Microsoft Entra Connect 的自定义安装
如果需要更多安装选项,请使用 Microsoft Entra Connect 中的自定义设置。 例如,如果你有多个林或希望配置可选功能,请使用这些设置。 只要快速安装不能满足部署或拓扑需求,即可使用自定义设置。
先决条件:
- 下载 Microsoft Entra Connect。
- 完成 Microsoft Entra Connect:硬件和先决条件中的先决条件步骤。
- 请确保拥有 Microsoft Entra Connect 帐户和权限中所述的帐户。
自定义安装设置
若要为 Microsoft Entra Connect 设置自定义安装,请完成以下部分所述的向导页面。
快速设置
在“快速设置”页面上选择“自定义”,开始自定义设置安装。 本文的其余部分将指导你完成自定义安装过程。 使用以下链接可快速访问特定页面的信息:
安装所需的组件
安装同步服务时,可以让可选配置部分保持未选中状态, Microsoft Entra Connect 会自动设置所有内容。 它会设置 SQL Server 2019 Express LocalDB 实例、创建相应的组并分配权限。 如果要更改默认值,请选择相应的框。 下表汇总了这些选项,并提供指向其他信息的链接。
可选配置 | 说明 |
---|---|
指定自定义安装位置 | 允许你更改 Microsoft Entra Connect 的默认安装路径。 |
使用现有的 SQL Server | 允许你指定 SQL Server 名称和实例名称。 如果已有一个要使用的数据库服务器,请选择此选项。 如果 SQL Server 实例没有启用浏览功能,请在“实例名称”中输入实例名称、逗号和端口号。 然后指定 Microsoft Entra Connect 数据库的名称。 你的 SQL 权限决定了是可以创建新数据库,还是必须由 SQL 管理员提前创建数据库。 如果你有 SQL Server 管理员 (SA) 权限,请参阅使用现有数据库安装 Microsoft Entra Connect。 如果你有委派的权限 (DBO),请参阅使用 SQL 委派的管理员权限安装 Microsoft Entra Connect。 |
使用现有的服务帐户 | 默认情况下,Microsoft Entra Connect 提供的虚拟服务帐户用于同步服务。 如果使用远程 SQL Server 实例或使用需要身份验证的代理,可以使用托管服务帐户或域中受密码保护的服务帐户。 在这些情况下,请输入要使用的帐户。 若要运行安装,你必须是 SQL 中的 SA,这样你才能创建服务帐户的登录凭据。 有关详细信息,请参阅 Microsoft Entra Connect 帐户和权限。 通过使用最新的内部版本,SQL 管理员现在可以对数据库进行带外预配。 然后,Microsoft Entra Connect 管理员可以使用数据库所有者权限来安装它。 有关详细信息,请参阅使用 SQL 委派的管理员权限安装 Microsoft Entra Connect。 |
指定自定义同步组 | 默认情况下,在安装同步服务时,Microsoft Entra Connect 会创建四个位于服务器本地的组。 这些组是:管理员组、操作员组、浏览组和密码重置组。 在此可以指定自己的组。 这些组必须位于服务器本地。 它们不能位于域中。 |
导入同步设置 | 允许你从 Microsoft Entra Connect 的其他版本导入设置。 有关详细信息,请参阅导入和导出 Microsoft Entra Connect 配置设置。 |
用户登录
安装所需的组件后,选择用户单一登录方法。 下表简要介绍了可用的选项。 有关登录方法的完整说明,请参阅用户登录。
单一登录选项 | 说明 |
---|---|
密码哈希同步 | 用户可以用在其本地网络中使用的相同密码登录到 Microsoft 云服务,例如 Microsoft 365。 用户密码将同步到 Microsoft Entra ID 作为密码哈希。 在云中进行身份验证。 有关详细信息,请参阅密码哈希同步。 |
直通身份验证 | 用户可以用在其本地网络中使用的相同密码登录到 Microsoft 云服务,例如 Microsoft 365。 用户密码会传递到本地 Active Directory 域控制器进行验证。 |
