當您想要更多安裝選項時,請在 Microsoft Entra Connect 中使用「自訂設定」。 舉例來說,如果您有多個樹系,或您想要設定選用功能,即可使用這些設定。 一旦快速安裝不符合您的部署或拓撲需求,就可以使用自訂設定。
先決條件:
若要設定 Microsoft Entra Connect 的自訂安裝,請完成下列各節說明的精靈頁面。
在 [快速設定] 頁面上選取 [自訂],開始進行自訂設定安裝。 本文的後續內容會引導您完成自訂安裝程序。 使用下列連結可快速移至特定頁面的資訊:
在安裝同步處理服務時,您可以將選用設定區段保留為未選取。 Microsoft Entra Connect 會自動設定所有項目。 它會設定 SQL Server 2019 Express LocalDB 執行個體、建立適當的群組,以及指派權限。 如果您想要變更預設值,請選取適當的方塊。 下表摘要說明這些選項,並提供其他資訊的連結。
| 選用設定 | 描述 |
|---|---|
| 指定自訂安裝位置 | 可讓您變更 Microsoft Entra Connect 的預設安裝路徑。 |
| 使用現有的 SQL Server | 可讓您指定 SQL Server 名稱和執行個體名稱。 如果您已有想要使用的資料庫伺服器,請選擇這個選項。 針對 [執行個體名稱],如果您的 SQL Server 執行個體未啟用瀏覽功能,請輸入執行個體名稱、逗號和連接埠號碼。 然後,指定 Microsoft Entra Connect 資料庫的名稱。 您的 SQL 權限會決定是可以建立新的資料庫,還是須由 SQL 系統管理員事先建立資料庫。 如果您有 SQL Server 系統管理員 (SA) 權限,請參閱使用現有資料庫來安裝 Microsoft Entra Connect (部分機器翻譯)。 如果您有委派權限 (DBO),請參閱使用 SQL 委派系統管理員權限來安裝 Microsoft Entra Connect (部分機器翻譯)。 |
| 使用現有的服務帳戶 | 根據預設,Microsoft Entra Connect 會提供用於同步處理服務的虛擬服務帳戶。 如果您使用 SQL Server 的遠端執行個體,或使用需要驗證的 Proxy,您可以使用受控服務帳戶,或網域中受密碼保護的服務帳戶。 在這類情況下,請輸入您要使用的帳戶。 若要執行安裝,您必須是 SQL 中的 SA,才能建立服務帳戶的登入認證。 如需詳細資訊,請參閱 Microsoft Entra Connect 帳戶和權限 (部分機器翻譯)。 現在,SQL 系統管理員可以使用最新的組建在頻外佈建資料庫。 然後,Microsoft Entra Connect 系統管理員可使用資料庫擁有者權限加以安裝。 如需詳細資訊,請參閱使用 SQL 委派系統管理員權限來安裝 Microsoft Entra Connect (部分機器翻譯)。 |
| 指定自訂同步群組 | 根據預設,在安裝同步處理服務時,Microsoft Entra Connect 會建立四個位於伺服器本機的群組。 這些群組是「系統管理員」、「操作員」、「瀏覽」和「密碼重設」。 您可以在此指定自己的群組。 這些群組位於伺服器本機。 不可位於網域中。 |
| 匯入同步處理設定 | 可讓您匯入其他版本的 Microsoft Entra Connect 設定。 如需詳細資訊,請參閱匯入和匯出 Microsoft Entra Connect 組態設定。 |
安裝必要元件後,請選取使用者的單一登入方法。 下表概述可用的選項。 如需登入方法的完整說明,請參閱使用者登入。
![顯示 [使用者登入] 頁面的螢幕擷取畫面。已選取 [密碼雜湊同步] 選項。](media/how-to-connect-install-custom/usersignin4.png)
| 單一登入選項 | 描述 |
|---|---|
| 密碼雜湊同步 | 使用者可使用他們在內部部署網路中使用的相同密碼登入 Microsoft 雲端服務,例如 Microsoft 365。 使用者密碼會以密碼雜湊的形式同步處理至 Microsoft Entra ID。 驗證會在雲端中進行。 如需詳細資訊,請參閱密碼雜湊同步處理。 |
| 傳遞驗證 | 使用者可使用他們在內部部署網路中使用的相同密碼登入 Microsoft 雲端服務,例如 Microsoft 365。 使用者密碼會藉由傳遞至內部部署 Active Directory 網域控制站來進行驗證。 |
| 與 AD FS 同盟 | 使用者可使用他們在內部部署網路中使用的相同密碼登入 Microsoft 雲端服務,例如 Microsoft 365。 使用者會重新導向至其內部部署 Azure Directory 同盟服務 (AD FS) 執行個體,以進行登入。 驗證會在內部部署進行。 |
