Microsoft Entra Connect 和 Microsoft Entra Connect Health 安装路线图
安装 Microsoft Entra Connect
重要
Microsoft 不支持通过未正式记录的方法修改或操作 Microsoft Entra Connect Sync。 其中的任何操作都可能会导致 Microsoft Entra Connect Sync 出现不一致或不受支持状态。因此,Microsoft 无法提供这种部署的技术支持。
可以在 Microsoft 下载中心找到 Microsoft Entra Connect 的下载文件。
解决方案 | 方案 |
---|---|
开始之前 - 硬件和先决条件 | |
快速设置 | |
自定义设置 | |
从 DirSync 升级 | |
从 Azure AD Sync 或 Microsoft Entra Connect 升级 |
安装后,应该验证程序是否按预期工作,并将许可证分配给用户。
Microsoft Entra Connect 安装后续步骤
主题 | 链接 |
---|---|
下载 Microsoft Entra Connect | 下载 Microsoft Entra Connect |
使用快速设置安装 | 快速安装 Microsoft Entra Connect |
使用自定义设置安装 | Microsoft Entra Connect 的自定义安装 |
从 DirSync 升级 | 从 Azure AD Sync 工具 (DirSync) 升级 |
安装后 | 验证安装并分配许可证 |
详细了解安装 Microsoft Entra Connect
还要预先了解 操作 注意事项。 可能要部署一台待机服务器,以便在发生灾难时轻松进行故障转移。 如果要频繁进行配置更改,应该计划部署一台暂存模式服务器。
主题 | 链接 |
---|---|
支持的拓扑 | Microsoft Entra Connect 的拓扑 |
设计概念 | Microsoft Entra Connect 设计概念 |
用于安装的帐户 | 有关 Microsoft Entra Connect 凭据和权限的详细信息 |
操作规划 | Microsoft Entra Connect Sync:操作任务和注意事项 |
用户登录选项 | Microsoft Entra Connect 用户登录选项 |
配置同步功能
Microsoft Entra Connect 随附了多个可以选择启用或已按默认启用的功能。 在某些方案和拓扑中,有些功能可能需要进行其他配置。
如果要限制同步到 Microsoft Entra ID 的对象,可以使用筛选。 默认同步所有用户、联系人、组和 Windows 10 计算机。 可以根据域、OU 或属性更改筛选设置。
密码哈希同步可将 Active Directory 中的密码哈希同步到 Microsoft Entra ID。 最终用户可以在本地与云中使用相同的密码,且只需在一个位置管理此密码。 由于它使用本地 Active Directory,因此用户还可以使用自己的密码策略。
密码写回 可让用户在云中更改和重置其密码,及应用本地密码策略。
设备写回可将 Microsoft Entra ID 中注册的设备写回到本地 Active Directory,以便可以使用该设备进行条件访问。
防止意外删除功能默认处于打开状态,它可以保护云目录,避免同时进行多次删除。 默认情况下,每运行一次可以进行 500 次删除。 可以根据组织大小更改此设置。
使用快速设置安装时,将默认启用自动升级,确保 Microsoft Entra Connect 始终保持最新版本。
同步功能配置后续步骤
主题 | 链接 |
---|---|
配置筛选 | Microsoft Entra Connect Sync:配置筛选 |
密码哈希同步 | 密码哈希同步 |
直通身份验证 | 直通身份验证 |
密码写回 | 密码管理入门 |
设备写回 | 在 Microsoft Entra Connect 中启用设备写回 |
防止意外删除 | Microsoft Entra Connect Sync:防止意外删除 |
自动升级 | Microsoft Entra Connect:自动升级 |
自定义 Microsoft Entra Connect Sync
Microsoft Entra Connect Sync 随附一个适用于大部分客户和拓扑的默认配置。 但总存在默认配置不适用的情况,因此必须进行调整。 可以根据本部分和链接主题中所述进行更改。
如果以前没有用过同步拓扑,请先了解技术概念中所述的基本概念和术语。 即使有些功能类似,但改变的部分也有很多。
默认配置假设配置中可能存在多个林。 在这些拓扑中,用户对象可能表示为另一个林中的联系人。 用户还可能具有另一个资源林中的链接邮箱。 用户和联系人中介绍了默认配置的行为。
同步的配置模型称为声明性预配。 高级属性流程使用函数来表示属性转换。 可以使用 Microsoft Entra Connect 随附的工具来检查整个配置。 如果需要进行配置更改,请确保遵循最佳做法,以便可以更轻松地采用新版本。
Microsoft Entra Connect Sync 自定义后续步骤
主题 | 链接 |
---|---|
所有 Microsoft Entra Connect Sync 文章 | Microsoft Entra Connect Sync |
技术概念 | Microsoft Entra Connect 同步:技术概念 |
了解默认配置 | Microsoft Entra Connect Sync:了解默认配置 |
了解用户和联系人 | Microsoft Entra Connect Sync:了解用户和联系人 |
声明性预配 | Microsoft Entra Connect Sync:了解声明性预配表达式 |
更改默认配置 | 更改默认配置的最佳做法 |
配置联合身份验证功能