使用 AD FS 进行联合身份验证 | 用户可以用在其本地网络中使用的相同密码登录到 Microsoft 云服务,例如 Microsoft 365。 用户被重定向到其本地 Azure Directory 联合身份验证服务 (AD FS) 实例进行登录。 身份验证在本地进行。 |
使用 PingFederate 进行联合身份验证 | 用户可以用在其本地网络中使用的相同密码登录到 Microsoft 云服务,例如 Microsoft 365。 用户被重定向到其本地 PingFederate 实例以进行登录。 身份验证在本地进行。 |
不配置 | 不安装或配置用户登录功能。 如果已有第三方联合服务器或部署了另一个解决方案,请选择此选项。 |
启用单一登录 | 密码哈希同步和直通身份验证均提供此选项。 它为企业网络中的桌面用户提供单一登录体验。 有关详细信息,请参阅单一登录。 注意:对于 AD FS 客户,此选项不可用。 AD FS 已提供相同级别的单一登录。 |
连接到 Microsoft Entra ID
在“连接到 Microsoft Entra ID”页上,输入混合标识管理员帐户和密码。 如果在前一个页面上选择了“使用 AD FS 进行联合身份验证”,则不要使用你计划启用联合身份验证的域中的帐户登录。
你可能想使用随附于 Microsoft Entra 租户的默认 onmicrosoft.com 域中的帐户。 此帐户只用于在 Microsoft Entra ID 中创建服务帐户。 安装完成后不会使用。
注意
最佳做法是避免将本地同步帐户用于 Microsoft Entra 角色分配。 如果本地帐户遭到入侵,这还可用于入侵 Microsoft Entra 资源。 有关最佳做法的完整列表,请参阅 Microsoft Entra 角色的最佳做法
如果全局管理员帐户已启用多重身份验证,请在登录窗口中再次提供密码,并且必须完成多重身份验证质询。 该质询可能是验证码或电话通话。
全局管理员帐户也可以启用 Privileged Identity Management。
若要对联合帐户、智能卡和 MFA 方案等非密码方案使用身份验证支持,可以在启动向导时提供开关 /InteractiveAuth。 使用此开关将绕过向导的身份验证用户界面,并使用 MSAL 库的 UI 来处理身份验证。
如果出现错误或连接性问题,请参阅排查连接性问题。
“同步”页面
以下部分介绍“同步”部分中的页面。
连接目录
若要连接到 Active Directory 域服务 (AD DS),Microsoft Entra Connect 需要使用具有足够权限的帐户的林名称和凭据。
输入林名称并选择“添加目录”后,将出现一个窗口。 下表对选项进行了说明。
选项 | 说明 |
---|---|
创建新帐户 | 创建 AD DS 帐户,Microsoft Entra Connect 在目录同步期间需要使用该帐户来连接到 Active Directory 林。 选择此选项后,请输入企业管理员帐户的用户名和密码。 Microsoft Entra Connect 使用提供的企业管理员帐户创建所需的 AD DS 帐户。 可以采用 NetBIOS 格式或 FQDN 格式输入域部分。 即,输入 FABRIKAM\administrator 或 fabrikam.com\administrator。 |
使用现有帐户 | 提供现有的 AD DS 帐户,Microsoft Entra Connect 在目录同步期间可以使用该帐户来连接到 Active Directory 林。 可以采用 NetBIOS 格式或 FQDN 格式输入域部分。 即,输入 FABRIKAM\syncuser 或 fabrikam.com\syncuser。 此帐户可以是普通的用户帐户,因为它只需默认的读取权限。 但是,你可能会需要更多权限,具体取决于你的情况。 有关详细信息,请参阅 Microsoft Entra Connect 帐户和权限。 |
注意
