規劃、設計和實作 Microsoft Entra Connect

12 分鐘

Microsoft Entra Connect 是一種解決方案，可將組織內部部署的 Active Directory 與雲端式 Microsoft Entra ID 橋接起來。 IT 可以將內部部署的身分識別同步到 Azure，並確保在兩個平台之間保持一致的身分識別。此連線可啟用密碼雜湊同步處理、傳遞驗證和無縫單一登入 (SSO)等服務。

Microsoft Entra Connect 是一種 Microsoft 工具，其設計目的是要符合並完成混合式身分識別的目標。其提供下列功能：

同步處理 - 負責建立使用者、群組和其他物件。然後，確保您內部部署使用者和群組的身分識別資訊與雲端相符。此同步處理也包括密碼雜湊。
密碼雜湊同步 - 一種將使用者內部部署 AD 密碼的雜湊與 Microsoft Entra ID 同步的登入方法。
傳遞驗證 - 一種登入方法，可讓使用者在內部部署與雲端中使用相同的密碼，但不需要額外的同盟環境基礎結構。
同盟整合 - 同盟是 Microsoft Entra Connect 的選用組件，可用來設定使用內部部署 AD FS 基礎結構的混合式環境。它也提供 AD FS 管理功能，例如憑證更新及更多的 AD FS 伺服器部署。
狀況監控 - Microsoft Entra Connect Health 提供健全的監視功能。

為什麼要使用 Microsoft Entra Connect？

將您的內部部署目錄與 Microsoft Entra ID 整合，可透過提供通用的身分識別來存取雲端和內部部署資源，讓使用者更具生產力。有了 Microsoft Entra Connect，使用者可使用單一身分識別來存取內部部署應用程式和雲端服務，例如 Microsoft 365。此外，組織也可以使用單一工具為同步處理和登入提供簡單的部署體驗。 Microsoft Entra Connect 取代舊版的身分識別整合工具; 且包含在您的 Microsoft Entra ID 訂用帳戶中。

選取驗證方法

身分識別是 IT 安全性的新控制平面，因此驗證就能在組織存取新的雲端世界時提供防護。組織需要身分識別控制平面以強化其安全性，並保護其雲端應用程式免受入侵者的威脅。當 Microsoft Entra 混合式身分識別解決方案是您的新控制平面時，驗證即為雲端存取的基礎。設定 Microsoft Entra 混合式身分識別解決方案時，選擇正確的驗證方法是首要決策。若要選擇驗證方法，需要考慮實作您選擇的時間、現有基礎結構、複雜度及成本。這些因素取決於每個組織而有所不同，且可能隨著時間改變。

雲端驗證

當您選擇此驗證方法時，Microsoft Entra ID 會處理使用者登入流程。當您結合無縫單一登入 (SSO) 時，使用者可以登入雲端應用程式，而不必重新輸入其認證。使用雲端驗證時，有兩個選項可供您選擇：

Microsoft Entra 密碼雜湊同步 (PHS)。若要在 Microsoft Entra 中啟用內部部署目錄物件的驗證，這是最簡單的方法。使用者可以使用他們在內部部署中所使用的相同使用者名稱和密碼，而不需部署任何其他基礎結構。

