Planowanie integracji z firmą Microsoft Entra

  • 13 min

Gdy pracownicy DZIAŁU IT w firmie Contoso implementują usługę w chmurze lub aplikację w swoim środowisku IT, zazwyczaj chcą używać jednego magazynu tożsamości dla aplikacji lokalnych i opartych na chmurze. Korzystając z synchronizacji katalogów, mogą łączyć lokalne usługi AD DS z identyfikatorem Entra firmy Microsoft.

Co to jest synchronizacja katalogów?

Synchronizacja katalogów umożliwia synchronizację między lokalnymi usługami AD DS i identyfikatorem Entra firmy Microsoft dla użytkowników, grup i kontaktów. W najprostszej formie należy zainstalować składnik synchronizacji katalogów na serwerze w domenie lokalnej. Następnie należy podać konto z dostępem administratora domeny i administratora przedsiębiorstwa do lokalnych usług AD DS i innego konta z dostępem administratora do identyfikatora Entra firmy Microsoft i umożliwić jego uruchomienie.

Konta użytkowników, grupy i kontakty wybrane z usług AD DS są następnie replikowane do identyfikatora Entra firmy Microsoft. Użytkownicy mogą następnie używać tych kont do logowania się do usług platformy Azure, które korzystają z identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania i uzyskiwać do nich dostęp.

Jeśli nie aktywujesz synchronizacji haseł, użytkownicy będą mieli oddzielne hasło od środowiska lokalnego w celu zalogowania się do zasobu platformy Azure. Nawet jeśli zaimplementujesz synchronizację haseł, użytkownicy będą nadal monitowani o podanie poświadczeń podczas uzyskiwania dostępu do zasobu platformy Azure na komputerach przyłączonych do domeny. Zaletą synchronizacji haseł jest to, że aby zalogować się do zasobu platformy Azure, użytkownicy mogą używać tej samej nazwy użytkownika i hasła co logowanie do domeny. Nie należy mylić tego z logowaniem jednokrotnym. Zachowanie dostarczone z synchronizacją haseł jest nazywane tym samym logowaniem.

Dzięki platformie Azure przepływ synchronizacji jest jednokierunkowy z lokalnych usług AD DS na platformę Azure. Jednak w przypadku funkcji Microsoft Entra ID P1 lub P2 niektóre atrybuty są replikowane w innym kierunku. Można na przykład skonfigurować platformę Azure do zapisywania haseł z powrotem do lokalnych usług AD DS oraz grup i urządzeń z identyfikatora Entra firmy Microsoft. Jeśli nie chcesz synchronizować całej lokalnej usługi AD DS, synchronizacja katalogów dla identyfikatora Entra firmy Microsoft obsługuje ograniczone filtrowanie i dostosowywanie przepływu atrybutów na podstawie następujących wartości:

  • JEDNOSTKI ORGANIZACYJNEJ
  • Domain
  • Atrybuty użytkownika
  • Aplikacje

Microsoft Entra Connect

Aby przeprowadzić synchronizację między lokalnymi usługami AD DS i Microsoft Entra ID, możesz użyć programu Microsoft Entra Connect (Microsoft Entra Connect). Microsoft Entra Connect to narzędzie oparte na kreatorze, które umożliwia łączność między lokalną infrastrukturą tożsamości a platformą Azure. Za pomocą kreatora można wybrać topologię i wymagania, a następnie kreator wdraża i konfiguruje wszystkie wymagane składniki. W zależności od wybranych wymagań może to obejmować:

  • Synchronizacja usługi Azure Active Directory (Azure AD Sync)
  • Wdrożenie hybrydowe programu Exchange
  • Zapisywanie zwrotne zmian haseł
  • Serwery proxy usług AD FS i AD FS lub serwer proxy aplikacji sieci Web
  • Moduł programu PowerShell programu Microsoft Graph

Uwaga

Większość organizacji wdraża dedykowany serwer synchronizacji na potrzeby hostowania programu Microsoft Entra Connect.

Po uruchomieniu programu Microsoft Entra Connect następuje:

  • Nowi użytkownicy, grupy i obiekty kontaktowe w lokalnych usługach AD DS są dodawane do identyfikatora Entra firmy Microsoft. Jednak licencje usług w chmurze, takich jak Platforma Microsoft 365, nie są automatycznie przypisywane do tych obiektów.
  • Atrybuty istniejących użytkowników, grup lub obiektów kontaktów, które są modyfikowane w lokalnych usługach AD DS, są modyfikowane w identyfikatorze Entra firmy Microsoft. Jednak nie wszystkie lokalne atrybuty usług AD DS są synchronizowane z identyfikatorem Entra firmy Microsoft. Zestaw atrybutów synchronizowanych z identyfikatorem Entra firmy Microsoft można skonfigurować przy użyciu składnika Menedżer synchronizacji programu Microsoft Entra Connect.
  • Istniejący użytkownicy, grupy i obiekty kontaktowe usunięte z lokalnych usług AD DS są usuwane z identyfikatora Entra firmy Microsoft.
  • Istniejące obiekty użytkownika, które są wyłączone lokalnie, są wyłączone na platformie Azure. Jednak licencje nie są automatycznie nieprzypisane.

