Instalace synchronizační služby Azure Active Directory

Aktualizováno: 22. července 2015

Důležité

Toto téma bude brzy archivováno.
Existuje nový produkt s názvem "Azure Active Directory Připojení", který nahrazuje AADSync a DirSync.
Azure AD Connect zahrnuje komponenty a funkce dříve vydávané jako Dirsync a AAD Sync.
V určitém okamžiku v budoucnu skončí podpora nástroje Dirsync a AAD Sync.
Tyto nástroje se už neaktualizují jednotlivě s vylepšeními funkcí a všechna budoucí vylepšení budou zahrnuta v aktualizacích Azure AD Připojení.

Nejnovější informace o Azure Active Directory Připojení najdete v tématu Integrace místních identit s Azure Active Directory

Cílem tohoto tématu je poskytnout všechny informace, které potřebujete k úspěšné instalaci Azure AD Sync ve vašem prostředí.

Požadavky na instalaci

Cílem této části je uvést požadavky, které je potřeba splnit pro instalaci Azure AD Sync ve vašem prostředí.
Azure AD Sync umožňuje integrovat službu místní Active Directory Domain Service s adresářem Azure AD.
V důsledku toho potřebujete přístup ke službě místní Active Directory Domain Service a přístup k platnému předplatnému Azure, které má nainstalovaný adresář Azure AD.

K instalaci Azure AD Sync potřebujete počítač s operačním systémem Windows Server.
Podporují se následující verze:

• Windows Server 2008

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

Počítač může být samostatný, členský server nebo řadič domény.
Je potřeba nainstalovat následující komponenty:

• .Net 4.5.1

• PowerShell (vyžaduje se ps3 nebo lepší)

K instalaci Azure AD Sync potřebujete účet s oprávněními místního správce.

Azure AD Sync k ukládání dat identity vyžaduje SQL Server databázi. Ve výchozím nastavení se nainstaluje SQL Express LocalDB (light verze SQL Server Express) a účet služby pro službu se vytvoří na místním počítači.
SQL Server Express má limit velikosti 10 GB, který umožňuje spravovat přibližně 100,000 objektů.

Pokud potřebujete nasměrovat větší objem objektů adresáře, musíte proces instalace nasměrovat na jinou verzi SQL Server.
AAD Sync podporuje všechny typy Microsoft SQL Server od SQL Server 2008 do SQL Server 2014.

Než začnete

Před instalací Azure AD Sync musíte mít dokončené následující kroky:

1. Vytvoření účtu AD pro připojení ke službě AD DS

2. Vytvoření účtu pro připojení k Azure AD

V následujících částech najdete související kroky.

Vytvoření účtu AD pro připojení ke službě AD DS

Při konfiguraci Azure AD Sync musíte zadat přihlašovací údaje účtu, který Azure AD Sync používá pro připojení k ad DS.
Můžete použít běžný uživatelský účet, protože účet potřebuje jenom výchozí oprávnění ke čtení.

Následující části obsahují další podrobnosti o oprávněních vyžadovaných účtem SLUŽBY AD DS a atributy, ke které potřebuje přístup.

Oprávnění pro synchronizaci hesel

Pokud chcete povolit synchronizaci hesel mezi vaší místní službou AD DS a Azure Active Directory pro vaše uživatele, musíte účtu, který používá Azure AD Sync k připojení ke službě AD DS, udělit následující oprávnění:

• Replikace změn adresáře

• Replikace změn adresáře – vše

Pro čtení hodnot hash hesel z místní služby AD DS se vyžadují obě oprávnění.

Office 365 Exchange hybridní AAD Sync atributy a oprávnění zpětného zápisu.

Pokud chcete povolit bohatou spolupráci mezi místní infrastrukturou Exchange a Office 365 (Exchange Hybridní), můžete to udělat výběrem volitelné funkce Exchange hybridního nasazení. Při výběru této funkce povolíte AAD Sync zapisovat atributy zpět do místního prostředí.

