vlastní instalace Azure Active Directory Připojení

  • Článek
  • 24 min ke čtení

použijte vlastní nastavení v Azure Active Directory (Azure AD) Připojení, pokud chcete mít k instalaci více možností. Tato nastavení použijte například v případě, že máte více doménových struktur nebo pokud chcete nakonfigurovat volitelné funkce. Použijte vlastní nastavení ve všech případech, kde Expresní instalace nevyhovuje vašim požadavkům na nasazení nebo topologii.

Požadavky:

Vlastní nastavení instalace

pokud chcete nastavit vlastní instalaci pro Azure AD Connect, přečtěte si stránky průvodce, které popisuje následující oddíly.

Expresní nastavení

na stránce expresní Nastavení vyberte přizpůsobit a spusťte instalaci přizpůsobeného nastavení. Zbývající část tohoto článku vás provede procesem vlastní instalace. Pomocí následujících odkazů můžete rychle přejít na informace o konkrétní stránce:

Instalace požadovaných součástí

Při instalaci služeb synchronizace můžete nechat nevybranou možnost volitelný konfigurační oddíl. Azure AD Connect nastaví vše automaticky. nastaví SQL Server instanci LocalDB 2019 Express, vytvoří příslušné skupiny a přiřadí oprávnění. Chcete-li změnit výchozí nastavení, zrušte zaškrtnutí příslušných políček. Následující tabulka shrnuje tyto možnosti a obsahuje odkazy na Další informace.

snímek obrazovky s volitelnými volbami pro požadované součásti instalace v Azure AD Connect.

Volitelná konfigurace Popis
Zadat vlastní umístění instalace umožňuje změnit výchozí instalační cestu pro Azure AD Connect.
Použít existující server SQL Server umožňuje zadat název SQL Server a název instance. Tuto možnost vyberte, pokud již máte databázový server, který chcete použít. do pole název instance zadejte název instance, čárku a číslo portu, pokud vaše Instance SQL Server nemá povoleno procházení. pak zadejte název databáze Azure AD Connect. vaše oprávnění SQL určují, jestli je možné vytvořit novou databázi, nebo že správce SQL musí databázi vytvořit předem. pokud máte oprávnění správce SQL Server (SA), přečtěte si téma instalace Azure AD Connect pomocí existující databáze. pokud máte delegovaná oprávnění (DBO), přečtěte si téma instalace Azure AD Connect pomocí SQL oprávnění delegovaného správce.
Použít existující účet služby ve výchozím nastavení Azure AD Connect poskytuje účet virtuální služby pro synchronizační služby. pokud používáte vzdálenou instanci SQL Server nebo používáte proxy server, který vyžaduje ověření, můžete použít účet spravované služby nebo účet služby chráněný heslem v doméně. V těchto případech zadejte účet, který chcete použít. pokud chcete instalaci spustit, musíte být ve SQL SA, abyste mohli vytvořit přihlašovací údaje pro účet služby. další informace najdete v tématu Azure AD Connect účty a oprávnění.

pomocí nejnovějšího sestavení může správce SQL nyní zřídit databázi mimo ip síť. správce Azure AD Connect ho může nainstalovat s právy vlastníka databáze. další informace najdete v tématu instalace Azure AD Connect pomocí SQL oprávnění delegovaného správce.
Zadat vlastní skupiny pro synchronizaci ve výchozím nastavení, když jsou nainstalovány synchronizační služby, Azure AD Connect vytvoří čtyři skupiny, které jsou místní pro server. Tyto skupiny jsou správci, operátoři, procházení a resetování hesla. Tady můžete zadat vlastní skupiny. Skupiny musí být na serveru místní. Nemůžou být umístěné v doméně.
Importovat nastavení synchronizace (Preview) umožňuje importovat nastavení z jiných verzí Azure AD Connect. další informace najdete v tématu import a export nastavení konfigurace Azure AD Connect.

Přihlášení uživatele

Po instalaci požadovaných součástí vyberte metodu jednotného přihlašování uživatelů. Následující tabulka stručně popisuje dostupné možnosti. Úplný popis metod přihlášení najdete v tématu Přihlášení uživatele.

Snímek obrazovky zobrazující stránku přihlášení uživatele Je vybraná možnost synchronizace hodnot hash hesel.

