Dela via


Anpassad installation av Microsoft Entra Connect

Använd anpassade inställningar i Microsoft Entra Connect när du vill ha fler alternativ för installationen. Använd till exempel de här inställningarna om du har flera skogar eller om du vill konfigurera valfria funktioner. Använd anpassade inställningar i alla fall där expressinstallationen inte uppfyller dina distributions- eller topologibehov.

Förutsättningar:

Anpassade installationsinställningar

Om du vill konfigurera en anpassad installation för Microsoft Entra Connect går du igenom de guidesidor som beskrivs i följande avsnitt.

Standardinställningar

På sidan Expressinställningar väljer du Anpassa för att starta en installation av anpassade inställningar. Resten av den här artikeln vägleder dig genom den anpassade installationsprocessen. Använd följande länkar för att snabbt gå till informationen för en viss sida:

Installera nödvändiga komponenter

När du installerar synkroniseringstjänsterna kan du lämna det valfria konfigurationsavsnittet avmarkerat. Microsoft Entra Connect konfigurerar allt automatiskt. Den konfigurerar en SQL Server 2019 Express LocalDB-instans, skapar lämpliga grupper och tilldelar behörigheter. Om du vill ändra standardvärdena väljer du lämpliga rutor. Följande tabell sammanfattar dessa alternativ och innehåller länkar till ytterligare information.

Skärmbild som visar valfria val för nödvändiga installationskomponenter i Microsoft Entra Connect.

Valfri konfiguration beskrivning
Ange en anpassad installationsplats Gör att du kan ändra standardinstallationssökvägen för Microsoft Entra Connect.
Använda en befintlig SQL-server Gör att du kan ange SQL Server-namnet och instansnamnet. Välj det här alternativet om du redan har en databasserver som du vill använda. Som Instansnamn anger du instansnamnet, ett kommatecken och portnumret om SQL Server-instansen inte har aktiverat surfning. Ange sedan namnet på Microsoft Entra Connect-databasen. Dina SQL-behörigheter avgör om en ny databas kan skapas eller om SQL-administratören måste skapa databasen i förväg. Om du har behörighet som SQL Server-administratör (SA) läser du Installera Microsoft Entra Connect med hjälp av en befintlig databas. Om du har delegerade behörigheter (DBO) läser du Installera Microsoft Entra Connect med hjälp av SQL-delegerade administratörsbehörigheter.
Använda ett befintligt tjänstkonto Som standard tillhandahåller Microsoft Entra Connect ett virtuellt tjänstkonto för synkroniseringstjänsterna. Om du använder en fjärrinstans av SQL Server eller använder en proxy som kräver autentisering kan du använda ett hanterat tjänstkonto eller ett lösenordsskyddat tjänstkonto i domänen. I sådana fall anger du det konto som du vill använda. För att köra installationen måste du vara en SA i SQL så att du kan skapa inloggningsuppgifter för tjänstkontot. Mer information finns i Microsoft Entra Connect-konton och -behörigheter.

Genom att använda den senaste versionen kan SQL-administratören nu etablera databasen utan band. Sedan kan Microsoft Entra Connect-administratören installera den med databasägarrättigheter. Mer information finns i Installera Microsoft Entra Connect med hjälp av SQL-delegerade administratörsbehörigheter.
Ange anpassade synkroniseringsgrupper När synkroniseringstjänsterna installeras skapar Microsoft Entra Connect som standard fyra grupper som är lokala för servern. Dessa grupper är administratörer, operatorer, bläddra och lösenordsåterställning. Du kan ange dina egna grupper här. Grupperna måste vara lokala på servern. De kan inte finnas i domänen.
Importera synkroniseringsinställningar Gör att du kan importera inställningar från andra versioner av Microsoft Entra Connect. Mer information finns i Importera och exportera Konfigurationsinställningar för Microsoft Entra Connect.

Användarinloggning

När du har installerat de nödvändiga komponenterna väljer du användarnas metod för enkel inloggning. I följande tabell beskrivs kortfattat de tillgängliga alternativen. En fullständig beskrivning av inloggningsmetoderna finns i Användarinloggning.

Skärmbild som visar sidan

Alternativ för enkel inloggning beskrivning
Synkronisering av lösenordshash Användare kan logga in på Microsofts molntjänster, till exempel Microsoft 365, med samma lösenord som de använder i sitt lokala nätverk. Användarlösenord synkroniseras med Microsoft Entra-ID som en lösenordshash. Autentisering sker i molnet. Mer information finns i Synkronisering av lösenordshash.
Direktautentisering Användare kan logga in på Microsofts molntjänster, till exempel Microsoft 365, med samma lösenord som de använder i sitt lokala nätverk. Användarlösenord verifieras genom att skickas till lokal Active Directory domänkontrollant.
Federation med AD FS Användare kan logga in på Microsofts molntjänster, till exempel Microsoft 365, med samma lösenord som de använder i sitt lokala nätverk. Användare omdirigeras till sin lokala Azure Directory Federation Services-instans (AD FS) för att logga in. Autentisering sker lokalt.
Federation med PingFederate Användare kan logga in på Microsofts molntjänster, till exempel Microsoft 365, med samma lösenord som de använder i sitt lokala nätverk. Användare omdirigeras till sin lokala PingFederate-instans för att logga in. Autentisering sker lokalt.
Konfigurera inte Ingen funktion för användarinloggning har installerats eller konfigurerats. Välj det här alternativet om du redan har en federationsserver från tredje part eller någon annan lösning på plats.
Aktivera enkel inloggning Det här alternativet är tillgängligt med både synkronisering av lösenordshash och direktautentisering. Det ger en enkel inloggningsupplevelse för skrivbordsanvändare i företagsnätverk. Mer information finns i Enkel inloggning.