投入量。密碼雜湊同步處理需要最少的部署、維護和基礎結構投入量。這個層級的投入量，通常適用於只需要使用者登入 Microsoft 365、SaaS 應用程式和其他 Microsoft Entra ID 型資源的組織。開啟時，密碼雜湊同步處理屬於 Microsoft Entra Connect 同步程序的一部分，每兩分鐘執行一次。
使用者體驗。若要改善使用者的登入體驗，請部署具有密碼雜湊同步處理的無縫 SSO。當使用者登入時，無縫 SSO 會排除不必要的提示。
進階案例。如果組織選擇此選項，就能透過 Microsoft Entra ID Premium P2，搭配 Microsoft Entra Identity Protection 報告來使用身分識別的見解。例如，認證外洩報告。 Windows Hello 企業版在使用密碼雜湊同步處理時具有特定需求。 Microsoft Entra Domain Services 需要密碼雜湊同步處理，才能在受控網域中使用其公司認證來建立使用者。
商務持續性。使用密碼雜湊同步處理搭配雲端驗證具有高可用性，因為雲端服務可擴展到所有 Microsoft 資料中心。若要確保密碼雜湊同步處理不會在擴展期間關閉，請在待命設定中以預備模式部署第二部 Microsoft Entra Connect 伺服器。
考量。目前，密碼雜湊同步處理不會立即強制執行內部部署帳戶狀態中的變更。在此情況下，使用者可以存取雲端應用程式，直到使用者帳戶狀態同步到 Microsoft Entra ID 為止。如果組織想要克服這項限制，可以在系統管理員對內部部署使用者帳戶狀態執行大量更新之後，執行新的同步處理週期。例如，在停用帳戶之後。

Microsoft Entra 傳遞驗證 (PTA)。藉由使用在一或多部內部部署伺服器上執行的軟體代理程式，為 Microsoft Entra 驗證服務提供簡單密碼驗證。伺服器會直接透過您的內部部署 Active Directory 來驗證使用者，這樣可以確保密碼驗證不會在雲端中發生。具有安全性需求，而需要立即強制執行內部部署使用者帳戶狀態、密碼原則與登入時數的公司，可能會使用此驗證方法。

投入量。針對傳遞驗證，您需要在現有伺服器上安裝一或多個 (建議三個) 輕量型代理程式。這些代理程式必須能夠存取您的內部部署 Active Directory Domain Services，包括您的內部部署 AD 網域控制站。它們需要對外存取網際網路，並存取您的網域控制站。基於這個理由，不支援在周邊網路部署代理程式。
使用者體驗。若要改善使用者的登入體驗，請透過傳遞驗證部署無縫 SSO。在使用者登入之後，無縫 SSO 會排除不必要的提示。
進階案例。傳遞驗證會在登入時強制執行內部部署帳戶原則。例如，當內部部署使用者的帳戶狀態為 [已停用]、[已鎖定]，或其密碼到期時，存取會遭拒。如果在允許使用者登入的時間之外嘗試登入，存取也可能遭拒。
商務持續性。建議您部署兩個額外的傳遞驗證代理程式。這是 Microsoft Entra Connect 伺服器上第一個代理程式以外的額外代理程式。這種部署可確保驗證要求的高可用性。當您部署三個代理程式時，其中一個代理程式仍可在另一個代理程式因執行維護而關閉時失敗。
考量。當代理程式由於發生重大的內部部署失敗而無法驗證使用者的登入資訊時，您可以使用密碼雜湊同步做為傳遞驗證的備用驗證方法。容錯移轉至密碼雜湊同步處理的動作不會自動發生，您必須使用 Microsoft Entra Connect 手動切換登入方法。

同盟驗證

當您選擇此驗證方法時，Microsoft Entra ID 會將驗證程序交給另一個信任的驗證系統 (例如內部部署 Active Directory 同盟服務 (AD FS)) 來驗證使用者的密碼。驗證系統可以提供其他進階驗證需求。範例是智慧卡型驗證或協力廠商多重要素驗證。

