Azure Active Directory Connect 的自訂安裝

需要更多安裝選項時,請使用 Azure Active Directory (Azure AD) Connect 中的自訂設定。 舉例來說,如果您有多個樹系,或您想要設定選用功能,即可使用這些設定。 一旦快速安裝不符合您的部署或拓撲需求,就可以使用自訂設定。

先決條件:

自訂安裝設定

若要設定 Azure AD Connect 的自訂安裝,請完成下列各節說明的精靈頁面。

快速設定

在 [快速設定] 頁面上選取 [自訂],開始進行自訂設定安裝。 本文的後續內容會引導您完成自訂安裝程序。 使用下列連結可快速移至特定頁面的資訊:

安裝必要的元件

在安裝同步處理服務時,您可以將選用設定區段保留為未選取。 Azure AD Connect 會自動進行所有設定。 它會設定 SQL Server 2019 Express LocalDB 執行個體、建立適當的群組,以及指派權限。 如果您想要變更預設值,請選取適當的方塊。 下表摘要說明這些選項,並提供其他資訊的連結。

螢幕擷取畫面顯示 Azure AD Connect 中必要安裝元件的選擇性選項。

選用設定 Description
指定自訂安裝位置 可讓您變更 Azure AD Connect 的預設安裝路徑。
使用現有的 SQL Server 可讓您指定 SQL Server 名稱和執行個體名稱。 如果您已有想要使用的資料庫伺服器,請選擇這個選項。 針對 [執行個體名稱],如果您的 SQL Server 執行個體未啟用瀏覽功能,請輸入執行個體名稱、逗號和連接埠號碼。 然後,指定 Azure AD Connect 資料庫的名稱。 您的 SQL 權限會決定是可以建立新的資料庫,還是須由 SQL 系統管理員事先建立資料庫。 如果您有 SQL Server 系統管理員 (SA) 權限,請參閱使用現有資料庫來安裝 Azure AD Connect。 如果您有委派權限 (DBO),請參閱使用 SQL 委派的管理員權限安裝 Azure AD Connect
使用現有的服務帳戶 根據預設,Azure AD Connect 會提供用於同步處理服務的虛擬服務帳戶。 如果您使用 SQL Server 的遠端執行個體,或使用需要驗證的 Proxy,您可以使用受控服務帳戶,或網域中受密碼保護的服務帳戶。 在這類情況下,請輸入您要使用的帳戶。 若要執行安裝,您必須是 SQL 中的 SA,才能建立服務帳戶的登入認證。 如需詳細資訊,請參閱 Azure AD Connect 帳戶與權限

現在,SQL 系統管理員可以使用最新的組建在頻外佈建資料庫。 然後,Azure AD Connect 系統管理員可使用資料庫擁有者權限加以安裝。 如需詳細資訊,請參閱使用 SQL 委派的管理員權限安裝 Azure AD Connect
指定自訂同步群組 根據預設,在安裝同步處理服務時,Azure AD Connect 會建立四個位於伺服器本機的群組。 這些群組是「系統管理員」、「操作員」、「瀏覽」和「密碼重設」。 您可以在此指定自己的群組。 這些群組位於伺服器本機。 不可位於網域中。
匯入同步處理設定 (預覽) 可讓您匯入其他版本的 Azure AD Connect 設定。 如需詳細資訊,請參閱匯入和匯出 Azure AD Connect 組態設定

使用者登入

安裝必要元件後,請選取使用者的單一登入方法。 下表概述可用的選項。 如需登入方法的完整說明,請參閱使用者登入

顯示 [使用者登入] 頁面的螢幕擷取畫面。已選取 [密碼雜湊同步] 選項。

單一登入選項 Description
密碼雜湊同步處理 使用者可使用他們在內部部署網路中使用的相同密碼登入 Microsoft 雲端服務,例如 Microsoft 365。 使用者密碼會以密碼雜湊的形式同步處理至 Azure AD。 驗證會在雲端中進行。 如需詳細資訊,請參閱密碼雜湊同步處理
傳遞驗證 使用者可使用他們在內部部署網路中使用的相同密碼登入 Microsoft 雲端服務,例如 Microsoft 365。 使用者密碼會藉由傳遞至內部部署 Active Directory 網域控制站來進行驗證。
與 AD FS 同盟 使用者可使用他們在內部部署網路中使用的相同密碼登入 Microsoft 雲端服務,例如 Microsoft 365。 使用者會重新導向至其內部部署 Azure Directory 同盟服務 (AD FS) 執行個體,以進行登入。 驗證會在內部部署進行。
與 PingFederate 同盟 使用者可使用他們在內部部署網路中使用的相同密碼登入 Microsoft 雲端服務,例如 Microsoft 365。 使用者會重新導向至其內部部署 PingFederate 執行個體以進行登入。 驗證會在內部部署進行。
請勿設定 不會安裝或設定任何使用者登入功能。 如果您已有第三方同盟伺服器或其他既有的解決方案,請選擇此選項。
啟用單一登入 此選項對於密碼雜湊同步處理和傳遞驗證均適用。 它可為公司網路上的桌面使用者提供單一登入體驗。 如需詳細資訊,請參閱單一登入

