Distribuera Microsoft 365-katalogsynkronisering i Microsoft Azure

  • Artikel

Microsoft Entra Connect (kallades tidigare katalogsynkroniseringsverktyget, katalogsynkroniseringsverktyget eller verktyget DirSync.exe) är ett program som du installerar på en domänansluten server för att synkronisera dina lokal Active Directory Domain Services-användare (AD DS) med Microsoft Entra klientorganisation för din Microsoft 365-prenumeration. Microsoft 365 använder Microsoft Entra ID för sin katalogtjänst. Din Microsoft 365-prenumeration innehåller en Microsoft Entra klientorganisation. Den här klientorganisationen kan också användas för hantering av organisationens identiteter med andra molnarbetsbelastningar, inklusive andra SaaS-program och -appar i Azure.

Du kan installera Microsoft Entra Connect på en lokal server, men du kan också installera den på en virtuell dator i Azure av följande skäl:

  • Du kan etablera och konfigurera molnbaserade servrar snabbare, vilket gör tjänsterna tillgängliga för användarna tidigare.
  • Azure erbjuder bättre webbplatstillgänglighet med mindre arbete.
  • Du kan minska antalet lokala servrar i din organisation.

Den här lösningen kräver anslutning mellan ditt lokala nätverk och ditt virtuella Azure-nätverk. Mer information finns i Ansluta ett lokalt nätverk till ett virtuellt Microsoft Azure-nätverk.

Obs!

I den här artikeln beskrivs synkronisering av en enda domän i en enda skog. Microsoft Entra Connect synkroniserar alla AD DS-domäner i active directory-skogen med Microsoft 365. Om du har flera Active Directory-skogar att synkronisera med Microsoft 365 läser du Katalogsynkronisering med flera skogar med enstaka Sign-On scenario.

Översikt över distribution av Microsoft 365-katalogsynkronisering i Azure

Följande diagram visar Microsoft Entra Connect körs på en virtuell dator i Azure (katalogsynkroniseringsservern) som synkroniserar en lokal AD DS-skog till en Microsoft 365-prenumeration.

Microsoft Entra Connect-verktyget på en virtuell dator i Azure synkroniserar lokala konton till Microsoft Entra klientorganisation för en Microsoft 365-prenumeration med trafikflöde.

I diagrammet finns det två nätverk som är anslutna via en PLATS-till-plats-VPN- eller ExpressRoute-anslutning. Det finns ett lokalt nätverk där AD DS-domänkontrollanter finns och det finns ett virtuellt Azure-nätverk med en katalogsynkroniseringsserver, som är en virtuell dator som kör Microsoft Entra Connect. Det finns två huvudsakliga trafikflöden som kommer från katalogsynkroniseringsservern:

  • Microsoft Entra Connect frågar en domänkontrollant i det lokala nätverket efter ändringar av konton och lösenord.
  • Microsoft Entra Connect skickar ändringarna av konton och lösenord till Microsoft Entra instans av din Microsoft 365-prenumeration. Eftersom katalogsynkroniseringsservern finns i en utökad del av ditt lokala nätverk skickas dessa ändringar via det lokala nätverkets proxyserver.

Obs!

Den här lösningen beskriver synkronisering av en enda Active Directory-domän i en enda Active Directory-skog. Microsoft Entra Connect synkroniserar alla Active Directory-domäner i Active Directory-skogen med Microsoft 365. Om du har flera Active Directory-skogar att synkronisera med Microsoft 365 läser du Katalogsynkronisering med flera skogar med enstaka Sign-On scenario.

Det finns två viktiga steg när du distribuerar den här lösningen:

  1. Skapa ett virtuellt Azure-nätverk och upprätta en VPN-anslutning från plats till plats till ditt lokala nätverk. Mer information finns i Ansluta ett lokalt nätverk till ett virtuellt Microsoft Azure-nätverk.

  2. Installera Microsoft Entra Connect på en domänansluten virtuell dator i Azure och synkronisera sedan den lokala AD DS till Microsoft 365. Detta omfattar:

    • Skapa en virtuell Azure-dator som ska köras Microsoft Entra Connect.

    • Installera och konfigurera Microsoft Entra Connect.