Obs! För AD FS-kunder är det här alternativet inte tillgängligt. AD FS erbjuder redan samma nivå av enkel inloggning.

Ansluta till Microsoft Entra-ID

På sidan Anslut till Microsoft Entra-ID anger du ett konto och lösenord för hybrididentitetsadministratör. Om du valde Federation med AD FS på föregående sida ska du inte logga in med ett konto som finns i en domän som du planerar att aktivera för federation.

Du kanske vill använda ett konto i standarddomänen onmicrosoft.com , som medföljer din Microsoft Entra-klientorganisation. Det här kontot används bara för att skapa ett tjänstkonto i Microsoft Entra-ID. Den används inte när installationen är klar.

Kommentar

Bästa praxis är att undvika att använda lokala synkroniserade konton för Microsoft Entra-rolltilldelningar. Om det lokala kontot komprometteras kan detta även användas för att kompromettera dina Microsoft Entra-resurser. En fullständig lista över metodtips finns i Metodtips för Microsoft Entra-roller

Skärmbild som visar sidan Anslut till Microsoft Entra-ID.

Om ditt globala administratörskonto har multifaktorautentisering aktiverat anger du lösenordet igen i inloggningsfönstret och du måste slutföra multifaktorautentiseringsutmaningen. Utmaningen kan vara en verifieringskod eller att ringa ett telefonsamtal.

Skärmbild som visar sidan Anslut till Microsoft Entra-ID. Ett fält för multifaktorautentisering uppmanar användaren att ange en kod.

Det globala administratörskontot kan också ha aktiverat privilegierad identitetshantering .

Om du vill använda autentiseringsstöd för scenarier som inte är lösenord, till exempel federerade konton, smartkort och MFA-scenarier, kan du ange växeln /InteractiveAuth när du startar guiden. Med den här växeln kringgår du guidens användargränssnitt för autentisering och använder MSAL-bibliotekets användargränssnitt för att hantera autentiseringen.

Om du ser ett fel eller har problem med anslutningen kan du läsa Felsöka anslutningsproblem.

Synkronisera sidor

I följande avsnitt beskrivs sidorna i avsnittet Synkronisera .

Anslut dina kataloger

För att ansluta till Active Directory-domän Services (AD DS) behöver Microsoft Entra Connect skogsnamnet och autentiseringsuppgifterna för ett konto som har tillräcklig behörighet.

Skärmbild som visar sidan

När du har angett skogsnamnet och valt Lägg till katalog visas ett fönster. I följande tabell beskrivs dina alternativ.

Alternativ Description
Skapa ett nytt konto Skapa det AD DS-konto som Microsoft Entra Connect behöver för att ansluta till Active Directory-skogen under katalogsynkroniseringen. När du har valt det här alternativet anger du användarnamnet och lösenordet för ett företagsadministratörskonto. Microsoft Entra Connect använder det angivna företagsadministratörskontot för att skapa det nödvändiga AD DS-kontot. Du kan ange domändelen i NetBIOS-format eller FQDN-format. Ange alltså FABRIKAM\administrator eller fabrikam.com\administrator.
Använda befintligt konto Ange ett befintligt AD DS-konto som Microsoft Entra Connect kan använda för att ansluta till Active Directory-skogen under katalogsynkroniseringen. Du kan ange domändelen i NetBIOS-format eller FQDN-format. Det vill: ange FABRIKAM\syncuser eller fabrikam.com\syncuser. Det här kontot kan vara ett vanligt användarkonto eftersom det bara behöver läsbehörigheter som standard. Men beroende på ditt scenario kan du behöva fler behörigheter. Mer information finns i Microsoft Entra Connect-konton och -behörigheter.

Skärmbild som visar sidan

Kommentar

Från och med version 1.4.18.0 kan du inte använda ett företagsadministratörs- eller domänadministratörskonto som AD DS-anslutningskonto. När du väljer Använd befintligt konto visas följande fel om du försöker ange ett företagsadministratörskonto eller ett domänadministratörskonto: "Det är inte tillåtet att använda ett företags- eller domänadministratörskonto för ditt AD-skogskonto. Låt Microsoft Entra Connect skapa kontot åt dig eller ange ett synkroniseringskonto med rätt behörigheter."

