Microsoft Entra 連線 和 Microsoft Entra 連線 Health 安裝藍圖
安裝 Microsoft Entra 連線
重要
Microsoft 不支援在正式記載的動作之外修改或操作 Microsoft Entra 連線 Sync。 上述任何動作都可能導致 Microsoft Entra 連線 Sync 的狀態不一致或不受支援。因此,Microsoft 無法提供這類部署的技術支援。
您可以在 Microsoft 下載中心找到 Microsoft Entra 連線 的下載。
| 解決方案 | 案例 |
|---|---|
| 開始之前 - 硬體和必要條件 | |
| 快速設定 | |
| 自訂設定 | |
| 從 DirSync 升級 | |
| 從 Azure AD 同步 或 Microsoft Entra 連線 升級 |
安裝 之後,您應該確認它如預期般運作,並將授權指派給使用者。
安裝 Microsoft Entra 連線 的後續步驟
| 主題 | 連結 |
|---|---|
| 下載 Microsoft Entra 連線 | 下載 Microsoft Entra 連線 |
| 使用 Express 設定安裝 | Microsoft Entra 連線 的快速安裝 |
| 使用自訂設定安裝 | Microsoft Entra Connect 的自訂安裝 |
| 從 DirSync 升級 | 從 Azure AD 同步 工具升級 (DirSync) |
| 安裝之後 | 確認安裝和指派授權 |
深入了解安裝 Microsoft Entra 連線
您也想要準備 操作 考慮。 您可能想要有一部待用伺服器,以便在發生 災害時輕鬆故障轉移。 如果您打算進行頻繁的設定變更,您應該規劃 預備模式 伺服器。
| 主題 | 連結 |
|---|---|
| 支援的拓撲 | Microsoft Entra 連線 的拓撲 |
| 設計概念 | Microsoft Entra 連線 設計概念 |
| 用於安裝的帳戶 | 深入瞭解 Microsoft Entra 連線 認證和許可權 |
| 作業規劃 | Microsoft Entra 連線 Sync:作業工作和考慮 |
| 使用者登入選項 | Microsoft Entra 連線 使用者登入選項 |
設定同步處理功能
Microsoft Entra 連線 隨附數個您可以選擇性開啟或預設啟用的功能。 某些功能有時在某些案例和拓撲中可能需要更多設定。
當您想要限制哪些物件同步處理至 Microsoft Entra ID 時,會使用篩選 。 根據預設,所有使用者、聯繫人、群組和 Windows 10 計算機都會同步處理。 您可以根據網域、OU 或屬性來變更篩選。
密碼哈希同步 處理會將 Active Directory 中的密碼哈希同步處理至 Microsoft Entra ID。 終端使用者可以在內部部署和雲端使用相同的密碼,但只能在一個位置管理它。 因為它使用您的 內部部署的 Active Directory 作為授權單位,您也可以使用自己的密碼原則。
密碼回 寫可讓使用者在雲端變更和重設其密碼,並套用您的內部部署密碼原則。
裝置回寫將允許在 Microsoft Entra ID 中註冊的裝置回寫至 內部部署的 Active Directory,以便用於條件式存取。
默認會開啟防止意外刪除功能,並同時保護您的雲端目錄免於進行多次刪除。 根據預設,它允許每次執行 500 次刪除。 您可以根據您的組織大小來變更此設定。
自動升級預設會針對快速設定安裝啟用,並確保您的 Microsoft Entra 連線 一律是最新版。
設定同步功能的後續步驟
| 主題 | 連結 |
|---|---|
| 設定篩選 | Microsoft Entra Connect 同步:設定篩選 |
| 密碼雜湊同步 | 密碼雜湊同步 |
| 傳遞驗證 | 傳遞驗證 |
| 密碼回寫 | 開始使用密碼管理 |
| 裝置回寫 | 在 Microsoft Entra 連線 中啟用裝置回寫 |
| 防止意外刪除 | Microsoft Entra 連線 Sync:防止意外刪除 |
| 自動升級 | Microsoft Entra 連線:自動升級 |
自定義 Microsoft Entra 連線 Sync
Microsoft Entra 連線 Sync 隨附預設設定,適用於大多數客戶和拓撲。 但一律有預設組態無法運作且必須調整的情況。 支持變更,如本節和鏈接的主題所述。
如果您在開始了解技術概念中所述 的基本概念和詞彙之前,尚未使用同步處理拓撲。 即使有些事情很相似,也發生了很多變化。
默認組 態假設組態 中可能有一個以上的樹系。 在這些拓撲中,用戶物件可能會以另一個樹系中的聯繫人表示。 使用者可能也有另一個資源樹系中的連結信箱。 默認組態的行為會在用戶和聯繫人中描述。
同步的組態模型稱為 宣告式布建。 進階屬性流程會使用 函 式來表示屬性轉換。 您可以使用 Microsoft Entra 連線 隨附的工具來查看和檢查整個設定。 如果您需要進行設定變更,請確定您遵循 最佳做法 ,以便更容易採用新版本。
自定義 Microsoft Entra 連線 Sync 的後續步驟
| 主題 | 連結 |
|---|---|
| 所有 Microsoft Entra 連線 同步處理文章 | Microsoft Entra 連線 Sync |
| 技術概念 | Microsoft Entra Connect 同步處理技術概念 |
| 瞭解預設組態 | Microsoft Entra Connect 同步處理:了解預設組態 |
| 瞭解用戶和聯繫人 | Microsoft Entra 連線 同步處理:瞭解用戶和聯繫人 |
| 宣告式佈建 | Microsoft Entra Connect 同步:了解宣告式佈建運算式 |
| 變更預設組態 | 變更預設組態的最佳做法 |
設定同盟功能