从内部版本 1.4.18.0 起,你不再能够使用企业管理员或域管理员帐户作为 AD DS 连接器帐户。 选择“使用现有帐户”时,如果尝试输入企业管理员帐户或域管理员帐户,则会看到以下错误:“不允许对 AD 林帐户使用企业或域管理员帐户。 请让 Microsoft Entra Connect 为你创建帐户,或指定具有正确权限的同步帐户。”
Microsoft Entra 登录配置
在“Microsoft Entra 登录配置”页上,查看本地 AD DS 中的用户主体名称 (UPN) 域。 这些 UPN 域已在 Microsoft Entra ID 中进行了验证。 在此页上,请配置要用于 userPrincipalName 的属性。
查看标记为“未添加”或“未验证”的每个域。 确保使用的域都已在 Microsoft Entra ID 中经过了验证。 验证域后,选择“循环刷新”图标。 有关详细信息,请参阅添加和验证域。
用户在登录到 Microsoft Entra ID 和 Microsoft 365 时使用 userPrincipalName 属性。 Microsoft Entra ID 应在对用户进行同步之前验证域(也称为 UPN 后缀)。 Microsoft 建议你保留默认属性 userPrincipalName。
如果 userPrincipalName 属性不可路由且无法进行验证,可以选择另一属性。 例如,可以选择 email 作为保存登录 ID 的属性。 使用除 userPrincipalName 以外的某个属性时,该属性称为“备用 ID”。
备用 ID 属性值必须遵循 RFC 822 标准。 可以将替代 ID 与密码哈希同步、直通身份验证和联合身份验证一起使用。 在 Active Directory 中,不能将该属性定义为多值,即使它只有单个值。 有关替代 ID 的详细信息,请参阅直通身份验证:常见问题。
注意
启用直通身份验证时,必须至少有一个已验证的域才能继续自定义安装过程。
警告
备用 ID 不与所有 Microsoft 365 工作负荷兼容。 有关详细信息,请参阅配置备用登录 ID。
域和 OU 筛选
默认情况下会同步所有域和组织单位 (OU)。 如果不想将某些域或 OU 同步到 Microsoft Entra ID,可以取消选中相应的选项。
此页配置基于域和基于 OU 的筛选。 如果打算进行更改,请参阅基于域的筛选和基于 OU 的筛选。 某些 OU 对功能至关重要,应让其处于选中状态。
如果将基于 OU 的筛选与早于 1.1.524.0 的 Microsoft Entra Connect 版本配合使用,则会默认同步新 OU。 如果不想要同步新 OU,则可以在基于 OU 的筛选步骤之后调整默认行为。 对于 Microsoft Entra Connect 1.1.524.0 或更高版本,可以指示是否需要同步新 OU。
如果打算使用基于组的筛选,请确保包含该组所在的 OU,而未使用 OU 筛选将该 OU 筛选掉。 OU 筛选是在基于组的筛选被评估之前评估的。
由于防火墙限制,也可能无法连接到某些域。 这些域在默认情况下处于未选中状态,并且它们会显示警告。
如果看到此警告,请确认这些域确实无法访问,并且该警报在意料之中。
唯一标识用户
在“标识用户”页上,选择如何在本地目录中标识用户,以及如何使用 sourceAnchor 属性来标识他们。
选择应如何在本地目录中标识用户
使用“跨林匹配”功能,可以定义如何在 Microsoft Entra ID 中呈现 AD DS 林中的用户。 一个用户可能会在所有林中只被表示一次,也可能会具有已启用和已禁用帐户的组合。 在某些林中,用户还可以被呈现为联系人。
设置 | 说明 |
---|---|
用户在所有林中只被表示一次 | 将所有用户在 Microsoft Entra ID 中创建为单独的对象。 不会在 Metaverse 中联接对象。 |
邮件属性 | 如果邮件属性在不同的林中具有相同的值,此选项将联接用户和联系人。 当已使用 GALSync 创建了联系人时,请使用此选项。 如果选择此选项,则不会将 mail 属性未被填充的用户对象同步到 Microsoft Entra ID。 |
ObjectSID 和 msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID 属性 | 此选项将帐户林中的已启用用户与资源林中的已禁用用户进行联接。 在 Exchange 中,此配置称为链接邮箱。 如果只使用 Lync 且资源林中没有 Exchange,则可以使用此选项。 |