Následující tabulka uvádí atributy na typ objektu, které vyžadují zpětný zápis:

Typ objektu	Atribut zdroje dat
Kontakt	proxyAddresses
Group (Skupina)	proxyAddresses
User/InetOrgPerson	msExchArchiveStatus
	msExchBlockedSendersHash
	msExchSafeRecipientsHash
	msExchSafeSendersHash
	msExchUCVoiceMailSettings
	msExchUserHoldPolicies
	proxyAddresses

Účet, který nakonfigurujete na stránce dialogového okna Připojení pro Active Directory Domain Services, musí mít specifická oprávnění k výše uvedeným atributům.

Následující tabulka uvádí minimální sadu oprávnění vyžadovaných pro tento účet pomocí názvosloví DSACLS.

Typ objektu	Atribut zdroje dat	Oprávnění / Přístupové právo	Dědičnost
Kontakt	proxyAddresses	Zápis	Pouze podřízené objekty
Group (Skupina)	proxyAddresses	Zápis	Pouze podřízené objekty
User/InetOrgPerson	msExchArchiveStatus	Zápis	Pouze podřízené objekty
	msExchBlockedSendersHash	Zápis	Pouze podřízené objekty
	msExchSafeRecipientsHash	Zápis	Pouze podřízené objekty
	msExchSafeSendersHash	Zápis	Pouze podřízené objekty
	msExchUCVoiceMailSettings	Zápis	Pouze podřízené objekty
	msExchUserHoldPolicies	Zápis	Pouze podřízené objekty
	proxyAddresses	Zápis	Pouze podřízené objekty

Zpětný zápis hesla a změna oprávnění k heslu

Funkce zpětného zápisu hesla poskytuje uživatelům pohodlný způsob resetování místních hesel v cloudu. Během konfigurace Azure AD Sync můžete aktivovat zpětný zápis hesla jako volitelnou funkci.

Pro každou doménovou strukturu, kterou jste nakonfigurovali v Azure AD Sync, musí být u kořenového objektu každé domény v doménové struktuře zadán účet, který jste zadali pro doménovou strukturu, udělena rozšířená práva resetování hesla a změna hesla v kořenovém objektu každé domény v doménové struktuře. Tato oprávnění je nutné označit jako děděná všemi uživatelskými objekty.

Pomocí následujícího postupu nastavte oprávnění pro každý z účtů, které jste nakonfigurovali.

Jak nakonfigurovat rozšířená práva Resetovat heslo a Změnit heslo

1. Otevřít Uživatelé a počítače služby Active Directory

2. Nahoře v části Zobrazení se ujistěte, že jsou zapnuté pokročilé funkce .

3. Na levé straně klikněte pravým tlačítkem na kořenovou doménu a vyberte Vlastnosti.

4. Vyberte kartu Zabezpečení a klikněte na Upřesnit.

   

5. Na kartě Oprávnění klikněte na Přidat.

   

6. Klikněte na Vybrat objekt zabezpečení a vyberte účet zadaný během instalace.

7. V rozevíracím seznamu vyberte objekty potomků uživatele.

8. V části Oprávnění vyberte Resetovat heslo a změnit heslo.

   

9. Klikněte na OK. Klikněte na Použít. Klikněte na OK.

Vytvoření účtu pro připojení k Azure AD

Při konfiguraci Azure AD Sync musíte zadat přihlašovací údaje účtu, který používá Azure AD Sync pro připojení k Azure AD.

Pro tento účet byste měli použít následující osvědčené postupy:

• Měli byste vytvořit samostatný účet, který používá jenom Azure AD Sync.

• Účet byste měli nakonfigurovat se silným heslem, které má délku 16 znaků.

• U účtu byste měli nastavit příznak "Heslo nikdy nevyprší".
  K provedení této úlohy můžete použít následující kód skriptu PowerShellu:

  set-msoluser -UserPrincipalName syncaccount@contoso.com -PasswordNeverExpires $True
  

• Váš účet musí mít jako vybranou roli organizace globální správce .

