規劃 Microsoft Entra 整合
當 Contoso 的 IT 員工在其 IT 環境中實作雲端服務或應用程式時,通常會想要在本機與雲端應用程式中使用單一識別存放區。 使用目錄同步作業,可以讓他們將其內部部署 AD DS 與 Microsoft Entra ID 連線。
什麼是目錄同步作業?
目錄同步作業可以同步內部部署 AD DS 與 Microsoft Entra ID 的使用者、群組與連絡人。 最簡單的一種形式就是在您內部部署網域中的伺服器上,安裝目錄同步作業元件。 您可以為內部部署 AD DS,提供具有網域系統管理員與企業系統管理員存取權的帳戶,以及為 Microsoft Entra ID 提供另一個具有系統管理員存取權的帳戶,然後加以執行。
您從 Microsoft Entra ID 選取的使用者帳戶、群組與連絡人就能複寫到 Azure AD。 使用者也能使用這些帳戶,登入及存取採用 Microsoft Entra ID 進行驗證的 Azure 服務。
除非您啟用密碼同步,否則使用者將會使用不同於其其內部部署環境的密碼,登入 Azure 資源。 即使您實作密碼同步,當使用者存取已加入網域之電腦上的 Azure 資源時,仍會提示其輸入認證。 密碼同步的優點是,使用者可以使用他們登入其網域的同一組使用者名稱及密碼,登入 Azure 資源。 請勿將此法與 SSO 混淆。 密碼同步的行為稱為「相同登入」。
使用 Azure 時,從本機 AD DS 到 Azure 的同步作業為單向流程。 不過,使用 Microsoft Entra ID P1 或 P2 功能時,有一些屬性會反向進行複寫。 例如,您可以將 Azure 設定為將密碼回寫至內部部署 AD DS,以及從 Microsoft Entra ID 寫入群組與裝置。 若不想要同步整個內部部署 AD DS,Microsoft Entra ID 的目錄同步也支援依據下列值的屬性流程的有限篩選與自訂:
- OU
- 網域
- 使用者屬性
- 應用程式
Microsoft Entra Connect
您可以使用 Microsoft Entra Connect (Microsoft Entra Connect) 在內部部署 AD DS 與 Microsoft Entra ID 之間執行同步處理。 Microsoft Entra Connect 工具使用精靈式設計,可以啟用內部部署身分識別基礎結構與 Azure 之間的連線。 您可以使用精靈選擇拓撲與需求,再由精靈為您部署及設定所有需要的元件。 依據您選取的需求,這可能包括:
- Azure Active Directory 同步 (Azure AD 同步)
- Exchange 混合式部署
- 密碼變更回寫
- AD FS 與 AD FS Proxy 伺服器或 Web 應用程式 Proxy
- Microsoft Graph PowerShell 模組
注意
大部分的組織會部署專用同步伺服器來裝載 Microsoft Entra Connect。
當您執行 Microsoft Entra Connect 時會出現下列狀況:
- 內部部署 AD DS 中的新使用者、群組與連絡人物件,會新增至 Microsoft Entra ID。 但不會自動將雲端服務 (例如 Microsoft 365) 的授權指派給這些物件。
- 在內部部署 AD DS 中修改的現有使用者、群組或連絡人物件的屬性,在 Microsoft Entra ID 中也會一併修改。 然而,並非所有的內部部署 AD DS 屬性都會同步至 Microsoft Entra ID。 您可以使用 Microsoft Entra Connect 的同步處理管理員元件,設定要同步至 Microsoft Entra ID 的屬性集。
- 現有使用者、群組與連絡人物件於內部 AD DS 刪除時,也會從 Microsoft Entra ID 刪除。
- 內部部署已停用的現有使用者物件,在 Azure 中也會停用。 但不會自動解除指派授權。
Microsoft Entra ID 要求每個物件都要有單一授權來源。 因此請務必了解,在 Microsoft Entra Connect 案例中,當您執行 Active Directory 同步時,您會使用 Active Directory 使用者和電腦或 Windows PowerShell 等工具,從內部部署 AD DS 中主控物件。 而授權來源則是內部部署 AD DS。 當第一個同步週期完成之後,會將授權來源從雲端傳輸至內部部署 AD DS。 雲端物件的所有後續變更 (除了授權之外),都是由內部部署 AD DS 工具主控。 若授權來源是內部部署 AD DS,則對應的雲端物件會是唯讀,除非您實作某些一許回寫技術,否則 Microsoft Entra 系統管理員無法編輯雲端物件。
