Sdílet prostřednictvím


Vlastní instalace služby Microsoft Entra Connect

Vlastní nastavení v nástroji Microsoft Entra Connect použijte, pokud chcete další možnosti instalace. Tato nastavení použijte například v případě, že máte více doménových struktur nebo chcete konfigurovat volitelné funkce. Vlastní nastavení použijte ve všech případech, kdy expresní instalace nevyhovuje vašim potřebám nasazení nebo topologie.

Požadavky:

Vlastní nastavení instalace

Pokud chcete nastavit vlastní instalaci pro Microsoft Entra Connect, projděte si stránky průvodce, které popisují následující části.

Expresní nastavení

Na stránce Expresní nastavení vyberte Přizpůsobit, aby se spustila přizpůsobená instalace nastavení. Zbývající část tohoto článku vás provede procesem vlastní instalace. Pomocí následujících odkazů můžete rychle přejít na informace pro konkrétní stránku:

Instalace požadovaných součástí

Při instalaci synchronizačních služeb můžete nechat nepovinný konfigurační oddíl nevybraný. Microsoft Entra Connect nastaví všechno automaticky. Nastaví instanci SQL Serveru 2019 Express LocalDB, vytvoří příslušné skupiny a přiřadí oprávnění. Pokud chcete změnit výchozí hodnoty, vyberte příslušná pole. Následující tabulka shrnuje tyto možnosti a poskytuje odkazy na další informace.

Snímek obrazovky znázorňující volitelné výběry požadovaných součástí instalace v Microsoft Entra Connect

Volitelná konfigurace Popis
Zadání vlastního umístění instalace Umožňuje změnit výchozí instalační cestu pro Microsoft Entra Connect.
Použít existující server SQL Server Umožňuje zadat název a název instance SYSTÉMU SQL Server. Tuto možnost zvolte, pokud již máte databázový server, který chcete použít. Jako název instance zadejte název instance, čárku a číslo portu, pokud vaše instance SQL Serveru nemá povolené procházení. Pak zadejte název databáze Microsoft Entra Connect. Vaše oprávnění SQL určují, jestli je možné vytvořit novou databázi, nebo jestli ji správce SQL musí vytvořit předem. Pokud máte oprávnění správce SQL Serveru (SA), přečtěte si téma Instalace nástroje Microsoft Entra Connect pomocí existující databáze. Pokud máte delegovaná oprávnění (DBO), přečtěte si téma Instalace nástroje Microsoft Entra Connect pomocí oprávnění delegovaného správce SQL.
Použít existující účet služby Ve výchozím nastavení microsoft Entra Connect poskytuje virtuální účet služby pro synchronizační služby. Pokud používáte vzdálenou instanci SQL Serveru nebo používáte proxy server, který vyžaduje ověření, můžete v doméně použít účet spravované služby nebo účet služby chráněný heslem. V takových případech zadejte účet, který chcete použít. Abyste mohli spustit instalaci, musíte být správcem služby v SQL, abyste mohli vytvořit přihlašovací údaje pro účet služby. Další informace najdete v tématu Účty a oprávnění služby Microsoft Entra Connect.

Pomocí nejnovějšího sestavení teď může správce SQL zřídit databázi mimo pásmo. Správce microsoft Entra Connect ho pak může nainstalovat s právy vlastníka databáze. Další informace naleznete v tématu Instalace nástroje Microsoft Entra Connect pomocí oprávnění delegovaného správce SQL.
Zadat vlastní skupiny pro synchronizaci Při instalaci synchronizačních služeb vytvoří Microsoft Entra Connect ve výchozím nastavení čtyři skupiny, které jsou místní pro server. Tyto skupiny jsou Administrators, Operators, Browse a Password Reset. Tady můžete zadat vlastní skupiny. Skupiny musí být místní na serveru. Nemůžou se nacházet v doméně.
Import nastavení synchronizace Umožní vám importovat nastavení z jiných verzí Microsoft Entra Connect. Další informace naleznete v tématu Import a export nastavení konfigurace microsoft Entra Connect.

Přihlášení uživatele

Po instalaci požadovaných komponent vyberte metodu jednotného přihlašování uživatelů. Následující tabulka stručně popisuje dostupné možnosti. Úplný popis metod přihlášení najdete v tématu Přihlášení uživatele.

Snímek obrazovky se stránkou Přihlášení uživatele Je vybrána možnost Synchronizace hodnot hash hesel.

Možnost jednotného přihlašování Popis
Synchronizace hodnot hash hesel Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelská hesla se synchronizují s Microsoft Entra ID jako hodnota hash hesla. Ověřování probíhá v cloudu. Další informace najdete v tématu Synchronizace hodnot hash hesel.
Předávací ověřování Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Hesla uživatelů se ověřují předáním do místní Active Directory řadiče domény.
Federace se službou AD FS Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelé se přesměrují na místní instanci služby Azure Directory Federation Services (AD FS), aby se mohli přihlásit. Ověřování probíhá místně.
Federace s PingFederate Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelé se přesměrují na místní instanci PingFederate, aby se mohli přihlásit. Ověřování probíhá místně.
Nekonfigurovat Není nainstalována ani nakonfigurována žádná funkce přihlašování uživatelů. Tuto možnost zvolte, pokud už máte federační server třetí strany nebo jiné řešení.
Povolení jednotného přihlašování Tato možnost je dostupná se synchronizací hodnot hash hesel i předávacím ověřováním. Poskytuje jednotné přihlašování pro desktopové uživatele v podnikových sítích. Další informace najdete v tématu Jednotné přihlašování.