SAMAccountName 和 MailNickName 属性 | 此选项根据预期可以在其中找到用户登录 ID 的属性进行联接。 |
选择特定属性 | 此选项允许选择自己的属性。 如果选择此选项,则不会将其(选定)属性未填充的用户对象同步到 Microsoft Entra ID。 限制: 仅 Metaverse 中已有的属性适用此选项。 |
选择应如何使用源定位点来标识用户
sourceAnchor 属性是一个在用户对象的生命周期内不会改变的属性。 它是将本地用户与 Microsoft Entra ID 中用户进行关联的主键。
设置 | 说明 |
---|---|
允许 Azure 管理源定位点 | 如果想要 Microsoft Entra ID 选取属性,请选择此选项。 如果选择此选项,Microsoft Entra Connect 会应用 sourceAnchor 属性选择逻辑,该逻辑在使用 ms-DS-ConsistencyGuid 作为 sourceAnchor 中进行了说明。 自定义安装完成后,你会看到已选取哪个属性作为 sourceAnchor 属性。 |
选择特定属性 | 如果希望指定现有的 AD 属性作为 sourceAnchor 属性,请选择此选项。 |
由于 sourceAnchor 属性无法更改,因此必须选择适当的属性。 objectGUID 就是不错的候选项。 除非在林或域之间移动用户帐户,否则此属性不会更改。 请勿选择某人结婚或更改分配时会改变的属性。
不能使用包含 at 符号 (@) 的属性,因此不能使用 email 和 userPrincipalName。 属性也区分大小写,因此在林间移动对象时,请务必保留大小写。 二进制属性采用 Base64 编码,但其他属性类型会保留其未编码的状态。
在联合方案和某些 Microsoft Entra ID 接口中,sourceAnchor 属性也称为 immutableID。
有关源定位点的详细信息,请参阅设计概念。
根据组同步筛选
使用按组筛选功能可以只同步一小部分的对象来进行试点。 若要使用此功能,请在 Active Directory 本地实例中针对此目的创建一个组。 然后添加应该以直属成员身份与 Microsoft Entra ID 同步的用户和组。 稍后可以在此组中添加或删除用户,以维护应该要在 Microsoft Entra ID 中显示的对象列表。
要同步的所有对象必须是组的直接成员。 用户、组、联系人和计算机或设备都必须是直接成员。 系统不会解析嵌套组成员身份。 添加组作为成员时,只会添加组本身, 而不添加其成员。
警告
此功能仅用于支持试点部署。 请不要将其用于完整的生产部署。
在完整的生产部署中,很难维护单个组及其要同步的所有对象。 请使用配置筛选中所述的方法之一,而不是按组筛选功能。
可选功能
在下一页上,可以针对方案选择可选功能。
警告
Microsoft Entra Connect 1.0.8641.0 及更低版本依赖于 Azure 访问控制服务进行密码写回。 该服务已于 2018 年 11 月 7 日停用。 如果你使用上述任一版本的 Microsoft Entra Connect 并启用了密码写回,则当服务停用后,用户可能无法更改或重置其密码。 这些版本的 Microsoft Entra Connect 不支持密码写回。
如果要使用密码写回,请下载最新版本的 Microsoft Entra Connect。
警告
如果 Azure AD Sync 或 Direct Synchronization (DirSync) 处于活动状态,请勿激活 Microsoft Entra Connect 中的任何写回功能。
可选功能 | 说明 |
---|---|
Exchange 混合部署 | Exchange 混合部署功能使 Exchange 邮箱能够在本地和 Microsoft 365 中共存。 Microsoft Entra Connect 会将特定的属性集从 Microsoft Entra 同步回本地目录。 |
