Anpassad installation av Microsoft Entra Connect
Använd anpassade inställningar i Microsoft Entra Anslut när du vill ha fler alternativ för installationen. Använd till exempel de här inställningarna om du har flera skogar eller om du vill konfigurera valfria funktioner. Använd anpassade inställningar i alla fall där expressinstallationen inte uppfyller dina distributions- eller topologibehov.
Förutsättningar:
- Ladda ned Microsoft Entra Anslut.
- Slutför de nödvändiga stegen i Microsoft Entra Anslut: Maskinvara och krav.
- Kontrollera att du har de konton som beskrivs i Microsoft Entra Anslut konton och behörigheter.
Anpassade installationsinställningar
Om du vill konfigurera en anpassad installation för Microsoft Entra Anslut går du igenom de guidesidor som beskrivs i följande avsnitt.
Standardinställningar
På sidan Express Inställningar väljer du Anpassa för att starta en installation av anpassade inställningar. Resten av den här artikeln vägleder dig genom den anpassade installationsprocessen. Använd följande länkar för att snabbt gå till informationen för en viss sida:
Installera nödvändiga komponenter
När du installerar synkroniseringstjänsterna kan du lämna det valfria konfigurationsavsnittet avmarkerat. Microsoft Entra Anslut konfigurerar allt automatiskt. Den konfigurerar en SQL Server 2019 Express LocalDB-instans, skapar lämpliga grupper och tilldelar behörigheter. Om du vill ändra standardvärdena väljer du lämpliga rutor. Följande tabell sammanfattar dessa alternativ och innehåller länkar till ytterligare information.
| Valfri konfiguration | beskrivning |
|---|---|
| Ange en anpassad installationsplats | Gör att du kan ändra standardinstallationssökvägen för Microsoft Entra Anslut. |
| Använda en befintlig SQL-server | Gör att du kan ange SQL Server-namnet och instansnamnet. Välj det här alternativet om du redan har en databasserver som du vill använda. Som Instansnamn anger du instansnamnet, ett kommatecken och portnumret om SQL Server-instansen inte har aktiverat surfning. Ange sedan namnet på Microsoft Entra Anslut-databasen. Dina SQL-behörigheter avgör om en ny databas kan skapas eller om SQL-administratören måste skapa databasen i förväg. Om du har behörighet som SQL Server-administratör (SA) läser du Installera Microsoft Entra Anslut med hjälp av en befintlig databas. Om du har delegerade behörigheter (DBO) läser du Installera Microsoft Entra Anslut med hjälp av SQL-delegerade administratörsbehörigheter. |
| Använda ett befintligt tjänstkonto | Som standard tillhandahåller Microsoft Entra Anslut ett virtuellt tjänstkonto för synkroniseringstjänsterna. Om du använder en fjärrinstans av SQL Server eller använder en proxy som kräver autentisering kan du använda ett hanterat tjänstkonto eller ett lösenordsskyddat tjänstkonto i domänen. I sådana fall anger du det konto som du vill använda. För att köra installationen måste du vara en SA i SQL så att du kan skapa inloggningsuppgifter för tjänstkontot. Mer information finns i Microsoft Entra Anslut konton och behörigheter. Genom att använda den senaste versionen kan SQL-administratören nu etablera databasen utan band. Sedan kan Microsoft Entra Anslut-administratören installera den med databasägarrättigheter. Mer information finns i Installera Microsoft Entra Anslut med hjälp av SQL-delegerade administratörsbehörigheter. |
| Ange anpassade synkroniseringsgrupper | När synkroniseringstjänsterna installeras skapar Microsoft Entra Anslut som standard fyra grupper som är lokala för servern. Dessa grupper är administratörer, operatorer, bläddra och lösenordsåterställning. Du kan ange dina egna grupper här. Grupperna måste vara lokala på servern. De kan inte finnas i domänen. |
| Importera synkroniseringsinställningar | Gör att du kan importera inställningar från andra versioner av Microsoft Entra Connect. Mer information finns i Importera och exportera Konfigurationsinställningar för Microsoft Entra Anslut. |
Användarinloggning
När du har installerat de nödvändiga komponenterna väljer du användarnas metod för enkel inloggning. I följande tabell beskrivs kortfattat de tillgängliga alternativen. En fullständig beskrivning av inloggningsmetoderna finns i Användarinloggning.
