sync konfiguruje synchronizację skrótów haseł między domeną lokalną a identyfikatorem Entra firmy Microsoft. Usługa Microsoft Entra zakłada, że użytkownicy uwierzytelniają się, podając to samo hasło, które używają lokalnie. W przypadku wielu organizacji ta strategia jest odpowiednia, ale należy wziąć pod uwagę istniejące zasady i infrastrukturę organizacji. Na przykład:

• Zasady zabezpieczeń organizacji mogą uniemożliwiać synchronizowanie skrótów haseł z chmurą. W takim przypadku organizacja powinna rozważyć uwierzytelnianie przekazywane.
• Podczas uzyskiwania dostępu do zasobów w chmurze z komputerów przyłączonych do domeny w sieci korporacyjnej użytkownik może być zmuszony do użycia funkcji bezproblemowego logowania jednokrotnego.
• Twoja organizacja może już mieć wdrożone usługi Active Directory Federation Services (AD FS) lub dostawcę federacyjnego innej firmy. Możesz skonfigurować identyfikator Entra firmy Microsoft, aby używać tej infrastruktury do implementowania uwierzytelniania i logowania jednokrotnego, a nie przy użyciu informacji o hasłach przechowywanych w chmurze.

Aby uzyskać więcej informacji, zobacz Microsoft Entra Połączenie opcje logowania użytkownika.

Konfigurowanie serwera proxy aplikacji Entra firmy Microsoft

Użyj identyfikatora Entra firmy Microsoft, aby zapewnić dostęp do aplikacji lokalnych.

Uwidaczniaj lokalne aplikacje internetowe przy użyciu łączników serwera proxy aplikacji zarządzanych przez składnik serwera proxy aplikacji Firmy Microsoft Entra. Łącznik serwera proxy aplikacji otwiera wychodzące połączenie sieciowe z serwerem proxy aplikacji Firmy Microsoft Entra. Żądania użytkowników zdalnych są kierowane z powrotem z identyfikatora Entra firmy Microsoft za pośrednictwem tego połączenia serwera proxy z aplikacjami internetowymi. Ta konfiguracja eliminuje konieczność otwierania portów przychodzących w zaporze lokalnej i zmniejsza ryzyko ataku narażone przez organizację.

Aby uzyskać więcej informacji, zobacz Publikowanie aplikacji przy użyciu serwera proxy aplikacji Firmy Microsoft Entra.

Konfigurowanie synchronizacji obiektów Entra firmy Microsoft

Domyślna konfiguracja usługi Microsoft Entra Połączenie synchronizuje obiekty z lokalnej usługi Active Directory na podstawie reguł określonych w artykule Microsoft Entra Połączenie Sync: Understanding the default configuration (Opis konfiguracji domyślnej). Obiekty spełniające te reguły są synchronizowane, a wszystkie pozostałe są ignorowane. Oto kilka przykładowych reguł:

• Obiekty użytkownika muszą mieć unikatowy atrybut sourceAnchor, natomiast atrybut accountEnabled musi być wypełniony.
• Obiekty użytkownika muszą mieć atrybut sAMAccountName i nie mogą zaczynać się od tekstu Azure AD_ lub MSOL_.

Microsoft Entra Połączenie stosuje kilka reguł do obiektów User, Contact, Group, ForeignSecurityPrincipal i Computer. Jeśli chcesz zmodyfikować domyślny zestaw reguł, użyj edytora reguł synchronizacji zainstalowanego w usłudze Microsoft Entra Połączenie. Aby uzyskać więcej informacji, zobacz Microsoft Entra Połączenie Sync: Understanding the default configuration (Microsoft Entra Połączenie Sync: Opis konfiguracji domyślnej).

Istnieje również możliwość definiowania własnych filtrów w celu ograniczenia liczby obiektów, które mają być synchronizowane przez domenę lub jednostkę organizacyjną. Alternatywnie można zaimplementować bardziej złożone filtrowanie niestandardowe, takie jak opisane w temacie Microsoft Entra Połączenie Sync: Konfigurowanie filtrowania.