| 與 PingFederate 同盟 | 使用者可使用他們在內部部署網路中使用的相同密碼登入 Microsoft 雲端服務,例如 Microsoft 365。 使用者會重新導向至其內部部署 PingFederate 執行個體以進行登入。 驗證會在內部部署進行。 |
| 不要設定 | 不會安裝或設定任何使用者登入功能。 如果您已有第三方同盟伺服器或其他既有的解決方案,請選擇此選項。 |
| 啟用單一登入 | 此選項對於密碼雜湊同步處理和傳遞驗證均適用。 它可為公司網路上的桌面使用者提供單一登入體驗。 如需詳細資訊,請參閱單一登入。 注意:此選項不適用於 AD FS 客戶。 AD FS 已提供相同層級的單一登入。 |
在 [連線到 Microsoft Entra ID] 頁面中,輸入混合式身分識別管理員帳戶與密碼。 如果您在上一頁選取了 [與 AD FS 同盟],請勿使用您打算啟用同盟的網域中的帳戶來登入。
您可以使用 Microsoft Entra 租用戶內預設 onmicrosoft.com 網域中的帳戶。 此帳戶只會用來在 Microsoft Entra ID 中建立服務帳戶。 安裝完成後,就不會再加以使用。
注意
最好的做法是避免針對 Microsoft Entra 角色指派使用內部部署同步的帳戶。 如果內部部署帳戶遭到入侵,則這也可以用來危害您的 Microsoft Entra 資源。 如需完整的最佳做法清單,請參閱 Microsoft Entra 角色的最佳做法 (部分機器翻譯)
![顯示 [連線至 Microsoft Entra ID] 頁面的螢幕擷取畫面。](media/how-to-connect-install-custom/connectaad.png)
如果您的全域系統管理員帳戶已啟用多重要素驗證,則要在登入視窗中再次提供密碼,而且您必須完成多重要素驗證挑戰。 該挑戰可能是驗證碼或撥打電話。
![顯示 [連線至 Microsoft Entra ID] 頁面的螢幕擷取畫面。多重要素驗證欄位會提示使用者輸入驗證碼。](media/how-to-connect-install-custom/connectaadmfa.png)
全域系統管理員帳戶也可以啟用 Privileged Identity Management (部分機器翻譯)。
若要針對非密碼案例使用驗證支援 (例如同盟帳戶、智慧卡和 MFA 案例),您可以在啟動精靈時提供 /InteractiveAuth 切換參數。 使用此切換參數將會略過精靈的驗證使用者介面,並使用 MSAL 程式庫的 UI 來處理驗證。
如果連線發生錯誤或有問題,請參閱對連線問題進行疑難排解。
下列各節說明同步處理一節中的頁面。
若要連線至 Active Directory Domain Services (AD DS),Microsoft Entra Connect 需要樹系名稱和具有足夠權限的帳戶認證。
![顯示 [連接您的目錄] 頁面的螢幕擷取畫面。](media/how-to-connect-install-custom/connectdir01.png)
在輸入樹系名稱後選取 [新增目錄],將會出現一個視窗。 下表說明您的選項。
| 選項 | 描述 |
|---|---|
| 建立新帳戶 | 建立在目錄同步處理期間,Microsoft Entra Connect 連線至 Active Directory 樹系所需的 AD DS 帳戶。 在選取此選項後,輸入企業系統管理員帳戶的使用者名稱和密碼。 Microsoft Entra Connect 會使用提供的企業系統管理員帳戶來建立必要的 AD DS 帳戶。 您可以用 NetBIOS 格式或 FQDN 格式輸入網域部分。 也就是說,輸入 FABRIKAM\administrator 或 fabrikam.com\administrator。 |
| 使用現有帳戶 | 提供在目錄同步處理期間可讓 Microsoft Entra Connect 用來連線至 Active Directory 樹系的現有 AD DS 帳戶。 您可以用 NetBIOS 格式或 FQDN 格式輸入網域部分。 也就是說,輸入 FABRIKAM\syncuser 或 fabrikam.com\syncuser。 此帳戶可以是一般使用者帳戶,因為只需要預設的讀取權限。 不過,視您的情況而定,也可能需要更多權限。 如需詳細資訊,請參閱 Microsoft Entra Connect 帳戶和權限 (部分機器翻譯)。 |
