Installera och konfigurera katalogsynkronisering med Microsoft Entra Connect
Microsoft Entra Connect kräver att en domänansluten dator är värd för synkroniseringstjänsten. De flesta organisationer distribuerar en dedikerad synkroniseringsserver.
Krav
När du har konfigurerat Azure med en Active Directory-klient måste du utföra de primära uppgifterna för att distribuera katalogsynkronisering med hjälp av följande steg:
- Lägg till din AD DS-domän i Azure, verifiera domänen och ange sedan domänen som den primära domänen.
- Ladda ned och installera Microsoft Entra Connect.
- Kör konfigurationsguiden för Microsoft Entra Connect. (Du kan också konfigurera Microsoft Entra Connect för att synkronisera specifika organisationsenheter i den lokala AD DS-miljön).
- Aktivera valfria funktioner som synkronisering av lösenordshash, tillbakaskrivning av lösenord och exchange-hybriddistribution.
- Kör Microsoft Entra Connect och låt den konfigurera miljön för katalogsynkronisering
- Verifiera synkroniseringsresultatet.
När du har konfigurerat Microsoft Entra Connect och utför den inledande synkroniseringen kan du konfigurera om synkroniseringsalternativen om det behövs. Microsoft Entra Connect-programvaruinstallationen innehåller flera program som rör katalogsynkronisering. När du kör Microsoft Entra Connect kan du använda Inställningar för Express-installation, som konfigurerar katalogsynkronisering med de vanligaste inställningarna, eller så kan du välja att anpassa installationsalternativ.
Om du väljer att använda anpassad installation kan du i början av installationen välja att använda en anpassad SQL-server i stället för en lokal databas. Du kan också välja att använda ett befintligt tjänstkonto i stället för det som skapas av den automatiska installationsprocessen. Dessutom kan du ange anpassade synkroniseringsgrupper. Som standard skapas grupperna Administratörer, Operatorer, Bläddra och Lösenordsåterställning av Microsoft Entra Connect, men du kan välja att använda dina egna anpassade grupper för detta ändamål.
Som standard konfigurerar Microsoft Entra Connect synkronisering av lösenordshash för katalogsynkroniseringsläget. Om du väljer anpassad installation kan du också välja alternativet Federation med AD FS eller direktautentisering. Du kan också konfigurera katalogsynkronisering manuellt om du har en federationsserver från andra länder än Microsoft eller en annan befintlig lösning distribuerad.
Med anpassad Microsoft Entra Connect-installation kan du också välja hur du identifierar dina användare. Som standard förutsätter installationsprogrammet att användarna endast representeras en gång i alla kataloger. Men om du har ett scenario där användaridentiteter finns i flera kataloger måste du välja det matchande attributet. Du kan välja mellan de alternativ som beskrivs i följande tabell.
| Alternativ | Description |
|---|---|
| e-postattribut | Det här alternativet kopplar ihop användare och kontakter om e-postattributet har samma värde i olika skogar. |
| ObjectSID och msExchangeMasterAccountSID | Det här alternativet kopplar en aktiverad användare i en kontoskog med en inaktiverad användare i en Exchange-resursskog. I Exchange kallas detta även för länkad postlåda. |
| sAMAccountName och mailNickname | Det här alternativet kopplar ytterligare attribut till platser i en katalog där inloggnings-ID:t för användaren förväntas hittas. |
| Mitt eget attribut | Med det här alternativet kan du välja ett eget attribut. |
| Källfästpunkt | Det här är ett attribut som förblir oföränderligt under livslängden för ett användarobjekt. Med andra ord är det här attributet den primära nyckeln som länkar det lokala användarobjektet med användarobjektet i Microsoft Entra-ID. Eftersom det här attributet inte kan ändras senare måste du noggrant välja ett attribut som ska användas för detta ändamål. Ett standardval är objectGUID, eftersom det här attributet inte ändras om inte användarkontot flyttas mellan skogar och domäner. |
Du kan konfigurera attributet UserPrincipalName i samma fönster. Det här är det attribut som användare använder när de loggar in på Microsoft Entra-ID. De domäner som används för detta ändamål, även kallat UPN-suffixet, bör verifieras i Microsoft Entra-ID innan användarobjekten synkroniseras.
I vissa fall kanske du bara vill synkronisera en delmängd av dina användare från din lokala AD DS. Med Microsoft Entra Connect kan du välja en specifik grupp användare som du vill synkronisera med Microsoft Entra-ID. Du bör skapa den här gruppen innan du kör Microsoft Entra Connect. När du har slutfört installationen kan du lägga till och ta bort användare från den här gruppen för att underhålla listan över användarobjekt som ska finnas i Microsoft Entra-ID. Du kan också använda organisationsenheter från din lokala AD DS som omfång för replikering. I det sista steget låter Microsoft Entra Connect dig konfigurera några valfria funktioner som är tillgängliga i Microsoft Entra ID P1 eller P2.