Microsoft Entra-inloggningskonfiguration

På sidan Microsoft Entra-inloggningskonfiguration granskar du UPN-domänerna (user principal name) i lokala AD DS. Dessa UPN-domäner har verifierats i Microsoft Entra-ID. På den här sidan konfigurerar du attributet som ska användas för userPrincipalName.

Skärmbild som visar overifierade domäner på sidan

Granska alla domäner som har markerats som Inte tillagda eller Inte verifierade. Kontrollera att de domäner som du använder har verifierats i Microsoft Entra-ID. När du har verifierat dina domäner väljer du ikonen för cirkulär uppdatering. Mer information finns i Lägga till och verifiera domänen.

Användare använder attributet userPrincipalName när de loggar in på Microsoft Entra ID och Microsoft 365. Microsoft Entra-ID bör verifiera domänerna, även kallat UPN-suffixet, innan användarna synkroniseras. Microsoft rekommenderar att du behåller standardattributet userPrincipalName.

Om attributet userPrincipalName inte kan verifieras och inte kan verifieras kan du välja ett annat attribut. Du kan till exempel välja e-post som det attribut som innehåller inloggnings-ID:t. När du använder ett annat attribut än userPrincipalName kallas det ett alternativt ID.

Attributvärdet för ett alternativt ID måste följa standarden RFC 822. Du kan använda ett alternativt ID med synkronisering av lösenordshash, direktautentisering och federation. I Active Directory kan attributet inte definieras som ett flervärdesattribut, även om det bara har ett värde. Mer information om det alternativa ID:t finns i Direktautentisering: Vanliga frågor och svar.

Kommentar

När du aktiverar direktautentisering måste du ha minst en verifierad domän för att kunna fortsätta med den anpassade installationsprocessen.

Varning

Alternativa ID:er är inte kompatibla med alla Microsoft 365-arbetsbelastningar. Mer information finns i Konfigurera alternativa inloggnings-ID:t.

Domän- och organisationsenhetsfiltrering

Som standard synkroniseras alla domäner och organisationsenheter (OUs). Om du inte vill synkronisera vissa domäner eller organisationsenheter med Microsoft Entra-ID kan du rensa lämpliga val.

Skärmbild som visar filtreringssidan domän och O U.

Den här sidan konfigurerar domänbaserad och OU-baserad filtrering. Om du planerar att göra ändringar kan du läsa Domänbaserad filtrering och OU-baserad filtrering. Vissa organisationsenheter är viktiga för funktioner, så du bör låta dem vara markerade.

Om du använder OU-baserad filtrering med en Microsoft Entra Connect-version som är äldre än 1.1.524.0 synkroniseras nya organisationsenheter som standard. Om du inte vill att nya organisationsenheter ska synkroniseras kan du justera standardbeteendet efter det OU-baserade filtreringssteget. För Microsoft Entra Connect 1.1.524.0 eller senare kan du ange om du vill att nya organisationsenheter ska synkroniseras.

Om du planerar att använda gruppbaserad filtrering kontrollerar du att organisationsenheten med gruppen ingår och inte filtreras med hjälp av OU-filtrering. OU-filtrering utvärderas innan gruppbaserad filtrering utvärderas.

Det är också möjligt att vissa domäner inte kan nås på grund av brandväggsbegränsningar. Dessa domäner är avmarkerade som standard och de visar en varning.

Skärmbild som visar domäner som inte kan nås.

Om du ser den här varningen kontrollerar du att dessa domäner verkligen inte kan nås och att varningen förväntas.

Identifiera användarna unikt

På sidan Identifiera användare väljer du hur du identifierar användare i dina lokala kataloger och hur du identifierar dem med hjälp av attributet sourceAnchor.

Välj hur användare ska identifieras i dina lokala kataloger

Genom att använda funktionen Matchning mellan skogar kan du definiera hur användare från dina AD DS-skogar representeras i Microsoft Entra-ID. En användare kan bara representeras en gång i alla skogar eller ha en kombination av aktiverade och inaktiverade konton. Användaren kan också vara representerad som en kontakt i vissa skogar.

Skärmbild som visar sidan där du kan identifiera dina användare unikt.

Inställning beskrivning
Användare representeras bara en gång i alla skogar Alla användare skapas som enskilda objekt i Microsoft Entra-ID. Objekten är inte anslutna i metaversumet.
E-postattribut Det här alternativet kopplar ihop användare och kontakter om e-postattributet har samma värde i olika skogar. Använd det här alternativet när dina kontakter skapades med hjälp av GALSync. Om du väljer det här alternativet synkroniseras inte användarobjekt vars e-postattribut är ofyllt till Microsoft Entra-ID.
Attributen ObjectSID och msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID Det här alternativet kopplar ihop en aktiverad användare i en kontoskog med en inaktiverad användare i en resursskog. I Exchange kallas den här konfigurationen för en länkad postlåda. Du kan använda det här alternativet om du bara använder Lync och om Exchange inte finns i resursskogen.
Attributen SAMAccountName och MailNickName Det här alternativet ansluter till attribut där inloggnings-ID:t för användaren förväntas hittas.
Välj ett specifikt attribut Med det här alternativet kan du välja ett eget attribut. Om du väljer det här alternativet synkroniseras inte användarobjekt vars (valda) attribut är ofyllt till Microsoft Entra-ID. Begränsning: Endast attribut som redan finns i metaversumet är tillgängliga för det här alternativet.