Exchange 邮件公用文件夹 | “Exchange 邮件公用文件夹”功能可以将支持邮件功能的公用文件夹对象从 Active Directory 的本地实例同步到 Microsoft Entra ID。 请注意,不支持将包含公共文件夹的组同步为成员,并且,尝试此操作将会导致同步错误。 |
Microsoft Entra 应用和属性筛选 | 通过启用 Microsoft Entra 应用和属性筛选,可以定制已同步属性的集合。 此选项会在向导中额外添加两个配置页。 有关详细信息,请参阅 Microsoft Entra 应用程序和属性筛选。 |
密码哈希同步 | 如果选择了联合身份验证作为登录解决方案,则可启用密码哈希同步。 然后,可以将它用作备份选项。 如果选择了“直通身份验证”,则可以启用此选项来确保支持旧客户端并提供备份。 有关详细信息,请参阅 。 |
密码写回 | 使用此选项来确保源自 Microsoft Entra ID 的密码更改会写回到本地目录。 有关详细信息,请参阅密码管理入门。 |
组写回 | 如果使用 Microsoft 365 组,则可以在 Active Directory 的本地实例中表示组。 仅当在 Active Directory 的本地实例中有 Exchange 时,此选项才可用。 有关详细信息,请参阅 Microsoft Entra Connect 组写回。 |
设备写回 | 对于条件访问方案,使用此选项可以将 Microsoft Entra ID 中的设备对象写回 Active Directory 的本地实例中。 有关详细信息,请参阅在 Microsoft Entra Connect 中启用设备写回。 |
目录扩展属性同步 | 选择此选项可将指定的属性同步到 Microsoft Entra ID。 有关详细信息,请参阅目录扩展。 |
Microsoft Entra 应用和属性筛选
如果想要限制同步到 Microsoft Entra ID 的属性,则可以从选择使用的服务来着手。 如果更改此页上的选项,则必须通过重新运行安装向导来显式选择新的服务。
此页面根据上一步选择的服务来显示同步的所有属性。 此列表是要同步的所有对象类型的组合。 如果需要某些属性保持非同步状态,可以从这些属性中清除所选内容。
警告
删除属性可能会影响功能。 有关最佳做法和建议,请参阅要同步的属性。
目录扩展属性同步
可以使用组织添加的自定义属性或使用 Active Directory 中的其他属性,在 Microsoft Entra ID 中扩展架构。 若要使用这项功能,请在“可选功能”页上选择“目录扩展属性同步”。 可以在“目录扩展”页上选择要同步的其他属性。
注意
“可用属性”字段区分大小写。
有关详细信息,请参阅目录扩展。
启用单一登录
在“单一登录”页上,可以配置单一登录用于密码同步或直通身份验证。 为每个要同步到 Microsoft Entra ID 的林执行一次此步骤。 配置包括两个步骤:
- 在 Active Directory 的本地实例中创建所需的计算机帐户。
- 配置客户端计算机的 Intranet 区域,使其支持单一登录。
在 Active Directory 中创建计算机帐户
对于在 Microsoft Entra Connect 中添加的每个林,需要提供域管理员凭据,以便在每个林中创建计算机帐户。 凭据仅用于创建帐户。 它们不存储或用于任何其他操作。 在“启用单一登录”页上添加凭据,如下图所示。
注意
可以跳过不想使用单一登录的林。
配置客户端计算机的 Intranet 区域
为了确保客户端在 Intranet 区域中自动登录,需确保该 URL 是 Intranet 区域的一部分。 此步骤可以确保已加入域的计算机在连接到企业网络后,向 Microsoft Entra ID 自动发送 Kerberos 票证。
在装有组策略管理工具的计算机上:
打开组策略管理工具。
编辑要应用到所有用户的组策略。 例如默认域策略。
转到“用户配置”>“管理模板”>“Windows 组件”>“Internet Explorer”>“Internet 控制面板”>“安全页”。 然后选择“站点到区域分配列表”。
启用策略。 然后,在对话框中输入值名称
https://autologon.microsoftazuread-sso.com
