规划 Microsoft Entra 集成
Contoso 的 IT 员工在其 IT 环境中实现云服务或应用程序时,通常需要对其本地和基于云的应用程序使用单个标识存储。 使用目录同步,他们可以将其本地 AD DS 与 Microsoft Entra ID 连接起来。
什么是目录同步?
目录同步可在本地 AD DS 和 Microsoft Entra ID 之间实现用户、组和联系人的同步。 最简单的形式是在本地域中的服务器上安装目录同步组件。 然后,可以向本地 AD DS 提供具有 Domain Admin 和 Enterprise Admin 访问权限的帐户,向 Microsoft Entra ID 提供具有管理员访问权限的另一个帐户并让其运行。
然后,从 AD DS 中选择的用户帐户、组和联系人将被复制到 Microsoft Entra ID 中。 然后,用户可以使用这些帐户登录和访问依赖 Microsoft Entra ID 进行身份验证的 Azure 服务。
除非激活 Password Synchronization,否则用户将使用与本地环境不同的密码来登录 Azure 资源。 即使实现了 Password Sync,在用户访问加入域的计算机上的 Azure 资源时,系统仍会提示输入凭据。 Password Sync 的优势在于,在登录到 Azure 资源时,用户可以使用与其域登录相同的用户名和密码。 不要将这与 SSO 混淆。 Password Sync 提供的行为称为“相同登名录”。
在 Azure 中,同步流是从本地 AD DS 到 Azure 的单向同步。 但是,借助 Microsoft Entra ID P1 或 P2 功能,某些属性会以其他方向复制。 例如,可将 Azure 配置为将密码写回到本地 AD DS,并从 Microsoft Entra ID 写回到组和设备。 如果不想同步整个本地 AD DS,Microsoft Entra ID 的目录同步支持基于以下值限制的属性流筛选和自定义:
- OU
- Domain
- 用户属性
- 应用程序
Microsoft Entra Connect
可以使用 Microsoft Entra Connect(Microsoft Entra Connect)在本地 AD DS 和 Microsoft Entra ID 之间进行同步。 Microsoft Entra Connect 是一种基于向导的工具,旨在实现本地身份标识基础结构与 Azure 之间的连接。 使用该向导,可以选择拓扑和要求,然后向导将为你部署和配置所有所需的组件。 根据所选的要求,可能包括:
- Azure Active Directory 同步 (Azure AD Sync)
- Exchange 混合部署
- 密码更改写回
- AD FS 和 AD FS 代理服务器或 Web 应用程序代理
- Microsoft Graph PowerShell 模块
注意
大多数组织将专用同步服务器部署到主机 Microsoft Entra Connect。
运行 Microsoft Entra Connect 时,会发生以下情况:
- 系统会将本地 AD DS 中的新用户、组和联系人对象添加到 Microsoft Entra ID 中。 但不会将云服务(如 Microsoft 365)的许可证自动分配给这些对象。
- 在本地 AD DS 中修改的现有用户、组或联系人对象的属性会在 Microsoft Entra ID 中进行修改。 但是,并非所有本地 AD DS 属性都会同步到 Microsoft Entra ID。 可以使用 Microsoft Entra Connect 的同步管理器组件配置一组同步到 Microsoft Entra ID 的属性。
- 从本地 AD DS 删除的现有用户、组和联系人对象将从 Microsoft Entra ID 中删除。
- 本地禁用的现有用户对象将在 Azure 中禁用。 但是,许可证不会自动解除分配。
Microsoft Entra ID 要求每个对象都有单一的权威数据源。 因此,请务必了解,在 Microsoft Entra Connect 方案中,当运行 Active Directory 同步时,是在使用 Active Directory 用户和计算机或 Windows PowerShell 等工具从本地 AD DS 中掌控对象。 但是,授权源为本地 AD DS。 第一次同步周期完成后,授权源将从云转移到本地 AD DS。 将从本地 AD DS 工具中掌控云对象的所有后续更改(除许可之外)。 对应的云对象为只读对象,如果权威数据源为本地 AD DS,则 Microsoft Entra 管理员无法编辑云对象,除非实现了某些允许写回的技术。
运行 Microsoft Entra Connect 时所需的权限和帐户
若要实现 Microsoft Entra Connect,需要一个同时在本地 AD DS 和 Microsoft Entra ID 上分配了所需权限的帐户。 安装和配置 Microsoft Entra Connect 需要以下帐户:
- 在 Azure 租户(例如组织帐户)中拥有全局管理员权限的 Azure 帐户,但不是用于设置帐户本身的帐户。
- 在本地 AD DS 中具有企业管理员权限的本地帐户。 在 Microsoft Entra Connect 向导中,可以选择将现有帐户用于此目的,或让向导为你创建帐户。
“Microsoft Entra Connect 配置向导”运行时,Microsoft Entra Connect 使用 Azure 全局管理员帐户预配和更新对象。 应在 Azure 中创建一个专用服务帐户以供目录同步使用,因为你无法使用 Azure 租户管理员帐户。 此限制是因为用于设置 Azure 的帐户可能不具有与域名匹配的域名后缀。 此帐户必须是全局管理员角色组的成员。
在本地环境中,用于安装和配置 Microsoft Entra Connect 的帐户必须具有以下权限:
- AD DS 中的企业管理员权限。 在 Active Directory 中创建同步用户帐户需要此权限。
- 本地计算机管理员权限。 安装 Microsoft Entra Connect 软件需要此权限。
用于配置 Microsoft Entra Connect 和运行配置向导的帐户必须位于本地计算机的 ADSyncAdmins 组中。 默认情况下,用于安装 Microsoft Entra Connect 的帐户会自动添加到此组。
注意
安装产品时,用于安装 AD Connect 的帐户会自动添加到“ADSyncAdmins”组。 需要注销并再次登录才能使用 Synchronization Service Manager 接口,因为该帐户在下一次用于登录之前将不会选取组安全标识符 (SID)。
仅当安装和配置 Microsoft Entra Connect 时才需要企业管理员帐户,但配置向导不会存储或保存其凭据。 因此,在设置 Microsoft Entra Connect 时,应创建一个专用的 Microsoft Entra Connect 管理员帐户用于安装和配置 Microsoft Entra Connect,并将此帐户分配给“企业管理员”组。 但是,在 Microsoft Entra Connect 设置完成后,应从“企业管理员”组中删除此 Microsoft Entra Connect 管理员帐户。 下表详细说明 Microsoft Entra Connect 配置过程中创建的帐户。
| 帐户 | 说明 |
|---|---|
MSOL_<id> |
此帐户是在 Microsoft Entra Connect 安装期间创建的,并且配置为同步到 Azure 租户。 该帐户在本地 AD DS 中具有目录复制权限,并对某些属性具有写入权限,以便能够进行混合部署。 |
AAD_<id> |
这是同步引擎的服务帐户。 它是用随机生成的复杂密码创建的,自动配置为永不过期。 当目录同步服务运行时,它使用服务帐户凭据从本地 Active Directory 进行读取,然后将同步数据库的内容写入 Azure。 这是使用在“Microsoft Entra Connect 配置向导”中输入的租户管理员凭据完成的。 |
注意
安装 Microsoft Entra Connect 后,不应更改 Microsoft Entra Connect 的服务帐户,因为 Microsoft Entra Connect 会始终尝试使用安装过程中创建的帐户运行。 如果更改该帐户,Microsoft Entra Connect 将停止运行,并且不再发生计划的同步。
附加阅读材料
若要了解详细信息,请查看以下文档。