注意:此選項不適用於 AD FS 客戶。 AD FS 已提供相同層級的單一登入。

連接至 Azure AD

在 [ 連線到 Azure AD] 頁面上,輸入混合式身分識別系統管理員帳戶和密碼。 如果您在上一頁選取了 [與 AD FS 同盟],請勿使用您打算啟用同盟的網域中的帳戶來登入。

您可以使用 Azure AD 租用戶內預設 onmicrosoft.com 網域中的帳戶。 此帳戶只會用來在 Azure AD 中建立服務帳戶。 安裝完成後,就不會再加以使用。

注意

最好的做法是避免針對 Azure AD 角色指派使用內部部署同步的帳戶。 如果內部部署帳戶遭到入侵,則這也可以用來危害您的 Azure AD 資源。 如需完整的最佳做法清單,請參閱 Azure AD 角色的最佳做法

顯示 [連線至 Azure AD] 頁面的螢幕擷取畫面。

如果您的全域系統管理員帳戶已啟用多重要素驗證,則要在登入視窗中再次提供密碼,而且您必須完成多重要素驗證挑戰。 該挑戰可能是驗證碼或撥打電話。

顯示 [連線至 Azure AD] 頁面的螢幕擷取畫面。多重要素驗證欄位會提示使用者提供代碼。

全域管理員帳戶也可以啟用 Privileged Identity Management

若要針對非密碼案例使用驗證支援 (例如同盟帳戶、智慧卡和 MFA 案例),您可以在啟動精靈時提供 /InteractiveAuth 切換參數。 使用此切換參數將會略過精靈的驗證使用者介面,並使用 MSAL 程式庫的 UI 來處理驗證。

如果連線發生錯誤或有問題,請參閱對連線問題進行疑難排解

同步處理頁面

下列各節說明同步處理一節中的頁面。

連接您的目錄

若要連線到 Active Directory 網域服務 (AD DS) ,Azure AD Connect 需要具有足夠許可權的帳戶樹系名稱和認證。

顯示 [連接您的目錄] 頁面的螢幕擷取畫面。

在輸入樹系名稱後選取 [新增目錄],將會出現一個視窗。 下表說明您的選項。

選項 描述
建立新帳戶 建立 Azure AD Connect 在目錄同步處理期間必須連線到 Active Directory 樹系的 AD DS 帳戶。 在選取此選項後,輸入企業系統管理員帳戶的使用者名稱和密碼。 Azure AD Connect 會使用提供的企業系統管理員帳戶來建立必要的 AD DS 帳戶。 您可以用 NetBIOS 格式或 FQDN 格式輸入網域部分。 也就是說,輸入 FABRIKAM\administratorfabrikam.com\administrator
使用現有帳戶 提供 Azure AD Connect 可在目錄同步處理期間用來連線到 Active Directory 樹系的現有 AD DS 帳戶。 您可以用 NetBIOS 格式或 FQDN 格式輸入網域部分。 也就是說,輸入 FABRIKAM\syncuserfabrikam.com\syncuser。 此帳戶可以是一般使用者帳戶,因為只需要預設的讀取權限。 不過,視您的情況而定,也可能需要更多權限。 如需詳細資訊,請參閱 Azure AD Connect 帳戶與權限

顯示 [連接目錄] 頁面和 AD 樹系帳戶視窗的螢幕擷取畫面,其中您可以選擇建立新帳戶或使用現有帳戶。

注意

自組建 1.4.18.0 起,您無法使用企業系統管理員或網域系統管理員帳戶作為 AD DS 連接器帳戶。 當您選取 [使用現有帳戶] 時,如果您嘗試輸入企業系統管理員帳戶或網域系統管理員帳戶,則會看到下列錯誤:「不允許使用企業或網域系統管理員帳戶來作為 AD 樹系帳戶。 請讓 Azure AD Connect 為您建立帳戶,或指定具有正確權限的同步處理帳戶。」