和https://aadg.windows.net.nsatc.net
,两个 URL 的值均为1
。 设置应如下图所示。选择“确定”两次。
配置与 AD FS 的联合
只需单击几下鼠标,即可使用 Microsoft Entra Connect 配置 AD FS。 在开始之前,你需要:
- 用于联合服务器的 Windows Server 2012 R2 或更高版本。 应启用远程管理。
- 用于 Web 应用程序代理服务器的 Windows Server 2012 R2 或更高版本。 应启用远程管理。
- 要使用的联合身份验证服务名称(例如 sts.contoso.com)的 TLS/SSL 证书。
注意
可以使用 Microsoft Entra Connect 更新 AD FS 场的 TLS/SSL 证书,即使不使用它来管理联合身份验证信任。
AD FS 配置先决条件
若要使用 Microsoft Entra Connect 配置 AD FS 场,请确保已在远程服务器上启用 WinRM。 确保已完成联合身份验证先决条件中的其他任务。 另请确保遵循 Microsoft Entra Connect 和联合身份验证/WAP 服务器表中列出的端口要求。
创建新的 AD FS 场或使用现有的 AD FS 场
可以使用现有的 AD FS 场,也可以创建一个新的。 如果选择创建新的场,则必须提供 TLS/SSL 证书。 如果 TLS/SSL 证书受密码保护,则系统会提示你提供密码。
如果选择使用现有 AD FS 场,则会出现一个页面,你可以在其中配置 AD FS 与 Microsoft Entra ID 之间的信任关系。
注意
只能使用 Microsoft Entra Connect 来管理一个 AD FS 场。 如果现有的联合身份验证信任在所选 AD FS 场上配置了 Microsoft Entra ID,则 Microsoft Entra Connect 会从头开始重新创建信任。
指定 AD FS 服务器
指定要在其中安装 AD FS 的服务器。 可以根据容量需求添加一个或多个服务器。 在设置此配置之前,请将所有 AD FS 服务器加入 Active Directory。 对于 Web 应用程序代理服务器,此步骤不是必需的。
Microsoft 建议安装一台 AD FS 服务器用于测试和试验部署。 完成初始配置之后,可以通过再次运行 Microsoft Entra Connect,根据缩放需求添加和部署更多的服务器。
注意
在设置此配置之前,请确保所有服务器已加入 Microsoft Entra 域。
指定 Web 应用程序代理服务器
指定 Web 应用程序代理服务器。 Web 应用程序代理服务器部署在外围网络中,面向 Extranet。 它支持来自 Extranet 的身份验证请求。 可以根据容量需求添加一个或多个服务器。
Microsoft 建议安装一台 Web 应用程序代理服务器,用于测试和试点部署。 完成初始配置之后,可以通过再次运行 Microsoft Entra Connect,根据缩放需求添加和部署更多的服务器。 建议使用数量相当的代理服务器,以满足来自 Intranet 的身份验证要求。
注意
- 如果使用的帐户不是 Web 应用程序代理服务器上的本地管理员,系统会提示你提供管理员凭据。
- 在指定 Web 应用程序代码服务器之前,请确保 Microsoft Entra Connect 服务器与 Web 应用程序代理服务器之间已建立 HTTP/HTTPS 连接。
- 确保 Web 应用程序服务器与 AD FS 服务器之间的 HTTP/HTTPS 连接允许通过身份验证请求。
系统会提示你输入凭据,使 Web 应用程序服务器可以创建与 AD FS 服务器的安全连接。 这些凭据必须适用于 AD FS 服务器上的本地管理员帐户。
指定 AD FS 服务的服务帐户
AD FS 服务需要使用域服务帐户来验证用户身份以及在 Active Directory 中查找用户信息。 它可以支持两种类型的服务帐户:
- 组托管服务帐户:此帐户类型已由 Windows Server 2012 引入 AD DS 中。 此类型的帐户提供 AD FS 之类的服务。 它是单个帐户,你不需要在其中定期更新密码。 如果 AD FS 服务器所属的域中已有 Windows Server 2012 域控制器,请使用此选项。
