Bliżej chmury publicznej - synchronizacja lokalnego Active Directory z Azure Active Directory/Office 365 przy wykorzystaniu narzędzia Azure AD Connect
Wstęp
Organizacje, które posiadają lokalną usługę katalogową Active Directory i planują uruchomić usługę Office 365 muszą podjąć decyzję na temat sposobu uwierzytelniania swoich użytkowników do usługi Office 365. Na dzień pisania artykułu tj. 14.04.2017 firma Microsoft proponuje trzy rodzaje uwierzytelniania:
- uwierzytelnianieza pomocą kont założonych tylko i wyłącznie w Office 365. Obiekty przechowywane w Azure AD/O365 nie są w żaden sposób zintegrowane z lokalną usługą katalogową Active Directory,
- synchronizacja z lokalną usługą katalogową Active Directory za pomocą narzędzia Azure AD Connect lub innego. Konta użytkowników tworzone są i zarządzane w lokalnej usłudze katalogowej Active Directory, gdzie następnie są synchronizowane wraz z hashami haseł do Azure AD/O365,
- federacja z lokalną usługą katalogową za pomocą np. Active Directory Federated Services lub innego narzędzia firmy trzeciej. Konta użytkowników tworzone są i zarządzane w lokalnej usłudze katalogowej następnie są synchronizowane za pomocą narzędzia Azure AD Connect (bez haseł). Autoryzacja użytkownika odbywa się przy wykorzystaniu Active Directory Federation Services lub innego narzędzia firmy trzeciej.
W niniejszym artykule skupimy się na synchronizacji lokalnej usługi katalogowej Active Directory przy wykorzystaniu narzędzia Microsoft Azure Active Directory Connect.
Początkowa konfiguracja
Przed rozpoczęciem procesu instalacji Azure AD Connect należy wykonać poniższe czynności:
- zweryfikować domenę publiczną, której jesteśmy właścicielami w Office 365. W celu wykonania takiej czynności należy zalogować się do portalu Office 365 https://portal.office.com. Przejść do zakładki Setup -> Domains, wybrać opcję Add domain. W kreatorze konfiguracyjnym należy wpisać nazwę domeny, którą chcemy dodać. W moim przypadku jest to domena farbenia.pl. Weryfikację domeny wykonujemy za pomocą dodania rekordu typu txt ze wskazaną wartością przez kreator (Rys. 1). Po wprowadzeniu odpowiedniego rekordu domena zostanie poprawnie zweryfikowana, proces weryfikacji można zakończyć na tym etapie.
Rys. 1. Weryfikacja domeny farbenia.pl w usłudze Office 365
- dodać UPN suffix w lokalnej domenie Active Directory, który będzie wykorzystywany do logowania do Office 365. Nowy UPN suffix należy dodać z poziomu narzędzia Active Directory Domains and Trusts (Rys. 2)
Rys. 2. Dodatkowy UPN suffix
Instalacja i konfiguracja Azure AD Connect
Przed rozpoczęciem procesu instalacji i konfiguracji należy pobrać paczkę instalacyjną dla Microsoft Azure Active Directory Connect z poniższej lokalizacji:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
Po uruchomieniu instalatora w kroku powitalnym instalator poprosi o akceptację warunków licencyjnych i pozwoli przejść do następnego kroku instalacyjnego, w którym musimy podjąć decyzję w jaki sposób przeprowadzimy instalację. Mamy do wyboru dwie opcje (Rys. 3): Use express settings (domyślna instalacja) oraz Customize (z możliwością konfiguracji). Instalacja Express Setting instaluje Azure AD Connect z domyślnymi ustawieniami, natomiast opcja Cusomise pozwala na wprowadzenie dodatkowej konfiguracji.
W niniejszym artykule skupimy się na opcji Customize, w której zmienimy kilka domyślnych elementów, wykonywanych podczas standardowej instalacji.
Rys. 3. Azure AD Connect – wybór typu instalacji
W kroku Required Components mamy do wyboru 4 opcje:
- Specify a custom installation location – wskazanie lokalizacji w której zostanie zainstalowany Azure AD Sync
- Use an existing SQL Server – wykorzystanie aktualnie zainstalowanego serwera MS SQL, który znajduje się w naszej ogranizacji
- Use an existing service account – wskazanie konta serwisowego na którym będzie działała aplikacja
- Specify custom sync groups
W naszym przypadku wybieramy tylko opcję Use an existing service accont, gdzie wskażemy utworzone wcześniej konto serwisowe na którym uruchomimy usługę Azure AD Connect (Rys. 4). Konfigurację zatwierdzamy przyciskiem Install.
