Plánování integrace Microsoft Entra

  • 13 min

Když pracovníci IT ve společnosti Contoso implementují cloudovou službu nebo aplikaci ve svém IT prostředí, obvykle chtějí pro své místní a cloudové aplikace používat jedno úložiště identit. Pomocí synchronizace adresářů můžou připojit místní službu AD DS s ID Microsoft Entra.

Co je synchronizace adresářů?

Synchronizace adresářů umožňuje synchronizaci mezi místní službou AD DS a ID Microsoft Entra pro uživatele, skupiny a kontakty. V nejjednodušší podobě nainstalujete komponentu synchronizace adresářů na server ve vaší místní doméně. Pak zadáte účet s přístupem správce domény a podnikového správce k místní službě AD DS a dalšímu účtu s přístupem správce k ID Microsoft Entra a necháte ho spustit.

Uživatelské účty, skupiny a kontakty, které vyberete ze služby AD DS, se pak replikují do Microsoft Entra ID. Uživatelé pak můžou tyto účty použít k přihlášení ke službám Azure a k přístupu ke službám Azure, které k ověřování spoléhají na ID Microsoft Entra.

Pokud neaktivujete synchronizaci hesel, budou mít uživatelé k přihlášení k prostředku Azure samostatné heslo od místního prostředí. I když implementujete synchronizaci hesel, uživatelům se při přístupu k prostředku Azure na počítačích připojených k doméně stále zobrazí výzva k zadání přihlašovacích údajů. Výhodou synchronizace hesel je, že pokud se chcete přihlásit k prostředku Azure, můžou uživatelé používat stejné uživatelské jméno a heslo jako přihlášení k doméně. Nezaměňujte ho s jednotným přihlašováním. Chování poskytnuté synchronizací hesel se nazývá stejné přihlášení.

S Azure je tok synchronizace jednosměrný z místní služby AD DS do Azure. S funkcemi Microsoft Entra ID P1 nebo P2 se ale některé atributy replikují v opačném směru. Azure můžete například nakonfigurovat tak, aby zapsal hesla zpět do místní služby AD DS a do skupin a zařízení z Microsoft Entra ID. Pokud nechcete synchronizovat celou místní službu AD DS, synchronizace adresářů pro Microsoft Entra ID podporuje omezené filtrování a přizpůsobení toku atributů na základě následujících hodnot:

  • OU
  • Doména
  • Atributy uživatele
  • Aplikace

Microsoft Entra Connect

K synchronizaci mezi místními službami AD DS a Microsoft Entra ID můžete použít Microsoft Entra Connect (Microsoft Entra Connect). Microsoft Entra Connect je nástroj založený na průvodci navržený tak, aby umožňoval připojení mezi místní infrastrukturou identit a Azure. Pomocí průvodce můžete zvolit topologii a požadavky a pak průvodce nasadí a nakonfiguruje všechny požadované součásti za vás. V závislosti na vybranýchpožadavch

  • Synchronizace Azure Active Directory (Azure AD Sync)
  • Hybridní nasazení Exchange
  • Zpětný zápis změn hesla
  • Proxy servery služby AD FS a AD FS nebo webové proxy aplikací
  • Modul Microsoft Graph PowerShellu

Poznámka:

Většina organizací nasadí vyhrazený synchronizační server pro hostování služby Microsoft Entra Connect.

Když spustíte Microsoft Entra Connect, dojde k následujícímu:

  • Do Microsoft Entra ID se přidají noví uživatelé, skupiny a objekty kontaktů v místní službě AD DS. Licence pro cloudové služby, jako je Microsoft 365, se ale k těmto objektům automaticky nepřiřazují.
  • Atributy existujících uživatelů, skupin nebo kontaktních objektů, které jsou změněny v místní službě AD DS, se upravují v Microsoft Entra ID. Ne všechny místní atributy služby AD DS se ale synchronizují s ID Microsoft Entra. Sadu atributů, které se synchronizují s ID Microsoft Entra, můžete nakonfigurovat pomocí komponenty Správce synchronizace služby Microsoft Entra Connect.
  • Stávající uživatelé, skupiny a kontaktní objekty odstraněné z místní služby AD DS se odstraní z ID Microsoft Entra.
  • Existující objekty uživatele, které jsou místně zakázané, jsou v Azure zakázané. Licence se ale automaticky nepřiřadí.

Microsoft Entra ID vyžaduje, abyste měli jeden zdroj autority pro každý objekt. Proto je důležité si uvědomit, že ve scénáři Microsoft Entra Connect, když spouštíte synchronizaci služby Active Directory, provádíte hlavní objekty z místní služby AD DS pomocí nástrojů, jako jsou Uživatelé a počítače služby Active Directory nebo Windows PowerShell. Zdrojem autority je však místní služba AD DS. Po dokončení prvního cyklu synchronizace se zdroj autority převede z cloudu do místní služby AD DS. Všechny následné změny cloudových objektů (s výjimkou licencování) jsou zvládnou z místních nástrojů SLUŽBY AD DS. Odpovídající cloudové objekty jsou jen pro čtení a správci Microsoft Entra nemohou upravovat cloudové objekty, pokud je zdrojem autority místní služba AD DS, pokud neimplementujete některé technologie, které umožňují zpětný zápis.