| Alternativ för enkel inloggning | beskrivning |
|---|---|
| Synkronisering av lösenordshash | Användare kan logga in på Microsofts molntjänster, till exempel Microsoft 365, med samma lösenord som de använder i sitt lokala nätverk. Användarlösenord synkroniseras med Microsoft Entra-ID som en lösenordshash. Autentisering sker i molnet. Mer information finns i Synkronisering av lösenordshash. |
| Direktautentisering | Användare kan logga in på Microsofts molntjänster, till exempel Microsoft 365, med samma lösenord som de använder i sitt lokala nätverk. Användarlösenord verifieras genom att skickas till lokal Active Directory domänkontrollant. |
| Federation med AD FS | Användare kan logga in på Microsofts molntjänster, till exempel Microsoft 365, med samma lösenord som de använder i sitt lokala nätverk. Användare omdirigeras till sin lokala Azure Directory Federation Services-instans (AD FS) för att logga in. Autentisering sker lokalt. |
| Federation med PingFederate | Användare kan logga in på Microsofts molntjänster, till exempel Microsoft 365, med samma lösenord som de använder i sitt lokala nätverk. Användare omdirigeras till sin lokala PingFederate-instans för att logga in. Autentisering sker lokalt. |
| Konfigurera inte | Ingen funktion för användarinloggning har installerats eller konfigurerats. Välj det här alternativet om du redan har en federationsserver från tredje part eller någon annan lösning på plats. |
| Aktivera enkel inloggning | Det här alternativet är tillgängligt med både synkronisering av lösenordshash och direktautentisering. Det ger en enkel inloggningsupplevelse för skrivbordsanvändare i företagsnätverk. Mer information finns i Enkel inloggning. Obs! För AD FS-kunder är det här alternativet inte tillgängligt. AD FS erbjuder redan samma nivå av enkel inloggning. |
Anslut till Microsoft Entra-ID
På sidan Anslut till Microsoft Entra-ID anger du ett konto och lösenord för hybrididentitetsadministratör. Om du valde Federation med AD FS på föregående sida ska du inte logga in med ett konto som finns i en domän som du planerar att aktivera för federation.
Du kanske vill använda ett konto i standarddomänen onmicrosoft.com , som medföljer din Microsoft Entra-klientorganisation. Det här kontot används bara för att skapa ett tjänstkonto i Microsoft Entra-ID. Den används inte när installationen är klar.
Kommentar
Bästa praxis är att undvika att använda lokala synkroniserade konton för Microsoft Entra-rolltilldelningar. Om det lokala kontot komprometteras kan detta även användas för att kompromettera dina Microsoft Entra-resurser. En fullständig lista över metodtips finns i Metodtips för Microsoft Entra-roller
Om ditt globala administratörskonto har multifaktorautentisering aktiverat anger du lösenordet igen i inloggningsfönstret och du måste slutföra multifaktorautentiseringsutmaningen. Utmaningen kan vara en verifieringskod eller att ringa ett telefonsamtal.
Det globala administratörskontot kan också ha aktiverat privilegierad identitetshantering .
Om du vill använda autentiseringsstöd för scenarier som inte är lösenord, till exempel federerade konton, smartkort och MFA-scenarier, kan du ange växeln /InteractiveAuth när du startar guiden. Med den här växeln kringgår du guidens användargränssnitt för autentisering och använder MSAL-bibliotekets användargränssnitt för att hantera autentiseringen.
Om du ser ett fel eller har problem med anslutningen kan du läsa Felsöka anslutningsproblem.
Synkronisera sidor
I följande avsnitt beskrivs sidorna i avsnittet Synkronisera .
Anslut dina kataloger
För att ansluta till Active Directory-domän Services (AD DS) behöver Microsoft Entra Anslut skogsnamnet och autentiseringsuppgifterna för ett konto som har tillräcklig behörighet.
När du har angett skogsnamnet och valt Lägg till katalog visas ett fönster. I följande tabell beskrivs dina alternativ.
| Alternativ | Description |
|---|---|
| Skapa ett nytt konto | Skapa det AD DS-konto som Microsoft Entra Anslut behöver för att ansluta till Active Directory-skogen under katalogsynkroniseringen. När du har valt det här alternativet anger du användarnamnet och lösenordet för ett företagsadministratörskonto. Microsoft Entra Anslut använder det angivna företagsadministratörskontot för att skapa det nödvändiga AD DS-kontot. Du kan ange domändelen i NetBIOS-format eller FQDN-format. Ange alltså FABRIKAM\administrator eller fabrikam.com\administrator. |
| Använda befintligt konto | Ange ett befintligt AD DS-konto som Microsoft Entra Anslut kan använda för att ansluta till Active Directory-skogen under katalogsynkroniseringen. Du kan ange domändelen i NetBIOS-format eller FQDN-format. Det vill: ange FABRIKAM\syncuser eller fabrikam.com\syncuser. Det här kontot kan vara ett vanligt användarkonto eftersom det bara behöver läsbehörigheter som standard. Men beroende på ditt scenario kan du behöva fler behörigheter. Mer information finns i Microsoft Entra Anslut konton och behörigheter. |
Kommentar
Från och med version 1.4.18.0 kan du inte använda ett företagsadministratörs- eller domänadministratörskonto som AD DS-anslutningskonto. När du väljer Använd befintligt konto visas följande fel om du försöker ange ett företagsadministratörskonto eller ett domänadministratörskonto: "Det är inte tillåtet att använda ett företags- eller domänadministratörskonto för ditt AD-skogskonto. Låt Microsoft Entra Connect skapa kontot åt dig eller ange ett synkroniseringskonto med rätt behörigheter."