Poznámka: Pro zákazníky služby AD FS není tato možnost k dispozici. Služba AD FS už nabízí stejnou úroveň jednotného přihlašování.

Připojení k MICROSOFT Entra ID

Na stránce Connect to Microsoft Entra ID zadejte účet a heslo správce hybridní identity. Pokud jste na předchozí stránce vybrali federaci se službou AD FS , nepřihlašujte se pomocí účtu, který je v doméně, kterou chcete povolit pro federaci.

Možná budete chtít použít účet ve výchozí onmicrosoft.com doméně, která je součástí vašeho tenanta Microsoft Entra. Tento účet se používá pouze k vytvoření účtu služby v MICROSOFT Entra ID. Po dokončení instalace se nepoužívá.

Poznámka:

Osvědčeným postupem je vyhnout se používání místních synchronizovaných účtů pro přiřazení rolí Microsoft Entra. Pokud dojde k ohrožení zabezpečení místního účtu, můžete ho použít i k ohrožení prostředků Microsoft Entra. Úplný seznam osvědčených postupů najdete v části Osvědčené postupy pro role Microsoft Entra.

Snímek obrazovky se stránkou Připojit k MICROSOFT Entra ID

Pokud má váš účet globálního správce povolené vícefaktorové ověřování, zadejte heslo znovu v přihlašovacím okně a musíte dokončit vícefaktorové ověřování. Ověřovacím testem může být ověřovací kód nebo telefonní hovor.

Snímek obrazovky se stránkou Připojit k MICROSOFT Entra ID Pole vícefaktorového ověřování vyzve uživatele k zadání kódu.

Účet globálního správce může mít také povolenou správu privilegovaných identit.

Pokud chcete použít podporu ověřování pro scénáře bez hesla, jako jsou federované účty, čipové karty a scénáře MFA, můžete při spuštění průvodce zadat přepínač /InteractiveAuth . Pomocí tohoto přepínače se vynechá uživatelské rozhraní ověřování průvodce a pomocí uživatelského rozhraní knihovny MSAL zpracuje ověřování.

Pokud se zobrazí chyba nebo máte problémy s připojením, přečtěte si téma Řešení potíží s připojením.

Synchronizovat stránky

Následující části popisují stránky v oddílu Synchronizace .

Připojení adresářů

Pro připojení ke službě Doména služby Active Directory Services (AD DS) potřebuje Microsoft Entra Connect název doménové struktury a přihlašovací údaje účtu, který má dostatečná oprávnění.

Snímek obrazovky se stránkou Připojit adresáře

Jakmile zadáte název doménové struktury a vyberete Přidat adresář, zobrazí se okno. Následující tabulka popisuje možnosti.

Možnost Popis
Vytvořit nový účet Vytvořte účet služby AD DS, který microsoft Entra Connect potřebuje k připojení k doménové struktuře služby Active Directory během synchronizace adresářů. Po výběru této možnosti zadejte uživatelské jméno a heslo pro účet podnikového správce. Microsoft Entra Connect používá k vytvoření požadovaného účtu služby AD DS zadaný podnikový účet správce. Část domény můžete zadat ve formátu NetBIOS nebo ve formátu plně kvalifikovaného názvu domény. To znamená, že zadejte FABRIKAM\administrator nebo fabrikam.com\administrator.
Použít existující účet Zadejte existující účet služby AD DS, který může Microsoft Entra Connect použít k připojení k doménové struktuře služby Active Directory během synchronizace adresářů. Část domény můžete zadat ve formátu NetBIOS nebo ve formátu plně kvalifikovaného názvu domény. To znamená, že zadejte FABRIKAM\syncuser nebo fabrikam.com\syncuser. Tento účet může být běžný uživatelský účet, protože potřebuje jenom výchozí oprávnění ke čtení. V závislosti na vašem scénáři ale možná budete potřebovat další oprávnění. Další informace najdete v tématu Účty a oprávnění služby Microsoft Entra Connect.

Snímek obrazovky zobrazující stránku Připojit adresář a okno účtu doménové struktury A D, kde se můžete rozhodnout vytvořit nový účet nebo použít existující účet.

Poznámka:

Od buildu 1.4.18.0 nemůžete jako účet konektoru AD DS použít účet podnikového správce ani správce domény. Když vyberete Možnost Použít existující účet, pokud se pokusíte zadat účet podnikového správce nebo účet správce domény, zobrazí se následující chyba: Použití účtu správce podniku nebo domény pro účet doménové struktury AD není povolené. Nechte službu Microsoft Entra Connect, aby za vás účet vytvořila, nebo určete účet synchronizace se správnými oprávněními.“

Konfigurace přihlášení Microsoft Entra

Na stránce konfigurace přihlašování Microsoft Entra zkontrolujte domény hlavního názvu uživatele (UPN) v místní službě AD DS. Tyto domény hlavního názvu uživatele (UPN) byly ověřeny v Microsoft Entra ID. Na této stránce nakonfigurujete atribut, který se má použít pro userPrincipalName.

Snímek obrazovky zobrazující neověřené domény na stránce Konfigurace přihlašování Microsoft Entra

Zkontrolujte každou doménu, která je označená jako Nepřidána nebo Neověřená. Ujistěte se, že domény, které používáte, byly ověřeny v Microsoft Entra ID. Po ověření domén vyberte ikonu cyklických aktualizací. Další informace najdete v tématu Přidání a ověření domény.