Konfigurowanie agentów monitorowania

Monitorowanie kondycji jest wykonywane przez następujących agentów zainstalowanych lokalnie:

• Firma Microsoft Entra Połączenie instaluje agenta, który przechwytuje informacje o operacjach synchronizacji. Użyj bloku Microsoft Entra Połączenie Health w witrynie Azure Portal, aby monitorować jego kondycję i wydajność. Aby uzyskać więcej informacji, zobacz Using Microsoft Entra Połączenie Health for sync (Używanie usługi Microsoft Entra Połączenie Health do celów synchronizacji).
• Aby monitorować kondycję domen i katalogów usług AD DS z platformy Azure, zainstaluj program Microsoft Entra Połączenie Health dla agenta usług AD DS na maszynie w domenie lokalnej. Aby monitorować kondycję, użyj bloku Microsoft Entra Połączenie Health w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz Using Microsoft Entra Połączenie Health with AD DS (Używanie usługi Microsoft Entra Połączenie Health z usługami AD DS)
• Zainstaluj agenta Microsoft Entra Połączenie Health dla usług AD FS, aby monitorować kondycję usług działających lokalnie i użyć bloku Microsoft Entra Połączenie Health w witrynie Azure Portal do monitorowania usług AD FS. Aby uzyskać więcej informacji, zobacz Using Microsoft Entra Połączenie Health with AD FS (Używanie usługi Microsoft Entra Połączenie Health z usługami AD FS)

Aby uzyskać więcej informacji na temat instalowania agentów usługi AD Połączenie Health i ich wymagań, zobacz Microsoft Entra Połączenie Health Agent Installation.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Niezawodność

Niezawodność zapewnia, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz Omówienie filaru niezawodności.

Usługa Microsoft Entra jest rozproszona geograficznie i działa w wielu centrach danych rozmieszczonych na całym świecie z automatycznym trybem failover. Jeśli centrum danych stanie się niedostępne, identyfikator Entra firmy Microsoft gwarantuje, że dane katalogu są dostępne na przykład w co najmniej dwóch centrach danych rozproszonych w regionie.

Rozważ aprowizowanie drugiego wystąpienia serwera Microsoft Entra Połączenie Sync w trybie przejściowym, aby zwiększyć dostępność, jak opisano w sekcji zaleceń dotyczących topologii.

Jeśli nie używasz wystąpienia usługi SQL Server Express LocalDB dostarczanego z usługą Microsoft Entra Połączenie, rozważ użycie klastrowania SQL w celu uzyskania wysokiej dostępności. Rozwiązania takie jak dublowanie i zawsze włączone nie są obsługiwane przez firmę Microsoft Entra Połączenie.

Aby uzyskać dodatkowe uwagi dotyczące osiągnięcia wysokiej dostępności serwera Microsoft Entra Połączenie Sync, a także sposobu odzyskiwania po awarii, zobacz Microsoft Entra Połączenie Sync: zadania operacyjne i zagadnienia — Odzyskiwanie po awarii.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

Użyj kontroli dostępu warunkowego, aby odmówić realizacji żądań uwierzytelniania z nieoczekiwanych źródeł:

• Wyzwól uwierzytelnianie wieloskładnikowe firmy Microsoft (MFA), jeśli użytkownik próbuje nawiązać połączenie z niezaufanej lokalizacji, takiej jak internet, zamiast zaufanej sieci.

• Użyj typu platformy urządzeń użytkownika (iOS, Android, Windows Mobile, Windows), aby określić zasady dostępu do aplikacji i funkcji.

• Zapisz stan włączenia/wyłączenia urządzeń użytkowników i zastosuj te informacje do zasad kontroli dostępu. Na przykład ewentualna utrata lub kradzież telefonu użytkownika powinna być zarejestrowana jako stan wyłączenia, aby uniemożliwić uzyskanie do niego dostępu.