    För att konfigurera Microsoft Entra Connect krävs autentiseringsuppgifterna (användarnamn och lösenord) för ett Microsoft Entra administratörskonto och ett AD DS-företagsadministratörskonto. Microsoft Entra Connect körs omedelbart och kontinuerligt för att synkronisera den lokala AD DS-skogen med Microsoft 365.

Innan du distribuerar den här lösningen i produktion kan du använda anvisningarna i Baskonfigurationen för simulerat företag för att konfigurera den här konfigurationen som ett konceptbevis, för demonstrationer eller för experimentering.

Viktigt

När Microsoft Entra Connect-konfigurationen har slutförts sparas inte autentiseringsuppgifterna för AD DS-företagsadministratörskontot.

Obs!

Den här lösningen beskriver synkronisering av en enda AD DS-skog till Microsoft 365. Topologin som beskrivs i den här artikeln representerar bara ett sätt att implementera den här lösningen. Organisationens topologi kan skilja sig beroende på dina unika nätverkskrav och säkerhetsöverväganden.

Planera värd för en katalogsynkroniseringsserver för Microsoft 365 i Azure

Förutsättningar

Innan du börjar bör du granska följande förutsättningar för den här lösningen:

  • Granska det relaterade planeringsinnehållet i Planera ditt virtuella Azure-nätverk.

  • Se till att du uppfyller alla krav för att konfigurera det virtuella Azure-nätverket.

  • Ha en Microsoft 365-prenumeration som innehåller Active Directory-integreringsfunktionen. Information om Microsoft 365-prenumerationer finns på prenumerationssidan för Microsoft 365.

  • Etablera en virtuell Azure-dator som kör Microsoft Entra Connect för att synkronisera din lokala AD DS-skog med Microsoft 365.

    Du måste ha autentiseringsuppgifterna (namn och lösenord) för ett AD DS-företagsadministratörskonto och ett Microsoft Entra administratörskonto.

Designantaganden för lösningsarkitektur

I följande lista beskrivs de designval som gjorts för den här lösningen.

  • Den här lösningen använder ett enda virtuellt Azure-nätverk med en VPN-anslutning från plats till plats. Det virtuella Azure-nätverket är värd för ett enda undernät som har en server, katalogsynkroniseringsservern som kör Microsoft Entra Connect.

  • I det lokala nätverket finns en domänkontrollant och DNS-servrar.

  • Microsoft Entra Connect utför synkronisering av lösenordshash i stället för enkel inloggning. Du behöver inte distribuera en infrastruktur för Active Directory Federation Services (AD FS) (AD FS). Mer information om synkronisering av lösenordshash och alternativ för enkel inloggning finns i Välja rätt autentiseringsmetod för din Microsoft Entra hybrididentitetslösning.

Det finns andra designalternativ som du kan tänka på när du distribuerar den här lösningen i din miljö. Dessa inkluderar följande:

  • Om det finns befintliga DNS-servrar i ett befintligt virtuellt Azure-nätverk kontrollerar du om du vill att katalogsynkroniseringsservern ska använda dem för namnmatchning i stället för DNS-servrar i det lokala nätverket.

  • Om det finns domänkontrollanter i ett befintligt virtuellt Azure-nätverk kan det vara ett bättre alternativ för dig att konfigurera Active Directory-platser och -tjänster. Katalogsynkroniseringsservern kan fråga domänkontrollanterna i det virtuella Azure-nätverket efter ändringar i konton och lösenord i stället för domänkontrollanter i det lokala nätverket.

Distributionsöversikt

Distributionen Microsoft Entra Connect på en virtuell dator i Azure består av tre faser:

  • Fas 1: Skapa och konfigurera det virtuella Azure-nätverket

  • Fas 2: Skapa och konfigurera den virtuella Azure-datorn

  • Fas 3: Installera och konfigurera Microsoft Entra Connect

Efter distributionen måste du även tilldela platser och licenser för de nya användarkontona i Microsoft 365.

Fas 1: Skapa och konfigurera det virtuella Azure-nätverket

Om du vill skapa och konfigurera det virtuella Azure-nätverket slutför du Fas 1: Förbered ditt lokala nätverk och fas 2: Skapa det virtuella nätverket mellan platser i Azure i distributionsöversikten för Ansluta ett lokalt nätverk till ett virtuellt Microsoft Azure-nätverk.

Det här är den resulterande konfigurationen.

Fas 1 av katalogsynkroniseringsservern för Microsoft 365 i Azure.