Uživatelé používají atribut userPrincipalName , když se přihlásí k MICROSOFT Entra ID a Microsoft 365. Id Microsoft Entra by mělo před synchronizací uživatelů ověřit domény, označované také jako přípona UPN. Společnost Microsoft doporučuje zachovat výchozí atribut userPrincipalName.

Pokud atribut userPrincipalName není směrovatelný a nelze jej ověřit, můžete vybrat jiný atribut. Jako atribut, který obsahuje přihlašovací ID, můžete například vybrat e-mail. Pokud používáte jiný atribut než userPrincipalName, označuje se jako alternativní ID.

Hodnota atributu alternativního ID musí dodržovat standard RFC 822. Alternativní ID můžete použít při synchronizaci hodnot hash hesel, předávacím ověřování a federaci. V Active Directory nesmí být tento atribut definovaný jako atribut s více hodnotami, a to ani když obsahuje pouze jednu hodnotu. Další informace o alternativním ID najdete v tématu Předávací ověřování: Nejčastější dotazy.

Poznámka:

Pokud povolíte předávací ověřování, musíte mít alespoň jednu ověřenou doménu, abyste mohli pokračovat vlastním procesem instalace.

Upozorňující

Alternativní ID nejsou kompatibilní se všemi úlohami Microsoftu 365. Další informace najdete v tématu Konfigurace alternativních ID přihlašování.

doména a filtrování organizační jednotky

Ve výchozím nastavení se synchronizují všechny domény a organizační jednotky. Pokud nechcete synchronizovat některé domény nebo organizační jednotky s ID Microsoft Entra, můžete zrušit příslušné výběry.

Snímek obrazovky zobrazující stránku filtrování Doména a O U

Tato stránka konfiguruje filtrování založené na doméně a organizační jednotce. Pokud chcete provést změny, přečtěte si téma Filtrování založené na doméně a filtrování založené na organizační jednotce. Některé organizační jednotky jsou pro funkce nezbytné, takže byste je měli nechat vybrané.

Pokud používáte filtrování založené na organizační jednotce s verzí Microsoft Entra Connect starší než 1.1.524.0, nové organizační jednotky se ve výchozím nastavení synchronizují. Pokud nechcete, aby se nové organizační jednotky synchronizovaly, můžete upravit výchozí chování po kroku filtrování založeného na organizační jednotce . Pro Microsoft Entra Connect 1.1.524.0 nebo novější můžete určit, jestli chcete nové organizační jednotky synchronizovat.

Pokud plánujete používat filtrování založené na skupinách, ujistěte se, že je organizační jednotky se skupinou zahrnutá a není filtrovaná pomocí filtrování organizačních jednotek. Filtrování organizačních jednotek se vyhodnocuje před vyhodnocením filtrování na základě skupin.

Je také možné, že některé domény nejsou kvůli omezením brány firewall nedostupné. Tyto domény se ve výchozím nastavení nevybízejí a zobrazí upozornění.

Snímek obrazovky zobrazující nedostupné domény

Pokud se zobrazí toto upozornění, ujistěte se, že tyto domény jsou skutečně nedostupné a že se očekává upozornění.

Jednoznačná identifikace uživatelů

Na stránce Identifikace uživatelů zvolte, jak identifikovat uživatele v místních adresářích a jak je identifikovat pomocí atributu sourceAnchor.

Vyberte způsob, jakým se mají uživatelé identifikovat v místních adresářích

Pomocí funkce Porovnávání napříč doménovými strukturami můžete definovat, jak budou uživatelé z doménových struktur služby AD DS reprezentováni v Microsoft Entra ID. Uživatel může být reprezentován pouze jednou napříč všemi doménovými strukturami nebo může mít kombinaci povolených a zakázaných účtů. Uživatel také může být v některých doménových strukturách reprezentován jako kontakt.

Snímek obrazovky zobrazující stránku, na které můžete jedinečně identifikovat uživatele

Nastavení Popis
Uživatelé jsou reprezentováni pouze jednou napříč všemi doménovými strukturami. Všichni uživatelé se vytvářejí jako jednotlivé objekty v Microsoft Entra ID. Objekty nejsou spojené v metaverse.
Atribut Mail Tato možnost spojí uživatele a kontakty, pokud má atribut mail v různých doménových strukturách stejnou hodnotu. Tuto možnost použijte, když byly kontakty vytvořeny pomocí galsync. Pokud zvolíte tuto možnost, objekty uživatelů, jejichž atribut pošty není vyplněný, se nesynchronují s MICROSOFT Entra ID.
ObjectSID a msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID – atributy Tato možnost spojí povoleného uživatele v doménové struktuře účtu se zakázaným uživatelem v doménové struktuře prostředku. V systému Exchange se tato konfigurace označuje jako propojená poštovní schránka. Tuto možnost můžete použít, pokud používáte jenom Lync a exchange není v doménové struktuře prostředků.
Atributy SAMAccountName a MailNickName Tato možnost se připojí k atributům, u kterých se očekává, že se najde PŘIHLAŠOVACÍ ID uživatele.
Volba konkrétního atributu Tato možnost umožňuje vybrat vlastní atribut. Pokud zvolíte tuto možnost, objekty uživatele, jejichž (vybraný) atribut není vyplněný, nejsou synchronizovány s Microsoft Entra ID. Omezení: Pro tuto možnost jsou k dispozici pouze atributy, které jsou již v metaverzi.