Välj hur användare ska identifieras med hjälp av ett källankare

Attributet sourceAnchor är oföränderligt under livslängden för ett användarobjekt. Det är den primära nyckeln som länkar den lokala användaren till användaren i Microsoft Entra-ID.

Inställning beskrivning
Låt Azure hantera källankaret Välj det här alternativet om du vill att Microsoft Entra-ID ska välja attributet åt dig. Om du väljer det här alternativet tillämpar Microsoft Entra Connect logiken för val av sourceAnchor-attribut som beskrivs i Använda ms-DS-ConsistencyGuid som sourceAnchor. När den anpassade installationen är klar ser du vilket attribut som valdes som sourceAnchor-attribut.
Välj ett specifikt attribut Välj det här alternativet om du vill ange ett befintligt AD-attribut som sourceAnchor-attribut.

Eftersom attributet sourceAnchor inte kan ändras måste du välja ett lämpligt attribut. En bra kandidat är objectGUID. Det här attributet ändras inte om inte användarkontot flyttas mellan skogar eller domäner. Välj inte attribut som kan ändras när en person gifter sig eller ändrar tilldelningar.

Du kan inte använda attribut som innehåller ett at-tecken (@), så du kan inte använda e-post och userPrincipalName. Attributet är också skiftlägeskänsligt, så när du flyttar ett objekt mellan skogar bör du bevara versaler och gemener. Binära attribut är Base64-kodade, men andra attributtyper förblir i sitt okodade tillstånd.

I federationsscenarier och vissa Microsoft Entra ID-gränssnitt kallas attributet sourceAnchor även oföränderligtID.

Mer information om källankaret finns i Designbegrepp.

Synkroniseringsfiltrering baserat på grupper

Med funktionen filtrering på grupper kan du bara synkronisera en liten delmängd objekt för en pilot. Om du vill använda den här funktionen skapar du en grupp för detta ändamål i din lokala instans av Active Directory. Lägg sedan till användare och grupper som ska synkroniseras till Microsoft Entra-ID som direkta medlemmar. Du kan senare lägga till användare eller ta bort användare från den här gruppen för att underhålla listan över objekt som ska finnas i Microsoft Entra-ID.

Alla objekt som du vill synkronisera måste vara direkta medlemmar i gruppen. Användare, grupper, kontakter och datorer eller enheter måste alla vara direkta medlemmar. Kapslat gruppmedlemskap har inte lösts. När du lägger till en grupp som medlem läggs endast själva gruppen till. Dess medlemmar läggs inte till.

Skärmbild som visar sidan där du kan välja hur användare och enheter ska filtreras.

Varning

Den här funktionen är avsedd att endast stödja en pilotdistribution. Använd den inte i en fullständig produktionsdistribution.

I en fullständig produktionsdistribution skulle det vara svårt att underhålla en enda grupp och alla dess objekt att synkronisera. I stället för funktionen filtering-on-groups använder du någon av metoderna som beskrivs i Konfigurera filtrering.

Valfria funktioner

På nästa sida kan du välja valfria funktioner för ditt scenario.

Varning

Microsoft Entra Connect version 1.0.8641.0 och tidigare förlitar sig på Azure Access Control Service för tillbakaskrivning av lösenord. Tjänsten drogs tillbaka den 7 november 2018. Om du använder någon av dessa versioner av Microsoft Entra Connect och har aktiverat tillbakaskrivning av lösenord kan användarna förlora möjligheten att ändra eller återställa sina lösenord när tjänsten dras tillbaka. Dessa versioner av Microsoft Entra Connect stöder inte tillbakaskrivning av lösenord.

Om du vill använda tillbakaskrivning av lösenord laddar du ned den senaste versionen av Microsoft Entra Connect.

Skärmbild som visar sidan

Varning

Om Azure AD Sync eller Direktsynkronisering (DirSync) är aktiva ska du inte aktivera några tillbakaskrivningsfunktioner i Microsoft Entra Connect.

Valfria funktioner beskrivning
Exchange-hybridinstallation Med hybriddistributionsfunktionen i Exchange kan exchange-postlådorna samexistera både lokalt och i Microsoft 365. Microsoft Entra Connect synkroniserar en specifik uppsättning attribut från Microsoft Entra tillbaka till din lokala katalog.
Gemensamma Mappar för Exchange-e-post Med funktionen Gemensamma mappar för Exchange-e-post kan du synkronisera e-postaktiverade gemensamma mappobjekt från din lokala instans av Active Directory till Microsoft Entra-ID. Observera att det inte stöds för att synkronisera grupper som innehåller gemensamma mappar som medlemmar, och om du försöker göra det resulterar det i ett synkroniseringsfel.
Microsoft Entra-app- och attributfiltrering Genom att aktivera Microsoft Entra-app- och attributfiltrering kan du skräddarsy uppsättningen synkroniserade attribut. Det här alternativet lägger till ytterligare två konfigurationssidor i guiden. Mer information finns i Microsoft Entra-app- och attributfiltrering.
Synkronisering av lösenordshash Om du har valt federation som inloggningslösning kan du aktivera synkronisering av lösenordshash. Sedan kan du använda det som ett alternativ för säkerhetskopiering.

