Руководство. Использование федерации для гибридного удостоверения в одном лесу Active Directory

В этом руководстве показано, как создать среду гибридного удостоверения в Azure с помощью федерации и Windows Server Active Directory (Windows Server AD). Вы можете использовать среду гибридного удостоверения, созданную для тестирования, или узнать больше о том, как работает гибридное удостоверение.

В этом руководстве описано следующее:

• Создайте виртуальную машину.
• Создайте среду Windows Server Active Directory.
• Создайте пользователя Windows Server Active Directory.
• Создание сертификата.
• Создайте клиент Microsoft Entra.
• Создайте учетную запись гибридного удостоверения Администратор istrator в Azure.
• Добавьте личный домен в каталог.
• Настройка Microsoft Entra Подключение.
• Проверьте и убедитесь, что пользователи синхронизированы.

Необходимые компоненты

Чтобы завершить работу с руководством, вам потребуется следующее:

• Компьютер с установленным Hyper-V. Мы рекомендуем установить Hyper-V на компьютере с Windows 10 или Windows Server 2016 .
• Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
• Внешний сетевой адаптер, поэтому виртуальная машина может подключаться к Интернету.
• Копия Windows Server 2016.
• Личный домен , который можно проверить.

Примечание.

В этом руководстве используются скрипты PowerShell для быстрого создания среды учебника. Каждый скрипт использует переменные, объявленные в начале скрипта. Не забудьте изменить переменные, чтобы отразить среду.

Скрипты в руководстве создают общую среду Windows Server Active Directory (Windows Server AD) перед установкой Microsoft Entra Подключение. Скрипты также используются в связанных руководствах.

Скрипты PowerShell, используемые в этом руководстве, доступны на сайте GitHub.

Создание виртуальной машины

Чтобы создать среду гибридного удостоверения, сначала необходимо создать виртуальную машину для использования в качестве локального сервера Windows Server AD.

Примечание.

Если вы никогда не запускали скрипт в PowerShell на хост-компьютере, прежде чем запускать любые сценарии, откройте среду сценариев Windows PowerShell в качестве администратора и запустите его Set-ExecutionPolicy remotesigned. В диалоговом окне "Изменение политики выполнения" нажмите кнопку "Да".

Создание виртуальной машины

1. Откройте среда сценариев Windows PowerShell от имени администратора.

2. Выполните следующий скрипт:

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create a new virtual machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add a DVD drive to the virtual machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount installation media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure the virtual machine to boot from the DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Установить операционную систему

Чтобы завершить создание виртуальной машины, установите операционную систему:

1. В диспетчере Hyper-V дважды щелкните виртуальную машину.
2. Выберите Пуск.
3. В командной строке нажмите любую клавишу, чтобы загрузиться с компакт-диска или DVD-диска.
4. В окне запуска Windows Server выберите язык и нажмите кнопку "Далее".
5. Выберите "Установить сейчас".
6. Введите ключ лицензии и нажмите кнопку "Далее".
7. Выберите условия лицензии проверка box и нажмите кнопку "Далее".
8. Выберите custom: Install Windows Only (Advanced).
9. Выберите Далее.
10. По завершении установки перезапустите виртуальную машину. Войдите и проверка Обновл. Windows. Установите все обновления, чтобы убедиться, что виртуальная машина полностью обновлена.

Установка необходимых компонентов Windows Server AD

Перед установкой Windows Server AD запустите скрипт, который устанавливает необходимые компоненты:

1. Откройте среда сценариев Windows PowerShell от имени администратора.

2. Запустите Set-ExecutionPolicy remotesigned. В диалоговом окне "Изменение политики выполнения" выберите "Да" для всех.

3. Выполните следующий скрипт:

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set a static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Создание среды AD для Windows Server

Теперь установите и настройте службы домен Active Directory для создания среды:

1. Откройте среда сценариев Windows PowerShell от имени администратора.

