Instalace a konfigurace synchronizace adresářů pomocí nástroje Microsoft Entra Connect
Microsoft Entra Connect vyžaduje k hostování synchronizační služby počítač připojený k doméně. Většina organizací nasadí vyhrazený synchronizační server.
Požadavky
Po nastavení Azure s tenantem Active Directory musíte dokončit primární úlohy pro nasazení synchronizace adresářů pomocí následujících kroků:
- Přidejte doménu AD DS do Azure, ověřte doménu a pak ji nastavte jako primární doménu.
- Stáhněte a nainstalujte Microsoft Entra Connect.
- Spusťte Průvodce konfigurací nástroje Microsoft Entra Connect. (Volitelně můžete nakonfigurovat Microsoft Entra Connect tak, aby synchronizoval konkrétní organizační jednotky v místním prostředí SLUŽBY AD DS).
- Povolte volitelné funkce, jako je synchronizace hodnot hash hesel, zpětný zápis hesla a hybridní nasazení Exchange.
- Spusťte Microsoft Entra Connect a nechte ho nakonfigurovat prostředí pro synchronizaci adresářů.
- Ověřte výsledky synchronizace.
Po nastavení nástroje Microsoft Entra Connect a provedení počáteční synchronizace můžete v případě potřeby změnit konfiguraci možností synchronizace. Instalace softwaru Microsoft Entra Connect zahrnuje několik aplikací souvisejících se synchronizací adresářů. Při spuštění nástroje Microsoft Entra Connect máte možnost použít nastavení expresní instalace, která nastavuje synchronizaci adresářů s nejčastěji používanými nastaveními, nebo můžete zvolit přizpůsobení možností instalace.
Pokud se rozhodnete použít vlastní instalaci, můžete na začátku instalace použít vlastní SQL server místo místní databáze. Můžete také použít existující účet služby místo účtu vytvořeného procesem automatického nastavení. Kromě toho můžete zadat vlastní skupiny synchronizace. Ve výchozím nastavení jsou skupiny Administrators, Operators, Browse a Password Reset vytvořil Microsoft Entra Connect, ale pro tento účel můžete použít vlastní skupiny.
Ve výchozím nastavení microsoft Entra Connect nastaví synchronizaci hodnot hash hesel pro režim synchronizace adresářů. Pokud zvolíte vlastní instalaci, můžete také zvolit federaci s možností AD FS nebo předávací ověřování. Případně můžete ručně nakonfigurovat synchronizaci adresářů, pokud máte nasazený federační server jiného než Microsoftu nebo jiné existující řešení.
Vlastní instalace Microsoft Entra Connect vám také umožňuje zvolit způsob, jakým identifikujete uživatele. Ve výchozím nastavení instalační program předpokládá, že vaši uživatelé jsou reprezentováni pouze jednou napříč všemi adresáři. Pokud ale máte scénář, ve kterém existují identity uživatelů napříč více adresáři, musíte zvolit odpovídající atribut. Můžete si vybrat mezi možnostmi popsanými v následující tabulce.
| Možnost | Popis |
|---|---|
| atribut mail | Tato možnost spojí uživatele a kontakty, pokud má atribut mail v různých doménových strukturách stejnou hodnotu. |
| ObjectSID a msExchangeMasterAccountSID | Tato možnost připojí povoleného uživatele v doménové struktuře účtu k zakázanému uživateli v doménové struktuře prostředků Exchange. V Exchangi se to označuje také jako propojená poštovní schránka. |
| sAMAccountName a mailNickname | Tato možnost spojí další atributy v umístěních v adresáři, kde se očekává, že se najde přihlašovací ID uživatele. |
| Vlastní atribut | Tato možnost umožňuje vybrat vlastní atribut. |
| Zdrojové ukotvení | Jedná se o atribut, který zůstává neměnný během životnosti objektu uživatele. Jinými slovy, tento atribut je primární klíč, který propojuje místní uživatelský objekt s objektem uživatele v Microsoft Entra ID. Protože tento atribut nelze později změnit, musíte pečlivě zvolit atribut, který chcete použít pro tento účel. Výchozí volba je objectGUID, protože tento atribut se nemění, pokud se uživatelský účet nepřesune mezi doménovými strukturami a doménami. |
Atribut můžete nakonfigurovat UserPrincipalName ve stejném okně. Jedná se o atribut, který uživatelé používají při přihlášení k ID Microsoft Entra. Domény používané k tomuto účelu , označované také jako přípona UPN, by měly být před synchronizací objektů uživatele ověřeny v Microsoft Entra ID.
V některých případech můžete chtít synchronizovat pouze podmnožinu uživatelů z místní služby AD DS. Microsoft Entra Connect umožňuje vybrat konkrétní skupinu uživatelů, které chcete synchronizovat s MICROSOFT Entra ID. Tuto skupinu byste měli vytvořit před spuštěním nástroje Microsoft Entra Connect. Po dokončení instalace můžete přidat a odebrat uživatele z této skupiny, abyste zachovali seznam objektů uživatelů, které by měly být přítomné v Microsoft Entra ID. Jako obor replikace můžete použít také organizační jednotky z místní služby AD DS. V posledním kroku vám Microsoft Entra Connect umožňuje nastavit některé volitelné funkce dostupné v Microsoft Entra ID P1 nebo P2.