![顯示 [連接目錄] 頁面和 AD 樹系帳戶視窗的螢幕擷取畫面,其中您可以選擇建立新帳戶或使用現有帳戶。](media/how-to-connect-install-custom/connectdir02.png)
注意
從組建 1.4.18.0 起,您已無法使用企業系統管理員或網域系統管理員帳戶來做為 AD DS 連接器帳戶。 當您選取 [使用現有帳戶] 時,如果您嘗試輸入企業系統管理員帳戶或網域系統管理員帳戶,則會看到下列錯誤:「不允許使用企業或網域系統管理員帳戶來作為 AD 樹系帳戶。 請讓 Microsoft Entra Connect 為您建立帳戶,或指定具有正確權限的同步處理帳戶。」
在 [Microsoft Entra 登入設定] 頁面上,檢閱內部部署 AD DS 中的使用者主體名稱 (UPN) 網域。 這些 UPN 網域已在 Microsoft Entra ID 中驗證過。 在此頁面上,您可以設定要用於 userPrincipalName 的屬性。
![顯示 [Microsoft Entra 登入設定] 頁面上有未驗證網域的螢幕擷取畫面。](media/how-to-connect-install-custom/aadsigninconfig2.png)
檢閱每個標示為 [未新增] 或 [未驗證] 的網域。 確定您所使用的網域已在 Microsoft Entra ID 中完成驗證。 驗證網域後,請選取循環重新整理圖示。 如需詳細資訊,請參閱新增並驗證網域。
使用者在登入 Microsoft Entra ID 和 Microsoft 365 時,會使用「userPrincipalName」屬性。 Microsoft Entra ID 應在同步處理使用者之前驗證網域 (也稱為 UPN 尾碼)。 Microsoft 建議您保留預設屬性 userPrincipalName。
如果 userPrincipalName 屬性不可路由且無法驗證,您可以選取另一個屬性。 例如,您可以選取電子郵件作為保存登入識別碼的屬性。 若使用 userPrincipalName 以外的屬性,我們會稱之為替代識別碼。
「替代識別碼」屬性值必須遵守 RFC 822 標準。 您可以搭配使用替代識別碼與密碼雜湊同步處理、傳遞驗證和同盟。 在 Active Directory 中,屬性不能定義為多重值,即使只有單一值也一樣。 如需替代識別碼的詳細資訊,請參閱傳遞驗證:常見問題集。
注意
當您啟用傳遞驗證時,您至少要有一個已驗證的網域才能繼續執行自訂安裝程序。
警告
替代識別碼無法與所有的 Microsoft 365 工作負載相容。 如需詳細資訊,請參閱設定替代登入識別碼。
根據預設,所有網域和組織單位 (OU) 都會同步處理。 如果您不想將某些網域或 OU 同步處理至 Microsoft Entra ID,可以清除適當選取項目。
此頁面會設定網域型和 OU 型篩選。 如果您打算進行變更,請參閱網域型篩選和 OU 型篩選。 某些 OU 是功能運作不可或缺的,因此您應保留其選取狀態。
如果您使用 OU 型篩選搭配早於 1.1.524.0 的 Microsoft Entra Connect 版本,則依預設會同步處理新的 OU。 如果不要同步處理新 OU,您可以在 OU 型篩選步驟之後調整預設行為。 對於 Microsoft Entra Connect 1.1.524.0 或更新版本,您可以指出是否要同步處理新的 OU。
如果您打算使用群組型篩選,請確定已包含具有群組的 OU,且不會使用 OU 篩選加以篩選。 OU 篩選會在群組型篩選之前先受到評估。
此外,也可能因防火牆限制而無法連線到某些網域。 依預設不會選取這些網域,且會顯示警告。
如果您看到此警告,請確定這些網域確實無法連線,因此預期會有警告。
在 [識別使用者] 頁面上,選擇如何識別內部部署目錄中的使用者,以及如何使用 sourceAnchor 屬性加以識別。
使用「跨樹系比對」功能,可以定義 AD DS 樹系中的使用者在 Microsoft Entra ID 中的顯示方式。 使用者可能只會在各個樹系間顯示一次,或可能會有啟用和停用帳戶的組合。 使用者也可能顯示為某些樹系中的連絡人。
| 設定 | 描述 |
|---|---|
| 使用者只會在各個樹系間顯示一次 | 在 Microsoft Entra ID 中,所有使用者會都建立為個別物件。 這些物件不會在 Metaverse 中聯結。 |
| 郵件屬性 | 如果電子郵件屬性在不同的樹系中具有相同的值,則此選項將連接使用者和連絡人。 如果您的連絡人是使用 GALSync 建立的,請使用此選項。 如果選擇此選項,則郵件屬性未填入的使用者物件將不會同步處理至 Microsoft Entra ID。 |