  

Instalace a konfigurace Azure AD Sync

Nejnovější verzi Azure AD Sync si můžete stáhnout pomocí následujícího odkazu:https://go.microsoft.com/fwlink/?LinkId=511690

Chcete-li spustit proces instalace, spusťte spustitelný soubor s názvemMicrosoftAzureADConnectionTool.exe.
Tento samoextrahující spustitelný soubor vloží všechny požadované soubory na místní jednotku a spustí proces instalace.
Pokud postup instalace zrušíte, vytvoří se zástupce v nabídce Start a na ploše.

Pokud potřebujete pro účet služby použít SQL Server nebo účet domény, musíte průvodce zrušit. Až do tohoto okamžiku už proces instalace vytvořil místní složku, která obsahuje Azure AD Sync související soubory. K opětovnému spuštění instalačního procesu s parametry potřebujete obsah této složky.

Pokud chcete znovu spustit proces instalace, proveďte následující kroky:

1. Otevřete příkazový řádek a přejděte na C:\Program Files\Microsoft Azure AD Connection Tool.

2. Spusťte průvodce znovu s následujícími parametry:

   DirectorySyncTool.exe /sqlserver localhost
                         /sqlserverinstance InstanceName
                         /serviceAccountDomain Azure AD Sync
                         /serviceAccountName Azure AD SyncSvc
                         /serviceAccountPassword VerySecretP@ssw0rd
   

   Poznámka

   Pokud chcete použít výchozí oddíl SQL, nezadávejte tento parametr.

V tuto chvíli jste připraveni dokončit stránky dialogového okna, které jsou přidružené k procesu instalace.

Pokud chcete nainstalovat nástroj Azure AD Sync, musíte dokončit následující dialogové stránky:

1. Instalace

2. Připojení do Azure Active Directory

3. Připojení do Active Directory Domain Services

4. Konfigurace porovnávání uživatelů

5. Volitelné funkce

6. Azure AD Apps

7. atributy Azure AD

8. Připraveno ke konfiguraci

9. Dokončeno

Instalace

Jako první krok procesu instalace musíte souhlasit s licenčními podmínkami a podmínkami a musíte zadat umístění Azure AD Sync.

Připojení do Azure Active Directory

Pokud se chcete připojit k adresáři Azure AD, nástroj Azure AD Sync potřebuje přihlašovací údaje účtu s dostatečnými oprávněními.

Další podrobnosti najdete v tématu Vytvoření účtu pro připojení k Azure AD.

Připojení do Active Directory Domain Services

Pokud se chcete připojit ke službě Doména služby Active Directory, nástroj Azure AD Sync potřebuje přihlašovací údaje účtu s dostatečnými oprávněními.

Další podrobnosti najdete v tématu Vytvoření účtu AD pro připojení ke službě AD DS.

Konfigurace porovnávání uživatelů

Na této stránce je potřeba nakonfigurovat následující:

1. Porovnávání napříč doménovými strukturami

2. Porovnávání s Azure AD

Porovnávání napříč doménovými strukturami

Funkce Porovnávání napříč doménovými strukturami umožňuje definovat, jak jsou uživatelé z doménových struktur ADDS reprezentováni v Azure AD.
Uživatel buď může být reprezentován jenom jednou v rámci všech doménových struktur, nebo může mít kombinaci povolených a zakázaných účtů.

Nastavení	Popis
Moji uživatelé jsou reprezentováni pouze jednou napříč všemi doménovými strukturami.	Všichni uživatelé jsou vytvořeni jako jednotlivé objekty v Azure AD. Tyto objekty nejsou v úložišti metaverse spojené.
Atribut Mail	Tato možnost spojí uživatele a kontakty, pokud má atribut mail v různých doménových strukturách stejnou hodnotu. Tuto možnost doporučujeme použít, když jste kontakty vytvořili pomocí galsync.
ObjectSID a msExchangeMasterAccountSID	Tato možnost připojí povoleného uživatele v doménové struktuře účtu se zakázaným uživatelem v doménové struktuře prostředků Exchange. Označuje se také jako propojená poštovní schránka v Exchange.
Atributy sAMAccountName a MailNickName	Tato možnost se připojí k atributům, u kterých se očekává, že je možné najít PŘIHLAŠOVACÍ ID uživatele.
Můj vlastní atribut	Tato možnost umožňuje vybrat vlastní atribut. Omezení v jazyce CTP: Nezapomeňte vybrat atribut, který už v metaverse existuje. Pokud vyberete vlastní atribut, průvodce nebude moct dokončit.