• Kontroluj dostęp użytkowników do zasobów w oparciu o członkostwo w grupach. Użyj reguł członkostwa dynamicznego Firmy Microsoft Entra, aby uprościć administrowanie grupami. Aby uzyskać krótki opis sposobu działania, zobacz Introduction to Dynamic Memberships for Groups (Wprowadzenie do członkostwa dynamicznego w grupach).

• Użyj zasad ryzyka dostępu warunkowego z Ochrona tożsamości Microsoft Entra, aby zapewnić zaawansowaną ochronę na podstawie nietypowych działań logowania lub innych zdarzeń.

Aby uzyskać więcej informacji, zobacz Dostęp warunkowy firmy Microsoft Entra.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

Koszty możesz szacować za pomocą kalkulatora cen platformy Azure.

Zagadnienia dotyczące kosztów obejmują:

• Microsoft Entra Połączenie — funkcja synchronizacji Połączenie firmy Microsoft jest dostępna we wszystkich wersjach identyfikatora Entra firmy Microsoft.

  • Nie ma żadnych dodatkowych wymagań licencyjnych dotyczących korzystania z usługi Microsoft Entra Połączenie i jest uwzględniona w subskrypcji platformy Azure.

  • Aby uzyskać informacje o cenach wersji identyfikatora Entra firmy Microsoft, zobacz Cennik firmy Microsoft Entra.

• Maszyny wirtualne dla aplikacji N-warstwowej — aby uzyskać informacje o kosztach tych zasobów, zobacz [Uruchamianie maszyn wirtualnych dla architektury N-warstwowej][implementowanie architektury wielowarstwowej na platformie Azure].

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Omówienie filaru doskonałości operacyjnej.

Możliwości zarządzania

Istnieją dwa aspekty zarządzania identyfikatorem Entra firmy Microsoft:

• Administracja sterowanie identyfikatora Entra firmy Microsoft w chmurze.
• Obsługa serwerów microsoft Entra Połączenie Sync.

Identyfikator Entra firmy Microsoft udostępnia następujące opcje zarządzania domenami i katalogami w chmurze:

• Moduł programu PowerShell programu Microsoft Graph — służy do tworzenia skryptów typowych zadań administracyjnych firmy Microsoft, takich jak zarządzanie użytkownikami, zarządzanie domenami i konfigurowanie logowania jednokrotnego.
• Blok zarządzania microsoft Entra w witrynie Azure Portal — udostępnia interaktywny widok zarządzania katalogiem i umożliwia kontrolowanie i konfigurowanie większości aspektów identyfikatora Entra firmy Microsoft.

Firma Microsoft Entra Połączenie instaluje następujące narzędzia, aby obsługiwać usługi Microsoft Entra Połączenie Sync z maszyn lokalnych:

• Microsoft Entra Połączenie console — umożliwia modyfikowanie konfiguracji serwera usługi Azure AD Sync, dostosowywanie sposobu synchronizacji, włączanie lub wyłączanie trybu przejściowego oraz przełączanie trybu logowania użytkownika. Możesz włączyć logowanie usługi Active Directory FS przy użyciu infrastruktury lokalnej.
• Menedżer usług synchronizacji — użyj karty Operacje w tym narzędziu, aby zarządzać procesem synchronizacji i wykrywać, czy jakiekolwiek części procesu nie powiodły się. To narzędzie pozwala na ręczne uruchomienie synchronizacji. Karta Łączniki umożliwia sterowanie połączeniami dla domen z dołączonym aparatem synchronizacji.
• Edytor reguł synchronizacji — umożliwia dostosowanie sposobu przekształcania obiektów podczas ich kopiowania między katalogiem lokalnym i identyfikatorem Entra firmy Microsoft. To narzędzie umożliwia określenie dodatkowych atrybutów i obiektów na potrzeby synchronizacji, a następnie wykonuje filtry w celu określenia, które obiekty powinny lub nie powinny być synchronizowane. Aby uzyskać więcej informacji, zobacz sekcję Edytor reguł synchronizacji w dokumencie Microsoft Entra Połączenie Sync: Understanding the default configuration (Edytor reguł synchronizacji) w dokumencie Microsoft Entra Połączenie Sync: Understanding the default configuration (Opis konfiguracji domyślnej).