Rys. 4. Azure AD Connect – wybór required components
W następnym kroku User Sign-In (Rys. 5) wybieramy metodę uwuerzytelniania użytkownika. Mamy tutaj cztery opcje:
- Password Synchronization
- Pass-through authentication
- Federation with AD FS
- Do not configure
W naszym przypadku zastosujemy opcję Password Synchronization przy pomocy, której zostaną zsynchronizowane konta z lokalnego Active Directory z hashami haseł. Przechodzimy do kroku Connect to Azure AD, tutaj należy wpisać konto Globalnego Administratora wykupionej subskrypcji w usłudze Office 365 (login_uzytkownika@nazwa_subskrypcji.onmicrosoft.com) oraz hasło za pomocą którego logujemy się do usługi Office 365.
Rys. 5. Azure AD Connect – User sign-in
Po podłączeniu się do Office 365 przyszedł czas na podłączenie do lokalnej usługi katalogowej Active Directory, którą będziemy synchronizowali z Office 365. W kroku Connect Directories (Rys. 6) w oknie Forest wybieramy aktualną domenę w polach User Name i Password wpisujemy aktualne poświadczenia Administratora Domeny i klikamy w Add Directory. Po poprawnym dodaniu domeny przechodzimy do następnego kroku.
Rys. 6. Azure AD Connect – Connect Directories
W kroku Azure AD zostanie wyświetlona lista UPS Suffix (Rys. 7), która jest wykorzystywana w lokalnej usłudze katalogowej. Jak widać na poniższym rysunku mamy dostępne dwa suffixy:
- farbenia.local – domyślny suffix, skonfigurowany podczas instalacji usługi katalogowej
- farbenia.pl – alternatywny suffix, dodany na potrzeby logowania do usługi Office 365, domena została zweryfikowana wcześniej w Azure AD/O365
Rys. 7. Azure AD Connect – Azure AD sign-in Configuration
W kroku Domain and OU filtering (Rys. 8) wskazujemy jednostki ogranizacyjne, które będą synchronizowane z Azure AD. W naszym przypadku wybieramy jednostkę Pracownicy w której znajdują się konta pracowników, którzy będą korzystali z Office 365.
Rys. 8. Azure AD Connect – Domain/OU filtering
W kroku Identifying users wybieramy domyślną opcję Users are represented only one across all directories, i przechodzimy do dalszej konfiguracji. W kroku Filtering również wybieramy domyślną opcję: Synchronize all users and devices, która pozwala na synchronizację wszystkich obiektów ze wskazanej jednostki organizacyjnej. Krok Optional Features zostawiamy z zaznaczoną opcją Exchange hybrid deployment, Password synchronization oraz Password writeback (Rys. 9) i przechodzimy do ostatniego kroku Configure (Rys.10) w którym włączamy opcję Start the synchronization process when Configuration completes i wybieramy Install, gdzie rozpocznie się proces instalacji. Po zakończeniu zostanie wyświetlona informacja, że proces instalacji został zakończony pomyślnie.
Rys. 9. Azure AD Connect – Optional features
Rys. 10. Azure AD Connect – Instalacja
Po zakończonej instalacji można uruchomić aplikację Synchronization Service Manager (Rys. 11) i sprawdzić czy konta ze wskazanej jednostki organizacyjnej Pracownicy zostały zsynchronizowane z Azure AD/O365. Ja widać na Rysunku 11 narzędzie Azure AD Sync wyeksportowało 5 kont do Azure AD/O365.
Rys.11. Synchronization Service
Synchronizacja obiektów z lokalnego AD do chmury domyślnie odbywa się co 30 minut. Weryfikację konfiguracji można przeprowadzić za pomocą poniższego polecenia:
Get-ADSyncScheduler
W przypadku gdy został zmodyfikowany element w lokalnej usłudze Active Directory, który jest synchronizowany z Azure AD/O365 można wymusić ręczną synchronizację wprowadzonych zmian za pomocą poniższego polecenia:
Start-ADSyncSyncCycle -PolicyType Delta
Podsumowanie
Na chwilę obecną firma Microsoft rekomenduje użycie narzędzia Azure Active Directory Connect do synchronizacji lokalnej usługi katalogowej Active Directory z usługami uruchomionymi w chmurze publicznej Azure Active Directory / Office 365.
Dodatkowo do synchronizacji AD z chmurą można wykorzystać oprogramowanie Forefront Identity Manager (FIM) 2010 R2 oraz Microsoft Identity Manager (MIM) 2016, którego popularność z dnia na dzień maleje na korzyść Azure Active Directory Connect.
UWAGA! Należy pamiętać, że dla aplikacji: Azure Active Directory Synchronization Tool (DirSync) oraz Azure Active Directory Sync (AADSync) z dniem 13 kwietnia 2017 zakończyło się wsparcie i organizacje, które w dalszym ciągu wykorzystują wymienione powyżej narzędzia muszą wykonać migrację do Azure Active Directory Connect.
--
Bartłomiej Prokocki