Oprávnění a účty vyžadované ke spuštění služby Microsoft Entra Connect

Pokud chcete implementovat Microsoft Entra Connect, musíte mít účet s požadovanými oprávněními přiřazenými pro místní službu AD DS i Microsoft Entra ID. Instalace a konfigurace služby Microsoft Entra Connect vyžaduje následující účty:

  • Účet Azure s oprávněním globálního správce v tenantovi Azure (například účet organizace), který není účtem použitým k nastavení samotného účtu.
  • Místní účet s oprávněními podnikového správce v místní službě AD DS. V průvodci Microsoft Entra Connect můžete pro tento účel použít existující účet nebo nechat průvodce vytvořit účet za vás.

Microsoft Entra Connect používá účet globálního správce Azure ke zřizování a aktualizaci objektů při spuštění Průvodce konfigurací služby Microsoft Entra Connect. V Azure byste měli vytvořit vyhrazený účet služby pro synchronizaci adresářů, protože nemůžete použít účet správce tenanta Azure. Toto omezení je způsobeno tím, že účet, který jste použili k nastavení Azure, nemusí mít příponu názvu domény, která odpovídá názvu domény. Účet musí být členem skupiny rolí Globální správci.

V místním prostředí musí mít účet, který se používá k instalaci a konfiguraci nástroje Microsoft Entra Connect, následující oprávnění:

  • Oprávnění podnikového správce ve službě AD DS. Toto oprávnění se vyžaduje k vytvoření synchronizačního uživatelského účtu ve službě Active Directory.
  • Oprávnění správce místního počítače. Toto oprávnění se vyžaduje k instalaci softwaru Microsoft Entra Connect.

Účet použitý ke konfiguraci nástroje Microsoft Entra Connect a spuštění průvodce konfigurací se musí nacházet ve skupině ADSyncAdmins místního počítače. Ve výchozím nastavení se účet použitý k instalaci nástroje Microsoft Entra Connect automaticky přidá do této skupiny.

Poznámka:

Účet, který používáte k instalaci služby AD Connect, se při instalaci produktu automaticky přidá do skupiny ADSyncAdmins. Abyste mohli používat rozhraní Synchronization Service Manager, musíte se odhlásit a znovu se přihlásit, protože účet nebude vyzvedávat identifikátor zabezpečení skupiny (SID), dokud se účet příště nepoužije k přihlášení.

Snímek obrazovky Uživatelé a počítače služby Active Directory Správce otevřel dva účty: MSOL_c778af008d92 a AAD_c778af008d92. Pro oba účty je vybraná karta Obecné.

Účet podnikového správce se vyžaduje jenom při instalaci a konfiguraci nástroje Microsoft Entra Connect, ale jeho přihlašovací údaje nejsou uložené ani uloženy průvodcem konfigurací. Proto byste měli vytvořit speciální účet správce Microsoft Entra Connect pro instalaci a konfiguraci nástroje Microsoft Entra Connect a přiřadit tento účet skupině Enterprise Administrators při nastavení služby Microsoft Entra Connect. Po dokončení instalace nástroje Microsoft Entra Connect by však měl být tento účet správce Microsoft Entra Connect odebrán ze skupiny Enterprise Administrators. Následující tabulka obsahuje podrobnosti o účtech vytvořených během konfigurace Microsoft Entra Connect.

Účet Popis
MSOL_<id> Tento účet se vytvoří během instalace služby Microsoft Entra Connect a je nakonfigurovaný tak, aby se synchronizoval s tenantem Azure. Účet má oprávnění replikace adresáře v místní službě AD DS a oprávnění k zápisu u určitých atributů, aby bylo možné hybridní nasazení.
AAD_<id> Toto je účet služby pro synchronizační modul. Vytvoří se s náhodně vygenerovaným složitým heslem, které je automaticky nakonfigurované tak, aby nikdy nevypršovalo platnost. Když se služba synchronizace adresářů spustí, pomocí přihlašovacích údajů účtu služby načte z místní služby Active Directory a pak zapíše obsah synchronizační databáze do Azure. To se provádí pomocí přihlašovacích údajů správce tenanta, které zadáte v Průvodci konfigurací služby Microsoft Entra Connect.

Upozornění

Po instalaci nástroje Microsoft Entra Connect byste neměli měnit účet služby Microsoft Entra Connect, protože microsoft Entra Connect se vždy pokouší spustit pomocí účtu vytvořeného během instalace. Pokud účet změníte, Microsoft Entra Connect přestane běžet a naplánované synchronizace už nedochází.

Další čtení

Další informace najdete v následujícím dokumentu.