Výběr způsobu identifikace uživatelů pomocí zdrojového ukotvení

Atribut sourceAnchor je neměnný během životnosti objektu uživatele. Je to primární klíč, který propojuje místního uživatele s uživatelem v Microsoft Entra ID.

Nastavení Popis
Umožnění správě zdrojového ukotvení v Azure Tuto možnost vyberte, pokud chcete, aby ID Microsoft Entra vybral atribut za vás. Pokud vyberete tuto možnost, Microsoft Entra Connect použije logiku výběru atributu sourceAnchor popsanou v tématu Použití ms-DS-ConsistencyGuid jako sourceAnchor. Po dokončení vlastní instalace uvidíte, který atribut byl vybrán jako atribut sourceAnchor.
Volba konkrétního atributu Tuto možnost vyberte, pokud chcete jako atribut sourceAnchor zadat existující atribut AD.

Protože atribut sourceAnchor nelze změnit, musíte zvolit příslušný atribut. Jednou z vhodných možností je objectGUID. Tento atribut se nezmění, pokud se uživatelský účet nepřesune mezi doménovými strukturami nebo doménami. Nevybírejte atributy, které se můžou změnit, když se osoba ožení nebo změní přiřazení.

Nemůžete použít atributy, které obsahují znak at (@), takže nemůžete používat e-mail a userPrincipalName. Atribut rozlišuje také malá a velká písmena, takže při přesouvání objektu mezi doménovými strukturami nezapomeňte zachovat velká a malá písmena. Binární atributy jsou kódovány base64, ale jiné typy atributů zůstávají ve svém nekódovaném stavu.

V federačních scénářích a některých rozhraních Microsoft Entra ID se atribut sourceAnchor označuje také jako neměnné ID.

Další informace o zdrojovém ukotvení najdete v tématu Koncepty návrhu.

Filtrování synchronizace podle skupin

Funkce filtrování skupin umožňuje synchronizovat pouze malou podmnožinu objektů pro pilotní nasazení. Pokud chcete tuto funkci použít, vytvořte skupinu pro tento účel ve vaší místní instanci služby Active Directory. Pak přidejte uživatele a skupiny, které by se měly synchronizovat s ID Microsoft Entra jako přímí členové. Později můžete přidat uživatele nebo odebrat uživatele z této skupiny, abyste zachovali seznam objektů, které by měly být přítomné v Microsoft Entra ID.

Všechny objekty, které chcete synchronizovat, musí být přímými členy skupiny. Uživatelé, skupiny, kontakty a počítače nebo zařízení musí být všichni přímí členové. Vnořené členství ve skupině se nevyřeší. Když přidáte skupinu jako člena, přidá se jenom samotná skupina. Jeho členové nejsou přidáni.

Snímek obrazovky zobrazující stránku, na které můžete zvolit, jak filtrovat uživatele a zařízení

Upozorňující

Tato funkce je určená k podpoře pouze pilotního nasazení. Nepoužívejte ho v plném produkčním nasazení.

V plném produkčním nasazení by bylo obtížné udržovat jednu skupinu a všechny její objekty k synchronizaci. Místo funkce filtrování skupin použijte jednu z metod popsaných v tématu Konfigurace filtrování.

Volitelné funkce

Na další stránce můžete pro svůj scénář vybrat volitelné funkce.

Upozorňující

Microsoft Entra Connect verze 1.0.8641.0 a starší spoléhají na službu Azure Access Control Service pro zpětný zápis hesla. Tato služba byla vyřazena 7. listopadu 2018. Pokud používáte některou z těchto verzí microsoft Entra Connect a povolili zpětný zápis hesla, uživatelé můžou při vyřazení služby přijít o možnost změnit nebo resetovat svá hesla. Tyto verze služby Microsoft Entra Connect nepodporují zpětný zápis hesla.

Pokud chcete použít zpětný zápis hesla, stáhněte si nejnovější verzi microsoft Entra Connect.

Snímek obrazovky se stránkou Volitelné funkce

Upozorňující

Pokud je aktivní synchronizace Azure AD nebo přímá synchronizace (DirSync), neaktivujte v Microsoft Entra Connect žádné funkce zpětného zápisu.

Volitelné funkce Popis
Hybridní nasazení Exchange Funkce hybridního nasazení Exchange umožňuje koexistenci poštovních schránek Exchange v místním prostředí i v Microsoftu 365. Microsoft Entra Connect synchronizuje konkrétní sadu atributů z Microsoft Entra zpět do místního adresáře.
Veřejné složky pošty Exchange Funkce veřejných složek pošty Exchange umožňuje synchronizovat objekty veřejné složky s podporou pošty z místní instance služby Active Directory do Microsoft Entra ID. Mějte na paměti, že není podporována synchronizace skupin, které obsahují veřejné složky jako členy, a pokus o to bude mít za následek chybu synchronizace.
Filtrování aplikací a atributů Microsoft Entra Když povolíte filtrování aplikací a atributů Microsoft Entra, můžete sadu synchronizovaných atributů přizpůsobit. Tato možnost rozšíří průvodce o další dvě stránky konfigurace. Další informace naleznete v tématu Microsoft Entra app and attribute filtering.
Synchronizace hodnot hash hesel Pokud jste jako řešení přihlašování vybrali federaci, můžete povolit synchronizaci hodnot hash hesel. Pak ho můžete použít jako možnost zálohování.