Porovnávání s Azure AD

Tuto možnost můžete použít k určení atributu, který chcete použít pro federaci identit. Atribut sourceAnchor je atribut, který se během životnosti objektu uživatele nemění. V prostředích s jednou doménovou strukturou a prostředích a v případě, že se účet nikdy nepřesune mezi doménovými strukturami, pak je objektGUID vhodným kandidátem. Pokud se uživatel přesune mezi doménovými strukturami nebo doménami, je nutné vybrat alternativní atribut.

Atribut userPrincipalName je přihlašovací ID uživatele v Azure AD. Ve výchozím nastavení se použije atribut userPrincipalName v nástroji ADDS. Pokud tento atribut není směrovatelný nebo není vhodný jako přihlašovací ID jiného atributu, například poštu, můžete vybrat v průvodci instalací.

Volitelné funkce

Pokud máte Exchange hybridní nasazení, zaškrtněte toto políčko. Tím se vrátí některé atributy z Exchange online do místní Active Directory.

Zpětný zápis hesla je funkce Azure Active Directory Premium. Další informace o tom, jak to nakonfigurovat, najdete v tématu https://blogs.technet.com/b/ad/archive/2014/04/29/deep-dive-password-reset-with-on-premise-sync-in-azure-ad-premium.aspx.

Pokud chcete zkontrolovat nebo omezit atributy synchronizované s Azure AD, vyberte Azure AD aplikace a filtrování atributů. Potom v průvodci získáte dvě další stránky.

Další informace o synchronizaci hesel najdete v tématu Implementace synchronizace hesel se službou Azure Active Directory Sync

Azure AD Apps

Pokud chcete omezit, které atributy se mají synchronizovat s Azure AD, začněte výběrem služeb, které používáte, pokud tuto stránku nakonfigurujete, je nutné některou novou službu explicitně vybrat opětovným spuštěním průvodce instalací.

atributy Azure AD

Na základě služeb vybraných v předchozím kroku se na této stránce zobrazí všechny atributy, které budou synchronizovány. Tento seznam je kombinací všech synchronizovaných typů objektů. Pokud některé konkrétní atributy, které potřebujete synchronizovat, můžete zrušit jejich výběr. Na obrázku nad příponouAttributes a homePhone byl nevybraný a nebude se synchronizovat s Azure AD.

Připraveno ke konfiguraci

Na této stránce najdete souhrn konfigurace. Než budete pokračovat na další stránce, měli byste si tento souhrn pečlivě projít.

Pokud tento krok selže s chybou "Nejde komunikovat se službou Windows Azure Active Directory" a máte nakonfigurovaný proxy server, měli byste přidat nastavení proxy serveru do souboru "machine.config" vašeho počítače Azure AD Sync.
Další podrobnosti najdete v tématu <element proxy> (network Nastavení).

Dokončeno

Nyní byla vytvořena výchozí konfigurace a pokud jste připraveni zahájit synchronizaci, klikněte na tlačítko Dokončit.
Pokud potřebujete před zahájením synchronizace provést další konfiguraci, zrušte zaškrtnutí políčka Synchronizovat a teprve potom klepněte na tlačítko Dokončit. Tím se v plánovači úloh vytvoří zakázaná úloha. Po dokončení konfigurace spusťte pravidelnou synchronizaci povolením této úlohy.

Viz také

Koncepty

synchronizace Azure Active Directory
Historie verzí synchronizace Azure Active Directory
Implementace synchronizace hesel pomocí synchronizace Azure Active Directory

Další prostředky

Azure AD Sync poznámky k verzi