Om du har valt direktautentisering kan du aktivera det här alternativet för att säkerställa stöd för äldre klienter och för att tillhandahålla en säkerhetskopia.

Mer information finns i Synkronisering av lösenordshash.
Tillbakaskrivning av lösenord Använd det här alternativet för att säkerställa att lösenordsändringar som kommer från Microsoft Entra-ID skrivs tillbaka till din lokala katalog. Mer information finns i Komma igång med lösenordshantering.
Tillbakaskrivning av grupp Om du använder Microsoft 365-grupper kan du representera grupper i din lokala instans av Active Directory. Det här alternativet är endast tillgängligt om du har Exchange i din lokala instans av Active Directory. Mer information finns i Tillbakaskrivning av Microsoft Entra Connect-grupp.
Tillbakaskrivning av enheter För scenarier med villkorsstyrd åtkomst använder du det här alternativet för att skriva tillbaka enhetsobjekt i Microsoft Entra-ID till din lokala instans av Active Directory. Mer information finns i Aktivera tillbakaskrivning av enheter i Microsoft Entra Connect.
Synkronisering av katalogtilläggsattribut Välj det här alternativet om du vill synkronisera angivna attribut till Microsoft Entra-ID. Mer information finns i Katalogtillägg.

Microsoft Entra-app- och attributfiltrering

Om du vill begränsa vilka attribut som synkroniseras med Microsoft Entra-ID börjar du med att välja de tjänster som du använder. Om du ändrar valen på den här sidan måste du uttryckligen välja en ny tjänst genom att köra installationsguiden igen.

Skärmbild som visar valfria Funktioner för Microsoft Entra-appar.

Baserat på de tjänster som du valde i föregående steg visar den här sidan alla attribut som är synkroniserade. Den här listan är en kombination av alla objekttyper som synkroniseras. Om du behöver vissa attribut för att förbli osynkroniserade kan du rensa markeringen från dessa attribut.

Skärmbild som visar valfria Microsoft Entra-attributfunktioner.

Varning

Om du tar bort attribut kan det påverka funktionaliteten. Metodtips och rekommendationer finns i Attribut som ska synkroniseras.

Synkronisering av katalogtilläggsattribut

Du kan utöka schemat i Microsoft Entra-ID med hjälp av anpassade attribut som din organisation har lagt till eller med hjälp av andra attribut i Active Directory. Om du vill använda den här funktionen går du till sidan Valfria funktioner och väljer Attributsynkronisering för katalogtillägg. På sidan Katalogtillägg kan du välja fler attribut att synkronisera.

Kommentar

Fältet Tillgängliga attribut är skiftlägeskänsligt .

Skärmbild som visar sidan Katalogtillägg.

Mer information finns i Katalogtillägg.

Aktivera enkel inloggning

På sidan Enkel inloggning konfigurerar du enkel inloggning för användning med lösenordssynkronisering eller direktautentisering. Du gör det här steget en gång för varje skog som synkroniseras med Microsoft Entra-ID. Konfigurationen omfattar två steg:

  1. Skapa det datorkonto som krävs i din lokala instans av Active Directory.
  2. Konfigurera intranätzonen för klientdatorerna så att den stöder enkel inloggning.

Skapa datorkontot i Active Directory

För varje skog som har lagts till i Microsoft Entra Connect måste du ange domänadministratörsautentiseringsuppgifter så att datorkontot kan skapas i varje skog. Autentiseringsuppgifterna används endast för att skapa kontot. De lagras eller används inte för någon annan åtgärd. Lägg till autentiseringsuppgifterna på sidan Aktivera enkel inloggning , som följande bild visar.

Skärmbild som visar sidan

Kommentar

Du kan hoppa över skogar där du inte vill använda enkel inloggning.

Konfigurera intranätzonen för klientdatorer

Kontrollera att klienten loggar in automatiskt i intranätzonen genom att kontrollera att URL:en är en del av intranätzonen. Det här steget säkerställer att den domänanslutna datorn automatiskt skickar en Kerberos-biljett till Microsoft Entra-ID när den är ansluten till företagsnätverket.

På en dator som har grupprincip hanteringsverktyg:

  1. Öppna hanteringsverktygen för grupprincip.

  2. Redigera grupprincipen som ska tillämpas på alla användare. Till exempel standarddomänprincipen.

  3. Gå till Användarkonfiguration>Administrativa mallar>Windows-komponenter>Internet Explorer>Internet Kontrollpanelen> Säkerhetssida. Välj sedan Tilldelningslista för plats till zon.