| ObjectSID 和 msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID 屬性 | 此選項會聯結帳戶樹系中已啟用的使用者與資源樹系中已停用的使用者。 在 Exchange 中,此組態稱為連結信箱。 如果您僅使用 Lync,且資源樹系中沒有 Exchange,則可以使用此選項。 |
| SAMAccountName 和 MailNickName 屬性 | 此選項會在預期可以找到使用者登入識別碼的屬性中聯結。 |
| 選擇特定屬性 | 此選項可讓您選擇自己的屬性。 如果選擇此選項,則 (已選取) 屬性未填入的使用者物件將不會同步處理至 Microsoft Entra ID。 限制:只有已在 Metaverse 中的屬性,才可用於此選項。 |
SourceAnchor 屬性在使用者物件的存留期間是不可變的。 這是連結內部部署使用者與 Microsoft Entra ID 使用者的主索引鍵。
| 設定 | 描述 |
|---|---|
| 讓 Azure 管理來源錨點 | 如果您想要 Microsoft Entra ID 為您挑選屬性,請選取此選項。 如果選取此選項,Microsoft Entra Connect 將會套用使用 ms-DS-ConsistencyGuid 作為 sourceAnchor 中說明的 sourceAnchor 屬性選取邏輯。 自訂安裝完成後,您就會看到哪個屬性被選為 sourceAnchor 屬性。 |
| 選擇特定屬性 | 如果您想要指定現有的 AD 屬性作為 sourceAnchor 屬性,請選取此選項。 |
由於 sourceAnchor 屬性無法變更,您必須選擇適當的屬性。 objectGUID 就是不錯的選項。 只要使用者帳戶未在樹系或網域之間移動,此屬性就不會變更。 請勿選擇可能隨著使用者結婚或變更指派而變更的屬性。
您不可使用包含 @ 符號的屬性,因此無法使用電子郵件和 userPrincipalName。 屬性也會區分大小寫,因此在樹系間移動物件時,請務必保留大小寫。 二進位屬性會以 Base64 編碼,但其他屬性類型則會維持未編碼狀態。
在同盟案例和部分 Microsoft Entra ID 介面中,sourceAnchor 屬性也稱為「immutableID」。
如需來源錨點的詳細資訊,請參閱設計概念。
篩選群組功能可讓您僅同步處理一小部分的物件以進行試驗。 若要使用這項功能,請在內部部署 Active Directory 執行個體中建立此目的專用的群組。 然後新增應該同步處理至 Microsoft Entra ID 作為直接成員的使用者和群組。 您稍後可在此群組中新增或移除使用者,藉以維護應顯示在 Microsoft Entra ID 中的物件清單。
您想要同步處理的所有物件,都必須是直接隸屬於群組的成員。 使用者、群組、連絡人和電腦或裝置全都必須是直接成員。 系統不會解析巢狀群組成員資格。 當您新增群組作為成員時,只會新增群組本身。 並不會新增其成員。
警告
這項功能僅用來支援試驗部署。 請勿將其用於完整的生產部署。
在完整的生產部署中,很難維護單一群組及其所有要同步處理的物件。 使用設定篩選中說明的其中一個方法,而不是按群組篩選的功能。
在下一個頁面中,您可以為自己的案例選取選用功能。
警告
Microsoft Entra Connect 1.0.8641.0 版和較早版本會依賴 Azure 存取控制服務來進行密碼回寫。 此服務已於 2018 年 11 月 7 日淘汰。 如果您使用上述任何版本的 Microsoft Entra Connect 並已啟用密碼回寫,當服務淘汰後,使用者可能會無法變更或重設其密碼。 這些版本的 Microsoft Entra Connect 不支援密碼回寫。
如果您想要使用密碼回寫,請下載最新版本的 Microsoft Entra Connect (英文)。
![顯示 [選用功能] 頁面的螢幕擷取畫面。](media/how-to-connect-install-custom/optional2a.png)
警告
如果 Azure AD 同步或 Direct Synchronization (DirSync) 處於作用中狀態,請勿在 Microsoft Entra Connect 中啟動任何回寫功能。
| 選用功能 | 描述 |
|---|---|
| Exchange 混合式部署 | Exchange 混合式部署功能允許 Exchange 信箱並存於內部部署環境和 Microsoft 365 中。 Microsoft Entra Connect 會將一組特定的屬性 (部分機器翻譯) 從 Microsoft Entra 同步處理回內部部署目錄。 |