Azure AD 登入組態

[Azure AD 登入組態 ] 頁面上,檢閱內部部署 AD DS 中 UPN) 網域的使用者主體 (名稱。 這些 UPN 網域已在 Azure AD 中進行驗證。 在此頁面上,您可以設定要用於 userPrincipalName 的屬性。

顯示 [Azure AD 登入設定] 頁面上有未驗證網域的螢幕擷取畫面。

檢閱每個標示為 [未新增] 或 [未驗證] 的網域。 確定您所使用的網域已在 Azure AD 中完成驗證。 驗證網域後,請選取循環重新整理圖示。 如需詳細資訊,請參閱新增並驗證網域

使用者在登入 Azure AD 和 Microsoft 365 時,會使用 userPrincipalName 屬性。 Azure AD 應在同步處理使用者之前驗證網域 (也稱為 UPN 尾碼)。 Microsoft 建議您保留預設屬性 userPrincipalName。

如果 userPrincipalName 屬性不可路由且無法驗證,您可以選取另一個屬性。 例如,您可以選取電子郵件作為保存登入識別碼的屬性。 若使用 userPrincipalName 以外的屬性,我們會稱之為替代識別碼

「替代識別碼」屬性值必須遵守 RFC 822 標準。 您可以搭配使用替代識別碼與密碼雜湊同步處理、傳遞驗證和同盟。 在 Active Directory 中,屬性不能定義為多重值,即使只有單一值也一樣。 如需替代識別碼的詳細資訊,請參閱傳遞驗證:常見問題集

注意

當您啟用傳遞驗證時,您至少要有一個已驗證的網域才能繼續執行自訂安裝程序。

警告

替代識別碼無法與所有的 Microsoft 365 工作負載相容。 如需詳細資訊,請參閱設定替代登入識別碼

網域和 OU 篩選

根據預設,所有網域和組織單位 (OU) 都會同步處理。 如果您不想將某些網域或 OU 同步處理至 Azure AD,可以清除適當選取項目。

顯示網域和 OU 篩選頁面的螢幕擷取畫面。

此頁面會設定網域型和 OU 型篩選。 如果您打算進行變更,請參閱網域型篩選OU 型篩選。 某些 OU 是功能運作不可或缺的,因此您應保留其選取狀態。

如果您使用 OU 型篩選搭配早於 1.1.524.0 的 Azure AD Connect 版本,則依預設會同步處理新的 OU。 如果不要同步處理新 OU,您可以在 OU 型篩選步驟之後調整預設行為。 對於 Azure AD Connect 1.1.524.0 或更新版本,您可以指出是否要同步處理新的 OU。

如果您打算使用群組型篩選,請確定已包含具有群組的 OU,且不會使用 OU 篩選加以篩選。 OU 篩選會在群組型篩選之前先受到評估。

此外,也可能因防火牆限制而無法連線到某些網域。 依預設不會選取這些網域,且會顯示警告。

顯示哪些網域無法連線的螢幕擷取畫面。

如果您看到此警告,請確定這些網域確實無法連線,因此預期會有警告。

唯一識別您的使用者

在 [識別使用者] 頁面上,選擇如何識別內部部署目錄中的使用者,以及如何使用 sourceAnchor 屬性加以識別。

選取在內部部署目錄中要如何識別使用者

藉由使用 跨樹系的比 對功能,您可以定義來自 AD DS 樹系的使用者如何在 Azure AD 中呈現。 使用者可能只會在各個樹系間顯示一次,或可能會有啟用和停用帳戶的組合。 使用者也可能顯示為某些樹系中的連絡人。

螢幕擷取畫面顯示其中可唯一識別使用者的頁面。

設定 Description
使用者只會在各個樹系間顯示一次 在 Azure AD 中,所有使用者會都建立為個別物件。 這些物件不會在 Metaverse 中聯結。
郵件屬性 如果郵件屬性在不同樹系中具有相同的值,則此選項就會聯結使用者和連絡人。 如果您的連絡人是使用 GALSync 建立的,請使用此選項。 如果選擇此選項,則郵件屬性未填入的使用者物件將不會同步處理至 Azure AD。
ObjectSID 和 msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID 屬性 此選項會聯結帳戶樹系中已啟用的使用者與資源樹系中已停用的使用者。 在 Exchange 中,此組態稱為連結信箱。 如果您僅使用 Lync,且資源樹系中沒有 Exchange,則可以使用此選項。
SAMAccountName 和 MailNickName 屬性 此選項會在預期可以找到使用者登入識別碼的屬性中聯結。
選擇特定屬性 此選項可讓您選取您的屬性。 如果選擇此選項,則 (已選取) 屬性未填入的使用者物件將不會同步處理至 Azure AD。 限制:只有已在 Metaverse 中的屬性,才可用於此選項。