Microsoft Entra-inloggningskonfiguration
På sidan Microsoft Entra-inloggningskonfiguration granskar du UPN-domänerna (user principal name) i lokala AD DS. Dessa UPN-domäner har verifierats i Microsoft Entra-ID. På den här sidan konfigurerar du attributet som ska användas för userPrincipalName.
Granska alla domäner som har markerats som Inte tillagda eller Inte verifierade. Kontrollera att de domäner som du använder har verifierats i Microsoft Entra-ID. När du har verifierat dina domäner väljer du ikonen för cirkulär uppdatering. Mer information finns i Lägga till och verifiera domänen.
Användare använder attributet userPrincipalName när de loggar in på Microsoft Entra ID och Microsoft 365. Microsoft Entra-ID bör verifiera domänerna, även kallat UPN-suffixet, innan användarna synkroniseras. Microsoft rekommenderar att du behåller standardattributet userPrincipalName.
Om attributet userPrincipalName inte kan verifieras och inte kan verifieras kan du välja ett annat attribut. Du kan till exempel välja e-post som det attribut som innehåller inloggnings-ID:t. När du använder ett annat attribut än userPrincipalName kallas det ett alternativt ID.
Attributvärdet för ett alternativt ID måste följa standarden RFC 822. Du kan använda ett alternativt ID med synkronisering av lösenordshash, direktautentisering och federation. I Active Directory kan attributet inte definieras som ett flervärdesattribut, även om det bara har ett värde. Mer information om det alternativa ID:t finns i Direktautentisering: Vanliga frågor och svar.
Kommentar
När du aktiverar direktautentisering måste du ha minst en verifierad domän för att kunna fortsätta med den anpassade installationsprocessen.
Varning
Alternativa ID:er är inte kompatibla med alla Microsoft 365-arbetsbelastningar. Mer information finns i Konfigurera alternativa inloggnings-ID:t.
Domän- och organisationsenhetsfiltrering
Som standard synkroniseras alla domäner och organisationsenheter (OUs). Om du inte vill synkronisera vissa domäner eller organisationsenheter med Microsoft Entra-ID kan du rensa lämpliga val.
Den här sidan konfigurerar domänbaserad och OU-baserad filtrering. Om du planerar att göra ändringar kan du läsa Domänbaserad filtrering och OU-baserad filtrering. Vissa organisationsenheter är viktiga för funktioner, så du bör låta dem vara markerade.
Om du använder OU-baserad filtrering med en Microsoft Entra-Anslut version som är äldre än 1.1.524.0 synkroniseras nya organisationsenheter som standard. Om du inte vill att nya organisationsenheter ska synkroniseras kan du justera standardbeteendet efter det OU-baserade filtreringssteget. För Microsoft Entra Anslut 1.1.524.0 eller senare kan du ange om du vill att nya organisationsenheter ska synkroniseras.
Om du planerar att använda gruppbaserad filtrering kontrollerar du att organisationsenheten med gruppen ingår och inte filtreras med hjälp av OU-filtrering. OU-filtrering utvärderas innan gruppbaserad filtrering utvärderas.
Det är också möjligt att vissa domäner inte kan nås på grund av brandväggsbegränsningar. Dessa domäner är avmarkerade som standard och de visar en varning.
Om du ser den här varningen kontrollerar du att dessa domäner verkligen inte kan nås och att varningen förväntas.
Identifiera användarna unikt
På sidan Identifiera användare väljer du hur du identifierar användare i dina lokala kataloger och hur du identifierar dem med hjälp av attributet sourceAnchor.
Välj hur användare ska identifieras i dina lokala kataloger
Genom att använda funktionen Matchning mellan skogar kan du definiera hur användare från dina AD DS-skogar representeras i Microsoft Entra-ID. En användare kan bara representeras en gång i alla skogar eller ha en kombination av aktiverade och inaktiverade konton. Användaren kan också vara representerad som en kontakt i vissa skogar.
