編輯

整合 內部部署的 Active Directory 網域與 Microsoft Entra ID

Microsoft Entra ID
Azure 虛擬網路
Azure 虛擬機器

Microsoft Entra ID 是雲端式多租使用者目錄和身分識別服務。 此參考架構顯示將內部部署的 Active Directory網域與 Microsoft Entra ID 整合的最佳做法,以提供雲端式身分識別驗證。

架構

Diagram of a hybrid cloud identity architecture that uses Microsoft Entra ID.

透過 Microsoft 365 線上存取 Visio 圖表 。 請注意,您必須有 Visio 授權才能存取此圖表。 或者,下載 此架構的 Visio 檔案 (請參閱 Visio 索引標籤 「Microsoft Entra ID」)。

注意

為了簡單起見,此圖表只會顯示與 Microsoft Entra ID 直接相關的連線,而不是在驗證和身分識別同盟中可能發生的通訊協定相關流量。 例如,Web 應用程式可能會重新導向網頁瀏覽器,以透過 Microsoft Entra ID 驗證要求。 一旦通過驗證,即可使用適當的身分識別資訊,將要求傳回 Web 應用程式。

如需其他考慮,請參閱 選擇整合內部部署的 Active Directory與 Azure 的解決方案。

元件

架構具有下列元件。

  • Microsoft Entra 租使用者 。 由組織建立的 Microsoft Entra 識別碼 實例。 其可作為雲端應用程式的目錄服務,方法是儲存從 內部部署的 Active Directory 複製的物件,並提供身分識別服務。

  • Web 層子網 。 此子網會保留執行 Web 應用程式的 VM。 Microsoft Entra ID 可作為此應用程式的身分識別代理程式。

  • 內部部署 AD DS 伺服器 。 內部部署目錄和身分識別服務。 AD DS 目錄可以與 Microsoft Entra ID 同步處理,讓其能夠驗證內部部署使用者。

  • Microsoft Entra 連線 Sync 伺服器 。 執行 Microsoft Entra 連線 同步服務的內部部署電腦 。 此服務會將內部部署的 Active Directory中保留的資訊同步處理至 Microsoft Entra ID。 例如,如果您布建或取消布建群組和內部部署使用者,這些變更會傳播至 Microsoft Entra ID。

    注意

    基於安全性考慮,Microsoft Entra ID 會將使用者的密碼儲存為雜湊。 如果使用者需要密碼重設,則必須在內部部署執行這項作業,而且必須將新的雜湊傳送至 Microsoft Entra ID。 Microsoft Entra ID P1 或 P2 版本包含的功能,可讓密碼變更在雲端中發生,然後寫回內部部署 AD DS。

  • 多層式應用程式的 VM。 如需這些資源的詳細資訊,請參閱 [執行多層式架構的 VM][implementing-a-multi-tier-architecture-on-Azure]。

案例詳細資料

潛在的使用案例

此參考架構的典型用法包括:

  • 部署在 Azure 中的 Web 應用程式,可存取屬於您組織的遠端使用者。
  • 為終端使用者實作自助式功能,例如重設其密碼,以及委派群組管理。 這需要 Microsoft Entra ID P1 或 P2 版本。
  • 內部部署網路和應用程式的 Azure VNet 未使用 VPN 通道或 ExpressRoute 線路連線的架構。

注意

Microsoft Entra ID 可以驗證存在於組織目錄中的使用者和應用程式身分識別。 某些應用程式和服務,例如 SQL Server,可能需要電腦驗證,在此情況下,此解決方案不適用。

建議

下列建議適用于大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。

設定 Microsoft Entra 連線 Sync 服務

Microsoft Entra 連線 Sync 服務可確保儲存在雲端的身分識別資訊與內部部署儲存的身分識別資訊一致。 您可以使用 Microsoft Entra 連線 軟體來安裝此服務。

實作 Microsoft Entra 連線 Sync 之前,請先判斷組織的同步處理需求。 例如,要同步處理的內容、從哪個網域,以及頻率。 如需詳細資訊,請參閱 判斷目錄同步處理需求

您可以在 VM 或裝載于內部部署的電腦上執行 Microsoft Entra 連線 Sync 服務。 根據 Active Directory 目錄中資訊的波動性,在初始同步處理與 Microsoft Entra 識別碼之後,Microsoft Entra 連線 Sync 服務的負載不太可能很高。 在 VM 上執行服務可讓您更輕鬆地視需要調整伺服器。 監視 VM 上的活動,如監視考慮一節中所述,以判斷是否需要調整。

