Poprzednie

Następne

Planowanie integracji z firmą Microsoft Entra

Ukończone

Gdy pracownicy DZIAŁU IT w firmie Contoso implementują usługę w chmurze lub aplikację w swoim środowisku IT, zazwyczaj chcą używać jednego magazynu tożsamości dla aplikacji lokalnych i opartych na chmurze. Korzystając z synchronizacji katalogów, mogą łączyć lokalne usługi AD DS z identyfikatorem Entra firmy Microsoft.

Co to jest synchronizacja katalogów?

Synchronizacja katalogów umożliwia synchronizację między lokalnymi usługami AD DS i identyfikatorem Entra firmy Microsoft dla użytkowników, grup i kontaktów. W najprostszej formie należy zainstalować składnik synchronizacji katalogów na serwerze w domenie lokalnej. Następnie należy podać konto z Administracja domeny i Administracja przedsiębiorstwa dostępu do lokalnych usług AD DS, a inne konto z dostępem administratora do identyfikatora Entra firmy Microsoft i pozwolić na jego uruchomienie.

Konta użytkowników, grupy i kontakty wybrane z usług AD DS są następnie replikowane do identyfikatora Entra firmy Microsoft. Użytkownicy mogą następnie używać tych kont do logowania się do usług platformy Azure, które korzystają z identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania i uzyskiwać do nich dostęp.

Jeśli nie aktywujesz synchronizacji haseł, użytkownicy będą mieli oddzielne hasło od środowiska lokalnego w celu zalogowania się do zasobu platformy Azure. Nawet jeśli zaimplementujesz synchronizację haseł, użytkownicy będą nadal monitowani o podanie poświadczeń podczas uzyskiwania dostępu do zasobu platformy Azure na komputerach przyłączonych do domeny. Zaletą synchronizacji haseł jest to, że aby zalogować się do zasobu platformy Azure, użytkownicy mogą używać tej samej nazwy użytkownika i hasła co logowanie do domeny. Nie należy mylić tego z logowaniem jednokrotnym. Zachowanie dostarczone z synchronizacją haseł jest nazywane tym samym logowaniem.

Dzięki platformie Azure przepływ synchronizacji jest jednokierunkowy z lokalnych usług AD DS na platformę Azure. Jednak w przypadku funkcji Microsoft Entra ID P1 lub P2 niektóre atrybuty są replikowane w innym kierunku. Można na przykład skonfigurować platformę Azure do zapisywania haseł z powrotem do lokalnych usług AD DS oraz grup i urządzeń z identyfikatora Entra firmy Microsoft. Jeśli nie chcesz synchronizować całej lokalnej usługi AD DS, synchronizacja katalogów dla identyfikatora Entra firmy Microsoft obsługuje ograniczone filtrowanie i dostosowywanie przepływu atrybutów na podstawie następujących wartości:

• JEDNOSTKI ORGANIZACYJNEJ
• Domain
• Atrybuty użytkownika
• Aplikacje

Microsoft Entra Connect

Do synchronizacji między lokalnymi usługami AD DS i Microsoft Entra ID można użyć usługi Microsoft Entra Połączenie Połączenie (Microsoft Entra Połączenie). Microsoft Entra Połączenie to narzędzie oparte na kreatorze, które umożliwia łączność między lokalną infrastrukturą tożsamości a platformą Azure. Za pomocą kreatora można wybrać topologię i wymagania, a następnie kreator wdraża i konfiguruje wszystkie wymagane składniki. W zależności od wybranych wymagań może to obejmować:

• Synchronizacja usługi Azure Active Directory (Azure AD Sync)
• Wdrożenie hybrydowe programu Exchange
• Zapisywanie zwrotne zmian haseł
• Serwery proxy usług AD FS i AD FS lub serwer proxy aplikacji sieci Web
• Moduł programu PowerShell programu Microsoft Graph

Uwaga

Większość organizacji wdraża dedykowany serwer synchronizacji na potrzeby hostowania Połączenie firmy Microsoft.