選取如何使用來源錨點識別使用者

SourceAnchor 屬性在使用者物件的存留期間是不可變的。 這是連結內部部署使用者與 Azure AD 使用者的主索引鍵。

設定 Description
讓 Azure 管理來源錨點 如果您想要 Azure AD 為您挑選屬性,請選取此選項。 如果選取此選項,Azure AD Connect 將會套用使用 ms-DS-ConsistencyGuid 作為 sourceAnchor 中說明的 sourceAnchor 屬性選取邏輯。 自訂安裝完成後,您就會看到哪個屬性被選為 sourceAnchor 屬性。
選擇特定屬性 如果您想要指定現有的 AD 屬性作為 sourceAnchor 屬性,請選取此選項。

由於 sourceAnchor 屬性無法變更,您必須選擇適當的屬性。 objectGUID 就是不錯的選項。 只要使用者帳戶未在樹系或網域之間移動,此屬性就不會變更。 請勿選擇可能隨著使用者結婚或變更指派而變更的屬性。

您不可使用包含 @ 符號的屬性,因此無法使用電子郵件和 userPrincipalName。 屬性也會區分大小寫,因此在樹系間移動物件時,請務必保留大小寫。 二進位屬性會以 Base64 編碼,但其他屬性類型則會維持未編碼狀態。

在同盟案例和部分 Azure AD 介面中,sourceAnchor 屬性也稱為 immutableID

如需來源錨點的詳細資訊,請參閱設計概念

根據群組進行同步處理篩選

篩選群組功能可讓您僅同步處理一小部分的物件以進行試驗。 若要使用這項功能,請在內部部署 Active Directory 執行個體中建立此目的專用的群組。 然後新增應該同步處理至 Azure AD 做為直接成員的使用者和群組。 您稍後可在此群組中新增或移除使用者,藉以維護應顯示在 Azure AD 中的物件清單。

您想要同步處理的所有物件,都必須是直接隸屬於群組的成員。 使用者、群組、連絡人和電腦或裝置全都必須是直接成員。 系統不會解析巢狀群組成員資格。 當您新增群組作為成員時,只會新增群組本身。 並不會新增其成員。

顯示可從中選擇如何篩選使用者和裝置的螢幕擷取畫面。

警告

這項功能僅用來支援試驗部署。 請勿將其用於完整的生產部署。

在完整的生產部署中,很難維護單一群組及其所有要同步處理的物件。 使用設定篩選中說明的其中一個方法,而不是按群組篩選的功能。

選用功能

在下一個頁面中,您可以為自己的案例選取選用功能。

警告

Azure AD Connect 1.0.8641.0 版和較早版本會依賴 Azure 存取控制服務來進行密碼回寫。 此服務已於 2018 年 11 月 7 日淘汰。 如果您使用上述任何版本的 Azure AD Connect 並已啟用密碼回寫,當服務淘汰後,使用者可能會無法變更或重設其密碼。 這些版本的 Azure AD Connect 不支援密碼回寫。

如需詳細資訊,請參閱從 Azure 存取控制服務遷移

如果您想要使用密碼回寫,請下載最新版本的 Azure AD Connect

顯示 [選用功能] 頁面的螢幕擷取畫面。

警告

如果 Azure AD Sync 或 Direct Synchronization (DirSync) 處於作用中狀態,請勿在 Azure AD Connect 中啟動任何回寫功能。

選用功能 Description
Exchange 混合式部署 Exchange 混合式部署功能允許 Exchange 信箱並存於內部部署環境和 Microsoft 365 中。 Azure AD Connect 會將一組特定的屬性從 Azure AD 同步處理回內部部署目錄。
Exchange 郵件公用資料夾 Exchange 郵件公用資料夾功能可讓您將擁有郵件功能的公用資料夾物件從內部部署 Active Directory 執行個體同步處理至 Azure AD。 請注意,不支援同步包含公用資料夾作為成員的群組,而且嘗試這樣做將會導致同步錯誤。
Azure AD 應用程式和屬性篩選 您可以啟用 Azure AD 應用程式和屬性篩選,以自訂同步處理的屬性集。 這個選項會在精靈中另外新增兩個組態頁面。 如需詳細資訊,請參閱 Azure AD 應用程式和屬性篩選
密碼雜湊同步處理 如果您選取同盟作為登入解決方案,則可以啟用密碼雜湊同步處理。 然後,您可以將其作為備份選項。