投入量。同盟驗證系統依賴信任的外部系統來驗證使用者。某些公司想要透過 Microsoft Entra 混合式身分識別解決方案來重複使用其現有的同盟系統投資。同盟系統的維護和管理已超出 Microsoft Entra ID 的控制範圍。這有賴於組織使用同盟系統，確保已安全部署並可處理驗證負載。
使用者體驗。同盟驗證的使用者體驗取決於功能的實作、拓撲，以及同盟伺服器陣列的設定。某些組織需要這種彈性，才能調整和設定對同盟伺服器陣列的存取，以符合其安全性需求。例如，您可以將內部連線的使用者和裝置設定為自動登入使用者，而不提示他們提供認證。此設定是有效的，因為他們已登入其裝置。如有需要，某些進階安全性功能可讓使用者的登入程序變得更加困難。
進階案例。當客戶有 Microsoft Entra ID 原生不支援的驗證需求時，則需要同盟驗證解決方案。
- 需要智慧卡或憑證的驗證。
- 需要同盟識別提供者的內部部署 MFA 伺服器或第三方多重要素驗證提供者。
- 使用第三方驗證解決方案進行驗證。
- 需要 sAMAccountName (例如網域\使用者名稱) 而非使用者主體名稱 (UPN) (例如 user@domain.com) 的登入。
商務持續性。同盟系統通常需要經過負載平衡的伺服器陣列，稱為伺服器陣列 (farm)。此伺服器陣列是在內部網路和周邊網路拓撲中設定，以確保驗證要求的高可用性。
考量。同盟系統通常需要對內部部署基礎結構進行更大量的投資。大部分的組織若已有內部部署同盟投資，則會選擇此選項。而且，如果使用單一身分識別提供者是強烈的商務要求，也會選擇此選項。相較於雲端驗證解決方案，同盟在操作和疑難排解方面更為複雜。

架構圖表

下圖概述每個驗證方法所需的概要架構元件，您可以將其與 Microsoft Entra 混合式身分識別解決方案搭配使用。其提供概觀，以協助您比較解決方案之間的差異。

密碼雜湊同步處理解決方案的簡潔度：
傳遞驗證的代理程式需求，將兩個代理程式用於備援：
組織周邊與內部網路中同盟所需的元件：

建議

您的身分識別系統可確保使用者能夠存取您所移轉並在雲端提供的雲端應用程式和企業營運應用程式。為了讓授權的使用者保有生產力，並讓有心人士遠離組織的敏感性資料，驗證會控制對應用程式的存取。

無論您選擇的是何種驗證方法，都可基於下列原因使用或啟用密碼雜湊同步處理：

高可用性和災害復原。傳遞驗證和同盟均依賴內部部署基礎結構。針對傳遞驗證，內部部署使用量包含傳遞驗證代理程式所需的伺服器硬體和網路。針對同盟，內部部署使用量甚至更大。它需要您周邊網路中的伺服器，來為驗證要求和內部同盟伺服器設定 Proxy。若要避免單一失敗點，請部署備援伺服器。如果任何元件失敗，則一律會對驗證要求提供服務。傳遞驗證和同盟同時還依賴網域控制站回應驗證要求，而這也可能會失敗。這些元件中有許多都需要維護，以維持良好狀況。若未正確規劃並實作維護，就更有可能會中斷。請使用密碼雜湊同步處理來避免中斷，因為 Microsoft Entra 雲端驗證服務會進行全域調整且永遠可供使用。
內部部署中斷存續。由於發生網路攻擊或災害而導致的內部部署中斷後果可能很嚴重，包括從品牌聲譽受損到因無法處理攻擊而使組織癱瘓。近來，有許多組織成為惡意程式碼攻擊的受害者，這些攻擊包括造成其內部部署伺服器關閉的目標勒索軟體。當 Microsoft 協助客戶處理這些類型的攻擊時，注意到兩類組織：
- 除了同盟或傳遞驗證，先前開啟了密碼雜湊同步處理的組織會變更其主要驗證。他們可以接著使用密碼雜湊同步處理。這些組織只花了幾個小時就恢復連線。透過 Microsoft 365 使用電子郵件的存取權之後，他們就能解決問題並存取其他雲端式工作負載。
- 先前未啟用密碼雜湊同步處理的組織必須求助於未受信任的外部消費者電子郵件系統，以進行溝通來解決問題。在這些情況下，需要幾週的時間才能還原內部部署身分識別基礎結構，使用者才能夠再次登入雲端應用程式。
身分識別保護。保護雲端使用者的最佳方式之一是搭配 Microsoft Entra Premium P2 使用 Microsoft Entra Identity Protection。 Microsoft 會針對使用者和密碼清單持續掃描網際網路，以防範有心人士在暗網上進行銷售和提供。 Microsoft Entra ID 可以使用此資訊來驗證組織內的任何使用者名稱和密碼是否遭入侵。因此，無論您使用的是何種驗證方法 (同盟或傳遞驗證)，請務必啟用密碼雜湊同步處理。認證外洩會以報告形式呈現。請使用此資訊，在使用者嘗試使用外洩的密碼登入時，封鎖或強制使用者變更其密碼。

