Instalowanie i konfigurowanie synchronizacji katalogów za pomocą programu Microsoft Entra Connect

  • 7 min

Program Microsoft Entra Connect wymaga komputera przyłączonego do domeny do hostowania usługi synchronizacji. Większość organizacji wdraża dedykowany serwer synchronizacji.

Wymagania

Po skonfigurowaniu platformy Azure z dzierżawą usługi Active Directory należy wykonać podstawowe zadania w celu wdrożenia synchronizacji katalogów, wykonując następujące kroki:

  1. Dodaj domenę usług AD DS do platformy Azure, zweryfikuj domenę, a następnie ustaw domenę jako domenę podstawową.

  2. Pobierz i zainstaluj program Microsoft Entra Connect.

    Zrzut ekranu przedstawiający blok Microsoft Entra Connect w centrum administracyjnym firmy Microsoft Entra. Administrator ma pobrać funkcję Microsoft Entra Connect.

  3. Uruchom Kreatora konfiguracji programu Microsoft Entra Connect. (Opcjonalnie możesz skonfigurować program Microsoft Entra Connect, aby zsynchronizować określone jednostki organizacyjne w lokalnym środowisku usług AD DS).

    Zrzut ekranu przedstawiający stronę Ustawień ekspresowych Kreatora programu Microsoft Entra Connect. Administrator może wybrać pozycję Dostosuj lub Użyj ustawień ekspresowych. Bieżący las usługi AD to CONTOSO..

  4. Włącz opcjonalne funkcje, takie jak synchronizacja skrótów haseł, zapisywanie zwrotne haseł i wdrażanie hybrydowe programu Exchange.

  5. Uruchom program Microsoft Entra Connect i pozwól mu skonfigurować środowisko na potrzeby synchronizacji katalogów

  6. Zweryfikuj wyniki synchronizacji.

    Zrzut ekranu przedstawiający kartę Kreator programu Microsoft Entra Connect, filtrowanie domen/jednostek organizacyjnych. Administrator wybrał opcje Synchronizuj wybrane domeny i jednostki organizacyjne oprócz różnych jednostek organizacyjnych z zwróconej listy Contoso.com.

Po skonfigurowaniu programu Microsoft Entra Connect i wykonaniu synchronizacji początkowej można w razie potrzeby ponownie skonfigurować opcje synchronizacji. Instalacja oprogramowania Microsoft Entra Connect obejmuje kilka aplikacji związanych z synchronizacją katalogów. Po uruchomieniu programu Microsoft Entra Connect możesz użyć ustawień instalacji ekspresowej, które konfigurują synchronizację katalogów z najczęściej używanymi ustawieniami lub można dostosować opcje konfiguracji.

Jeśli zdecydujesz się używać instalacji niestandardowej, na początku konfiguracji możesz użyć niestandardowego serwera SQL zamiast lokalnej bazy danych. Możesz również użyć istniejącego konta usługi zamiast konta utworzonego przez proces automatycznej konfiguracji. Ponadto można określić niestandardowe grupy synchronizacji. Domyślnie grupy Administratorzy, Operatorzy, Przeglądaj i Resetowanie haseł są tworzone przez program Microsoft Entra Connect, ale w tym celu można użyć własnych grup niestandardowych.

Domyślnie program Microsoft Entra Connect konfiguruje synchronizację skrótów haseł dla trybu synchronizacji katalogów. Jeśli wybierzesz instalację niestandardową, możesz również wybrać opcję Federacja z usługami AD FS lub uwierzytelnianie przekazywane. Alternatywnie można ręcznie skonfigurować synchronizację katalogów, jeśli masz wdrożony serwer federacyjny innej firmy niż Microsoft lub inne istniejące rozwiązanie.

Niestandardowa instalacja programu Microsoft Entra Connect umożliwia również wybranie sposobu identyfikowania użytkowników. Domyślnie Instalator zakłada, że użytkownicy są reprezentowani tylko raz we wszystkich katalogach. Jeśli jednak masz scenariusz, w którym tożsamości użytkowników istnieją w wielu katalogach, musisz wybrać pasujący atrybut. Możesz wybrać między opcjami opisanymi w poniższej tabeli.

Opcja Opis
atrybut poczty Ta opcja łączy użytkowników i kontakty, jeśli atrybut poczty ma taką samą wartość w różnych lasach.
ObjectSID i msExchangeMasterAccountSID Ta opcja dołącza włączonego użytkownika w lesie konta z wyłączonym użytkownikiem w lesie zasobów programu Exchange. W programie Exchange jest to również nazywane połączoną skrzynką pocztową.
sAMAccountName i mailNickname Ta opcja łączy dodatkowe atrybuty w lokalizacjach w katalogu, w którym powinien zostać znaleziony identyfikator logowania użytkownika.
Mój własny atrybut Ta opcja umożliwia wybranie własnego atrybutu.
Zakotwiczenie źródła Jest to atrybut, który pozostaje niezmienny w okresie istnienia obiektu użytkownika. Innymi słowy, ten atrybut jest kluczem podstawowym, który łączy obiekt użytkownika lokalnego z obiektem użytkownika w identyfikatorze Entra firmy Microsoft. Ponieważ nie można później zmienić tego atrybutu, należy dokładnie wybrać atrybut do użycia w tym celu. Domyślnym wyborem jest objectGUID, ponieważ ten atrybut nie zmienia się, chyba że konto użytkownika zostanie przeniesione między lasami i domenami.

Atrybut można skonfigurować UserPrincipalName w tym samym oknie. Jest to atrybut używany przez użytkowników podczas logowania się do identyfikatora Entra firmy Microsoft. Domeny używane w tym celu, znane również jako sufiks nazwy UPN, powinny być weryfikowane w identyfikatorze Entra firmy Microsoft przed zsynchronizowaniem obiektów użytkownika.

W niektórych przypadkach można zsynchronizować tylko podzbiór użytkowników z lokalnych usług AD DS. Program Microsoft Entra Connect umożliwia wybranie określonej grupy użytkowników, którzy mają być synchronizowani z identyfikatorem Entra firmy Microsoft. Przed uruchomieniem programu Microsoft Entra Connect należy utworzyć tę grupę. Po zakończeniu instalacji można dodawać i usuwać użytkowników z tej grupy, aby zachować listę obiektów użytkownika, które powinny znajdować się w identyfikatorze Entra firmy Microsoft. Można również użyć jednostek organizacyjnych z lokalnych usług AD DS jako zakresu replikacji. W ostatnim kroku program Microsoft Entra Connect umożliwia skonfigurowanie niektórych opcjonalnych funkcji dostępnych w usłudze Microsoft Entra ID P1 lub P2.