如果您在樹系中有多個內部部署網域,建議您將整個樹系的資訊儲存和同步處理至單一 Microsoft Entra 租使用者。 篩選在多個網域中發生的身分識別資訊,讓每個身分識別只出現在 Microsoft Entra ID 中一次,而不是重複。 當資料同步處理時,重複可能會導致不一致。 如需詳細資訊,請參閱下面的拓撲一節。

使用篩選,讓只有必要的資料儲存在 Microsoft Entra ID 中。 例如,您的組織可能不想將非使用中帳戶的相關資訊儲存在 Microsoft Entra ID 中。 篩選可以是群組型、網域型、組織單位(OU)型或屬性型。 您可以結合篩選來產生更複雜的規則。 例如,您可以同步處理在定義域中具有所選屬性中特定值的物件。 如需詳細資訊,請參閱 Microsoft Entra 連線 Sync:Configure Filtering

若要實作 AD 連線同步服務的高可用性,請執行次要預備伺服器。 如需詳細資訊,請參閱拓撲建議一節。

注意

Microsoft Entra 連線雲端同步 是 Microsoft 的新供應專案,其設計目的是要符合並完成使用者、群組和連絡人同步處理至 Microsoft Entra ID 的混合式身分識別目標。 使用 Microsoft Entra Connect 雲端同步時,從 AD 佈建到 Microsoft Entra ID 的作業會在 Microsoft Online Services 中進行協調。

驗證安全性設定和原則

使用者密碼管理 。 Microsoft Entra ID P1 或 P2 版本支援密碼回寫,讓您的內部部署使用者能夠從Azure 入口網站內執行自助式密碼重設。 只有在檢閱貴組織的密碼安全性原則之後,才應該啟用此功能。 例如,您可以限制哪些使用者可以變更其密碼,而且您可以量身打造密碼管理體驗。 如需詳細資訊,請參閱 自訂密碼管理以符合貴組織的需求

保護可從外部存取的內部部署應用程式。 使用 Microsoft Entra 應用程式 Proxy,透過 Microsoft Entra 識別碼,將內部部署 Web 應用程式的受控存取權提供給來自網路外部的使用者。 只有 Azure 目錄中具有有效認證的使用者才有權使用應用程式。 如需詳細資訊,請參閱Azure 入口網站中的啟用應用程式 Proxy 一文

主動監視 Microsoft Entra 識別碼是否有可疑活動的跡象。 請考慮使用 Microsoft Entra ID P2 版本,其中包含 Microsoft Entra ID Protection。 Identity Protection 會使用調適型機器學習演算法和啟發學習法來偵測可能表示身分識別遭到入侵的異常和風險事件。 例如,它可以偵測潛在的異常活動,例如不規則的登入活動、來自未知來源的登入,或來自具有可疑活動的 IP 位址登入,或從可能受感染的裝置登入。 Identity Protection 會使用此資料來產生報告和警示,讓您能夠調查這些風險事件並採取適當的動作。 如需詳細資訊,請參閱 Microsoft Entra ID Protection

您可以在Azure 入口網站中使用 Microsoft Entra ID 的報告功能,監視系統中發生的安全性相關活動。 如需使用這些報告的詳細資訊,請參閱 Microsoft Entra ID 報告指南

驗證網路拓撲

設定 Microsoft Entra 連線以實作最符合您組織需求的拓撲。 Microsoft Entra 連線支援的拓撲包括:

  • 單一樹系、單一 Microsoft Entra 目錄 。 在此拓撲中,Microsoft Entra 連線會將單一內部部署樹系中一或多個網域中的物件和身分識別資訊同步至單一 Microsoft Entra 租使用者。 此拓撲是 Microsoft Entra 連線快速安裝的預設實作。

    注意

    請勿使用多個 Microsoft Entra 連線同步伺服器,將相同內部部署樹系中的不同網域連線到相同的 Microsoft Entra 租使用者,除非您是在預備模式中執行伺服器,如下所述。

  • 多個樹系,單一 Microsoft Entra 目錄 。 在此拓撲中,Microsoft Entra 連線會將多個樹系中的物件和身分識別資訊同步至單一 Microsoft Entra 租使用者。 如果您的組織有多個內部部署樹系,請使用此拓撲。 您可以合併身分識別資訊,讓每一個唯一的使用者在 Microsoft Entra 目錄中表示一次,即使使用者存在於多個樹系中也一樣。 所有樹系都會使用相同的 Microsoft Entra 連線 Sync 伺服器。 Microsoft Entra 連線 Sync 伺服器不一定要是任何網域的一部分,但必須可從所有樹系連線。