2. Выполните следующий скрипт:

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomainNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force
   
   #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create a new Windows Server AD forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Создание пользователя AD для Windows Server

Затем создайте тестовую учетную запись пользователя. Создайте эту учетную запись в среде локальная служба Active Directory. Затем учетная запись синхронизируется с идентификатором Microsoft Entra.

1. Откройте среда сценариев Windows PowerShell от имени администратора.

2. Выполните следующий скрипт:

   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Создание сертификата для AD FS

Вам нужен TLS-сертификат или SSL-сертификат, который будет использоваться службы федерации Active Directory (AD FS) (AD FS). Сертификат является самозаверяющий сертификат и создается для его использования только для тестирования. Рекомендуется не использовать самозаверяющий сертификат в рабочей среде.

Чтобы создать сертификат, выполните приведенные действия.

1. Откройте среда сценариев Windows PowerShell от имени администратора.

2. Выполните следующий скрипт:

   #Declare variables
   $DNSname = "adfs.contoso.com"
   $Location = "cert:\LocalMachine\My"
   
   #Create a certificate
   New-SelfSignedCertificate -DnsName $DNSname -CertStoreLocation $Location
   

Создание клиента Microsoft Entra

Если у вас нет одного, выполните действия, описанные в статье "Создание нового клиента в идентификаторе Записи Майкрософт", чтобы создать новый клиент.

Создание учетной записи гибридного удостоверения Администратор istrator в идентификаторе Microsoft Entra

Следующая задача — создать учетную запись гибридного удостоверения Администратор istrator. Эта учетная запись используется для создания учетной записи Microsoft Entra Подключение or во время установки Microsoft Entra Подключение. Учетная запись Microsoft Entra Подключение or используется для записи сведений в идентификатор Microsoft Entra.

Чтобы создать учетную запись гибридного удостоверения Администратор istrator, выполните следующие действия.

1. Войдите в центр администрирования Microsoft Entra.

2. Перейдите ко всем пользователям удостоверений>>

3. Выберите "Создать пользователя>".

4. В области "Создание нового пользователя" введите отображаемое имя и имя участника-пользователя для нового пользователя. Вы создаете учетную запись гибридного удостоверения Администратор istrator для клиента. Можно отобразить и скопировать временный пароль.

   1. В разделе "Назначения" выберите "Добавить роль" и выберите "Гибридное удостоверение" Администратор istrator.

5. Затем нажмите кнопку "Рецензирование" и "Создать>".

6. В новом окне веб-браузера войдите в myapps.microsoft.com систему с помощью новой учетной записи гибридного удостоверения Администратор istrator и временного пароля.

7. Выберите новый пароль для учетной записи гибридного удостоверения Администратор istrator и измените пароль.

Добавление имени личного домена в каталог

Теперь, когда у вас есть клиент и учетная запись гибридного удостоверения Администратор istrator, добавьте личный домен, чтобы Azure смог проверить его.

Чтобы добавить имя личного домена в каталог, выполните приведенные действия.

1. В [Центре администрирования Microsoft Entra](https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview) обязательно закройте панель "Все пользователи".

2. В меню слева в разделе "Управление" выберите "Пользовательские доменные имена".

3. Нажмите кнопку Добавить личный домен.

   

4. В именах личных доменов введите имя личного домена и нажмите кнопку "Добавить домен".

5. В имени личного домена отображаются данные TXT или MX. Эти сведения необходимо добавить в DNS-сведения регистратора домена в вашем домене. Перейдите к регистратору домена и введите данные TXT или MX в параметрах DNS для вашего домена.

   Добавление этих сведений в регистратор доменов позволяет Azure проверить свой домен. Проверка домена может занять до 24 часов.

   Дополнительные сведения см. в документе о добавлении личного домена.

6. Чтобы убедиться, что домен проверен, нажмите кнопку "Проверить".

   

Скачивание и установка Microsoft Entra Подключение

Теперь пришло время скачать и установить Microsoft Entra Подключение. После установки вы будете использовать экспресс-установку.

1. Скачайте Подключение Microsoft Entra.

2. Перейдите в AzureAD Подключение.msi и дважды щелкните, чтобы открыть файл установки.