  4. Aktivera principen. I dialogrutan anger du sedan ett värdenamn https://autologon.microsoftazuread-sso.comför och https://aadg.windows.net.nsatc.net med värdet 1 för för båda URL:erna. Konfigurationen bör se ut som i följande bild.

    Skärmbild som visar intranätzoner.

  5. Välj OK två gånger.

Konfigurera federation med AD FS

Du kan konfigurera AD FS med Microsoft Entra Connect med bara några få klick. Innan du börjar behöver du:

  • Windows Server 2012 R2 eller senare för federationsservern. Fjärrhantering ska vara aktiverat.
  • Windows Server 2012 R2 eller senare för webbservern Programproxy. Fjärrhantering ska vara aktiverat.
  • Ett TLS/SSL-certifikat för federationstjänstens namn som du tänker använda (till exempel sts.contoso.com).

Kommentar

Du kan uppdatera ett TLS/SSL-certifikat för DIN AD FS-servergrupp med hjälp av Microsoft Entra Connect även om du inte använder det för att hantera federationsförtroendet.

Krav för AD FS-konfiguration

Om du vill konfigurera din AD FS-servergrupp med hjälp av Microsoft Entra Connect kontrollerar du att WinRM är aktiverat på fjärrservrarna. Kontrollera att du har slutfört de andra uppgifterna i federationskraven. Se också till att du följer de portkrav som anges i tabellen Microsoft Entra Connect- och Federation/WAP-servrar .

Skapa en ny AD FS-servergrupp eller använd en befintlig AD FS-servergrupp

Du kan använda en befintlig AD FS-servergrupp eller skapa en ny. Om du väljer att skapa ett nytt måste du ange TLS/SSL-certifikatet. Om TLS/SSL-certifikatet skyddas av ett lösenord uppmanas du att ange lösenordet.

Skärmbild som visar sidan

Om du väljer att använda en befintlig AD FS-servergrupp ser du sidan där du kan konfigurera förtroenderelationen mellan AD FS och Microsoft Entra-ID.

Kommentar

Du kan bara använda Microsoft Entra Connect för att hantera en AD FS-servergrupp. Om du har ett befintligt federationsförtroende där Microsoft Entra ID har konfigurerats i den valda AD FS-servergruppen återskapar Microsoft Entra Connect förtroendet från grunden.

Ange AD FS-servrarna

Ange de servrar där du vill installera AD FS. Du kan lägga till en eller flera servrar, beroende på dina kapacitetsbehov. Innan du konfigurerar den här konfigurationen ansluter du alla AD FS-servrar till Active Directory. Det här steget krävs inte för webbservrarna Programproxy.

Microsoft rekommenderar att du installerar en enskild AD FS-server för test- och pilotdistributioner. Efter den inledande konfigurationen kan du lägga till och distribuera fler servrar för att uppfylla dina skalningsbehov genom att köra Microsoft Entra Connect igen.

Kommentar

Innan du konfigurerar den här konfigurationen kontrollerar du att alla dina servrar är anslutna till en Microsoft Entra-domän.

Skärmbild som visar sidan Federationsservrar.

Ange webbprogramproxyservrarna

Ange dina webb-Programproxy-servrar. Webbservern Programproxy distribueras i perimeternätverket, mot extranätet. Den stöder autentiseringsbegäranden från extranätet. Du kan lägga till en eller flera servrar, beroende på dina kapacitetsbehov.

Microsoft rekommenderar att du installerar en enda webb-Programproxy-server för test- och pilotdistributioner. Efter den inledande konfigurationen kan du lägga till och distribuera fler servrar för att uppfylla dina skalningsbehov genom att köra Microsoft Entra Connect igen. Vi rekommenderar att du har ett motsvarande antal proxyservrar som uppfyller autentiseringen från intranätet.

Kommentar

  • Om kontot du använder inte är en lokal administratör på webb-Programproxy servrar uppmanas du att ange administratörsautentiseringsuppgifter.
  • Kontrollera att det finns HTTP/HTTPS-anslutning mellan Microsoft Entra Connect-servern och webb-Programproxy-servern innan du anger webb-Programproxy-servrar.
  • Se till att det finns HTTP/HTTPS-anslutning mellan webbprogramservern och AD FS-servern så att autentiseringsbegäranden kan flöda igenom.

Skärmbild som visar sidan Webb Programproxy-servrar.

Du uppmanas att ange autentiseringsuppgifter så att webbprogramservern kan upprätta en säker anslutning till AD FS-servern. Dessa autentiseringsuppgifter måste vara för ett lokalt administratörskonto på AD FS-servern.

Skärmbild som visar sidan Autentiseringsuppgifter. Administratörsautentiseringsuppgifter anges i fältet användarnamn och lösenord.