    注意

    在此拓撲中,請勿使用個別的 Microsoft Entra 連線 Sync 伺服器,將每個內部部署樹系連線到單一 Microsoft Entra 租使用者。 如果使用者存在於多個樹系中,這可能會導致 Microsoft Entra ID 中的重複身分識別資訊。

  • 多個樹系,個別拓撲 。 此拓撲會將個別樹系的身分識別資訊合併成單一 Microsoft Entra 租使用者,將所有樹系視為個別實體。 如果您結合不同組織的樹系,且每個使用者的身分識別資訊只保留在一個樹系中,此拓撲就很有用。

    注意

    如果每個樹系中的全域通訊清單 (GAL) 已同步處理,一個樹系中的使用者可能會以連絡人的形式出現在另一個樹系中。 如果您的組織已使用 Forefront Identity Manager 2010 或 Microsoft Identity Manager 2016 實作 GALSync,就會發生這種情況。 在此案例中,您可以指定使用者應該透過其 Mail 屬性來識別。 您也可以使用 ObjectSID msExchMasterAccountSID 屬性來比對身分識別。 如果您有一或多個具有已停用帳戶的資源樹系,這會很有用。

  • 預備伺服器 。 在此組態中,您會與第一個平行執行 Microsoft Entra 連線 Sync 伺服器的第二個實例。 此結構支援下列案例:

    • 高可用性。

    • 測試及部署 Microsoft Entra 連線 Sync 伺服器的新組態。

    • 引進新的伺服器並解除委任舊組態。

      在這些案例中,第二個實例會在預備模式 執行。 伺服器會記錄匯入的物件,並在其資料庫中同步處理資料,但不會將資料傳遞至 Microsoft Entra ID。 如果您停用暫存模式,伺服器就會開始將資料寫入 Microsoft Entra ID,並會在適當情況下開始對內部部署目錄執行密碼回寫。 如需詳細資訊,請參閱 Microsoft Entra 連線 Sync:作業工作和考慮

  • 多個 Microsoft Entra 目錄 。 您通常會為組織建立單一 Microsoft Entra 目錄,但在某些情況下,您可能需要跨個別的 Microsoft Entra 目錄分割資訊。 在此情況下,請確定來自內部部署樹系的每個物件只出現在一個 Microsoft Entra 目錄中,以避免同步處理和密碼回寫問題。 若要實作此案例,請為每個 Microsoft Entra 目錄設定個別的 Microsoft Entra 連線 Sync 伺服器,並使用篩選,讓每個 Microsoft Entra 連線 Sync 伺服器在互斥的物件集上運作。

如需這些拓撲的詳細資訊,請參閱 Microsoft Entra 連線 的拓撲。

設定使用者驗證方法

根據預設,Microsoft Entra 連線 Sync 伺服器會設定內部部署網域與 Microsoft Entra 識別碼之間的密碼雜湊同步處理。 Microsoft Entra 服務會假設使用者藉由提供與內部部署相同的密碼來進行驗證。 對於許多組織而言,此策略是適當的,但您應該考慮您組織的現有原則和基礎結構。 例如:

  • 貴組織的安全性原則可能會禁止將密碼雜湊同步處理至雲端。 在此情況下,您的組織應該考慮 傳遞驗證
  • 從公司網路上已加入網域的機器存取雲端資源時,您可能需要使用者體驗順暢的單一登入 (SSO)。
  • 您的組織可能已經部署Active Directory 同盟服務 (AD FS) 或協力廠商同盟提供者。 您可以將 Microsoft Entra ID 設定為使用此基礎結構來實作驗證和 SSO,而不是使用雲端中保留的密碼資訊。

如需詳細資訊,請參閱 Microsoft Entra 連線使用者登入選項

設定 Microsoft Entra 應用程式 Proxy

使用 Microsoft Entra ID 來提供內部部署應用程式的存取權。

使用 Microsoft Entra 應用程式 Proxy 元件所管理的應用程式 Proxy 連接器來公開內部部署 Web 應用程式。 應用程式 Proxy 連接器會開啟 Microsoft Entra 應用程式 Proxy 的輸出網路連線。 遠端使用者的要求會透過此 Proxy 連線,從 Microsoft Entra ID 路由回 Web 應用程式。 此設定可移除在內部部署防火牆中開啟輸入埠的需求,並減少組織公開的攻擊面。