| Inställning | beskrivning |
|---|---|
| Användare representeras bara en gång i alla skogar | Alla användare skapas som enskilda objekt i Microsoft Entra-ID. Objekten är inte anslutna i metaversumet. |
| E-postattribut | Det här alternativet kopplar ihop användare och kontakter om e-postattributet har samma värde i olika skogar. Använd det här alternativet när dina kontakter skapades med hjälp av GALSync. Om du väljer det här alternativet synkroniseras inte användarobjekt vars e-postattribut är ofyllt till Microsoft Entra-ID. |
| Attributen ObjectSID och msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID | Det här alternativet kopplar ihop en aktiverad användare i en kontoskog med en inaktiverad användare i en resursskog. I Exchange kallas den här konfigurationen för en länkad postlåda. Du kan använda det här alternativet om du bara använder Lync och om Exchange inte finns i resursskogen. |
| Attributen SAMAccountName och MailNickName | Det här alternativet ansluter till attribut där inloggnings-ID:t för användaren förväntas hittas. |
| Välj ett specifikt attribut | Med det här alternativet kan du välja ett eget attribut. Om du väljer det här alternativet synkroniseras inte användarobjekt vars (valda) attribut är ofyllt till Microsoft Entra-ID. Begränsning: Endast attribut som redan finns i metaversumet är tillgängliga för det här alternativet. |
Välj hur användare ska identifieras med hjälp av ett källankare
Attributet sourceAnchor är oföränderligt under livslängden för ett användarobjekt. Det är den primära nyckeln som länkar den lokala användaren till användaren i Microsoft Entra-ID.
| Inställning | beskrivning |
|---|---|
| Låt Azure hantera källankaret | Välj det här alternativet om du vill att Microsoft Entra-ID ska välja attributet åt dig. Om du väljer det här alternativet använder Microsoft Entra Anslut logiken för val av sourceAnchor-attribut som beskrivs i Använda ms-DS-ConsistencyGuid som sourceAnchor. När den anpassade installationen är klar ser du vilket attribut som valdes som sourceAnchor-attribut. |
| Välj ett specifikt attribut | Välj det här alternativet om du vill ange ett befintligt AD-attribut som sourceAnchor-attribut. |
Eftersom attributet sourceAnchor inte kan ändras måste du välja ett lämpligt attribut. En bra kandidat är objectGUID. Det här attributet ändras inte om inte användarkontot flyttas mellan skogar eller domäner. Välj inte attribut som kan ändras när en person gifter sig eller ändrar tilldelningar.
Du kan inte använda attribut som innehåller ett at-tecken (@), så du kan inte använda e-post och userPrincipalName. Attributet är också skiftlägeskänsligt, så när du flyttar ett objekt mellan skogar bör du bevara versaler och gemener. Binära attribut är Base64-kodade, men andra attributtyper förblir i sitt okodade tillstånd.
I federationsscenarier och vissa Microsoft Entra ID-gränssnitt kallas attributet sourceAnchor även oföränderligtID.
Mer information om källankaret finns i Designbegrepp.
Synkroniseringsfiltrering baserat på grupper
Med funktionen filtrering på grupper kan du bara synkronisera en liten delmängd objekt för en pilot. Om du vill använda den här funktionen skapar du en grupp för detta ändamål i din lokala instans av Active Directory. Lägg sedan till användare och grupper som ska synkroniseras till Microsoft Entra-ID som direkta medlemmar. Du kan senare lägga till användare eller ta bort användare från den här gruppen för att underhålla listan över objekt som ska finnas i Microsoft Entra-ID.
Alla objekt som du vill synkronisera måste vara direkta medlemmar i gruppen. Användare, grupper, kontakter och datorer eller enheter måste alla vara direkta medlemmar. Kapslat gruppmedlemskap har inte lösts. När du lägger till en grupp som medlem läggs endast själva gruppen till. Dess medlemmar läggs inte till.
Varning
Den här funktionen är avsedd att endast stödja en pilotdistribution. Använd den inte i en fullständig produktionsdistribution.
I en fullständig produktionsdistribution skulle det vara svårt att underhålla en enda grupp och alla dess objekt att synkronisera. I stället för funktionen filtering-on-groups använder du någon av metoderna som beskrivs i Konfigurera filtrering.
Valfria funktioner
På nästa sida kan du välja valfria funktioner för ditt scenario.
Varning
Microsoft Entra Anslut version 1.0.8641.0 och förlitar sig tidigare på Azure Access Control Service för tillbakaskrivning av lösenord. Tjänsten drogs tillbaka den 7 november 2018. Om du använder någon av dessa versioner av Microsoft Entra Anslut och har aktiverat tillbakaskrivning av lösenord kan användarna förlora möjligheten att ändra eller återställa sina lösenord när tjänsten dras tillbaka. Dessa versioner av Microsoft Entra Anslut stöder inte tillbakaskrivning av lösenord.
Om du vill använda tillbakaskrivning av lösenord laddar du ned den senaste versionen av Microsoft Entra Anslut.