| Exchange 郵件公用資料夾 | Exchange 郵件公用資料夾功能可讓您將擁有郵件功能的公用資料夾物件從內部部署 Active Directory 執行個體同步處理至 Microsoft Entra ID。 請注意,不支援同步包含公用資料夾作為成員的群組,而且嘗試這樣做將會導致同步錯誤。 |
| Microsoft Entra 應用程式和屬性篩選 | 您可以啟用 Microsoft Entra 應用程式和屬性篩選,以自訂同步處理的屬性集。 這個選項會在精靈中另外新增兩個組態頁面。 如需詳細資訊,請參閱 Microsoft Entra 應用程式和屬性篩選。 |
| 密碼雜湊同步 | 如果您選取同盟作為登入解決方案,則可以啟用密碼雜湊同步處理。 然後,您可以將其作為備份選項。 如果您選取了傳遞驗證,則可以啟用此選項,以確保能支援舊版用戶端並提供備份。 如需詳細資訊,請參閱密碼雜湊同步 (部分機器翻譯)。 |
| 密碼回寫 | 使用此選項,可確保 Microsoft Entra ID 中產生的密碼變更會回寫至內部部署目錄。 如需詳細資訊,請參閱開始使用密碼管理。 |
| 群組回寫 | 如果您使用 Microsoft 365 群組,則可以在 Active Directory 的內部部署執行個體中顯示群組。 只有您在 Active Directory 的內部部署執行個體中有 Exchange 時,才能使用此選項。 如需詳細資訊,請參閱 Microsoft Entra Connect 群組回寫 (部分機器翻譯)。 |
| 裝置回寫 | 對於條件式存取案例,請使用此選項將 Microsoft Entra ID 中的裝置物件回寫至 Active Directory 的內部部署執行個體。 如需詳細資訊,請參閱在 Microsoft Entra Connect 中啟用裝置回寫 (部分機器翻譯)。 |
| 目錄擴充屬性同步處理 | 選取此選項,可將指定的屬性同步處理至 Microsoft Entra ID。 如需詳細資訊,請參閱目錄擴充。 |
如果您想要限制要將哪些屬性同步處理至 Microsoft Entra ID,請先選取您所使用的服務。 如果您變更此頁面上的選取項目,則必須重新執行安裝精靈以明確選取新的服務。
根據您在先前的步驟中選取的服務,此頁面會顯示將同步處理的所有屬性。 這份清單是正在同步處理的所有物件類型的組合。 如果您需要讓某些屬性保持未同步處理的狀態,您可以從這些屬性清除選取項目。
警告
移除可能影響功能的屬性。 如需最佳做法和建議,請參閱要同步處理的屬性。
您可以使用組織新增的自訂屬性,或使用 Active Directory 中的其他屬性,來擴充 Microsoft Entra ID 中的結構描述。 若要使用這項功能,請選取 [選用功能] 頁面上的 [目錄擴充屬性同步處理]。在 [目錄擴充] 頁面上,您可以選取更多要同步的屬性。
注意
[可用屬性] 欄位會區分大小寫。
![顯示 [目錄擴充] 頁面的螢幕擷取畫面。](media/how-to-connect-install-custom/extension2.png)
如需詳細資訊,請參閱目錄擴充。
在 [單一登入] 頁面上,您可以設定單一登入,使其與密碼同步處理或傳遞驗證搭配使用。 每個同步處理至 Microsoft Entra ID 的樹系,分別須執行此步驟一次。 設定時須執行兩個步驟:
對於在 Microsoft Entra Connect 中新增的每個樹系,您必須提供網域系統管理員認證,才能在每個樹系中建立電腦帳戶。 認證只會用來建立帳戶。 認證並不會儲存或用於任何其他作業。 在 [啟用單一登入] 頁面上新增認證,如下圖所示。
![顯示 [啟用單一登入] 頁面的螢幕擷取畫面。已新增樹系認證。](media/how-to-connect-install-custom/enablesso.png)
注意
您可以略過不要使用單一登入的樹系。
若要確保用戶端會自動登入內部網路區域,請確定 URL 屬於內部網路區域。 此步驟可確保加入網域的電腦會在連線至公司網路時自動將 Kerberos 票證傳送至 Microsoft Entra ID。
在具有群組原則管理工具的電腦上:
開啟群組原則管理工具。
編輯會套用至所有使用者的群組原則。 例如,預設網域原則。
移至 [使用者設定]>[系統管理範本]>[Windows 元件]>[Internet Explorer]>[網際網路控制台]>[安全性頁面]。 然後選取 [指派網站到區域清單]。
啟用原則。 然後,在對話方塊中,輸入值名稱 https://autologon.microsoftazuread-sso.com 和 https://aadg.windows.net.nsatc.net,並針對這兩個 URL 輸入 1 的值。 您的設定應如下圖所示。