Den här bilden visar ett lokalt nätverk som är anslutet till ett virtuellt Azure-nätverk via en PLATS-till-plats-VPN- eller ExpressRoute-anslutning.

Fas 2: Skapa och konfigurera den virtuella Azure-datorn

Skapa den virtuella datorn i Azure med hjälp av anvisningarna Skapa din första virtuella Windows-dator i Azure Portal. Använd följande inställningar:

  1. I fönstret Grundläggande väljer du samma prenumeration, plats och resursgrupp som ditt virtuella nätverk. Registrera användarnamnet och lösenordet på en säker plats. Du behöver dessa senare för att ansluta till den virtuella datorn.

  2. I fönstret Välj en storlek väljer du storleken A2 Standard .

  3. I fönstret Inställningar går du till avsnittet Lagring och väljer lagringstypen Standard . I avsnittet Nätverk väljer du namnet på ditt virtuella nätverk och undernätet för att vara värd för katalogsynkroniseringsservern (inte GatewaySubnet). Lämna standardvärdena för alla andra inställningar.

Kontrollera att katalogsynkroniseringsservern använder DNS korrekt genom att kontrollera din interna DNS för att se till att en adresspost (A) har lagts till för den virtuella datorn med dess IP-adress.

Följ anvisningarna i Anslut till den virtuella datorn och logga in för att ansluta till katalogsynkroniseringsservern med en anslutning till fjärrskrivbord. När du har loggat in ansluter du den virtuella datorn till den lokala AD DS-domänen.

För Microsoft Entra Anslut för att få åtkomst till Internetresurser måste du konfigurera katalogsynkroniseringsservern så att den använder det lokala nätverkets proxyserver. Du bör kontakta nätverksadministratören om du vill ha ytterligare konfigurationssteg att utföra.

Det här är den resulterande konfigurationen.

Fas 2 av katalogsynkroniseringsservern för Microsoft 365 som finns i Azure.

Den här bilden visar den virtuella datorn för katalogsynkroniseringsservern i det virtuella Azure-nätverket mellan platser.

Fas 3: Installera och konfigurera Microsoft Entra Connect

Slutför följande procedur:

  1. Anslut till katalogsynkroniseringsservern med hjälp av en anslutning till fjärrskrivbord med ett AD DS-domänkonto som har lokal administratörsbehörighet. Se Ansluta till den virtuella datorn och logga in.

  2. Från katalogsynkroniseringsservern öppnar du artikeln Konfigurera katalogsynkronisering för Microsoft 365 och följer anvisningarna för katalogsynkronisering med synkronisering av lösenordshash.

Försiktighet

Konfigurationen skapar AAD_xxxxxxxxxxxx-kontot i organisationsenheten Lokala användare (OU). Flytta eller ta inte bort det här kontot, annars misslyckas synkroniseringen.

Det här är den resulterande konfigurationen.

Fas 3 av katalogsynkroniseringsservern för Microsoft 365 som finns i Azure.

Den här bilden visar katalogsynkroniseringsservern med Microsoft Entra Connect i det virtuella Azure-nätverket mellan platser.

Tilldela platser och licenser till användare i Microsoft 365

Microsoft Entra Connect lägger till konton i din Microsoft 365-prenumeration från den lokala AD DS, men för att användarna ska kunna logga in på Microsoft 365 och använda dess tjänster måste kontona konfigureras med en plats och licenser. Använd de här stegen för att lägga till platsen och aktivera licenser för lämpliga användarkonton:

  1. Logga in på Administrationscenter för Microsoft 365 och klicka sedan på Admin.

  2. I det vänstra navigeringsfältet klickar du på Användare>Aktiva användare.

  3. I listan över användarkonton markerar du kryssrutan bredvid den användare som du vill aktivera.

  4. På sidan för användaren klickar du på Redigera för Produktlicenser.

  5. På sidan Produktlicenser väljer du en plats för användaren för Plats och aktiverar sedan lämpliga licenser för användaren.

  6. När du är klar klickar du på Spara och sedan på Stäng två gånger.

  7. Gå tillbaka till steg 3 för ytterligare användare.

Se även

Microsoft 365-lösning och arkitekturcenter

Ansluta ett lokalt nätverk till ett virtuellt Microsoft Azure-nätverk

Ladda ned Microsoft Entra Connect

Konfigurera katalogsynkronisering för Microsoft 365