Pokud jste vybrali předávací ověřování, můžete tuto možnost povolit, abyste zajistili podporu starších klientů a poskytli zálohu.

Další informace najdete v tématu Synchronizace hodnot hash hesel.
Zpětný zápis hesla Pomocí této možnosti se ujistěte, že se změny hesel pocházející z ID Microsoft Entra zapisují zpět do místního adresáře. Další informace najdete v tématu Začínáme se správou hesel.
Zpětný zápis skupin Pokud používáte Skupiny Microsoft 365, můžete reprezentovat skupiny ve vaší místní instanci služby Active Directory. Tato možnost je dostupná jenom v případě, že máte Exchange v místní instanci služby Active Directory. Další informace naleznete v tématu Zpětný zápis skupiny Microsoft Entra Connect.
Zpětný zápis zařízení Pro scénáře podmíněného přístupu použijte tuto možnost k zápisu objektů zařízení v Microsoft Entra ID do místní instance služby Active Directory. Další informace naleznete v tématu Povolení zpětného zápisu zařízení v microsoft Entra Connect.
Synchronizace atributů rozšíření adresáře Tuto možnost vyberte, pokud chcete synchronizovat zadané atributy s ID Microsoft Entra. Další informace najdete v tématu Rozšíření adresáře.

Filtrování aplikací a atributů Microsoft Entra

Pokud chcete omezit, které atributy se synchronizují s ID Microsoft Entra, začněte výběrem služeb, které používáte. Pokud změníte výběry na této stránce, musíte explicitně vybrat novou službu opětovným spuštěním průvodce instalací.

Snímek obrazovky s volitelnými funkcemi aplikací Microsoft Entra

Na základě služeb, které jste vybrali v předchozím kroku, se na této stránce zobrazují všechny atributy, které jsou synchronizované. Tento seznam je kombinací všech typů objektů, které se synchronizují. Pokud potřebujete, aby některé atributy zůstaly nesynchronizované, můžete výběr z těchto atributů vymazat.

Snímek obrazovky s volitelnými funkcemi atributů Microsoft Entra

Upozorňující

Odebrání atributů může ovlivnit funkčnost. Osvědčené postupy a doporučení najdete v tématu Atributy, které se mají synchronizovat.

Synchronizace atributů rozšíření adresáře

Schéma v Microsoft Entra ID můžete rozšířit pomocí vlastních atributů, které vaše organizace přidala, nebo pomocí jiných atributů ve službě Active Directory. Pokud chcete tuto funkci použít, vyberte na stránce Volitelné funkce synchronizaci atributů rozšíření adresáře. Na stránce Rozšíření adresáře můžete vybrat další atributy, které se mají synchronizovat.

Poznámka:

V poli Dostupné atributy se rozlišují malá a velká písmena .

Snímek obrazovky se stránkou Rozšíření adresáře

Další informace najdete v tématu Rozšíření adresáře.

Povolení jednotného přihlašování

Na stránce jednotného přihlašování nakonfigurujete jednotné přihlašování pro použití se synchronizací hesel nebo předávacím ověřováním. Tento krok provedete jednou pro každou doménovou strukturu, která se synchronizuje s ID Microsoft Entra. Konfigurace zahrnuje dva kroky:

  1. Vytvořte potřebný účet počítače ve vaší místní instanci služby Active Directory.
  2. Nakonfigurujte zónu intranetu klientských počítačů tak, aby podporovala jednotné přihlašování.

Vytvoření účtu počítače ve službě Active Directory

Pro každou doménovou strukturu přidanou v nástroji Microsoft Entra Connect musíte zadat přihlašovací údaje správce domény, aby bylo možné účet počítače vytvořit v každé doménové struktuře. Přihlašovací údaje slouží pouze k vytvoření účtu. Neukládají se ani nepoužívají pro žádnou jinou operaci. Na stránce Povolit jednotné přihlašování přidejte přihlašovací údaje, jak ukazuje následující obrázek.

Snímek obrazovky se stránkou Povolit jednotné přihlašování Přidají se přihlašovací údaje doménové struktury.

Poznámka:

Doménové struktury můžete přeskočit tam, kde nechcete používat jednotné přihlašování.

Konfigurace zóny intranetu pro klientské počítače

Pokud chcete zajistit, aby se klient přihlašuje automaticky v zóně intranetu, ujistěte se, že je adresa URL součástí zóny intranetu. Tento krok zajistí, že počítač připojený k doméně automaticky odešle lístek Kerberos do Microsoft Entra ID, když je připojený k podnikové síti.

Na počítači s nástroji pro správu zásad skupiny:

  1. Otevřete nástroje pro správu zásad skupiny.

  2. Upravte zásady skupiny, které se použijí pro všechny uživatele. Například výchozí zásady domény.

  3. Přejděte do části Šablony>pro správu konfigurace>uživatelů součásti>systému Windows Internet Explorer>Internet Ovládací panely> Security stránka. Pak vyberte Web do seznamu přiřazení zóny.

  4. Povolte zásadu. Potom v dialogovém okně zadejte název https://autologon.microsoftazuread-sso.comhodnoty a https://aadg.windows.net.nsatc.net hodnotu 1 pro obě adresy URL. Nastavení by mělo vypadat jako na následujícím obrázku.