如需詳細資訊,請參閱 使用 Microsoft Entra 應用程式 Proxy 發佈應用程式。

設定 Microsoft Entra 物件同步處理

Microsoft Entra 的預設組態連線會根據 Microsoft Entra 連線 Sync:瞭解預設 設定一文 中指定的規則,同步處理本機 Active Directory 目錄中的物件。 滿足這些規則的物件會同步處理,同時忽略所有其他物件。 一些範例規則:

  • 使用者物件必須具有唯 一的 sourceAnchor 屬性,而且 必須填入 accountEnabled 屬性。
  • 使用者物件必須具有 sAMAccountName 屬性,且無法以 Azure AD_ MSOL_ 文字 開頭。

Microsoft Entra 連線將數個規則套用至 User、Contact、Group、ForeignSecurityPrincipal 和 Computer 物件。 如果您需要修改預設的規則集,請使用隨 Microsoft Entra 一起安裝的同步處理規則編輯器連線。 如需詳細資訊,請參閱 Microsoft Entra 連線 Sync:瞭解預設組態 )。

您也可以定義自己的篩選,以限制網域或 OU 同步處理的物件。 或者,您可以實作更複雜的自訂篩選, 例如 Microsoft Entra 連線 Sync:Configure Filtering 中所述。

設定監視代理程式

健康情況監視是由安裝在內部部署的下列代理程式執行:

  • Microsoft Entra 連線安裝可擷取同步處理作業相關資訊的代理程式。 使用Azure 入口網站中的 [Microsoft Entra 連線健全狀況] 刀鋒視窗來監視其健康情況和效能。 如需詳細資訊,請參閱 使用 Microsoft Entra 連線 Health 進行同步 處理。
  • 若要從 Azure 監視 AD DS 網域和目錄的健康情況,請在內部部署網域內的電腦上安裝適用于 AD DS 代理程式的 Microsoft Entra 連線 Health for AD DS 代理程式。 使用Azure 入口網站中的 [Microsoft Entra 連線健全狀況] 刀鋒視窗進行健康情況監視。 如需詳細資訊,請參閱 搭配 AD DS 使用 Microsoft Entra 連線 Health
  • 安裝 Microsoft Entra 連線 Health for AD FS 代理程式,以監視在內部部署執行之服務的健全狀況,並使用 Azure 入口網站 中的 [Microsoft Entra 連線 Health] 刀鋒視窗來監視 AD FS。 如需詳細資訊,請參閱 搭配 AD FS 使用 Microsoft Entra 連線 Health

如需安裝 AD 連線 Health 代理程式及其需求的詳細資訊,請參閱 Microsoft Entra 連線 Health Agent 安裝

考量

這些考慮會實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework

可靠性

可靠性可確保您的應用程式可以符合您對客戶的承諾。 如需詳細資訊,請參閱 可靠性要素 概觀。

Microsoft Entra 服務是異地散發的,可在世界各地的多個資料中心執行,並透過自動化容錯移轉。 如果資料中心無法使用,Microsoft Entra ID 可確保您的目錄資料可供至少兩個區域分散的資料中心存取。

注意

Microsoft 365 Apps AD 層的服務等級協定(SLA)和進階版服務保證至少 99.9% 的可用性。 Microsoft Entra ID 的免費層沒有 SLA。 如需詳細資訊,請參閱 Microsoft Entra ID 的 SLA。

請考慮在預備模式中布建 Microsoft Entra 連線 Sync 伺服器的第二個實例,以提高可用性,如拓撲建議一節中所述。

如果您未使用 Microsoft Entra 連線隨附的 SQL Server Express LocalDB 實例,請考慮使用 SQL 叢集來達到高可用性。 Microsoft Entra 連線不支援鏡像和 Always On 等解決方案。

如需達成 Microsoft Entra 連線 Sync 伺服器之高可用性,以及如何在失敗後復原的其他考慮,請參閱 Microsoft Entra 連線 Sync:作業工作和考慮 - 災害復原

安全性

安全性可提供針對蓄意攻擊和濫用寶貴資料和系統的保證。 如需詳細資訊,請參閱 安全性要素 概觀。

使用條件式存取控制來拒絕來自非預期來源的驗證要求:

  • 如果使用者嘗試從不受信任的位置進行連線,例如透過網際網路而非受信任的網路,請觸發 Microsoft Entra 多重要素驗證 (MFA )。

  • 使用使用者的裝置平臺類型(iOS、Android、Windows Mobile、Windows)來判斷應用程式和功能的存取原則。

  • 記錄使用者裝置的啟用/停用狀態,並將此資訊併入存取原則檢查中。 例如,如果使用者的手機遺失或遭竊,則應將它記錄為停用,以防止它用來取得存取權。

  • 根據群組成員資格控制使用者對資源的存取。 使用 Microsoft Entra 動態成員資格規則 來簡化群組管理。 如需如何運作的簡短概觀,請參閱 群組 動態成員資格簡介。

