Развертывание синхронизации каталогов Microsoft 365 в Microsoft Azure
Microsoft Entra Connect (прежнее название — средство синхронизации каталогов, средство синхронизации каталогов или средство DirSync.exe) — это приложение, которое устанавливается на сервере, присоединенном к домену, для синхронизации пользователей локальная служба Active Directory Доменные службы (AD DS) с сервером Microsoft Entra клиента подписки На Microsoft 365. Microsoft 365 использует Microsoft Entra ID для службы каталогов. Ваша подписка На Microsoft 365 включает клиент Microsoft Entra. Этот клиент также можно использовать для управления удостоверениями вашей организации с другими облачными рабочими нагрузками, включая другие приложения и приложения SaaS в Azure.
Вы можете установить Microsoft Entra Connect на локальном сервере, но вы также можете установить его на виртуальной машине в Azure по следующим причинам:
- Вы можете быстрее подготовить и настроить облачные службы, чтобы сделать их доступными для пользователей.
- Azure обеспечивает высокую доступность сайтов и требует меньше усилий.
- Вы можете сократить количество локальных серверов в своей организации.
Для этого решения требуется подключение между локальной сетью и виртуальной сетью Azure. Дополнительные сведения см. в статье Подключение локальной сети к виртуальной сети Microsoft Azure.
Примечание.
В этой статье описывается синхронизация одного домена в одном лесу. Microsoft Entra Connect синхронизирует все домены AD DS в лесу Active Directory с Microsoft 365. Если у вас есть несколько лесов Active Directory для синхронизации с Microsoft 365, см. статью Синхронизация каталогов с одним Sign-On.
Общие сведения о развертывании синхронизации каталогов Microsoft 365 в Azure
На следующей схеме показана Microsoft Entra Connect, запущенная на виртуальной машине в Azure (сервере синхронизации каталогов), которая синхронизирует локальный лес AD DS с подпиской Microsoft 365.
На этой схеме показаны две сети, соединенные VPN-подключением типа "сеть-сеть" или подключением ExpressRoute. Существует локальная сеть, в которой находятся контроллеры домена AD DS, а также виртуальная сеть Azure с сервером синхронизации каталогов, которая является виртуальной машиной под управлением Microsoft Entra Connect. Существует два main потоков трафика, исходящих от сервера синхронизации каталогов:
- Microsoft Entra Connect запрашивает у контроллера домена в локальной сети изменения учетных записей и паролей.
- Microsoft Entra Connect отправляет изменения учетных записей и паролей в экземпляр Microsoft Entra подписки Microsoft 365. Так как сервер синхронизации каталогов находится в расширенной части локальной сети, эти изменения отправляются через прокси-сервер локальной сети.
Примечание.
В этом решении описывается синхронизация одного домена Active Directory в одном лесу. Microsoft Entra Connect синхронизирует все домены Active Directory в лесу Active Directory с Microsoft 365. Если у вас есть несколько лесов Active Directory для синхронизации с Microsoft 365, см. статью Синхронизация каталогов с одним Sign-On.
Развертывание этого решения делится на два основных этапа:
Создайте виртуальную сеть Azure и установите VPN-подключение типа "сеть — сеть" к локальной сети. Дополнительные сведения см. в статье Подключение локальной сети к виртуальной сети Microsoft Azure.
Установите Microsoft Entra Connect на присоединенной к домену виртуальной машине в Azure, а затем синхронизируйте локальные доменные службы AD DS с Microsoft 365. Это включает следующее.
Создание виртуальной машины Azure для запуска Microsoft Entra Connect.
Установка и настройка Microsoft Entra Connect.
Для настройки Microsoft Entra Connect требуются учетные данные (имя пользователя и пароль) учетной записи администратора Microsoft Entra и учетной записи администратора AD DS. Microsoft Entra Connect запускается немедленно и на постоянной основе для синхронизации локального леса AD DS с Microsoft 365.
Перед развертыванием этого решения в рабочей среде можно воспользоваться инструкциями в разделе Смоделированная корпоративная базовая конфигурация , чтобы настроить эту конфигурацию в качестве подтверждения концепции, для демонстраций или экспериментов.
Важно!
После завершения настройки Microsoft Entra Connect учетные данные учетной записи администратора AD DS не сохраняются.
Примечание.
В этом решении описывается синхронизация одного леса AD DS с Microsoft 365. Топология, описываемая в этой статье, предоставляет только один из способов реализации решения. Топология вашей организации может отличаться в зависимости от ваших уникальных требований к сети и соображений безопасности.
Планирование размещения сервера синхронизации каталогов для Microsoft 365 в Azure
Требования
Прежде чем приступать к работе, изучите требования для развертывания этого решения:
Изучите соответствующие материалы по планированию в разделе Планирование виртуальной сети Azure.
Убедитесь, что ваша организация отвечает всем требованиям для настройки виртуальной сети Azure.
У вас есть подписка На Microsoft 365, которая включает функцию интеграции Active Directory. Сведения о подписках Microsoft 365 см. на странице подписки Microsoft 365.
Подготовьте одну виртуальную машину Azure, которая работает Microsoft Entra Connect, чтобы синхронизировать локальный лес AD DS с Microsoft 365.
Необходимо иметь учетные данные (имена и пароли) для учетной записи администратора ad DS enterprise и учетной записи администратора Microsoft Entra.
Допущения по архитектуре решения
Ниже приведены принятые проектные решения.
Это решение использует одну виртуальную сеть Azure с VPN-подключением типа "сеть-сеть". В виртуальной сети Azure размещается одна подсеть с одним сервером— сервером синхронизации каталогов, на котором выполняется Microsoft Entra Connect.