選取 [確定] 兩次。
只要按幾下滑鼠,即可使用 Microsoft Entra Connect 來設定 AD FS。 開始之前,您需要:
注意
即使您未使用 Microsoft Entra Connect 來管理您的同盟信任,您也可以使用 Microsoft Entra Connect 來更新 AD FS 伺服器陣列的 TLS/SSL 憑證。
若要使用 Microsoft Entra Connect 設定 AD FS 伺服器陣列,請確定已在遠端伺服器啟用 WinRM。 確定您已完成同盟必要條件中的其他工作。 此外,請務必遵循 Microsoft Entra Connect 和同盟/WAP 伺服器 (部分機器翻譯) 資料表中所列的連接埠需求。
您可以使用現有的 AD FS 伺服器陣列,或建立新的伺服器陣列。 如果您選擇建立新的伺服器陣列,就必須提供 TLS/SSL 憑證。 如果 TLS/SSL 憑證受到密碼保護,則系統會提示您提供密碼。
![顯示 [AD FS 伺服器陣列] 頁面的螢幕擷取畫面](media/how-to-connect-install-custom/adfs1.png)
如果您選擇使用現有的 AD FS 伺服器陣列,則會看到可供您在 AD FS 和 Microsoft Entra ID 之間設定信任關係的頁面。
注意
Microsoft Entra Connect 只能用來管理一個 AD FS 伺服器陣列。 如果您有現有的同盟信任,且已在選取的 AD FS 伺服器陣列上設定了 Microsoft Entra ID,則 Microsoft Entra Connect 會從頭重新建立信任。
指定要安裝 AD FS 的伺服器。 您可以根據容量規劃需求,加入一個或多部伺服器。 設定此組態之前,請先將所有 AD FS 伺服器加入 Active Directory。 Web 應用程式 Proxy 伺服器不需要此步驟。
Microsoft 建議安裝單一 AD FS 伺服器以進行測試和試驗部署。 完成初始設定之後,您可以透過再次執行 Microsoft Entra Connect,新增及部署更多伺服器以符合您的規模調整需求。
注意
設定此設定之前,請確定您的所有伺服器都已加入 Microsoft Entra 網域。
![顯示 [同盟伺服器] 頁面的螢幕擷取畫面。](media/how-to-connect-install-custom/adfs2.png)
指定您的 Web 應用程式 Proxy 伺服器。 Web 應用程式 Proxy 伺服器會部署在周邊網路中,並且向外部網路開放。 其支援來自外部網路的驗證要求。 您可以根據容量規劃需求,加入一個或多部伺服器。
Microsoft 建議安裝一個專門用於測試和試驗部署的 Web 應用程式 Proxy 伺服器。 完成初始設定之後,您可以透過再次執行 Microsoft Entra Connect,新增及部署更多伺服器以符合您的規模調整需求。 建議您準備同樣數目的 Proxy 伺服器,以滿足來自內部網路的驗證需求。
注意
![顯示 [Web 應用程式 Proxy 伺服器] 頁面的螢幕擷取畫面。](media/how-to-connect-install-custom/adfs3.png)
系統會提示您輸入認證,讓 Web 應用程式伺服器可以建立與 AD FS 伺服器的安全連線。 這些認證必須用於 AD FS 伺服器上的本機系統管理員帳戶。
![顯示 [認證] 頁面的螢幕擷取畫面。已在 [使用者名稱] 欄位和 [密碼] 欄位中輸入系統管理員認證。](media/how-to-connect-install-custom/adfs4.png)
AD FS 服務需要網域服務帳戶來驗證使用者,以及在 Active Directory 中查閱使用者資訊。 其可支援兩種類型的服務帳戶:
如果您選取了 [建立群組受控服務帳戶],而這項功能從未在 Active Directory 中使用過,請輸入您的企業系統管理員認證。 這些認證會用來啟動金鑰存放區,並在 Active Directory 中啟用這項功能。
注意
Microsoft Entra Connect 會檢查 AD FS 服務是否已註冊為網域中的服務主體名稱 (SPN)。 AD DS 不允許同時註冊重複的 SPN。 如果發現重複的 SPN,則必須先移除 SPN 才可繼續作業。
![顯示 [AD FS 服務帳戶] 頁面的螢幕擷取畫面。](media/how-to-connect-install-custom/adfs5.png)