Microsoft Entra Connect 提供多项功能,简化了使用 AD FS 通过 Microsoft Entra ID 进行联合身份验证以及管理联合身份验证信任的过程。 Microsoft Entra Connect 支持 Windows Server 2012R2 或更高版本上的 AD FS。
更新 AD FS 场的 TLS/SSL 证书,即使你不使用 Microsoft Entra Connect 管理联合身份验证信任。
向场添加 AD FS 服务器,以便根据需要扩展场。
修复信任(针对 Microsoft Entra ID),只需单击数下即可。
可将 ADFS 配置为支持多个域。 例如,在联合身份验证功能中可能需要使用多个顶级域。
如果 ADFS 服务器未配置为自动更新 Microsoft Entra ID 中的证书,或者如果使用非 ADFS 解决方案,则在需要更新证书时会通知你。
配置联合身份验证功能的后续步骤
主题 | 链接 |
---|---|
所有 AD FS 文章 | Microsoft Entra Connect 和联合身份验证 |
配置带有子域的 ADFS | 与 Microsoft Entra ID 联合的多域支持 |
管理 AD FS 场 | 使用 Microsoft Entra Connect 管理和自定义 AD FS |
手动更新联合身份验证证书 | 续订 Microsoft 365 和 Microsoft Entra ID 的联合身份验证证书 |
Microsoft Entra Connect Health 入门
若要开始使用 Microsoft Entra Connect Health,请执行以下步骤:
- 获取 Microsoft Entra ID P1 或 P2 或开始试用。
- 在标识服务器上下载并安装 Microsoft Entra Connect Health 代理。
- 查看 https://aka.ms/aadconnecthealth 处的 Microsoft Entra Connect Health 仪表板。
注意
请记住,在查看 Microsoft Entra Connect Health 仪表板中的数据之前,需要在目标服务器上安装 Microsoft Entra Connect Health 代理。
下载并安装 Microsoft Entra Connect Health 代理
- 请务必满足 Microsoft Entra Connect Health 的要求。
- 开始使用适用于 AD FS 的 Microsoft Entra Connect Health
- 开始使用 Microsoft Entra Connect Health 进行同步
- 下载并安装最新版本的 Microsoft Entra Connect。 在安装 Microsoft Entra Connect 的过程中,将安装适用于同步的 Health 代理(1.0.9125.0 或更高版本)。
- 开始使用适用于 AD DS 的 Microsoft Entra Connect Health
Microsoft Entra Connect Health 门户
Microsoft Entra Connect Health 门户显示警报、性能监视和使用情况分析的视图。 单击 https://aka.ms/aadconnecthealth URL 可转到 Microsoft Entra Connect Health 的主边栏选项卡。 可以将边栏选项卡视为窗口。 在主边栏选项卡上,会看到“快速启动”、Microsoft Entra Connect Health 中的服务和其他配置选项。 请参阅下面的屏幕截图及其后面的简要说明。 部署代理后,运行状况服务会自动标识 Microsoft Entra Connect Health 正在监视的服务。
注意
有关许可信息,请参阅 Microsoft Entra Connect Health 常见问题解答或 Microsoft Entra 定价页。
- 快速启动:选择此选项会打开“快速启动”边栏选项卡。 可以选择“获取工具”来下载 Microsoft Entra Connect Health 代理。 还可以访问文档并提供反馈。
- Microsoft Entra Connect(同步):此选项显示 Microsoft Entra Connect Health 当前正在监视的 Microsoft Entra Connect 服务器。 “同步错误”条目将按类别显示第一个已载入的同步服务的基本同步错误。 选择“同步错误”条目时,打开的边栏选项卡会显示有关 Microsoft Entra Connect 服务器的信息。 通过使用用于同步的 Microsoft Entra Connect Health 详细了解相关功能。
- Active Directory 联合身份验证服务:此选项显示 Microsoft Entra Connect Health 当前正在监视的所有 AD FS 服务。 选择某个实例时,打开的边栏选项卡会显示有关该服务实例的信息。 该信息包括概述、属性、警报、监视情况,以及使用情况分析。 通过在 AD FS 中使用 Microsoft Entra Connect Health 详细了解相关功能。
- Active Directory 域服务:此选项显示 Microsoft Entra Connect Health 当前正在监视的所有 AD DS 林。 选择某个林时,打开的边栏选项卡会显示有关该林的信息。 这些信息包括基本信息、域控制器仪表板、复制状态仪表板、警报和监视的概述。 通过在 AD DS 中使用 Microsoft Entra Connect Health 详细了解相关功能。
- 配置:此部分包含用于打开或关闭以下功能的选项:
- 仅出于故障排除目的,由 Microsoft 从 Microsoft Entra 目录完整性“访问数据”:如果启用此选项,则 Microsoft 可以访问用户查看的相同数据。 此信息可用于故障排除,并提供必要的帮助。 默认情况下该选项处于禁用状态
- 在“基于角色的访问控制(IAM)”部分中,可以管理基于角色对 Connect Health 数据的访问。