Varning
Om Azure AD Sync eller Direktsynkronisering (DirSync) är aktiva ska du inte aktivera några tillbakaskrivningsfunktioner i Microsoft Entra Anslut.
| Valfria funktioner | beskrivning |
|---|---|
| Exchange-hybridinstallation | Med hybriddistributionsfunktionen i Exchange kan exchange-postlådorna samexistera både lokalt och i Microsoft 365. Microsoft Entra Anslut synkroniserar en specifik uppsättning attribut från Microsoft Entra tillbaka till din lokala katalog. |
| Gemensamma Mappar för Exchange-e-post | Med funktionen Gemensamma mappar för Exchange-e-post kan du synkronisera e-postaktiverade gemensamma mappobjekt från din lokala instans av Active Directory till Microsoft Entra-ID. Observera att det inte stöds för att synkronisera grupper som innehåller gemensamma mappar som medlemmar, och om du försöker göra det resulterar det i ett synkroniseringsfel. |
| Microsoft Entra-app- och attributfiltrering | Genom att aktivera Microsoft Entra-app- och attributfiltrering kan du skräddarsy uppsättningen synkroniserade attribut. Det här alternativet lägger till ytterligare två konfigurationssidor i guiden. Mer information finns i Microsoft Entra-app- och attributfiltrering. |
| Synkronisering av lösenordshash | Om du har valt federation som inloggningslösning kan du aktivera synkronisering av lösenordshash. Sedan kan du använda det som ett alternativ för säkerhetskopiering. Om du har valt direktautentisering kan du aktivera det här alternativet för att säkerställa stöd för äldre klienter och för att tillhandahålla en säkerhetskopia. Mer information finns i Synkronisering av lösenordshash. |
| Tillbakaskrivning av lösenord | Använd det här alternativet för att säkerställa att lösenordsändringar som kommer från Microsoft Entra-ID skrivs tillbaka till din lokala katalog. Mer information finns i Komma igång med lösenordshantering. |
| Tillbakaskrivning av grupp | Om du använder Microsoft 365-grupper kan du representera grupper i din lokala instans av Active Directory. Det här alternativet är endast tillgängligt om du har Exchange i din lokala instans av Active Directory. Mer information finns i Microsoft Entra Anslut tillbakaskrivning av grupp. |
| Tillbakaskrivning av enheter | För scenarier med villkorsstyrd åtkomst använder du det här alternativet för att skriva tillbaka enhetsobjekt i Microsoft Entra-ID till din lokala instans av Active Directory. Mer information finns i Aktivera tillbakaskrivning av enheter i Microsoft Entra Anslut. |
| Synkronisering av katalogtilläggsattribut | Välj det här alternativet om du vill synkronisera angivna attribut till Microsoft Entra-ID. Mer information finns i Katalogtillägg. |
Microsoft Entra-app- och attributfiltrering
Om du vill begränsa vilka attribut som synkroniseras med Microsoft Entra-ID börjar du med att välja de tjänster som du använder. Om du ändrar valen på den här sidan måste du uttryckligen välja en ny tjänst genom att köra installationsguiden igen.
Baserat på de tjänster som du valde i föregående steg visar den här sidan alla attribut som är synkroniserade. Den här listan är en kombination av alla objekttyper som synkroniseras. Om du behöver vissa attribut för att förbli osynkroniserade kan du rensa markeringen från dessa attribut.
Varning
Om du tar bort attribut kan det påverka funktionaliteten. Metodtips och rekommendationer finns i Attribut som ska synkroniseras.
Synkronisering av katalogtilläggsattribut
Du kan utöka schemat i Microsoft Entra-ID med hjälp av anpassade attribut som din organisation har lagt till eller med hjälp av andra attribut i Active Directory. Om du vill använda den här funktionen går du till sidan Valfria funktioner och väljer Attributsynkronisering för katalogtillägg. På sidan Katalogtillägg kan du välja fler attribut att synkronisera.
Kommentar
Fältet Tillgängliga attribut är skiftlägeskänsligt .
Mer information finns i Katalogtillägg.
Aktivera enkel inloggning
På sidan Enkel inloggning konfigurerar du enkel inloggning för användning med lösenordssynkronisering eller direktautentisering. Du gör det här steget en gång för varje skog som synkroniseras med Microsoft Entra-ID. Konfigurationen omfattar två steg:
- Skapa det datorkonto som krävs i din lokala instans av Active Directory.
- Konfigurera intranätzonen för klientdatorerna så att den stöder enkel inloggning.
Skapa datorkontot i Active Directory
För varje skog som har lagts till i Microsoft Entra Anslut måste du ange autentiseringsuppgifter för domänadministratör så att datorkontot kan skapas i varje skog. Autentiseringsuppgifterna används endast för att skapa kontot. De lagras eller används inte för någon annan åtgärd. Lägg till autentiseringsuppgifterna på sidan Aktivera enkel inloggning , som följande bild visar.
Kommentar
Du kan hoppa över skogar där du inte vill använda enkel inloggning.
Konfigurera intranätzonen för klientdatorer
Kontrollera att klienten loggar in automatiskt i intranätzonen genom att kontrollera att URL:en är en del av intranätzonen. Det här steget säkerställer att den domänanslutna datorn automatiskt skickar en Kerberos-biljett till Microsoft Entra-ID när den är ansluten till företagsnätverket.