Po uruchomieniu Połączenie firmy Microsoft następuje wykonanie następujących czynności:

• Nowi użytkownicy, grupy i obiekty kontaktowe w lokalnych usługach AD DS są dodawane do identyfikatora Entra firmy Microsoft. Jednak licencje usług w chmurze, takich jak Platforma Microsoft 365, nie są automatycznie przypisywane do tych obiektów.
• Atrybuty istniejących użytkowników, grup lub obiektów kontaktów, które są modyfikowane w lokalnych usługach AD DS, są modyfikowane w identyfikatorze Entra firmy Microsoft. Jednak nie wszystkie lokalne atrybuty usług AD DS są synchronizowane z identyfikatorem Entra firmy Microsoft. Zestaw atrybutów synchronizowanych z identyfikatorem Entra firmy Microsoft można skonfigurować przy użyciu składnika Menedżer synchronizacji firmy Microsoft Entra Połączenie.
• Istniejący użytkownicy, grupy i obiekty kontaktowe usunięte z lokalnych usług AD DS są usuwane z identyfikatora Entra firmy Microsoft.
• Istniejące obiekty użytkownika, które są wyłączone lokalnie, są wyłączone na platformie Azure. Jednak licencje nie są automatycznie nieprzypisane.

Identyfikator Entra firmy Microsoft wymaga pojedynczego źródła urzędu dla każdego obiektu. Dlatego ważne jest, aby zrozumieć, że w scenariuszu microsoft Entra Połączenie podczas uruchamiania synchronizacji usługi Active Directory obiekty są opanowane z poziomu lokalnych usług AD DS przy użyciu narzędzi, takich jak Użytkownicy i komputery usługi Active Directory lub Windows PowerShell. Jednak źródłem urzędu jest lokalna usługa AD DS. Po zakończeniu pierwszego cyklu synchronizacji źródło urzędu jest przenoszone z chmury do lokalnych usług AD DS. Wszystkie kolejne zmiany obiektów w chmurze (z wyjątkiem licencjonowania) są opanowane z lokalnych narzędzi usług AD DS. Odpowiednie obiekty w chmurze są tylko do odczytu, a administratorzy firmy Microsoft Entra nie mogą edytować obiektów w chmurze, jeśli źródło urzędu jest lokalne usług AD DS, chyba że implementujesz niektóre technologie, które zezwalają na zapisywanie zwrotne.

Uprawnienia i konta wymagane do uruchamiania Połączenie firmy Microsoft

Aby zaimplementować usługę Microsoft Entra Połączenie, musisz mieć konto z wymaganymi uprawnieniami przypisanymi zarówno dla lokalnych usług AD DS, jak i identyfikatora Entra firmy Microsoft. Instalowanie i konfigurowanie usługi Microsoft Entra Połączenie wymaga następujących kont:

• Konto platformy Azure z uprawnieniami globalnego Administracja istratora w dzierżawie platformy Azure (na przykład konto organizacyjne), które nie jest kontem użytym do skonfigurowania samego konta.
• Konto lokalne z uprawnieniami Administracja istratora przedsiębiorstwa w lokalnych usługach AD DS. W Kreatorze Połączenie firmy Microsoft możesz użyć istniejącego konta w tym celu lub zezwolić kreatorowi na utworzenie konta.

Firma Microsoft Entra Połączenie używa konta globalnego Administracja istratora platformy Azure do aprowizowania i aktualizowania obiektów po uruchomieniu Kreatora konfiguracji usługi Microsoft Entra Połączenie. Należy utworzyć dedykowane konto usługi na platformie Azure na potrzeby synchronizacji katalogów, ponieważ nie można użyć konta administratora dzierżawy platformy Azure. To ograniczenie jest spowodowane tym, że konto użyte do skonfigurowania platformy Azure może nie mieć sufiksu nazwy domeny zgodnej z nazwą domeny. Konto musi być członkiem grupy ról Global Administracja istrators.