  • 使用條件式存取風險原則搭配 Microsoft Entra ID Protection,根據不尋常的登入活動或其他事件提供進階保護。

如需詳細資訊,請參閱 Microsoft Entra 條件式存取

成本最佳化

成本優化是考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱 成本優化要素 概觀。

使用 Azure 定價計算機 來預估成本。

成本考慮包括:

  • Microsoft Entra 連線 - Microsoft Entra 連線同步處理功能適用于所有版本的 Microsoft Entra ID。

    • 使用 Microsoft Entra 連線 沒有額外的授權需求,且包含在您的 Azure 訂用帳戶中。

    • 如需 Microsoft Entra 識別碼版本的定價資訊,請參閱 Microsoft Entra 定價

  • 多層式應用程式的 VM - 如需這些資源的成本資訊,請參閱 [針對多層式架構執行 VM][implementing-a-multi-tier-architecture-on-Azure]。

卓越營運

卓越營運涵蓋部署應用程式的作業程式,並讓它在生產環境中執行。 如需詳細資訊,請參閱 營運卓越支柱 概觀。

管理能力

管理 Microsoft Entra 識別碼有兩個層面:

  • 管理員在雲端中註冊 Microsoft Entra ID。
  • 維護 Microsoft Entra 連線 Sync 伺服器。

Microsoft Entra ID 提供下列選項來管理雲端中的網域和目錄:

  • Microsoft Graph PowerShell 模組 - 用來編寫常見的 Microsoft Entra 系統管理工作腳本,例如使用者管理、網域管理,以及設定單一登入。
  • Azure 入口網站 中的 Microsoft Entra 管理刀鋒視窗 - 提供目錄的互動式管理檢視,並可讓您控制及設定 Microsoft Entra ID 的大部分層面。

Microsoft Entra 連線會安裝下列工具,以維護來自內部部署電腦的 Microsoft Entra 連線 Sync 服務:

  • Microsoft Entra 連線 主控台 - 可讓您修改Azure AD 同步伺服器的設定、自訂同步處理發生的方式、啟用或停用預備模式,以及切換使用者登入模式。 您可以使用內部部署基礎結構來啟用 Active Directory FS 登入。
  • 同步處理服務管理員 - 使用 此工具中的 [作業] 索引標籤來管理同步處理程式,並偵測進程是否有任何部分失敗。 您可以使用此工具手動觸發同步處理。 [連線 器] 索引標籤可讓您控制同步處理引擎所連結之網域的連線。
  • 同步處理規則編輯器 - 可讓您自定義對象在內部部署目錄與 Microsoft Entra 識別符之間複製時轉換的方式。 此工具可讓您指定其他屬性和對象進行同步處理,然後執行篩選以判斷哪些對象應該或不應該同步處理。 如需詳細資訊,請參閱 Microsoft Entra 連線 Sync:瞭解預設組態檔中的同步處理規則編輯器一節。

如需管理 Microsoft Entra 連線 的詳細資訊和秘訣,請參閱 Microsoft Entra 連線 Sync:變更預設設定的最佳做法。

DevOps

如需 DevOps 考慮,請參閱將 Active Directory 網域服務 擴充至 Azure 中的卓越營運。

效能效益

效能效率是工作負載調整的能力,以符合使用者以有效率的方式滿足其需求。 如需詳細資訊,請參閱 效能效率要素概觀

Microsoft Entra 服務支援以複本為基礎的延展性,具有處理寫入作業的單一主要複本加上多個只讀次要複本。 Microsoft Entra ID 會以透明方式將嘗試對次要複本進行的寫入重新導向至主要複本,並提供最終一致性。 對主要複本所做的所有變更都會傳播至次要複本。 此架構會調整良好,因為大部分針對 Microsoft Entra ID 的作業都是讀取而非寫入。 如需詳細資訊,請參閱 什麼是 Microsoft Entra 架構?

針對 Microsoft Entra 連線 Sync 伺服器,判斷您可能會從本機目錄同步處理多少物件。 如果您有少於 100,000 個物件,您可以使用 Microsoft Entra 連線 所提供的預設 SQL Server Express LocalDB 軟體。 如果您有較大的物件,您應該安裝 SQL Server 的生產版本,並執行 Microsoft Entra 連線 的自定義安裝,並指定它應該使用現有的 SQL Server 實例。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者:

若要查看非公用LinkedIn配置檔,請登入LinkedIn。

下一步