Identyfikator Entra firmy Microsoft wymaga pojedynczego źródła urzędu dla każdego obiektu. Dlatego ważne jest, aby zrozumieć, że w scenariuszu programu Microsoft Entra Connect podczas uruchamiania synchronizacji usługi Active Directory obiekty są opanowane z poziomu lokalnych usług AD DS przy użyciu narzędzi, takich jak Użytkownicy i komputery usługi Active Directory lub Windows PowerShell. Jednak źródłem urzędu jest lokalna usługa AD DS. Po zakończeniu pierwszego cyklu synchronizacji źródło urzędu jest przenoszone z chmury do lokalnych usług AD DS. Wszystkie kolejne zmiany obiektów w chmurze (z wyjątkiem licencjonowania) są opanowane z lokalnych narzędzi usług AD DS. Odpowiednie obiekty w chmurze są tylko do odczytu, a administratorzy firmy Microsoft Entra nie mogą edytować obiektów w chmurze, jeśli źródło urzędu jest lokalne usług AD DS, chyba że implementujesz niektóre technologie, które zezwalają na zapisywanie zwrotne.

Uprawnienia i konta wymagane do uruchomienia programu Microsoft Entra Connect

Aby zaimplementować program Microsoft Entra Connect, musisz mieć konto z wymaganymi uprawnieniami przypisanymi zarówno dla lokalnych usług AD DS, jak i microsoft Entra ID. Instalowanie i konfigurowanie programu Microsoft Entra Connect wymaga następujących kont:

  • Konto platformy Azure z uprawnieniami administratora globalnego w dzierżawie platformy Azure (na przykład konto organizacyjne), które nie jest kontem użytym do skonfigurowania samego konta.
  • Konto lokalne z uprawnieniami administratora przedsiębiorstwa w lokalnych usługach AD DS. W Kreatorze microsoft Entra Connect możesz użyć istniejącego konta w tym celu lub zezwolić kreatorowi na utworzenie konta.

Program Microsoft Entra Connect używa konta administratora globalnego platformy Azure do aprowizowania i aktualizowania obiektów po uruchomieniu Kreatora konfiguracji programu Microsoft Entra Connect. Należy utworzyć dedykowane konto usługi na platformie Azure na potrzeby synchronizacji katalogów, ponieważ nie można użyć konta administratora dzierżawy platformy Azure. To ograniczenie jest spowodowane tym, że konto użyte do skonfigurowania platformy Azure może nie mieć sufiksu nazwy domeny zgodnej z nazwą domeny. Konto musi być członkiem grupy ról Administratorzy globalni.

W środowisku lokalnym konto używane do instalowania i konfigurowania programu Microsoft Entra Connect musi mieć następujące uprawnienia:

  • Uprawnienia administratora przedsiębiorstwa w usługach AD DS. To uprawnienie jest wymagane do utworzenia konta użytkownika synchronizacji w usłudze Active Directory.
  • Uprawnienia administratora komputera lokalnego. To uprawnienie jest wymagane do zainstalowania oprogramowania Microsoft Entra Connect.

Konto używane do konfigurowania programu Microsoft Entra Connect i uruchamianie kreatora konfiguracji musi znajdować się w grupie ADSyncAdmins komputera lokalnego. Domyślnie konto używane do instalowania programu Microsoft Entra Connect jest automatycznie dodawane do tej grupy.

Uwaga

Konto używane do instalowania programu AD Connect jest automatycznie dodawane do grupy ADSyncAdmins podczas instalowania produktu. Musisz wylogować się i zalogować się ponownie, aby użyć interfejsu programu Synchronization Service Manager, ponieważ konto nie będzie pobierać identyfikatora zabezpieczeń grupy (SID) do następnego logowania się konta.

Zrzut ekranu przedstawiający Użytkownicy i komputery usługi Active Directory. Administrator otworzył dwa konta: MSOL_c778af008d92 i AAD_c778af008d92. Karta Ogólne jest zaznaczona dla obu kont.

Konto administratora przedsiębiorstwa jest wymagane tylko podczas instalowania i konfigurowania programu Microsoft Entra Connect, ale jego poświadczenia nie są przechowywane ani zapisywane przez kreatora konfiguracji. W związku z tym należy utworzyć specjalne konto administratora microsoft Entra Connect do instalowania i konfigurowania programu Microsoft Entra Connect, a następnie przypisać to konto do grupy Administratorzy przedsiębiorstwa podczas konfigurowania programu Microsoft Entra Connect. Jednak to konto administratora programu Microsoft Entra Connect powinno zostać usunięte z grupy Administratorzy przedsiębiorstwa po zakończeniu instalacji programu Microsoft Entra Connect. Poniższa tabela zawiera szczegółowe informacje o kontach utworzonych podczas konfiguracji programu Microsoft Entra Connect.

Konto opis
MSOL_<id> To konto jest tworzone podczas instalacji programu Microsoft Entra Connect i jest skonfigurowane do synchronizacji z dzierżawą platformy Azure. Konto ma uprawnienia replikacji katalogów w lokalnych usługach AD DS i uprawnienia do zapisu w niektórych atrybutach w celu włączenia wdrożenia hybrydowego.
AAD_<id> Jest to konto usługi dla aparatu synchronizacji. Jest on tworzony przy użyciu losowo wygenerowanego złożonego hasła automatycznie skonfigurowanego tak, aby nigdy nie wygasało. Po uruchomieniu usługi synchronizacji katalogów używa poświadczeń konta usługi do odczytu z lokalnej usługi Active Directory, a następnie zapisuj zawartość bazy danych synchronizacji na platformie Azure. Odbywa się to przy użyciu poświadczeń administratora dzierżawy wprowadzonych w Kreatorze konfiguracji programu Microsoft Entra Connect.

Uwaga

Nie należy zmieniać konta usługi programu Microsoft Entra Connect po zainstalowaniu programu Microsoft Entra Connect, ponieważ program Microsoft Entra Connect zawsze próbuje uruchomić przy użyciu konta utworzonego podczas instalacji. Jeśli zmienisz konto, program Microsoft Entra Connect przestanie działać i zaplanowane synchronizacje nie będą już wykonywane.

Materiały uzupełniające

Aby dowiedzieć się więcej, zapoznaj się z następującym dokumentem.