Ange tjänstkontot för AD FS-tjänsten

AD FS-tjänsten kräver ett domäntjänstkonto för att autentisera användare och söka efter användarinformation i Active Directory. Två typer av tjänstkonton stöds:

  • Grupphanterat tjänstkonto: Den här kontotypen introducerades i AD DS av Windows Server 2012. Den här typen av konto tillhandahåller tjänster som AD FS. Det är ett enda konto där du inte behöver uppdatera lösenordet regelbundet. Använd det här alternativet om du redan har Windows Server 2012-domänkontrollanter i den domän som AD FS-servrarna tillhör.
  • Domänanvändarkonto: Den här typen av konto kräver att du anger ett lösenord och uppdaterar det regelbundet när det upphör att gälla. Använd endast det här alternativet om du inte har Windows Server 2012-domänkontrollanter i domänen som AD FS-servrarna tillhör.

Om du har valt Skapa ett grupphanterat tjänstkonto och den här funktionen aldrig har använts i Active Directory anger du autentiseringsuppgifterna för företagsadministratören. Dessa autentiseringsuppgifter används för att initiera nyckelarkivet och aktivera funktionen i Active Directory.

Kommentar

Microsoft Entra Connect kontrollerar om AD FS-tjänsten redan är registrerad som ett tjänsthuvudnamn (SPN) i domänen. AD DS tillåter inte att duplicerade SPN registreras samtidigt. Om du hittar ett duplicerat SPN kan du inte fortsätta förrän SPN har tagits bort.

Skärmbild som visar sidan

Välj den Microsoft Entra-domän som du vill federera

Använd sidan Microsoft Entra-domän för att konfigurera federationsrelationen mellan AD FS och Microsoft Entra ID. Här konfigurerar du AD FS för att tillhandahålla säkerhetstoken till Microsoft Entra-ID. Du konfigurerar också Microsoft Entra-ID för att lita på token från den här AD FS-instansen.

På den här sidan kan du bara konfigurera en enda domän i den första installationen. Du kan konfigurera fler domäner senare genom att köra Microsoft Entra Connect igen.

Skärmbild som visar sidan

Kontrollera att Microsoft Entra-domänen har valts för federation

När du väljer den domän som du vill federera tillhandahåller Microsoft Entra Connect information som du kan använda för att verifiera en overifierad domän. Mer information finns i Lägga till och verifiera domänen.

Skärmbild som visar sidan

Kommentar

Microsoft Entra Connect försöker verifiera domänen under konfigurationsfasen. Om du inte lägger till nödvändiga DNS-poster (Domain Name System) kan konfigurationen inte slutföras.

Konfigurera federation med PingFederate

Du kan konfigurera PingFederate med Microsoft Entra Connect med bara några få klick. Följande krav krävs:

Verifiera domänen

När du har valt att konfigurera federation med PingFederate uppmanas du att verifiera den domän som du vill federera. Välj domänen i den nedrullningsbara menyn.

Skärmbild som visar sidan

Exportera PingFederate-inställningar

Konfigurera PingFederate som federationsserver för varje federerad Azure-domän. Välj Exportera inställningar för att dela den här informationen med pingfederate-administratören. Federationsserveradministratören uppdaterar konfigurationen och tillhandahåller sedan PingFederate-serverns URL och portnummer så att Microsoft Entra Connect kan verifiera metadatainställningarna.

Skärmbild som visar sidan

Kontakta PingFederate-administratören för att lösa eventuella verifieringsproblem. Följande bild visar information om en PingFederate-server som inte har någon giltig förtroenderelation med Azure.

Skärmbild som visar serverinformation: PingFederate-servern hittades, men tjänstleverantörsanslutningen för Azure saknas eller inaktiveras.

Verifiera federationsanslutning

Microsoft Entra Connect försöker verifiera de autentiseringsslutpunkter som den hämtar från PingFederate-metadata i föregående steg. Microsoft Entra Connect försöker först lösa slutpunkterna med hjälp av dina lokala DNS-servrar. Därefter försöker den matcha slutpunkterna med hjälp av en extern DNS-provider. Kontakta PingFederate-administratören för att lösa eventuella verifieringsproblem.

Skärmbild som visar sidan

Verifiera federationsinloggning

Slutligen kan du kontrollera det nyligen konfigurerade federerade inloggningsflödet genom att logga in på den federerade domänen. Om inloggningen lyckas har federationen med PingFederate konfigurerats.

Skärmbild som visar sidan

Konfigurera och verifiera sidor

Konfigurationen sker på sidan Konfigurera .

Kommentar

Om du har konfigurerat federation kontrollerar du att du också har konfigurerat namnmatchning för federationsservrar innan du fortsätter installationen.

Skärmbild som visar sidan

Använda mellanlagringsläge

Det går att konfigurera en ny synkroniseringsserver parallellt med mellanlagringsläget. Om du vill använda den här konfigurationen kan bara en synkroniseringsserver exportera till en katalog i molnet. Men om du vill flytta från en annan server, till exempel en server som kör DirSync, kan du aktivera Microsoft Entra Connect i mellanlagringsläge.

När du aktiverar mellanlagringskonfigurationen importerar och synkroniserar synkroniseringsmotorn data som vanligt. Men den exporterar inga data till Microsoft Entra-ID eller Active Directory. I mellanlagringsläge inaktiveras funktionen för lösenordssynkronisering och tillbakaskrivning av lösenord.