В локальной сети размещены контроллер домена и DNS-серверы.
Microsoft Entra Connect выполняет синхронизацию хэша паролей вместо единого входа. Вам не нужно развертывать инфраструктуру службы федерации Active Directory (AD FS) (AD FS). Дополнительные сведения о синхронизации хэша паролей и параметрах единого входа см. в статье Выбор правильного метода проверки подлинности для решения гибридной идентификации Microsoft Entra.
Существуют и другие варианты проектирования, которые можно учитывать при развертывании этого решения в своей среде. К ним относятся:
Если в виртуальной сети Azure уже есть DNS-серверы, определите, должен ли сервер синхронизации каталогов использовать их вместо DNS-серверов в локальной сети.
Если в существующей виртуальной сети Azure есть контроллеры домена, определите, подходит ли настройка сайтов и служб Active Directory. Сервер синхронизации каталогов может запрашивать у контроллеров домена в виртуальной сети Azure изменения учетных записей и паролей вместо контроллеров домена в локальной сети.
План развертывания
Развертывание Microsoft Entra Connect на виртуальной машине в Azure состоит из трех этапов:
Этап 1. Создание и настройка виртуальной сети Azure
Этап 2. Создание и настройка виртуальной машины Azure
Этап 3. Установка и настройка Microsoft Entra Connect
После развертывания необходимо также назначить расположения и лицензии для новых учетных записей пользователей в Microsoft 365.
Этап 1. Создание и настройка виртуальной сети Azure
Чтобы создать и настроить виртуальную сеть Azure, выполните Этап 1. Подготовка локальной сети и Этап 2. Создание виртуальной сети в Azure из схемы развертывания Подключение локальной сети к виртуальной сети Microsoft Azure.
Ниже показана итоговая конфигурация.
На этом рисунке показана локальная сеть, подключенная к виртуальной сети Azure через подключение VPN типа "сеть-сеть" или ExpressRoute.
Этап 2. Создание и настройка виртуальной машины Azure
Создайте виртуальную машину в Azure, выполнив инструкции Создание первой виртуальной машины Windows в портал Azure. Используйте указанные ниже параметры:
В области Основные выберите ту же подписку, расположение и группу ресурсов, что и в виртуальной сети. Запишите имя пользователя и пароль в надежном месте. Они понадобятся вам позже, чтобы подключиться к виртуальной машине.
В области Выберите размер выберите размер Стандартный A2.
В области Параметры в разделе Хранилище выберите тип хранилища Стандартный. В разделе Сеть выберите имя виртуальной сети и подсеть для размещения сервера синхронизации каталогов (а не GatewaySubnet). Для всех остальных параметров оставьте значения по умолчанию.
Проверьте внутренний DNS, чтобы убедиться, что сервер синхронизации каталогов правильно использует DNS и для виртуальной машины добавлена запись адреса (A) с ее IP-адресом.
Используйте инструкции в разделе Подключение к виртуальной машине и вход, чтобы подключиться к серверу синхронизации каталогов с помощью подключения к удаленному рабочему столу. После входа присоединитесь виртуальную машину к локальному домену AD DS.
Чтобы Microsoft Entra Connect получили доступ к интернет-ресурсам, необходимо настроить сервер синхронизации каталогов для использования прокси-сервера локальной сети. Обратитесь к администратору сети за дополнительными инструкциями по настройке.
Ниже показана итоговая конфигурация.
На этом рисунке показана виртуальная машина сервера синхронизации каталогов в виртуальной сети Azure.
Этап 3. Установка и настройка Microsoft Entra Connect
Выполните следующие действия:
Подключитесь к серверу синхронизации каталогов с помощью подключения к удаленному рабочему столу с учетной записью домена AD DS с правами локального администратора. См. статью Подключение к виртуальной машине и вход.
На сервере синхронизации каталогов откройте статью Настройка синхронизации каталогов для Microsoft 365 и следуйте указаниям по синхронизации каталогов с помощью синхронизации хэша паролей.
Предостережение
Программа установки создает учетную запись AAD_xxxxxxxxxxxx в подразделении "Локальные пользователи". Не перемещайте и не удаляйте эту учетную запись, иначе синхронизация будет невозможна.
Ниже показана итоговая конфигурация.
На этом рисунке показан сервер синхронизации каталогов с Microsoft Entra Connect в распределенной виртуальной сети Azure.
Назначение расположений и лицензий пользователям в Microsoft 365
Microsoft Entra Connect добавляет учетные записи в подписку Microsoft 365 из локальной службы ACTIVE DS, но чтобы пользователи входить в Microsoft 365 и использовать ее службы, учетные записи должны быть настроены с расположением и лицензиями. Чтобы добавить расположение и активировать лицензии для соответствующих учетных записей пользователей, сделайте следующее:
Войдите в Центр администрирования Microsoft 365 и щелкните Администратор.
В области навигации слева щелкните Пользователи>Активные пользователи.
В списке учетных записей пользователей установите флажок рядом с нужным пользователем.
На странице пользователя выберите Изменить для пункта Лицензии на продукты.
На странице Лицензии на продукты выберите расположение пользователя и включите для него соответствующие лицензии.
По завершении нажмите кнопку Сохранить, а затем кнопку Закрыть дважды.
Вернитесь к шагу 3, чтобы повторить эти действия для других пользователей.
См. также
Центр архитектуры и решений Microsoft 365
Подключение локальной сети к виртуальной сети Microsoft Azure