Microsoft Entra Connect 設計概念

本節說明在 Microsoft Entra Connect 的實作設計期間必須考慮的領域。這是特定領域的深入探討，而在其他文件中也會簡短描述這些概念。

sourceAnchor

sourceAnchor 屬性定義為「在物件存留期的不可變屬性」。它可將物件唯一識別為內部部署和 Microsoft Entra ID 中的相同物件。此屬性也稱為 immutableId，這兩個名稱會交替使用。此屬性適用於下列案例：

當建置新的同步引擎伺服器或在災害復原案例之後進行重建時，此屬性會連結 Microsoft Entra ID 中的現有物件與內部部署物件。
如果您從僅限雲端的身分識別移至同步身分識別模型，則此屬性可讓物件「完全比對」Microsoft Entra ID 中的現有物件與內部部署物件。
如果您使用同盟，則會在宣告中使用此屬性搭配 userPrincipalName 來唯一識別使用者。

屬性值必須遵循下列規則：

長度少於 60 個字元
- 系統會將 a-z、A-Z 或 0-9 以外的字元編碼並計為三個字元
不包含特殊字元：\ ! # $ % & * + / = ? ^ { } | ~ > < ( ) ' ; : , [ ] " @ _
必須是全域唯一的
必須是字串、整數或二進位
不應以使用者的名稱為基礎，因為名稱可能會有所變更
不應區分大小寫，並避免可能會因大小寫而改變的值
建立物件時應該要予以指派

如果您於部內只有一個樹系，則應該使用的屬性為 objectGUID。當您在 Microsoft Entra Connect 中使用快速設定時，也可以使用 objectGuid 屬性。這也是 DirSync 所使用的屬性。如果您有多個樹系，而且在樹系和網域之間不會移動使用者，則 objectGUID 是適合使用的屬性。另一個解決方案是選擇已知不會變更的現有屬性。常用的屬性包括 employeeID。如果您考慮使用含有字母的屬性，請確定屬性值的大小寫 (大寫與小寫) 沒機會變更。不該使用的不合適屬性，包括含使用者名稱的屬性。決定 sourceAnchor 屬性之後，精靈會將此資訊儲存在您的 Microsoft Entra 租用戶中。未來安裝 Microsoft Entra Connect 時會用到此資訊。

將您內部部署目錄與 Microsoft Entra ID 整合的同步處理設定會影響使用者驗證的方式。 Microsoft Entra 使用 userPrincipalName (UPN) 來驗證使用者。不過，當您同步使用者時，必須小心選擇要用於 userPrincipalName 值的屬性。當您選取屬性以便提供要用於 Azure 的 UPN 值時，應確保

屬性值符合 UPN 語法 (RFC 822)，格式為 username@domain
這些值的尾碼符合 Microsoft Entra ID 中其中一個已驗證的自訂網域

在快速設定中，屬性的假定選擇會是 userPrincipalName。如果 userprincipalname 屬性不包含您希望使用者用於登入 Azure 的值，則必須選擇 [自訂安裝]。

自訂網域狀態和使用者主體名稱

確定使用者主體名稱 (UPN) 尾碼有已驗證的網域。 John 是 contoso.com 中的使用者。在您將使用者同步到 Microsoft Entra 目錄 contoso.onmicrosoft.com 之後，您希望 John 使用內部部署 UPN john@contoso.com 來登入 Azure。若要這樣做，您必須將 contoso.com 新增為 Microsoft Entra ID 中的自訂網域並加以驗證，才能開始同步使用者。如果 John 的 UPN 尾碼 (例如 contoso.com) 不符合 Microsoft Entra ID 中已驗證的網域，則工具會以 contoso.onmicrosoft.com 取代 UPN 尾碼。