Skärmbild som visar alternativet

I mellanlagringsläge kan du göra nödvändiga ändringar i synkroniseringsmotorn och granska vad som ska exporteras. När konfigurationen ser bra ut kör du installationsguiden igen och inaktiverar mellanlagringsläge.

Data exporteras nu till Microsoft Entra-ID från servern. Se till att inaktivera den andra servern på samma gång så att endast en server exporterar aktivt.

Mer information finns i Mellanlagringsläge.

Verifiera federationkonfigurationen

Microsoft Entra Connect verifierar DNS-inställningarna när du väljer knappen Verifiera . Den kontrollerar följande inställningar:

  • Intranätanslutning
    • Lös federations-FQDN: Microsoft Entra Connect kontrollerar om DNS kan matcha federationens FQDN för att säkerställa anslutningen. Om Microsoft Entra Connect inte kan matcha det fullständiga domännamnet misslyckas verifieringen. För att slutföra verifieringen kontrollerar du att det finns en DNS-post för federationstjänstens FQDN.
    • DNS A-post: Microsoft Entra Connect kontrollerar om federationstjänsten har en A-post. I avsaknad av en A-post misslyckas verifieringen. Slutför verifieringen genom att skapa en A-post (inte en CNAME-post) för ditt federations-FQDN.
  • Extranätsanslutning
    • Lös federations-FQDN: Microsoft Entra Connect kontrollerar om DNS kan matcha federationens FQDN för att säkerställa anslutningen.

      Skärmbild som visar sidan

      Skärmbild som visar sidan

Om du vill verifiera autentisering från slutpunkt till slutpunkt utför du manuellt ett eller flera av följande tester:

  • När synkroniseringen är klar använder du ytterligare uppgiften Verifiera federerad inloggning i Microsoft Entra Connect för att verifiera autentiseringen för ett lokalt användarkonto som du väljer.
  • Från en domänansluten dator i intranätet kontrollerar du att du kan logga in från en webbläsare. Anslut till https://myapps.microsoft.com. Använd sedan ditt inloggade konto för att verifiera inloggningen. Det inbyggda AD DS-administratörskontot synkroniseras inte och du kan inte använda det för verifiering.
  • Se till att du kan logga in från en enhet på extranätet. På en hemdator eller en mobil enhet ansluter du till https://myapps.microsoft.com. Ange sedan dina autentiseringsuppgifter.
  • Verifiera inloggningen på en rich-klient. Anslut till https://testconnectivity.microsoft.com. Välj sedan Office 365>Office 365 Enkel inloggningstest.

Felsöka

Det här avsnittet innehåller felsökningsinformation som du kan använda om du har problem när du installerar Microsoft Entra Connect.

När du anpassar en Microsoft Entra Connect-installation går du till sidan Installera nödvändiga komponenter och väljer Använd en befintlig SQL Server. Du kan se följande fel: "ADSync-databasen innehåller redan data och kan inte skrivas över. Ta bort den befintliga databasen och försök igen."

Skärmbild som visar sidan

Du ser det här felet eftersom det redan finns en databas med namnet ADSync på SQL-instansen av SQL Server som du har angett.

Det här felet visas vanligtvis när du har avinstallerat Microsoft Entra Connect. Databasen tas inte bort från datorn som kör SQL Server när du avinstallerar Microsoft Entra Connect.

Så här åtgärdar du problemet:

  1. Kontrollera DEN ADSync-databas som Microsoft Entra Connect använde innan den avinstallerades. Kontrollera att databasen inte längre används.

  2. Säkerhetskopiera databasen.

  3. Ta bort databasen:

    1. Använd Microsoft SQL Server Management Studio för att ansluta till SQL-instansen.
    2. Leta upp ADSync-databasen och högerklicka på den.
    3. På snabbmenyn väljer du Ta bort.
    4. Välj OK för att ta bort databasen.

Skärmbild som visar Microsoft SQL Server Management Studio. En D-synkronisering har valts.

När du har tagit bort ADSync-databasen väljer du Installera för att försöka installera igen.

Nästa steg

När installationen är klar loggar du ut från Windows. Logga sedan in igen innan du använder Synchronization Service Manager eller Synchronization Rule Editor.

Nu när du har installerat Microsoft Entra Connect kan du verifiera installationen och tilldela licenser.

Mer information om de funktioner som du aktiverade under installationen finns i Förhindra oavsiktliga borttagningar och Microsoft Entra Connect Health.

Mer information om andra vanliga ämnen finns i Microsoft Entra Connect Sync: Scheduler and Integrate your on-premises identits with Microsoft Entra ID (Microsoft Entra Connect Sync: Scheduler and Integrate your on-premises identits with Microsoft Entra ID( Microsoft Entra Connect Sync: Scheduler and Integrate your on-premises identits with Microsoft Entra ID (Microsoft Entra Connect Sync: Scheduler and Integrate your on-premises identits with Microsoft Entra