Aby uzyskać więcej informacji i wskazówek dotyczących zarządzania Połączenie firmy Microsoft Entra, zobacz Microsoft Entra Połączenie Sync: najlepsze rozwiązania dotyczące zmiany konfiguracji domyślnej.

DevOps

Aby zapoznać się z zagadnieniami dotyczącymi metodyki DevOps, zobacz Doskonałość operacyjna w rozszerzaniu usług domena usługi Active Directory (AD DS) na platformę Azure.

Efektywność wydajności

Efektywność wydajności to możliwość skalowania obciążenia w celu zaspokojenia zapotrzebowania użytkowników w wydajny sposób. Aby uzyskać więcej informacji, zobacz Omówienie filaru wydajności.

Usługa Microsoft Entra obsługuje skalowalność na podstawie replik z jedną repliką podstawową, która obsługuje operacje zapisu oraz wiele replik pomocniczych tylko do odczytu. Identyfikator Entra firmy Microsoft w sposób przezroczysty przekierowuje próby zapisu względem replik pomocniczych do replik podstawowej i zapewnia spójność ostateczną. Wszystkie zmiany wprowadzone w replice podstawowej są przekazywane do replik pomocniczych. Ta architektura jest skalowana dobrze, ponieważ większość operacji względem identyfikatora Entra firmy Microsoft jest odczytami, a nie zapisami. Aby uzyskać więcej informacji, zobacz Co to jest architektura firmy Microsoft Entra?

W przypadku serwera Microsoft Entra Połączenie Sync określ, ile obiektów prawdopodobnie będzie synchronizowanych z katalogu lokalnego. Jeśli masz mniej niż 100 000 obiektów, możesz użyć domyślnego oprogramowania SQL Server Express LocalDB dostarczonego z firmą Microsoft Entra Połączenie. Jeśli masz większą liczbę obiektów, należy zainstalować wersję produkcyjną programu SQL Server i wykonać niestandardową instalację programu Microsoft Entra Połączenie, określając, że powinno używać istniejącego wystąpienia programu SQL Server.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

• Eric Woodruff | Specjalista techniczny produktu

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

• Zapoznaj się z zagadnieniami dotyczącymi projektowania tożsamości hybrydowej firmy Microsoft, która zawiera dodatkowe informacje na temat podejmowania decyzji dotyczących tożsamości hybrydowej.
• Zapoznaj się z topologiami firmy Microsoft entra Połączenie, aby upewnić się, że topologia hybrydowa dla usługi Microsoft Entra Połączenie jest wdrożona w obsługiwanej konfiguracji.
• Dowiedz się więcej o korzystaniu z dostępu warunkowego w celu ochrony dostępu do aplikacji, korzystając z opcji Planowanie wdrożenia dostępu warunkowego.
• Aby uzyskać więcej informacji na temat udostępniania usług AD DS na platformie Azure jako infrastruktury, zobacz Integrowanie lokalnej usługi AD z platformą Azure.
• Zapoznaj się z serwerem proxy aplikacji Microsoft Entra, jeśli zamierzasz zapewnić integrację firmy Microsoft z aplikacjami IaaS w środowisku lokalnym lub w chmurze.
• Ponieważ tożsamość jest nową płaszczyzną sterowania na potrzeby zabezpieczeń, zapoznaj się z artykułem Identity Management Best Practices (Najlepsze rozwiązania dotyczące zarządzania tożsamościami).
• Ponadto, ponieważ wdrożenie tego rozwiązania wymaga kont z wysokimi uprawnieniami, zapoznaj się z artykułem Zabezpieczanie uprzywilejowanego dostępu, aby poznać mechanizmy kontroli zabezpieczeń dla kont uprzywilejowanych.

Powiązane zasoby

• Zarządzanie tożsamością w aplikacjach wielodostępnych
• Integrowanie lokalnej usługi AD z platformą Azure
• Rozszerzanie lokalnych usług AD FS na platformę Azure