    Snímek obrazovky zobrazující zóny intranetu

  5. Dvakrát vyberte OK .

Konfigurace federace se službou AD FS

Službu AD FS můžete nakonfigurovat pomocí nástroje Microsoft Entra Connect několika kliknutími. Než začnete, potřebujete:

  • Windows Server 2012 R2 nebo novější pro federační server Měla by být povolená vzdálená správa.
  • Windows Server 2012 R2 nebo novější pro webový proxy aplikací server. Měla by být povolená vzdálená správa.
  • Certifikát TLS/SSL pro název federační služby, který chcete použít (například sts.contoso.com).

Poznámka:

Certifikát TLS/SSL pro farmu služby AD FS můžete aktualizovat pomocí nástroje Microsoft Entra Connect, i když ho nepoužíváte ke správě vztahu důvěryhodnosti federace.

Požadavky na konfiguraci služby AD FS

Pokud chcete nakonfigurovat farmu služby AD FS pomocí nástroje Microsoft Entra Connect, ujistěte se, že je na vzdálených serverech povolená služba WinRM. Ujistěte se, že jste dokončili další úlohy v požadavcích federace. Ujistěte se také, že dodržujete požadavky na porty uvedené v tabulce serverů Microsoft Entra Connect a Federation/WAP.

Vytvoření nové farmy služby AD FS nebo použití existující farmy služby AD FS

Můžete použít existující farmu služby AD FS nebo vytvořit novou. Pokud se rozhodnete vytvořit nový, musíte zadat certifikát TLS/SSL. Pokud je certifikát TLS/SSL chráněný heslem, zobrazí se výzva k zadání hesla.

Snímek obrazovky se stránkou Farma A D F S

Pokud se rozhodnete použít existující farmu služby AD FS, zobrazí se stránka, na které můžete nakonfigurovat vztah důvěryhodnosti mezi službou AD FS a ID Microsoft Entra.

Poznámka:

Microsoft Entra Connect můžete použít ke správě pouze jedné farmy služby AD FS. Pokud máte existující vztah důvěryhodnosti federace, ve kterém je ve vybrané farmě služby AD FS nakonfigurované ID Microsoft Entra Connect, znovu vytvoří vztah důvěryhodnosti od začátku.

Zadání serverů služby AD FS

Zadejte servery, na které chcete službu AD FS nainstalovat. V závislosti na vašich potřebách kapacity můžete přidat jeden nebo více serverů. Před nastavením této konfigurace připojte všechny servery SLUŽBY AD FS ke službě Active Directory. Tento krok není nutný pro servery webových proxy aplikací.

Společnost Microsoft doporučuje instalaci jednoho serveru služby AD FS pro zkušební a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery, aby vyhovovaly vašim potřebám škálování, a to opětovným spuštěním nástroje Microsoft Entra Connect.

Poznámka:

Před nastavením této konfigurace se ujistěte, že jsou všechny vaše servery připojené k doméně Microsoft Entra.

Snímek obrazovky se stránkou Federační servery

Zadání proxy serverů webových aplikací

Zadejte webové proxy aplikací servery. Webový proxy aplikací server se nasadí do hraniční sítě, která se nachází na extranetu. Podporuje žádosti o ověření z extranetu. V závislosti na vašich potřebách kapacity můžete přidat jeden nebo více serverů.

Microsoft doporučuje nainstalovat jeden webový proxy aplikací server pro testovací a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery, aby vyhovovaly vašim potřebám škálování, a to opětovným spuštěním nástroje Microsoft Entra Connect. Doporučujeme, abyste měli odpovídající počet proxy serverů, které vyhovují ověřování z intranetu.

Poznámka:

  • Pokud účet, který používáte, není místním správcem na webových proxy aplikací serverech, zobrazí se výzva k zadání přihlašovacích údajů správce.
  • Než zadáte webové proxy aplikací servery, ujistěte se, že mezi serverem Microsoft Entra Connect a webovým proxy aplikací serverem existuje připojení HTTP/HTTPS.
  • Ujistěte se, že mezi serverem webových aplikací a serverem služby AD FS existuje připojení HTTP/HTTPS, aby bylo možné předávat požadavky na ověřování.

Snímek obrazovky se stránkou webových proxy aplikací serverů

Zobrazí se výzva k zadání přihlašovacích údajů, aby server webové aplikace mohl navázat zabezpečené připojení k serveru SLUŽBY AD FS. Tyto přihlašovací údaje musí být pro účet místního správce na serveru SLUŽBY AD FS.

Snímek obrazovky se stránkou Přihlašovací údaje Přihlašovací údaje správce se zadávají do pole uživatelského jména a do pole pro heslo.

Zadání účtu služby AD FS

Služba AD FS vyžaduje účet doménové služby k ověřování uživatelů a vyhledávání informací o uživatelích ve službě Active Directory. Podporuje dva typy účtů služeb:

  • Skupinový účet spravované služby: Tento typ účtu byl zaveden do služby AD DS systémem Windows Server 2012. Tento typ účtu poskytuje služby, jako je služba AD FS. Jedná se o jeden účet, ve kterém nemusíte pravidelně aktualizovat heslo. Tuto možnost použijte, pokud se řadiče domény systému Windows Server 2012 už nacházejí v doméně, do které patří server služby AD FS.
  • Uživatelský účet domény: Tento typ účtu vyžaduje, abyste zadali heslo a pravidelně ho aktualizovali, jakmile vyprší jeho platnost. Tuto možnost použijte jenom v případě, že nemáte řadiče domény s Windows Serverem 2012 v doméně, do které patří vaše servery SLUŽBY AD FS.