如果您選取了傳遞驗證,則可以啟用此選項,以確保能支援舊版用戶端並提供備份。

如需詳細資訊,請參閱密碼雜湊同步處理
密碼回寫 使用此選項,可確保 Azure AD 中產生的密碼變更會回寫至內部部署目錄。 如需詳細資訊,請參閱開始使用密碼管理
群組回寫 如果您使用 Microsoft 365 群組,則可以在 Active Directory 的內部部署執行個體中顯示群組。 只有您在 Active Directory 的內部部署執行個體中有 Exchange 時,才能使用此選項。 如需詳細資訊,請參閱 Azure AD Connect 群組回寫
裝置回寫 對於條件式存取案例,請使用此選項將 Azure AD 中的裝置物件回寫至 Active Directory 的內部部署執行個體。 如需詳細資訊,請參閱在 Azure AD Connect 中啟用裝置回寫
目錄擴充屬性同步處理 選取此選項,可將指定的屬性同步處理至 Azure AD。 如需詳細資訊,請參閱目錄擴充

Azure AD 應用程式和屬性篩選

如果您想要限制要將哪些屬性同步處理至 Azure AD,請先選取您所使用的服務。 如果您變更此頁面上的選取項目,則必須重新執行安裝精靈以明確選取新的服務。

顯示選用 Azure AD 應用程式功能的螢幕擷取畫面。

根據您在先前的步驟中選取的服務,此頁面會顯示將同步處理的所有屬性。 這份清單是正在同步處理的所有物件類型的組合。 如果您需要讓某些屬性保持未同步處理的狀態,您可以從這些屬性清除選取項目。

顯示選用 Azure AD 屬性功能的螢幕擷取畫面。

警告

移除可能影響功能的屬性。 如需最佳做法和建議,請參閱要同步處理的屬性

目錄擴充屬性同步處理

您可以使用組織新增的自訂屬性,或使用 Active Directory 中的其他屬性,來擴充 Azure AD 中的結構描述。 若要使用這項功能,請在 [選用功能] 頁面上選取 [目錄擴充屬性同步處理]。在 [目錄擴充] 頁面上,您可以選取多個要同步處理的屬性。

注意

[可用屬性] 欄位會區分大小寫。

顯示 [目錄擴充] 頁面的螢幕擷取畫面。

如需詳細資訊,請參閱目錄擴充

啟用單一登入

在 [單一登入] 頁面上,您可以設定單一登入,使其與密碼同步處理或傳遞驗證搭配使用。 每個同步處理至 Azure AD 的樹系,分別須執行此步驟一次。 設定時須執行兩個步驟:

  1. 在 Active Directory 的內部部署執行個體中建立所需的電腦帳戶。
  2. 設定用戶端機器的內部網路區域,以支援單一登入。

在 Active Directory 中建立電腦帳戶

對於在 Azure AD Connect 中新增的每個樹系,您必須提供網域系統管理員認證,才能在每個樹系中建立電腦帳戶。 認證只會用來建立帳戶。 認證並不會儲存或用於任何其他作業。 在 [啟用單一登入] 頁面上新增認證,如下圖所示。

顯示 [啟用單一登入] 頁面的螢幕擷取畫面。樹系認證已新增。

注意

您可以略過不要使用單一登入的樹系。

設定用戶端機器的內部網路區域

若要確保用戶端會自動登入內部網路區域,請確定 URL 屬於內部網路區域。 此步驟可確保加入網域的電腦會在連線至公司網路時自動將 Kerberos 票證傳送至 Azure AD。

在具有群組原則管理工具的電腦上:

  1. 開啟群組原則管理工具。

  2. 編輯會套用至所有使用者的群組原則。 例如,預設網域原則。

  3. 移至 [使用者設定]>[系統管理範本]>[Windows 元件]>[Internet Explorer]>[網際網路控制台]>[安全性頁面]。 然後選取 [指派網站到區域清單]

  4. 啟用原則。 然後,在對話方塊中,輸入值名稱 https://autologon.microsoftazuread-sso.com 和值 1。 您的設定應如下圖所示。

    顯示內部網路區域的螢幕擷取畫面。

  5. 選取 [確定] 兩次。

設定與 AD FS 同盟

只要按幾下滑鼠,即可使用 Azure AD Connect 設定 AD FS。 開始之前,您需要:

  • 用於同盟伺服器的 Windows Server 2012 R2 或更新版本。 遠端管理應啟用。
  • 用於 Web 應用程式 Proxy 伺服器的 Windows Server 2012 R2 或更新版本。 遠端管理應啟用。
  • 您想要使用之同盟服務名稱 (例如 sts.contoso.com) 的 TLS/SSL 憑證。

注意

即使您未使用 Azure AD Connect 來管理您的同盟信任,您也可以使用 Azure AD Connect 來更新 AD FS 伺服器陣列的 TLS/SSL 憑證。

AD FS 設定必要條件

若要使用 Azure AD Connect 設定 AD FS 伺服器陣列,請確定已在遠端伺服器啟用 WinRM。 確定您已完成同盟必要條件中的其他工作。 此外,請務必遵循 Azure AD Connect 和同盟/WAP 伺服器資料表中所列的連接埠需求。

建立新的 AD FS 伺服器陣列或使用現有的 AD FS 伺服器陣列

您可以使用現有的 AD FS 伺服器陣列,或建立新的伺服器陣列。 如果您選擇建立新的伺服器陣列,就必須提供 TLS/SSL 憑證。 如果 TLS/SSL 憑證受到密碼保護,則系統會提示您提供密碼。

顯示 [ADFS 伺服器陣列] 頁面的螢幕擷取畫面。

如果您選擇使用現有的 AD FS 伺服器陣列,則會看到可供您在 AD FS 和 Azure AD 之間設定信任關係的頁面。

注意

您只能使用 Azure AD Connect 管理一個 AD FS 伺服器陣列。 如果您有現有的同盟信任,且已在選取的 AD FS 伺服器陣列上設定了 Azure AD,則 Azure AD Connect 會從頭重新建立信任。

指定 AD FS 伺服器

指定要安裝 AD FS 的伺服器。 您可以根據容量規劃需求,加入一個或多部伺服器。 設定此組態之前,請先將所有 AD FS 伺服器加入 Active Directory。 Web 應用程式 Proxy 伺服器不需要此步驟。

Microsoft 建議安裝一部專門用於測試和試驗部署的 AD FS 伺服器。 完成初始設定之後,您可以透過再次執行 Azure AD Connect,新增及部署更多伺服器以符合您的規模調整需求。

注意

設定此設定之前,請確定您的所有伺服器都已加入 Azure AD 網域。

顯示 [同盟伺服器] 頁面的螢幕擷取畫面。

指定 Web 應用程式 Proxy 伺服器

指定您的 Web 應用程式 Proxy 伺服器。 Web 應用程式 Proxy 伺服器會部署在周邊網路中,並且向外部網路開放。 其支援來自外部網路的驗證要求。 您可以根據容量規劃需求,加入一個或多部伺服器。

Microsoft 建議安裝一個專門用於測試和試驗部署的 Web 應用程式 Proxy 伺服器。 完成初始設定之後,您可以透過再次執行 Azure AD Connect,新增及部署更多伺服器以符合您的規模調整需求。 建議您準備同樣數目的 Proxy 伺服器,以滿足來自內部網路的驗證需求。

注意

  • 如果您使用的帳戶不是 Web 應用程式 Proxy 伺服器上的本機系統管理員,則系統會提示您提供系統管理員認證。
  • 在指定 Web 應用程式 Proxy 伺服器之前,請確定 Azure AD Connect 伺服器和 Web 應用程式 Proxy 伺服器之間有 HTTP/HTTPS 連線。
  • 確定 Web 應用程式伺服器和 AD FS 伺服器之間有允許傳輸驗證要求的 HTTP/HTTPS 連線。

顯示 [Web 應用程式 Proxy 伺服器] 頁面的螢幕擷取畫面。

系統會提示您輸入認證,讓 Web 應用程式伺服器可以建立與 AD FS 伺服器的安全連線。 這些認證必須用於 AD FS 伺服器上的本機系統管理員帳戶。

顯示 [認證] 頁面的螢幕擷取畫面。已在使用者名稱欄位和密碼欄位中輸入系統管理員認證。

指定 AD FS 服務的服務帳戶

AD FS 服務需要網域服務帳戶來驗證使用者,以及在 Active Directory 中查閱使用者資訊。 它可支援兩種類型的服務帳戶:

  • 群組受控服務帳戶:此帳戶類型是由 Windows Server 2012 在 AD DS 中導入的。 此類型的帳戶會提供 AD FS 之類的服務。 這是不需要定期更新密碼的單一帳戶。 如果您在 AD FS 伺服器所屬的網域中已經有 Windows Server 2012 網域控制站,請使用此選項。
  • 網域使用者帳戶:此類型的帳戶會要求提供密碼,以及在過期時定期更新。 只有當您在 AD FS 伺服器所屬的網域中沒有 Windows Server 2012 網域控制站時,才能使用此選項。