Microsoft Entra 連線 提供數個功能,可簡化使用 AD FS 與 Microsoft Entra ID 同盟及管理同盟信任的功能。 Microsoft Entra 連線 支援 Windows Server 2012R2 或更新版本的 AD FS。
即使您未使用 Microsoft Entra 連線 來管理同盟信任,仍更新 AD FS 伺服器陣列的 TLS/SSL 憑證。
將AD FS 伺服器 新增至伺服器數位,以視需要擴充伺服器陣列。
在幾個簡單的點選中,使用 Microsoft Entra ID 修復信任 。
ADFS 可以設定為支援 多個網域。 例如,您可能有多個需要用於同盟的頂級網域。
如果您的 ADFS 伺服器尚未設定為從 Microsoft Entra ID 自動更新憑證,或者如果您使用非 ADFS 解決方案,則您必須更新憑證時會收到通知。
設定同盟功能的後續步驟
| 主題 | 連結 |
|---|---|
| 所有 AD FS 文章 | Microsoft Entra 連線 和同盟 |
| 使用子域設定ADFS | 與 Microsoft Entra ID 同盟的多個網域支援 |
| 管理 AD FS 伺服器陣列 | 使用 Microsoft Entra 管理及自訂 AD FS 連線 |
| 手動更新同盟憑證 | 更新 Microsoft 365 和 Microsoft Entra 標識符的同盟憑證 |
開始使用 Microsoft Entra 連線 Health
若要開始使用 Microsoft Entra 連線 Health,請使用下列步驟:
- 取得 Microsoft Entra ID P1 或 P2 或 開始試用。
- 在您的身分識別伺服器上下載並安裝 Microsoft Entra 連線 Health Agents。
- 在 檢視 Microsoft Entra 連線 Health 儀錶板https://aka.ms/aadconnecthealth。
注意
請記住,在您看到 Microsoft Entra 連線 Health 儀錶板中的數據之前,您需要在目標伺服器上安裝 Microsoft Entra 連線 Health Agents。
下載並安裝 Microsoft Entra 連線 Health Agent
- 請確定您符合 Microsoft Entra 連線 Health 的需求。
- 開始使用適用於AD FS的 Microsoft Entra 連線 Health
- 開始使用 Microsoft Entra 連線 Health 進行同步處理
- 下載並安裝最新版本的 Microsoft Entra 連線。 同步處理的健康情況代理程式將會安裝為 Microsoft Entra 連線 安裝的一部分(1.0.9125.0 版或更高版本)。
- 開始使用適用於 AD DS 的 Microsoft Entra 連線 Health
- 下載適用於 AD DS 的 Microsoft Entra 連線 Health Agent。
- 請參閱安裝指示。
Microsoft Entra 連線 Health 入口網站
Microsoft Entra 連線 Health 入口網站會顯示警示、效能監視和使用方式分析的檢視。 URL 會https://aka.ms/aadconnecthealth帶您前往 Microsoft Entra 連線 Health 的主要刀鋒視窗。 您可以將刀鋒視窗視為視窗。 在主要刀鋒視窗上,您會看到 [快速入門]、Microsoft Entra 連線 Health 中的服務,以及其他組態選項。 請參閱下列螢幕快照,以及螢幕快照之後的簡短說明。 部署代理程序之後,健康情況服務會自動識別 Microsoft Entra 連線 Health 正在監視的服務。
注意
如需授權資訊,請參閱 Microsoft Entra 連線 Health FAQ 或 Microsoft Entra 定價頁面。
- 快速入門:當您選取此選項時,[快速入門] 刀鋒視窗隨即開啟。 您可以選取 [取得工具],下載 Microsoft Entra 連線 Health Agent。 您也可以存取檔並提供意見反應。
- Microsoft Entra 連線 (sync):此選項會顯示 Microsoft Entra 連線 Microsoft Entra 連線 Health 目前正在監視的伺服器。 同步錯誤 專案會依類別顯示第一個上線同步服務的基本同步錯誤。 當您選取 [同步服務] 專案時,開啟的刀鋒視窗會顯示 Microsoft Entra 連線 伺服器的相關信息。 如需詳細資訊,請參閱使用 Microsoft Entra 連線 Health 進行同步處理。
- Active Directory 同盟服務:此選項會顯示 Microsoft Entra 連線 Health 目前監視的所有 AD FS 服務。 當您選取實例時,開啟的刀鋒視窗會顯示該服務實例的相關信息。 這項資訊包括概觀、屬性、警示、監視和使用方式分析。 如需詳細資訊,請參閱搭配 AD FS 使用 Microsoft Entra 連線 Health。
- Active Directory 網域服務:此選項會顯示 Microsoft Entra 連線 Health 目前監視的所有 AD DS 樹系。 當您選取樹系時,開啟的刀鋒視窗會顯示該樹系的相關信息。 這項資訊包含基本資訊的概觀、域控制器儀錶板、復寫狀態儀錶板、警示和監視。 如需詳細資訊,請參閱搭配 AD DS 使用 Microsoft Entra 連線 Health。
- 設定:本節包含開啟或關閉下列選項:
- 只有針對疑難解答目的,Microsoft 才能從 Microsoft Entra 目錄完整性存取數據 :如果啟用此選項,Microsoft 就可以存取用戶檢視的相同數據。 這項信息對於疑難解答和提供必要的協助很有用。 此選項預設為停用
- 角色型訪問控制 (IAM) 是管理角色基底中 連線 健康情況數據的存取權一節。