- 域用户帐户:此类型的帐户会要求你提供密码,并在密码过期时定期更新密码。 仅当 AD FS 服务器所属的域中没有 Windows Server 2012 域控制器时,才使用此选项。
如果选择了“创建组托管服务帐户”但从未在 Active Directory 中使用过此功能,则输入企业管理员凭据。 这些凭据用于启动密钥存储,以及在 Active Directory 中启用该功能。
注意
Microsoft Entra Connect 会检查 AD FS 服务是否已在域中注册为服务主体名称 (SPN)。 AD DS 不允许同时注册重复的 SPN。 如果发现重复的 SPN,则必须删除该 SPN 才能继续操作。
选择要联合的 Microsoft Entra 域
使用“Microsoft Entra 域”页设置 AD FS 与 Microsoft Entra ID 之间的联合关系。 在这里,请将 AD FS 配置为向 Microsoft Entra ID 提供安全令牌。 另请将 Microsoft Entra ID 配置为信任来自此 AD FS 实例的令牌。
在此页上,你只能在初始安装中配置单个域。 以后可以通过再次运行 Microsoft Entra Connect 来配置其他域。
验证选择用于联合的 Microsoft Entra 域
当你选择要联合的域时,Microsoft Entra Connect 会提供相关信息,供你用来验证尚未验证的域。 有关详细信息,请参阅添加和验证域。
注意
Microsoft Entra Connect 会尝试在配置阶段验证域。 如果不添加所需的域名系统 (DNS) 记录,则无法完成配置。
配置使用 PingFederate 的联合身份验证
只需单击几下鼠标,即可使用 Microsoft Entra Connect 配置 PingFederate。 需要以下先决条件:
- PingFederate 8.4 或更高版本。 有关详细信息,请参阅 Ping 标识文档中的 PingFederate 与 Microsoft Entra ID 和 Microsoft 365 的集成。
- 要使用的联合身份验证服务名称(例如 sts.contoso.com)的 TLS/SSL 证书。
验证域
在你选择使用 PingFederate 来设置联合身份验证之后,系统会要求你验证需要进行联合身份验证的域。 从下拉菜单中选择域。
导出 PingFederate 设置
将 PingFederate 配置为每个联合 Azure 域的联合服务器。 选择“导出设置”,以便与 PingFederate 管理员共享此信息。 联合服务器管理员会更新配置,然后提供 PingFederate 服务器 URL 和端口号,以便 Microsoft Entra Connect 可以验证元数据设置。
与 PingFederate 管理员联系以解决任何验证问题。 下图显示了有关 PingFederate 服务器的信息,该服务器与 Azure 之间尚无有效的信任关系。
验证联合身份验证连接性
Microsoft Entra Connect 会尝试验证它从上一步中的 PingFederate 元数据检索的身份验证终结点。 Microsoft Entra Connect 会首先尝试使用本地 DNS 服务器来解析终结点。 接下来,它会尝试使用外部 DNS 提供程序来解析终结点。 与 PingFederate 管理员联系以解决任何验证问题。
验证联合登录
最后,可以通过登录到联合域来验证新配置的联合登录流。 如果登录成功,则说明已成功配置了使用 PingFederate 的联合身份验证。
配置和验证页面
配置发生在“配置”页上。
注意
在继续安装之前,如果配置了联合身份验证,请确保也已配置联合服务器的名称解析。
使用暂存模式
在暂存模式下,可以同时设置新的同步服务器。 如果要使用此设置,则只能将一台同步服务器导出到云中的一个目录。 但如果想要从另一台服务器(例如运行 DirSync 的服务器)进行迁移,则可以启用暂存模式的 Microsoft Entra Connect。