使用 [Microsoft Entra 網域] 頁面,設定 AD FS 與 Microsoft Entra ID 之間的同盟關係。 在這裡,您會設定 AD FS 來對 Microsoft Entra ID 提供安全性權杖。 您也會設定 Microsoft Entra ID,以信任此 AD FS 執行個體中的權杖。
在此頁面上,您只能在初始安裝中設定單一網域。 您可以稍後再次執行 Microsoft Entra Connect 來設定更多網域。
![顯示 [Microsoft Entra 網域] 頁面的螢幕擷取畫面。](media/how-to-connect-install-custom/adfs6.png)
當您選取要建立同盟的網域時,Microsoft Entra Connect 會提供所需資訊讓您用來驗證尚未驗證的網域。 如需詳細資訊,請參閱新增並驗證網域。
![顯示 [Microsoft Entra 網域] 頁面的螢幕擷取畫面,包括可用來驗證網域的資訊。](media/how-to-connect-install-custom/verifyfeddomain.png)
注意
Microsoft Entra Connect 會嘗試在設定階段驗證網域。 若未新增必要的網域名稱系統 (DNS) 記錄,則無法完成設定。
只要按幾下滑鼠,即可使用 Microsoft Entra Connect 來設定 PingFederate。 需要下列必要條件:
當您選擇使用 PingFederate 來設定同盟後,系統會要求您驗證要建立同盟的網域。 從下拉式功能表中選取網域。
![顯示 [Microsoft Entra 網域] 頁面的螢幕擷取畫面。已選取範例網域「contoso.com」。](media/how-to-connect-install-custom/ping1.png)
將 PingFederate 設為每個同盟 Azure 網域的同盟伺服器。 選取 [匯出設定],以與 PingFederate 管理員共用此資訊。 同盟伺服器管理員會更新設定,然後提供 PingFederate 伺服器的 URL 和連接埠號碼,讓 Microsoft Entra Connect 能夠驗證中繼資料設定。
![顯示 [PingFederate 設定] 頁面的螢幕擷取畫面。[匯出設定] 按鈕會出現在頁面頂端附近。](media/how-to-connect-install-custom/ping2.png)
若有任何驗證問題,請連絡您的 PingFederate 管理員加以解決。 下圖顯示與 Azure 之間沒有有效信任關係的 PingFederate 伺服器的相關資訊。
Microsoft Entra Connect 會嘗試驗證在上一個步驟中從 PingFederate 中繼資料擷取的驗證端點。 Microsoft Entra Connect 會先嘗試使用本機 DNS 伺服器解析這些端點。 接著,會嘗試使用外部 DNS 提供者來解析端點。 若有任何驗證問題,請連絡您的 PingFederate 管理員加以解決。
![顯示 [驗證連線] 頁面的螢幕擷取畫面。](media/how-to-connect-install-custom/ping3.png)
最後,您可以藉由登入同盟網域,來驗證新設定的同盟登入流程。 如果登入成功,即表示與 PingFederate 的同盟已成功設定。
![顯示 [驗證同盟登入] 頁面的螢幕擷取畫面。底部的訊息指出登入成功。](media/how-to-connect-install-custom/ping4.png)
設定會在 [設定] 頁面上進行。
注意
如果您設定了同盟,請先確定您已設定同盟伺服器的名稱解析,再繼續進行安裝。
![顯示 [已可設定] 頁面的螢幕擷取畫面。](media/how-to-connect-install-custom/readytoconfigure2.png)
您可以在預備模式下同時設定新的同步處理伺服器。 如果要使用此設定,則只有一個同步處理伺服器可匯出至雲端中的一個目錄。 但如果您想要從另一個伺服器移動,例如執行 DirSync 的伺服器,可以啟用預備模式中的 Microsoft Entra Connect。
當您啟用預備設定時,同步處理引擎會正常匯入和同步處理資料。 但不會將資料匯出至 Microsoft Entra ID 或 Active Directory。 在預備模式中,會停用密碼同步處理功能和密碼回寫功能。
![顯示 [啟用預備模式] 選項的螢幕擷取畫面。](media/how-to-connect-install-custom/stagingmode.png)
在預備模式中,您可以對同步處理引擎進行必要的變更,並檢查將匯出的項目。 當此組態看起來設定良好時,請再次執行安裝精靈,並停用預備模式。