如果您選取了 [建立群組受控服務帳戶],而這項功能從未在 Active Directory 中使用過,請輸入您的企業系統管理員認證。 這些認證會用來啟動金鑰存放區,並在 Active Directory 中啟用這項功能。

注意

Azure AD Connect 會檢查 AD FS 服務是否已註冊為網域中的服務主體名稱 (SPN)。 AD DS 不允許同時註冊重複的 SPN。 如果發現重複的 SPN,則必須先移除 SPN 才可繼續作業。

顯示 [ADFS 服務帳戶] 頁面的螢幕擷取畫面。

選取要建立同盟的 Azure AD 網域

使用 [Azure AD 網域] 頁面,設定 AD FS 與 Azure AD 之間的同盟關係。 在這裡,您會設定 AD FS 來對 Azure AD 提供安全性權杖。 您也會設定 Azure AD,以信任此 AD FS 執行個體中的權杖。

在此頁面上,您只能在初始安裝中設定單一網域。 您可稍後再次執行 Azure AD Connect 以設定其他網域。

顯示 [Azure AD 網域] 頁面的螢幕擷取畫面。

驗證所選取用於同盟的 Azure AD 網域

當您選取要建立同盟的網域時,Azure AD Connect 會提供所需資訊讓您用來驗證尚未驗證的網域。 如需詳細資訊,請參閱新增並驗證網域

顯示 [Azure AD 網域] 頁面的螢幕擷取畫面,包括可用來驗證網域的資訊。

注意

Azure AD Connect 會嘗試在設定階段驗證網域。 若未新增必要的網域名稱系統 (DNS) 記錄,則無法完成設定。

設定與 PingFederate 的同盟

只要按幾下滑鼠,即可使用 Azure AD Connect 設定 PingFederate。 需要下列必要條件:

驗證網域

當您選擇使用 PingFederate 來設定同盟後,系統會要求您驗證要建立同盟的網域。 從下拉式功能表中選取網域。

顯示 [Azure AD 網域] 頁面的螢幕擷取畫面。已選取範例網域

匯出 PingFederate 設定

將 PingFederate 設為每個同盟 Azure 網域的同盟伺服器。 選取 [匯出設定],以與 PingFederate 管理員共用此資訊。 同盟伺服器管理員會更新設定,然後提供 PingFederate 伺服器的 URL 和連接埠號碼,讓 Azure AD Connect 能夠驗證中繼資料設定。

顯示 [PingFederate 設定] 頁面的螢幕擷取畫面。[匯出設定] 按鈕顯示在頁面頂端的附近。

若有任何驗證問題,請連絡您的 PingFederate 管理員加以解決。 下圖顯示與 Azure 之間沒有有效信任關係的 PingFederate 伺服器的相關資訊。

顯示伺服器資訊的螢幕擷取畫面:已找到 PingFederate 伺服器,但 Azure 的服務提供者連線遺失或停用。

驗證同盟連線能力

Azure AD Connect 會嘗試驗證在上一個步驟中從 PingFederate 中繼資料擷取的驗證端點。 Azure AD Connect 會先嘗試使用本機 DNS 伺服器解析這些端點。 接著,會嘗試使用外部 DNS 提供者來解析端點。 若有任何驗證問題,請連絡您的 PingFederate 管理員加以解決。

顯示 [驗證連線] 頁面的螢幕擷取畫面。

驗證同盟登入

最後,您可以藉由登入同盟網域,來驗證新設定的同盟登入流程。 如果登入成功,即表示與 PingFederate 的同盟已成功設定。

顯示 [驗證同盟登入] 頁面的螢幕擷取畫面。底部的訊息指出登入成功。

設定並確認頁面

設定會在 [設定] 頁面上進行。

注意

如果您設定了同盟,請先確定您已設定同盟伺服器的名稱解析,再繼續進行安裝。

顯示 [已可設定] 頁面的螢幕擷取畫面。

使用預備模式

您可以在預備模式下同時設定新的同步處理伺服器。 如果要使用此設定,則只有一個同步處理伺服器可匯出至雲端中的一個目錄。 但如果您想要從另一個伺服器移動,例如執行 DirSync 的伺服器,可以啟用預備模式中的 Azure AD Connect。

當您啟用預備設定時,同步處理引擎會正常匯入和同步處理資料。 但不會將資料匯出至 Azure AD 或 Active Directory。 在預備模式中,會停用密碼同步處理功能和密碼回寫功能。

