Instalowanie i konfigurowanie synchronizacji katalogów za pomocą Połączenie firmy Microsoft

  • 7 min

Firma Microsoft Entra Połączenie wymaga komputera przyłączonego do domeny do hostowania usługi synchronizacji. Większość organizacji wdraża dedykowany serwer synchronizacji.

Wymagania

Po skonfigurowaniu platformy Azure z dzierżawą usługi Active Directory należy wykonać podstawowe zadania w celu wdrożenia synchronizacji katalogów, wykonując następujące kroki:

  1. Dodaj domenę usług AD DS do platformy Azure, zweryfikuj domenę, a następnie ustaw domenę jako domenę podstawową.

  2. Pobierz i zainstaluj Połączenie firmy Microsoft Entra.

    A screenshot of the Microsoft Entra Connect blade in the Microsoft Entra admin center. The administrator is about to download the Microsoft Entra Connect feature.

  3. Uruchom Kreatora konfiguracji Połączenie firmy Microsoft. (Opcjonalnie możesz skonfigurować usługę Microsoft Entra Połączenie w celu zsynchronizowania określonych jednostek organizacyjnych w lokalnym środowisku usług AD DS).

    A screenshot of the Microsoft Entra Connect Wizard's Express Settings page. The administrator can choose Customize or Use express settings. The current AD forest is CONTOSO..

  4. Włącz opcjonalne funkcje, takie jak synchronizacja skrótów haseł, zapisywanie zwrotne haseł i wdrażanie hybrydowe programu Exchange.

  5. Uruchom Połączenie firmy Microsoft Entra i pozwól mu skonfigurować środowisko na potrzeby synchronizacji katalogów

  6. Zweryfikuj wyniki synchronizacji.

    A screenshot of the Microsoft Entra Connect Wizard, Domain/OU Filtering tab. The administrator has selected the Sync selected domains and OU options, in addition to the various OUs from the returned Contoso.com list.

Po skonfigurowaniu usługi Microsoft Entra Połączenie i wykonaniu synchronizacji początkowej można w razie potrzeby ponownie skonfigurować opcje synchronizacji. Instalacja oprogramowania Firmy Microsoft Entra Połączenie obejmuje kilka aplikacji związanych z synchronizacją katalogów. Po uruchomieniu programu Microsoft Entra Połączenie możesz użyć ustawień instalacji ekspresowej, które konfigurują synchronizację katalogów z najczęściej używanymi ustawieniami lub można dostosować opcje konfiguracji.

Jeśli zdecydujesz się używać instalacji niestandardowej, na początku konfiguracji możesz użyć niestandardowego serwera SQL zamiast lokalnej bazy danych. Możesz również użyć istniejącego konta usługi zamiast konta utworzonego przez proces automatycznej konfiguracji. Ponadto można określić niestandardowe grupy synchronizacji. Domyślnie grupy Administracja istratorów, operatorów, przeglądania i resetowania haseł są tworzone przez firmę Microsoft Entra Połączenie, ale w tym celu można użyć własnych grup niestandardowych.

Domyślnie firma Microsoft Entra Połączenie konfiguruje synchronizację skrótów haseł dla trybu synchronizacji katalogów. Jeśli wybierzesz instalację niestandardową, możesz również wybrać opcję Federacja z usługami AD FS lub uwierzytelnianie przekazywane. Alternatywnie można ręcznie skonfigurować synchronizację katalogów, jeśli masz wdrożony serwer federacyjny innej firmy niż Microsoft lub inne istniejące rozwiązanie.

Niestandardowa instalacja Połączenie firmy Microsoft umożliwia również wybór sposobu identyfikowania użytkowników. Domyślnie Instalator zakłada, że użytkownicy są reprezentowani tylko raz we wszystkich katalogach. Jeśli jednak masz scenariusz, w którym tożsamości użytkowników istnieją w wielu katalogach, musisz wybrać pasujący atrybut. Możesz wybrać między opcjami opisanymi w poniższej tabeli.

Opcja Opis
atrybut poczty Ta opcja łączy użytkowników i kontakty, jeśli atrybut poczty ma taką samą wartość w różnych lasach.
ObjectSID i msExchangeMasterAccountSID Ta opcja dołącza włączonego użytkownika w lesie konta z wyłączonym użytkownikiem w lesie zasobów programu Exchange. W programie Exchange jest to również nazywane połączoną skrzynką pocztową.
sAMAccountName i mailNickname Ta opcja łączy dodatkowe atrybuty w lokalizacjach w katalogu, w którym powinien zostać znaleziony identyfikator logowania użytkownika.
Mój własny atrybut Ta opcja umożliwia wybranie własnego atrybutu.
Zakotwiczenie źródła Jest to atrybut, który pozostaje niezmienny w okresie istnienia obiektu użytkownika. Innymi słowy, ten atrybut jest kluczem podstawowym, który łączy obiekt użytkownika lokalnego z obiektem użytkownika w identyfikatorze Entra firmy Microsoft. Ponieważ nie można później zmienić tego atrybutu, należy dokładnie wybrać atrybut do użycia w tym celu. Domyślnym wyborem jest objectGUID, ponieważ ten atrybut nie zmienia się, chyba że konto użytkownika zostanie przeniesione między lasami i domenami.

Atrybut można skonfigurować UserPrincipalName w tym samym oknie. Jest to atrybut używany przez użytkowników podczas logowania się do identyfikatora Entra firmy Microsoft. Domeny używane w tym celu, znane również jako sufiks nazwy UPN, powinny być weryfikowane w identyfikatorze Entra firmy Microsoft przed zsynchronizowaniem obiektów użytkownika.

W niektórych przypadkach można zsynchronizować tylko podzbiór użytkowników z lokalnych usług AD DS. Microsoft Entra Połączenie pozwala wybrać określoną grupę użytkowników, którzy mają być synchronizowani z identyfikatorem Entra firmy Microsoft. Przed uruchomieniem Połączenie firmy Microsoft należy utworzyć tę grupę. Po zakończeniu instalacji można dodawać i usuwać użytkowników z tej grupy, aby zachować listę obiektów użytkownika, które powinny znajdować się w identyfikatorze Entra firmy Microsoft. Można również użyć jednostek organizacyjnych z lokalnych usług AD DS jako zakresu replikacji. W ostatnim kroku firma Microsoft Entra Połączenie umożliwia skonfigurowanie niektórych opcjonalnych funkcji dostępnych w usłudze Microsoft Entra ID P1 lub P2.