執行 Microsoft Entra Connect 所需的權限與帳戶
若要實作 Microsoft Entra Connect,必須具備指派有在本機 AD DS 與 Microsoft Entra ID 上所需之權限的帳戶。 安裝及設定 Microsoft Entra Connect 需要下列帳戶:
- 在 Azure 租用戶中,具有全域管理員權限的 Azure 帳戶 (例如組織帳戶),但不是用於設定帳戶本身的帳戶。
- 在內部部署 AD DS 中,具有企業系統管理員權限的內部部署帳戶。 在 [Microsoft Entra Connect 精靈] 中,您可以選擇現有帳戶於用此用途,或由精靈為您建立帳戶。
Microsoft Entra Connect 使用 Azure 全域管理員帳戶佈建及更新 [Microsoft Entra Connect 精靈] 執行時的物件。 因為您無法使用 Azure 租用戶系統管理員帳戶,所以應在 Azure 中建立專用服務帳戶,供目錄同步作業使用。 此限制是因為您用於設定 Azure 的帳戶,可能不具符合網域名稱的網域名稱尾碼。 該帳戶必須是全域管理員角色群組的成員。
在內部部署環境中,用於安裝及設定 Microsoft Entra Connect 的帳戶,必須具有下列權限:
- AD DS 中的企業系統管理員權限。 須有此權限才能在 Active Directory 中,建立同步使用者帳戶。
- 本機電腦系統管理員權限。 須有此權限才能安裝 Microsoft Entra Connect 軟體。
用於設定 Microsoft Entra Connect 及執行設定精靈的帳戶,必須位於本機電腦的 ADSyncAdmins 群組中。 根據預設,會自動將用於安裝 Microsoft Entra Connect 的帳戶新增至此群組。
注意
您用於安裝 AD Connect 的帳戶,會在您安裝產品時,自動新增至 ADSyncAdmins 群組。 因為帳戶會在下次使用帳戶登入時,才取用群組安全性識別碼 (SID),所以您必須登出再重新登入,才能使用 Synchronization Service Manager 介面。
![Active Directory 消費者和電腦的螢幕擷取畫面。系統管理員已開啟兩個帳戶:MSOL_c778af008d92和AAD_c778af008d92。系統會針對這兩個帳戶選取 [一般] 索引標籤。](../../wwl-azure/implement-hybrid-identity-windows-server/media/m12-accounts.png)
僅當您安裝及設定 Microsoft Entra Connect 時,才需要企業系統管理員帳戶,但 [設定精靈] 不會存放或儲存其認證。 因此,您應建立特殊的 Microsoft Entra Connect 系統管理員帳戶來安裝及設定 Microsoft Entra Connect,並在設定 Microsoft Entra Connect 時,將此帳戶指派至企業系統管理員群組。 當 Microsoft Entra Connect 安裝程式完成之後,應將此 Microsoft Entra Connect 系統管理員帳戶,從企業系統管理員群組中移除。 下表詳細說明 Microsoft Entra Connect 設定期間所建立的帳戶。
| 客戶 | 描述 |
|---|---|
MSOL_<id> |
此帳戶在 Microsoft Entra Connect 安裝期間建立,並設定為同步至 Azure 租用戶。 此帳戶具有內部部署 AD DS 中的目錄複寫權限,以及特定屬性的寫入權限,以利部署混合式環境。 |
AAD_<id> |
這是同步引擎的服務帳戶, 建立時採用隨機產生的複雜密碼,並自動設定為永不過期。 當目錄同步作業服務執行時,會使用服務帳戶的認證,從本機 Active Directory 讀取,再將同步資料庫的內容寫入 Azure。 此作業會使用您在 [Microsoft Entra Connect 設定精靈] 中輸入的租用戶系統管理員認證來完成。 |
警告
因為 Microsoft Entra Connect 一律會嘗試使用安裝期間所建立的帳戶執行,所以您不應在安裝 Microsoft Entra Connect 之後,變更 Microsoft Entra Connect 的服務帳戶。 若變更帳戶,Microsoft Entra Connect 會停止執行,也不再執行已經排程的同步。
延伸閱讀
若要深入了解,請檢閱下列文件。