På en dator som har verktyg för grupprinciphantering:
Öppna grupprinciphanteringsverktygen.
Redigera grupprincipen som ska tillämpas på alla användare. Till exempel standarddomänprincipen.
Gå till Användarkonfiguration>Administrativa mallar>Windows-komponenter>Internet Explorer>Internet Kontrollpanelen> Säkerhetssida. Välj sedan Tilldelningslista för plats till zon.
Aktivera principen. I dialogrutan anger du sedan ett värdenamn
https://autologon.microsoftazuread-sso.comför ochhttps://aadg.windows.net.nsatc.netmed värdet1för för båda URL:erna. Konfigurationen bör se ut som i följande bild.
Välj OK två gånger.
Konfigurera federation med AD FS
Du kan konfigurera AD FS med Microsoft Entra Anslut med bara några få klick. Innan du börjar behöver du:
- Windows Server 2012 R2 eller senare för federationsservern. Fjärrhantering ska vara aktiverat.
- Windows Server 2012 R2 eller senare för webbservern Programproxy. Fjärrhantering ska vara aktiverat.
- Ett TLS/SSL-certifikat för federationstjänstens namn som du tänker använda (till exempel sts.contoso.com).
Kommentar
Du kan uppdatera ett TLS/SSL-certifikat för DIN AD FS-servergrupp med hjälp av Microsoft Entra Anslut även om du inte använder det för att hantera federationsförtroendet.
Krav för AD FS-konfiguration
Om du vill konfigurera din AD FS-servergrupp med hjälp av Microsoft Entra Anslut kontrollerar du att WinRM är aktiverat på fjärrservrarna. Kontrollera att du har slutfört de andra uppgifterna i federationskraven. Se också till att du följer portkraven som anges i tabellen Microsoft Entra Anslut- och Federation/WAP-servrar.
Skapa en ny AD FS-servergrupp eller använd en befintlig AD FS-servergrupp
Du kan använda en befintlig AD FS-servergrupp eller skapa en ny. Om du väljer att skapa ett nytt måste du ange TLS/SSL-certifikatet. Om TLS/SSL-certifikatet skyddas av ett lösenord uppmanas du att ange lösenordet.
Om du väljer att använda en befintlig AD FS-servergrupp ser du sidan där du kan konfigurera förtroenderelationen mellan AD FS och Microsoft Entra-ID.
Kommentar
Du kan använda Microsoft Entra Anslut för att endast hantera en AD FS-servergrupp. Om du har ett befintligt federationsförtroende där Microsoft Entra ID har konfigurerats i den valda AD FS-servergruppen Anslut Microsoft Entra återskapa förtroendet från grunden.
Ange AD FS-servrarna
Ange de servrar där du vill installera AD FS. Du kan lägga till en eller flera servrar, beroende på dina kapacitetsbehov. Innan du konfigurerar den här konfigurationen ansluter du alla AD FS-servrar till Active Directory. Det här steget krävs inte för webbservrarna Programproxy.
Microsoft rekommenderar att du installerar en enskild AD FS-server för test- och pilotdistributioner. Efter den inledande konfigurationen kan du lägga till och distribuera fler servrar för att uppfylla dina skalningsbehov genom att köra Microsoft Entra Anslut igen.
Kommentar
Innan du konfigurerar den här konfigurationen kontrollerar du att alla dina servrar är anslutna till en Microsoft Entra-domän.
Ange webbprogramproxyservrarna
Ange dina webb-Programproxy-servrar. Webbservern Programproxy distribueras i perimeternätverket, mot extranätet. Den stöder autentiseringsbegäranden från extranätet. Du kan lägga till en eller flera servrar, beroende på dina kapacitetsbehov.
Microsoft rekommenderar att du installerar en enda webb-Programproxy-server för test- och pilotdistributioner. Efter den inledande konfigurationen kan du lägga till och distribuera fler servrar för att uppfylla dina skalningsbehov genom att köra Microsoft Entra Anslut igen. Vi rekommenderar att du har ett motsvarande antal proxyservrar som uppfyller autentiseringen från intranätet.
Kommentar
- Om kontot du använder inte är en lokal administratör på webb-Programproxy servrar uppmanas du att ange administratörsautentiseringsuppgifter.
- Innan du anger webb-Programproxy-servrar kontrollerar du att det finns HTTP/HTTPS-anslutning mellan Microsoft Entra-Anslut-servern och webb-Programproxy-servern.
- Se till att det finns HTTP/HTTPS-anslutning mellan webbprogramservern och AD FS-servern så att autentiseringsbegäranden kan flöda igenom.
Du uppmanas att ange autentiseringsuppgifter så att webbprogramservern kan upprätta en säker anslutning till AD FS-servern. Dessa autentiseringsuppgifter måste vara för ett lokalt administratörskonto på AD FS-servern.