Pokud jste vybrali možnost Vytvořit skupinový účet spravované služby a tato funkce se nikdy nepoužila ve službě Active Directory, zadejte přihlašovací údaje podnikového správce. Tyto přihlašovací údaje slouží k inicializaci úložiště klíčů a povolení této funkce ve službě Active Directory.

Poznámka:

Microsoft Entra Connect zkontroluje, jestli je služba AD FS již zaregistrovaná jako hlavní název služby (SPN) v doméně. Služba AD DS neumožňuje registraci duplicitních hlavních názvů služeb najednou. Pokud se najde duplicitní hlavní název služby (SPN), nebudete moct pokračovat, dokud se hlavní název služby neodebere.

Snímek obrazovky se stránkou

Vyberte doménu Microsoft Entra, kterou chcete federovat.

Na stránce Microsoft Entra Domain můžete nastavit vztah federace mezi AD FS a ID Microsoft Entra. Tady nakonfigurujete službu AD FS tak, aby poskytovala tokeny zabezpečení pro ID Microsoft Entra. Nakonfigurujete také ID Microsoft Entra tak, aby důvěřoval tokenům z této instance služby AD FS.

Na této stránce můžete v počáteční instalaci nakonfigurovat jenom jednu doménu. Další domény můžete později nakonfigurovat opětovným spuštěním nástroje Microsoft Entra Connect.

Snímek obrazovky se stránkou Microsoft Entra Domain

Ověření domény Microsoft Entra vybrané pro federaci

Když vyberete doménu, kterou chcete federovat, microsoft Entra Connect poskytuje informace, které můžete použít k ověření neověřené domény. Další informace najdete v tématu Přidání a ověření domény.

Snímek obrazovky se stránkou Microsoft Entra Domain, včetně informací, které můžete použít k ověření domény

Poznámka:

Microsoft Entra Connect se pokusí ověřit doménu během fáze konfigurace. Pokud nepřidáte potřebné záznamy DNS (Domain Name System), není možné konfiguraci dokončit.

Konfigurace federace s PingFederate

PingFederate můžete nakonfigurovat pomocí nástroje Microsoft Entra Connect během několika kliknutí. Jsou vyžadovány následující požadavky:

Ověření domény

Po nastavení federace pomocí PingFederate se zobrazí výzva k ověření domény, kterou chcete federovat. V rozevírací nabídce vyberte doménu.

Snímek obrazovky se stránkou Microsoft Entra Domain Je vybrána ukázková doména

Export nastavení PingFederate

Nakonfigurujte PingFederate jako federační server pro každou federovanou doménu Azure. Chcete-li tyto informace sdílet se správcem PingFederate, vyberte Exportovat nastavení . Správce federačního serveru aktualizuje konfiguraci a pak poskytne adresu URL serveru PingFederate a číslo portu, aby nástroj Microsoft Entra Connect mohl ověřit nastavení metadat.

Snímek obrazovky se stránkou Nastavení PingFederate Tlačítko Exportovat nastavení se zobrazí v horní části stránky.

Případné problémy s ověřením řešte se správcem PingFederate. Následující obrázek ukazuje informace o serveru PingFederate, který nemá platný vztah důvěryhodnosti s Azure.

Snímek obrazovky s informacemi o serveru: Byl nalezen server PingFederate, ale chybí nebo zakáže připojení poskytovatele služeb pro Azure.

Ověření připojení federace

Microsoft Entra Connect se pokusí ověřit koncové body ověřování, které načítá z metadat PingFederate v předchozím kroku. Microsoft Entra Connect se nejprve pokusí přeložit koncové body pomocí místních serverů DNS. Dále se pokusí přeložit koncové body pomocí externího poskytovatele DNS. Případné problémy s ověřením řešte se správcem PingFederate.

Snímek obrazovky se stránkou Ověřit připojení

Ověření přihlášení k federaci

Nakonec můžete ověřit nově nakonfigurovaný tok přihlášení federace tím, že se přihlásíte k federované doméně. Pokud se vaše přihlášení podaří, pak se federace s PingFederate úspěšně nakonfiguruje.

Snímek obrazovky se stránkou Ověření federovaného přihlášení Zpráva v dolní části označuje úspěšné přihlášení.

Konfigurace a ověření stránek

Konfigurace se provede na stránce Konfigurace .

Poznámka:

Pokud jste nakonfigurovali federaci, ujistěte se, že jste ještě před pokračováním v instalaci nakonfigurovali překlad názvů pro federační servery .

Snímek obrazovky se stránkou Připraveno ke konfiguraci

Použití pracovního režimu

Nový synchronizační server je možné nastavit paralelně s pracovním režimem. Pokud chcete použít toto nastavení, může v cloudu exportovat jenom jeden synchronizační server do jednoho adresáře. Pokud ale chcete přejít z jiného serveru, například ze serveru se systémem DirSync, můžete povolit Microsoft Entra Connect v pracovním režimu.