某些組織具有無法路由傳送的網域 (例如 contoso.local) 或簡單的單一標籤網域 (例如 contoso)。您無法驗證無法路由傳送的網域。 Microsoft Entra Connect 只能同步處理至 Microsoft Entra ID 中的已驗證網域。當您建立 Microsoft Entra 目錄時，會建立可路由傳送的網域，而該網域會成為您 Microsoft Entra ID 的預設網域 (例如 contoso.onmicrosoft.com)。因此，如果您不想要同步到預設的 onmicrosoft.com 網域，則必須在此類案例中驗證任何其他可路由傳送的網域。

Microsoft Entra Connect 會偵測您是否在無法路由傳送的網域環境中執行，並且會適當地警告您不要繼續進行快速設定。如果您是在無法路由傳送的網域中操作，則使用者的 UPN 可能也有無法路由傳送的尾碼。例如，如果您是在 contoso.local 之下執行，Microsoft Entra Connect 會建議您使用自訂設定，而不是使用快速設定。使用自訂設定，您就能夠在使用者同步到 Microsoft Entra ID 之後，指定應作為 UPN 以供登入 Azure 的屬性。

Microsoft Entra Connect 的拓撲

本節說明使用 Microsoft Entra Connect 同步處理做為重要整合解決方案的各種內部部署和 Microsoft Entra ID 拓撲；其包含支援和未支援的設定。

一般拓撲	說明
單一樹系、單一 Microsoft Entra 租用戶	最常見的拓撲是單一內部部署樹系 (內含一或多個網域) 和單一 Microsoft Entra 租用戶。對於驗證，會使用密碼雜湊同步處理。 Microsoft Entra Connect 的快速安裝僅支援此拓撲。
多個樹系，單一 Microsoft Entra 租用戶	許多組織的環境都擁有多個內部部署 Active Directory 樹系。擁有多個內部部署 Active Directory 樹系的原因有很多。典型的例子包括帳戶資源樹系的設計，以及合併或收購的結果。當您擁有多個樹系時，所有樹系必須能夠由單一 Microsoft Entra Connect 同步伺服器進行連線。伺服器必須加入網域。如果必須連線到所有樹系，您可以將伺服器置於周邊網路 (也稱為 DMZ、非軍事區域和遮蔽式子網路) 中。
多個樹系、單一同步伺服器、使用者只會以一個目錄表示	在此環境中，所有內部部署樹系會被視為個別的實體。使用者不會顯示在任何其他樹系中。每個樹系具有自己的 Exchange 組織，而且在樹系之間沒有 GALSync。此拓撲可能是合併/收購之後的情況，或出現在每個業務單位獨立作業的組織中。在 Microsoft Entra ID 中，這些樹系會在相同的組織中，並與整合 GAL 一起出現。在上圖中，每個樹系中的每個物件會在 Metaverse 中出現一次，並於目標租用戶中彙總。
多個樹系：內含選擇性 GALSync 的完整網格	完整網格拓撲可讓使用者和資源位於任何樹系中。通常，在樹系之間有雙向信任關係。如果 Exchange 出現在多個樹系中，則可能有 (選擇性) 內部部署 GALSync 解決方案。然後每個使用者可以顯示為所有其他樹系中的連絡人。 GALSync 通常會透過 FIM 2010 或 MIM 2016 實作。 Microsoft Entra Connect 無法用於內部部署 GALSync。
多個樹系：帳戶資源樹系	在此案例中，一 (或多) 個資源樹系信任所有帳戶樹系。此資源樹系通常具有內含 Exchange 和 Teams 的擴充 Active Directory 結構描述。所有的 Exchange 和 Teams 服務以及其他共用的服務都位於此樹系。使用者在此樹系中擁有停用的使用者帳戶，而信箱會連結至帳戶樹系。
預備伺服器	Microsoft Entra Connect 支援以「預備模式」安裝第二部伺服器。此模式中的伺服器會從所有連線的目錄讀取資料，但不會將任何資料寫入連線的目錄。其使用正常同步處理週期，因此具有身分識別資料的更新複本。
多個 Microsoft Entra 租用戶	Microsoft Entra Connect 同步伺服器與租用戶之間具有 1:1 關聯性。針對每個 Microsoft Entra 租用戶，您需要一個 Microsoft Entra Connect 同步處理伺服器安裝。 AD 租用戶執行個體依設計是隔離的。也就是說，一個租用戶中的使用者無法看到其他租用戶中的使用者。此使用者隔離是支援的設定。否則，您應該使用單一 Microsoft Entra 租用戶模型。
每個物件在 Microsoft Entra 租用戶中只一次	在此拓撲中，一部 Microsoft Entra Connect 同步伺服器會連線到每個租用戶。必須設定 Microsoft Entra Connect 同步伺服器進行篩選，以各自有一組要操作的互斥物件。例如，您可以將每部伺服器的範圍限定於特定網域或組織單位。