顯示 [啟用預備模式] 選項的螢幕擷取畫面。

在預備模式中,您可以對同步處理引擎進行必要的變更,並檢查將匯出的項目。 當此組態看起來設定良好時,請再次執行安裝精靈,並停用預備模式。

資料此時會從伺服器匯出至 Azure AD。 同時請務必停用其他伺服器,如此才能只讓一部伺服器主動匯出。

如需詳細資訊,請參閱預備模式

驗證同盟組態

當您選取 [驗證] 按鈕時,Azure AD Connect 會驗證 DNS 設定。 它會檢查下列設定:

  • 內部網路連線
    • 解析同盟 FQDN:Azure AD Connect 會檢查 DNS 是否可解析同盟 FQDN,以確保連線能力。 如果 Azure AD Connect 無法解析 FQDN,則驗證會失敗。 若要完成驗證,請確定同盟服務 FQDN 有 DNS 記錄存在。
    • DNS A 記錄:Azure AD Connect 會檢查同盟服務是否有 A 記錄。 若沒有 A 記錄,驗證就會失敗。 若要完成驗證,請為您的同盟 FQDN 建立 A 記錄 (而非 CNAME 記錄)。
  • 外部網路連線
    • 解析同盟 FQDN:Azure AD Connect 會檢查 DNS 是否可解析同盟 FQDN,以確保連線能力。

      顯示 [安裝完成] 頁面的螢幕擷取畫面。

      顯示 [安裝完成] 頁面的螢幕擷取畫面。訊息指出內部網路設定已驗證。

若要驗證端對端驗證,請手動執行下列一或多項測試:

  • 同步處理完成後,請在 Azure AD Connect 中使用 [驗證同盟登入] 額外工作來驗證您所選擇的內部部署使用者帳戶的驗證。
  • 從內部網路上已加入網域的機器,確定您可以從瀏覽器登入。 連接到 https://myapps.microsoft.com。 然後,使用您已登入的帳戶來驗證登入。 內建 AD DS 系統管理員帳戶未同步處理,而且您無法使用它進行驗證。
  • 確定您可以從外部網路上的裝置登入。 在家庭電腦或行動裝置上,連線至 https://myapps.microsoft.com。 然後,提供您的認證。
  • 驗證豐富型用戶端登入。 連接到 https://testconnectivity.microsoft.com。 接著,選取 [Office 365]>[Office 365 單一登入測試]。

疑難排解

本節包含您在安裝 Azure AD Connect 期間遇到問題時可使用的疑難排解資訊。

在自訂 Azure AD Connect 安裝時,您可以在 [安裝必要的元件] 頁面上選取 [使用現有的 SQL Server]。 您可能會看到下列錯誤:「ADSync 資料庫已包含資料,且無法覆寫。 請移除現有資料庫,然後再試一次。」

顯示 [安裝必要元件] 頁面的螢幕擷取畫面。頁面底部顯示發生錯誤。

之所以會出現此錯誤,因為您指定之 SQL Server 的 SQL 執行個體上已有名為 ADSync 的資料庫。

此錯誤通常會在解除安裝 Azure AD Connect 後出現。 在解除安裝 Azure AD Connect 時,資料庫並未從執行 SQL Server 的電腦中刪除。

若要修正這個問題:

  1. 在解除安裝 Azure AD Connect 之前,檢查其使用的 ADSync 資料庫。 請確定該資料庫已不再使用。

  2. 備份資料庫。

  3. 刪除資料庫:

    1. 使用 Microsoft SQL Server Management Studio 連線至 SQL 執行個體。
    2. 尋找 ADSync 資料庫,並在其上按一下滑鼠右鍵。
    3. 在捷徑功能表上,選取 [刪除]。
    4. 選取 [確定] 以刪除資料庫。

顯示 Microsoft SQL Server Management Studio 的螢幕擷取畫面。已選取 AD Sync。

刪除 ADSync 資料庫後,請選取 [安裝] 以重試安裝。

後續步驟

安裝完成後,請登出 Windows。 然後,重新登入,再使用 Synchronization Service Manager 或同步處理規則編輯器。

現在您已安裝 Azure AD Connect,接下來可以驗證安裝和指派授權

如需與您在安裝期間啟用的功能有關的詳細資訊,請參閱防止意外刪除Azure AD Connect Health

如需其他常見主題的詳細資訊,請參閱 Azure AD Connect 同步處理:排程器整合內部部署身分識別與 Azure AD