启用暂存设置后,同步引擎会像平时一样导入并同步数据, 但它不会将数据导出到 Microsoft Entra ID 或 Active Directory。 密码同步功能和密码写回功能在暂存模式下禁用。
在暂存模式下,可以对同步引擎进行所需的更改,并查看要导出的内容。 如果配置看起来正常,请再次运行安装向导,并禁用暂存模式。
现在,已将数据从服务器导出到 Microsoft Entra ID。 确保同时禁用其他服务器,以便只有一台服务器在主动导出。
有关详细信息,请参阅过渡模式。
验证联合配置
选择“验证”按钮后,Microsoft Entra Connect 会验证 DNS 设置。 它检查以下设置:
- Intranet 连接性
- 解析联合 FQDN:Microsoft Entra Connect 会检查 DNS 是否可以解析联合 FQDN,以确保连接性。 如果 Microsoft Entra Connect 无法解析 FQDN,则验证失败。 若要完成验证,请确保提供联合身份验证服务 FQDN 的 DNS 记录。
- DNS A 记录:Microsoft Entra Connect 会检查联合身份验证服务是否有 A 记录。 在没有 A 记录的情况下,验证会失败。 若要完成验证,请为联合 FQDN 创建 A 记录(不是 CNAME 记录)。
- Extranet 连接性
解析联合 FQDN:Microsoft Entra Connect 会检查 DNS 是否可以解析联合 FQDN,以确保连接性。
若要验证端到端身份验证,请手动执行下列一个或多个测试:
- 同步完成后,在 Microsoft Entra Connect 中使用”验证联合登录”附加任务对你选择的本地用户帐户进行身份验证。
- 在 Intranet 的已加入域的计算机上,确保你能够从浏览器登录。 连接到 https://myapps.microsoft.com。 然后使用登录帐户来验证登录。 内置的 AD DS 管理员帐户未同步,你无法将它用于验证。
- 确保你能够从 Extranet 上的设备登录。 在家庭计算机或移动设备上连接到 https://myapps.microsoft.com , 然后提供凭据。
- 验证富客户端登录。 连接到 https://testconnectivity.microsoft.com。 然后选择“Office 365”“Office 365 单点登录测试”。
疑难解答
此部分包含你在遇到 Microsoft Entra Connect 安装问题时可以使用的故障排除信息。
若要自定义 Microsoft Entra Connect 安装,可以在“安装所需的组件”页上选择“使用现有的 SQL Server”。 你可能会看到以下错误:“ADSync 数据库已经包含数据,无法覆盖。 请删除现有的数据库,然后重试。”
你看到此错误是因为指定的 SQL Server 的 SQL 实例上已存在名为 ADSync 的数据库。
通常会在卸载 Microsoft Entra Connect 之后看到此错误。 卸载 Microsoft Entra Connect 时,不会从运行 SQL Server 的计算机中删除该数据库。
若要修复此问题:
检查 Microsoft Entra Connect 在卸载之前使用过的 ADSync 数据库。 确保不再使用该数据库。
备份数据库。
删除数据库:
- 使用 Microsoft SQL Server Management Studio 连接到 SQL 实例。
- 找到 ADSync 数据库并右键单击它。
- 在上下文菜单上选择“删除”。
- 选择“确定”以删除数据库。
删除 ADSync 数据库后,请选择“安装”来重试安装。
后续步骤
安装完成后,请注销 Windows。 然后再次登录,以便使用 Synchronization Service Manager 或同步规则编辑器。
安装 Microsoft Entra Connect 后,可以验证安装并分配许可证。
若要详细了解在安装过程中启用的这些功能,请参阅防止意外删除和 Microsoft Entra Connect Health。
有关其他常见主题的详细信息,请参阅Microsoft Entra Connect Sync:Scheduler和集成本地标识与 Microsoft Entra ID。