Ange tjänstkontot för AD FS-tjänsten
AD FS-tjänsten kräver ett domäntjänstkonto för att autentisera användare och söka efter användarinformation i Active Directory. Två typer av tjänstkonton stöds:
- Grupphanterat tjänstkonto: Den här kontotypen introducerades i AD DS av Windows Server 2012. Den här typen av konto tillhandahåller tjänster som AD FS. Det är ett enda konto där du inte behöver uppdatera lösenordet regelbundet. Använd det här alternativet om du redan har Windows Server 2012-domänkontrollanter i den domän som AD FS-servrarna tillhör.
- Domänanvändarkonto: Den här typen av konto kräver att du anger ett lösenord och uppdaterar det regelbundet när det upphör att gälla. Använd endast det här alternativet om du inte har Windows Server 2012-domänkontrollanter i domänen som AD FS-servrarna tillhör.
Om du har valt Skapa ett grupphanterat tjänstkonto och den här funktionen aldrig har använts i Active Directory anger du autentiseringsuppgifterna för företagsadministratören. Dessa autentiseringsuppgifter används för att initiera nyckelarkivet och aktivera funktionen i Active Directory.
Kommentar
Microsoft Entra Anslut kontrollerar om AD FS-tjänsten redan är registrerad som ett spn -namn (service principal name) i domänen. AD DS tillåter inte att duplicerade SPN registreras samtidigt. Om du hittar ett duplicerat SPN kan du inte fortsätta förrän SPN har tagits bort.
Välj den Microsoft Entra-domän som du vill federera
Använd sidan Microsoft Entra-domän för att konfigurera federationsrelationen mellan AD FS och Microsoft Entra ID. Här konfigurerar du AD FS för att tillhandahålla säkerhetstoken till Microsoft Entra-ID. Du konfigurerar också Microsoft Entra-ID för att lita på token från den här AD FS-instansen.
På den här sidan kan du bara konfigurera en enda domän i den första installationen. Du kan konfigurera fler domäner senare genom att köra Microsoft Entra Anslut igen.
Kontrollera att Microsoft Entra-domänen har valts för federation
När du väljer den domän som du vill federera tillhandahåller Microsoft Entra Anslut information som du kan använda för att verifiera en overifierad domän. Mer information finns i Lägga till och verifiera domänen.
Kommentar
Microsoft Entra Anslut försöker verifiera domänen under konfigurationsfasen. Om du inte lägger till nödvändiga DNS-poster (Domain Name System) kan konfigurationen inte slutföras.
Konfigurera federation med PingFederate
Du kan konfigurera PingFederate med Microsoft Entra Anslut med bara några få klick. Följande krav krävs:
- PingFederate 8.4 eller senare. Mer information finns i PingFederate-integrering med Microsoft Entra-ID och Microsoft 365 i pingidentitetsdokumentationen.
- Ett TLS/SSL-certifikat för federationstjänstens namn som du tänker använda (till exempel sts.contoso.com).
Verifiera domänen
När du har valt att konfigurera federation med PingFederate uppmanas du att verifiera den domän som du vill federera. Välj domänen i den nedrullningsbara menyn.
Exportera PingFederate-inställningar
Konfigurera PingFederate som federationsserver för varje federerad Azure-domän. Välj Exportera Inställningar för att dela den här informationen med pingfederate-administratören. Federationsserveradministratören uppdaterar konfigurationen och tillhandahåller sedan PingFederate-serverns URL och portnummer så att Microsoft Entra-Anslut kan verifiera metadatainställningarna.
Kontakta PingFederate-administratören för att lösa eventuella verifieringsproblem. Följande bild visar information om en PingFederate-server som inte har någon giltig förtroenderelation med Azure.
Verifiera federationsanslutning
Microsoft Entra Anslut försök att verifiera de autentiseringsslutpunkter som den hämtar från PingFederate-metadata i föregående steg. Microsoft Entra Anslut första försöken att lösa slutpunkterna med hjälp av dina lokala DNS-servrar. Därefter försöker den matcha slutpunkterna med hjälp av en extern DNS-provider. Kontakta PingFederate-administratören för att lösa eventuella verifieringsproblem.
Verifiera federationsinloggning
Slutligen kan du kontrollera det nyligen konfigurerade federerade inloggningsflödet genom att logga in på den federerade domänen. Om inloggningen lyckas har federationen med PingFederate konfigurerats.
Konfigurera och verifiera sidor
Konfigurationen sker på sidan Konfigurera .
Kommentar
Om du har konfigurerat federation kontrollerar du att du också har konfigurerat namnmatchning för federationsservrar innan du fortsätter installationen.
Använda mellanlagringsläge
Det går att konfigurera en ny synkroniseringsserver parallellt med mellanlagringsläget. Om du vill använda den här konfigurationen kan bara en synkroniseringsserver exportera till en katalog i molnet. Men om du vill flytta från en annan server, till exempel en server som kör DirSync, kan du aktivera Microsoft Entra Anslut i mellanlagringsläge.