資料此時會從伺服器匯出至 Microsoft Entra ID。 同時請務必停用其他伺服器,如此才能只讓一部伺服器主動匯出。
如需詳細資訊,請參閱預備模式。
當您選取 [驗證] 按鈕時,Microsoft Entra Connect 會驗證 DNS 設定。 它會檢查下列設定:
解析同盟 FQDN:Microsoft Entra Connect 會檢查 DNS 是否可解析同盟 FQDN,以確保連線能力。
![顯示 [安裝完成] 頁面的螢幕擷取畫面。](media/how-to-connect-install-custom/completed.png)
![顯示 [安裝完成] 頁面的螢幕擷取畫面。有訊息指出已驗證內部網路設定。](media/how-to-connect-install-custom/adfs7.png)
若要驗證端對端驗證,請手動執行下列一或多項測試:
本節包含您在安裝 Microsoft Entra Connect 期間遇到問題時可使用的疑難排解資訊。
在自訂 Microsoft Entra Connect 安裝時,您可以在 [安裝必要的元件] 頁面上選取 [使用現有的 SQL Server]。 您可能會看到下列錯誤:「ADSync 資料庫已包含資料,且無法覆寫。 請移除現有資料庫,然後再試一次。」
![顯示 [安裝必要的元件] 頁面的螢幕擷取畫面。有錯誤出現在頁面底部。](media/how-to-connect-install-custom/error1.png)
之所以會出現此錯誤,因為您指定之 SQL Server 的 SQL 執行個體上已有名為 ADSync 的資料庫。
此錯誤通常會在解除安裝 Microsoft Entra Connect 後出現。 在解除安裝 Microsoft Entra Connect 時,資料庫並未從執行 SQL Server 的電腦中刪除。
若要修正這個問題:
在解除安裝 Microsoft Entra Connect 之前,檢查其使用的 ADSync 資料庫。 請確定該資料庫已不再使用。
備份資料庫。
刪除資料庫:
刪除 ADSync 資料庫後,請選取 [安裝] 以重試安裝。
安裝完成後,請登出 Windows。 然後,重新登入,再使用 Synchronization Service Manager 或同步處理規則編輯器。
安裝了 Microsoft Entra Connect 之後,您可以驗證安裝和指派授權 (部分機器翻譯)。
如需與您在安裝期間啟用的功能有關的詳細資訊,請參閱防止意外刪除 (部分機器翻譯) 和 Microsoft Entra Connect Health。
如需其他常見主題的詳細資訊,請參閱 Microsoft Entra Connect 同步:排程器 (部分機器翻譯) 和整合內部部署身分識別與 Microsoft Entra ID (部分機器翻譯)。
訓練
模組
Implement directory synchronization tools - Training
This module examines the Microsoft Entra Connect Sync and Microsoft Entra Cloud Sync installation requirements, the options for installing and configuring the tools, and how to monitor synchronization services using Microsoft Entra Connect Health.
認證
Microsoft Certified: Identity and Access Administrator Associate - Certifications
示範 Microsoft Entra ID 的功能,以現代化身分識別解決方案、實作混合式解決方案,以及實作身分識別治理。
文件
Microsoft Entra Connect 和 Microsoft Entra Connect Health 安裝藍圖。 - Microsoft Entra ID
此文件提供適用於安裝 Microsoft Entra Connect 和 Connect Health 的安裝選項和路徑概觀。
Microsoft Entra Connect:以快速設定開始使用 - Microsoft Entra ID
瞭解如何下載、安裝和執行 Microsoft Entra Connect 的安裝精靈。
Microsoft Entra Connect:設計概念 - Microsoft Entra ID
本主題詳細說明特定的實作設計領域