Když povolíte přípravnou instalaci, synchronizační modul importuje a synchronizuje data jako obvykle. Exportuje ale žádná data do Microsoft Entra ID ani služby Active Directory. V pracovním režimu je funkce synchronizace hesel a funkce zpětného zápisu hesla zakázaná.

Snímek obrazovky s možností Povolit pracovní režim

V pracovním režimu můžete provést požadované změny synchronizačního modulu a zkontrolovat, co se bude exportovat. Když jste s konfigurací spokojeni, znovu spusťte průvodce instalací a vypněte pracovní režim.

Data se teď exportují do MICROSOFT Entra ID ze serveru. Nezapomeňte současně zakázat druhý server tak, aby pouze jeden server prováděl aktivní export.

Další informace najdete v tématu Pracovní režim.

Ověření konfigurace federace

Microsoft Entra Connect ověří nastavení DNS, když vyberete tlačítko Ověřit . Zkontroluje následující nastavení:

  • Připojení k intranetu
    • Řešení plně kvalifikovaného názvu domény federace: Microsoft Entra Connect zkontroluje, jestli dns dokáže přeložit plně kvalifikovaný název domény federace, aby se zajistilo připojení. Pokud Microsoft Entra Connect nedokáže plně kvalifikovaný název domény vyřešit, ověření se nezdaří. Pokud chcete dokončit ověření, ujistěte se, že pro plně kvalifikovaný název domény federační služby existuje záznam DNS.
    • Záznam DNS A: Microsoft Entra Connect kontroluje, jestli má vaše federační služba záznam A. Pokud záznam A chybí, ověření selže. K dokončení ověření vytvořte záznam A (ne záznam CNAME) pro plně kvalifikovaný název domény federace.
  • Extranetové připojení
    • Řešení plně kvalifikovaného názvu domény federace: Microsoft Entra Connect zkontroluje, jestli dns dokáže přeložit plně kvalifikovaný název domény federace, aby se zajistilo připojení.

      Snímek obrazovky se stránkou Instalace byla dokončena.

      Snímek obrazovky se stránkou Instalace byla dokončena. Zpráva indikuje, že konfigurace intranetu byla ověřena.

Pokud chcete ověřit kompletní ověřování, proveďte ručně jeden nebo více následujících testů:

  • Po dokončení synchronizace použijte ve službě Microsoft Entra Connect další úlohu Ověření federovaného přihlášení k ověření ověřování pro místní uživatelský účet, který zvolíte.
  • Z počítače připojeného k doméně na intranetu se ujistěte, že se můžete přihlásit z prohlížeče. Připojte se k https://myapps.microsoft.com. Pak pomocí přihlášeného účtu ověřte přihlášení. Integrovaný účet správce služby AD DS není synchronizovaný a nemůžete ho použít k ověření.
  • Ujistěte se, že se můžete přihlásit ze zařízení v extranetu. Na domácím počítači nebo mobilním zařízení se připojte k https://myapps.microsoft.comzařízení . Pak zadejte svoje přihlašovací údaje.
  • Ověřte přihlášení plně funkčního klienta. Připojte se k https://testconnectivity.microsoft.com. Pak vyberte Test jednotného přihlašování k Office 365>Office 365.

Odstraňování potíží

Tato část obsahuje informace o řešení potíží, které můžete použít, pokud máte potíže při instalaci microsoft Entra Connect.

Když přizpůsobíte instalaci nástroje Microsoft Entra Connect, můžete na stránce Instalace požadovaných součástí vybrat možnost Použít existující SQL Server. Může se zobrazit následující chyba: Databáze ADSync již obsahuje data a nelze ji přepsat. Odeberte existující databázi a zkuste to znovu."

Snímek obrazovky se stránkou Instalace požadovaných komponent V dolní části stránky se zobrazí chyba.

Tato chyba se zobrazí, protože databáze s názvem ADSync již existuje v instanci SQL Serveru, kterou jste zadali.

Obvykle se tato chyba zobrazí po odinstalaci nástroje Microsoft Entra Connect. Databáze se neodstraní z počítače, na kterém běží SQL Server při odinstalaci nástroje Microsoft Entra Connect.

Tento problém vyřešíte takto:

  1. Zkontrolujte databázi ADSync, kterou microsoft Entra Connect použil před odinstalací. Ujistěte se, že se databáze už nepoužívá.

  2. Zálohujte databázi.

  3. Odstraňte databázi:

    1. Pomocí aplikace Microsoft SQL Server Management Studio se připojte k instanci SQL.
    2. Vyhledejte databázi ADSync a klikněte na ni pravým tlačítkem myši.
    3. V místní nabídce vyberte Odstranit.
    4. Pokud chcete databázi odstranit, vyberte OK .

Snímek obrazovky zobrazující Microsoft SQL Server Management Studio Je vybrána synchronizace D.

Po odstranění databáze ADSync vyberte Nainstalovat a zkuste instalaci zopakovat.

Další kroky

Po dokončení instalace se odhlaste z Windows. Potom se znovu přihlaste, než použijete Synchronizační Service Manager nebo Editor synchronizačních pravidel.

Teď, když jste nainstalovali Microsoft Entra Connect, můžete ověřit instalaci a přiřadit licence.

Další informace o funkcích, které jste povolili během instalace, najdete v tématu Prevence náhodných odstranění a služby Microsoft Entra Connect Health.

Další informace o dalších běžných tématech najdete v tématu Microsoft Entra Connect Sync: Scheduler a Integrace místních identit s Microsoft Entra ID.