3. В поле "Добро пожаловать" выберите проверка box, чтобы согласиться с условиями лицензирования, а затем нажмите кнопку "Продолжить".

4. В параметрах Express выберите "Настроить".

5. В разделе "Установка необходимых компонентов" выберите "Установить".

6. Войдите в систему пользователя, выберите "Федерация с AD FS" и нажмите кнопку "Далее".

   

7. В Подключение идентификатору Microsoft Entra введите имя пользователя и пароль учетной записи гибридного удостоверения Администратор istrator, созданной ранее, а затем нажмите кнопку "Далее".

8. В Подключение каталогов нажмите кнопку "Добавить каталог". Затем выберите "Создать учетную запись AD" и введите имя пользователя и пароль contoso\Администратор istrator. Нажмите ОК.

9. Выберите Далее.

10. В конфигурации входа Microsoft Entra нажмите кнопку "Продолжить", не сопоставляя все суффиксы имени участника-участника и проверенные домены. Выберите Далее.

11. В области фильтрации домена и подразделения нажмите кнопку "Далее".

12. В уникальной идентификации пользователей нажмите кнопку "Далее".

13. В разделе "Фильтрация пользователей и устройств" нажмите кнопку "Далее".

14. В дополнительных функциях нажмите кнопку "Далее".

15. В учетных данных домена Администратор istrator введите имя пользователя и пароль contoso\Администратор istrator, а затем нажмите кнопку "Далее".

16. В ферме AD FS убедитесь, что выбрана новая ферма AD FS.

17. Выберите "Использовать сертификат", установленный на серверах федерации, а затем нажмите кнопку "Обзор".

18. В поле поиска введите DC1 и выберите его в результатах поиска. Нажмите ОК.

19. Для файла сертификата выберите adfs.contoso.com, созданный сертификат. Выберите Далее.

    

20. На сервере AD FS нажмите кнопку "Обзор". В поле поиска введите DC1 и выберите его в результатах поиска. Выберите ОК, затем выберите Далее.

    

21. На прокси-серверах веб-приложения нажмите кнопку "Далее".

22. В учетной записи службы AD FS введите имя пользователя и пароль contoso\Администратор istrator, а затем нажмите кнопку "Далее".

23. В домене Microsoft Entra выберите проверенный личный домен и нажмите кнопку "Далее".

24. В разделе "Готово к настройке" выберите " Установить".

25. После завершения установки нажмите кнопку "Выйти".

26. Перед использованием диспетчера служб синхронизации или редактора правил синхронизации выйдите и снова войдите.

Проверка пользователей на портале

Теперь вы убедитесь, что пользователи в клиенте локальная служба Active Directory синхронизированы и теперь находятся в клиенте Microsoft Entra. Для завершения этого раздела может потребоваться несколько часов.

Чтобы убедиться, что пользователи синхронизированы:

1. Войдите в Центр администрирования Microsoft Entra как минимум гибридное удостоверение Администратор istrator.

2. Перейдите ко всем пользователям удостоверений>>

3. Убедитесь, что новые пользователи отображаются в клиенте.

   

Вход с помощью учетной записи пользователя для тестирования синхронизации

Чтобы проверить, что пользователи из клиента Windows Server AD синхронизируются с клиентом Microsoft Entra, войдите в систему как один из пользователей:

1. Переход к https://myapps.microsoft.com.

2. Войдите с помощью учетной записи пользователя, созданной в новом клиенте.

   Для имени пользователя используйте формат user@domain.onmicrosoft.com. Используйте тот же пароль, что и пользователь, используемый для входа в локальная служба Active Directory.

Вы успешно настроили среду гибридных удостоверений, которую можно использовать для тестирования и ознакомления с предложением Azure.

Следующие шаги

• Ознакомьтесь с Подключение оборудованием и предварительными условиями Microsoft Entra.
• Узнайте, как использовать настраиваемые параметры в Microsoft Entra Подключение.
• Дополнительные сведения о Microsoft Entra Подключение и федерации.