Microsoft Entra Connect 元件因素

下圖顯示連線到單一樹系但支援多個樹系的佈建引擎概要架構。此架構會顯示各種元件彼此互動的方式。

Diagram of how the connected directories and Microsoft Entra Connect provisioning engine interact. Includes Connector Space and Metaverse components in an SQL Database.

佈建引擎會連線到每個 Active Directory 樹系和 Microsoft Entra ID。從每個目錄讀取資訊的程序稱為「匯入」。「匯出」則是指更新佈建引擎中的目錄。「同步」會評估物件在佈建引擎內流動的規則。

Microsoft Entra Connect 會使用下列暫存區域、規則和程序，來允許從 Active Directory 同步到 Microsoft Entra ID：

連接器空間 (CS) - 來自每個連線目錄 (CD，即實際目錄) 的物件會先暫存在此，再供佈建引擎處理。 Microsoft Entra ID 有它自己的 CS，且您所連線的每個樹系也會有它自己的 CS。
Metaverse (MV) - 需要同步處理的物件會根據同步規則在此處建立。物件必須先存在於 MV 中，才能將物件和屬性填入其他連線目錄。 MV 只有一個。
同步規則 - 決定哪些物件要建立 (投影) 或連線 (加入) 到 MV 中的物件。同步規則也會決定要在目錄之間複製或轉換哪些屬性值。
執行設定檔 - 根據暫存區域和連線目錄之間的同步規則，將複製物件和其屬性值的程序步驟組合在一起。

Microsoft Entra 雲端同步處理

Microsoft Entra Connect 雲端同步旨在達成混合式身分識別目標，以將使用者、群組和連絡人同步至 Microsoft Entra ID。為了達成此同步處理，需要使用雲端佈建代理程式，而不是 Microsoft Entra Connect 應用程式。可搭配 Microsoft Entra Connect 同步一起使用，且提供下列優點：

支援從多樹系中斷連線的 Active Directory 樹系環境同步處理至 Microsoft Entra 租用戶：常見的案例包括合併和收購。被收購公司的 AD 樹系會與母公司的 AD 樹系隔離。在過去有多個 AD 樹系的公司。
使用輕量佈建代理程式簡化安裝：代理程式會作為從 AD 到 Microsoft Entra ID 的橋接器，並在雲端中管理所有同步設定。
您可以使用多個佈建代理程式來簡化高可用性部署，這對依賴使用密碼雜湊從 AD 同步到 Microsoft Entra ID 的組織很重要。
支援多達五萬個成員的大型群組。建議只有在同步大型群組時才使用 OU 範圍設定篩選。

Diagram of the process flow that shows on-premises Active Directory items like users and group being synchronized into the cloud by Cloud Sync.

使用 Microsoft Entra Connect 雲端同步時，從 AD 佈建到 Microsoft Entra ID 的作業會在 Microsoft Online Services 中進行協調。組織只需要在其內部部署或 IaaS 主控的環境中部署輕量型代理程式，以作為 Microsoft Entra ID 和 AD 之間的橋接器。佈建設定會儲存，並作為服務的一部分進行管理。請注意，同步每 2 分鐘執行一次。