När du aktiverar mellanlagringskonfigurationen importerar och synkroniserar synkroniseringsmotorn data som vanligt. Men den exporterar inga data till Microsoft Entra-ID eller Active Directory. I mellanlagringsläge inaktiveras funktionen för lösenordssynkronisering och tillbakaskrivning av lösenord.
I mellanlagringsläge kan du göra nödvändiga ändringar i synkroniseringsmotorn och granska vad som ska exporteras. När konfigurationen ser bra ut kör du installationsguiden igen och inaktiverar mellanlagringsläge.
Data exporteras nu till Microsoft Entra-ID från servern. Se till att inaktivera den andra servern på samma gång så att endast en server exporterar aktivt.
Mer information finns i Mellanlagringsläge.
Verifiera federationkonfigurationen
Microsoft Entra Anslut verifierar DNS-inställningarna när du väljer knappen Verifiera. Den kontrollerar följande inställningar:
- Intranätanslutning
- Lös federations-FQDN: Microsoft Entra Anslut kontrollerar om DNS kan matcha federations-FQDN för att säkerställa anslutningen. Om Microsoft Entra Anslut inte kan lösa det fullständiga domännamnet misslyckas verifieringen. För att slutföra verifieringen kontrollerar du att det finns en DNS-post för federationstjänstens FQDN.
- DNS A-post: Microsoft Entra Anslut kontrollerar om federationstjänsten har en A-post. I avsaknad av en A-post misslyckas verifieringen. Slutför verifieringen genom att skapa en A-post (inte en CNAME-post) för ditt federations-FQDN.
- Extranätsanslutning
Lös federations-FQDN: Microsoft Entra Anslut kontrollerar om DNS kan matcha federations-FQDN för att säkerställa anslutningen.
Om du vill verifiera autentisering från slutpunkt till slutpunkt utför du manuellt ett eller flera av följande tester:
- När synkroniseringen är klar använder du i Microsoft Entra Anslut ytterligare uppgiften Verifiera federerad inloggning för att verifiera autentiseringen för ett lokalt användarkonto som du väljer.
- Från en domänansluten dator i intranätet kontrollerar du att du kan logga in från en webbläsare. Anslut till https://myapps.microsoft.com. Använd sedan ditt inloggade konto för att verifiera inloggningen. Det inbyggda AD DS-administratörskontot synkroniseras inte och du kan inte använda det för verifiering.
- Se till att du kan logga in från en enhet på extranätet. På en hemdator eller en mobil enhet ansluter du till https://myapps.microsoft.com. Ange sedan dina autentiseringsuppgifter.
- Verifiera inloggningen på en rich-klient. Anslut till https://testconnectivity.microsoft.com. Välj sedan Office 365>Office 365 Enkel inloggningstest.
Felsöka
Det här avsnittet innehåller felsökningsinformation som du kan använda om du har problem när du installerar Microsoft Entra Anslut.
När du anpassar en Microsoft Entra-Anslut installation går du till sidan Installera nödvändiga komponenter och väljer Använd en befintlig SQL Server. Du kan se följande fel: "ADSync-databasen innehåller redan data och kan inte skrivas över. Ta bort den befintliga databasen och försök igen."
Du ser det här felet eftersom det redan finns en databas med namnet ADSync på SQL-instansen av SQL Server som du har angett.
Det här felet visas vanligtvis när du har avinstallerat Microsoft Entra Anslut. Databasen tas inte bort från datorn som kör SQL Server när du avinstallerar Microsoft Entra Anslut.
Så här åtgärdar du problemet:
Kontrollera den ADSync-databas som Microsoft Entra Anslut använt innan den avinstallerades. Kontrollera att databasen inte längre används.
Säkerhetskopiera databasen.
Ta bort databasen:
- Använd Microsoft SQL Server Management Studio för att ansluta till SQL-instansen.
- Leta upp ADSync-databasen och högerklicka på den.
- På snabbmenyn väljer du Ta bort.
- Välj OK för att ta bort databasen.
När du har tagit bort ADSync-databasen väljer du Installera för att försöka installera igen.
Nästa steg
När installationen är klar loggar du ut från Windows. Logga sedan in igen innan du använder Synchronization Service Manager eller Synchronization Rule Editor.
Nu när du har installerat Microsoft Entra Anslut kan du verifiera installationen och tilldela licenser.
Mer information om de funktioner som du aktiverade under installationen finns i Förhindra oavsiktliga borttagningar och Microsoft Entra Anslut Health.
Mer information om andra vanliga ämnen finns i Microsoft Entra Anslut Sync: Scheduler and Integrate your on-premises identities with Microsoft Entra ID (Microsoft Entra Anslut Sync: Scheduler and Integrate your on-premises identits with Microsoft Entra ID(Microsoft Entra ID).