W środowisku lokalnym konto używane do instalowania i konfigurowania usługi Microsoft Entra Połączenie musi mieć następujące uprawnienia:

• Uprawnienia Administracja istratora przedsiębiorstwa w usługach AD DS. To uprawnienie jest wymagane do utworzenia konta użytkownika synchronizacji w usłudze Active Directory.
• Uprawnienia administratora komputera lokalnego. To uprawnienie jest wymagane do zainstalowania oprogramowania Microsoft Entra Połączenie.

Konto używane do konfigurowania Połączenie microsoft Entra i uruchamianie kreatora konfiguracji musi znajdować się w grupie ADSync Administracja s komputera lokalnego. Domyślnie konto używane do instalowania Połączenie firmy Microsoft jest automatycznie dodawane do tej grupy.

Uwaga

Konto używane do instalowania usługi AD Połączenie jest automatycznie dodawane do grupy ADSync Administracja s podczas instalowania produktu. Musisz wylogować się i zalogować się ponownie, aby użyć interfejsu programu Synchronization Service Manager, ponieważ konto nie będzie pobierać identyfikatora zabezpieczeń grupy (SID) do następnego logowania się konta.

Konto Administracja istrator przedsiębiorstwa jest wymagane tylko podczas instalowania i konfigurowania Połączenie Firmy Microsoft, ale jego poświadczenia nie są przechowywane ani zapisywane przez kreatora konfiguracji. W związku z tym należy utworzyć specjalne konto administratora usługi Microsoft Entra Połączenie do instalowania i konfigurowania usługi Microsoft Entra Połączenie, a następnie przypisać to konto do grupy Administracja istratorów Enterprise podczas konfigurowania Połączenie firmy Microsoft. Jednak to konto Microsoft Entra Połączenie Administracja istrator powinno zostać usunięte z grupy Administracja istratorów przedsiębiorstwa po zakończeniu konfiguracji usługi Microsoft Entra Połączenie. Poniższa tabela zawiera szczegółowe informacje o kontach utworzonych podczas konfiguracji Połączenie firmy Microsoft.

Konto	opis
MSOL_<id>	To konto jest tworzone podczas instalacji Połączenie firmy Microsoft i jest skonfigurowane do synchronizacji z dzierżawą platformy Azure. Konto ma uprawnienia replikacji katalogów w lokalnych usługach AD DS i uprawnienia do zapisu w niektórych atrybutach w celu włączenia wdrożenia hybrydowego.
AAD_<id>	Jest to konto usługi dla aparatu synchronizacji. Jest on tworzony przy użyciu losowo wygenerowanego złożonego hasła automatycznie skonfigurowanego tak, aby nigdy nie wygasało. Po uruchomieniu usługi synchronizacji katalogów używa poświadczeń konta usługi do odczytu z lokalnej usługi Active Directory, a następnie zapisuj zawartość bazy danych synchronizacji na platformie Azure. Odbywa się to przy użyciu poświadczeń administratora dzierżawy wprowadzonych w Kreatorze konfiguracji Połączenie firmy Microsoft.

Uwaga

Nie należy zmieniać konta usługi microsoft Entra Połączenie po zainstalowaniu usługi Microsoft Entra Połączenie, ponieważ firma Microsoft Entra Połączenie zawsze próbuje uruchomić przy użyciu konta utworzonego podczas instalacji. Jeśli zmienisz konto, firma Microsoft Entra Połączenie przestanie działać i zaplanowane synchronizacje nie będą już wykonywane.

Materiały uzupełniające

Aby dowiedzieć się więcej, zapoznaj się z następującym dokumentem.

• Topologie dla firmy Microsoft Entra Połączenie.

Kontynuuj