Možnost jednotného přihlašování Popis
Synchronizace hodnot hash hesel uživatelé se mohou přihlásit ke cloudovým službám microsoftu, jako je například Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelská hesla se synchronizují do Azure AD jako hodnota hash hesla. Ověřování probíhá v cloudu. Další informace najdete v tématu synchronizace hodnot hash hesel.
Předávací ověřování uživatelé se mohou přihlásit ke cloudovým službám microsoftu, jako je například Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Hesla uživatelů se ověřují pomocí předávání do místního řadiče domény služby Active Directory.
Federace se službou AD FS uživatelé se mohou přihlásit ke cloudovým službám microsoftu, jako je například Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelé budou přesměrováni do své místní instance služby Azure Directory Federation Services (AD FS), aby se mohli přihlásit. Ověřování probíhá místně.
Federace s PingFederate uživatelé se mohou přihlásit ke cloudovým službám microsoftu, jako je například Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelé budou přesměrováni na svou místní instanci PingFederate, aby se mohli přihlásit. Ověřování probíhá místně.
Nekonfigurovat Není nainstalovaná nebo nakonfigurovaná žádná funkce přihlášení uživatele. Tuto možnost vyberte, pokud už máte federační server jiného výrobce nebo jiné řešení.
Povolit jednotné přihlašování Tato možnost je k dispozici pro synchronizaci hodnot hash hesel i předávací ověřování. Nabízí prostředí s jednotným přihlašováním pro stolní uživatele v podnikových sítích. Další informace najdete v tématu jednotné přihlašování.

Poznámka: Pro AD FS zákazníky Tato možnost není k dispozici. AD FS už nabízí stejnou úroveň jednotného přihlašování.

Připojení k Azure AD

na stránce Připojení do služby Azure AD zadejte účet a heslo globálního správce. Pokud jste na předchozí stránce vybrali možnost federace s AD FS , nemusíte se přihlašovat pomocí účtu, který je v doméně, kterou plánujete povolit pro federaci.

Je možné, že budete chtít použít účet ve výchozí doméně onmicrosoft.com , která je součástí vašeho TENANTA Azure AD. Tento účet se používá jenom k vytvoření účtu služby ve službě Azure AD. Po dokončení instalace se nepoužívá.

snímek obrazovky zobrazující stránku Připojení k Azure AD

Pokud má váš účet globálního správce povolené vícefaktorové ověřování, zadejte ho znovu v přihlašovacím okně a musíte dokončit vícefaktorové ověřování. Výzvou by mohla být ověřovací kód nebo telefonní hovor.

snímek obrazovky zobrazující stránku Připojení k Azure AD Pole vícefaktorového ověřování vyzve uživatele k zadání kódu.

Účet globálního správce může mít také povolenou správu privilegovaných identit .

Pokud se zobrazí chyba nebo máte problémy s připojením, přečtěte si téma řešení problémů s připojením.

Synchronizovat stránky

V následujících částech jsou popsány stránky v části synchronizace .

Připojení adresářů

pokud se chcete připojit k Active Directory Domain Services (Azure služba AD DS), Azure AD Connect potřebovat název doménové struktury a přihlašovací údaje účtu s dostatečnými oprávněními.

snímek obrazovky zobrazující stránku Připojení adresáře

Po zadání názvu doménové struktury a výběru Přidat adresář se zobrazí okno. Následující tabulka popisuje vaše možnosti.

Možnost Popis
Vytvořit nový účet vytvořte účet Azure služba AD DS, který Azure AD Connect musí během synchronizace adresářů připojit k doménové struktuře služby Active Directory. Po výběru této možnosti zadejte uživatelské jméno a heslo pro účet správce podnikové sítě. Azure AD Connect pomocí zadaného účtu enterprise admin vytvoří požadovaný účet Azure služba AD DS. Součást domény můžete zadat buď ve formátu NetBIOS, nebo ve formátu plně kvalifikovaného názvu domény. To znamená, že zadáte FABRIKAM\administrator nebo fabrikam. com\administrator.
Použít existující účet zadejte existující účet Azure služba AD DS, který Azure AD Connect můžete použít pro připojení k doménové struktuře služby Active Directory během synchronizace adresářů. Součást domény můžete zadat buď ve formátu NetBIOS, nebo ve formátu plně kvalifikovaného názvu domény. To znamená, že zadáte FABRIKAM\syncuser nebo fabrikam. com\syncuser. Tento účet může být běžný uživatelský účet, protože potřebuje jenom výchozí oprávnění ke čtení. V závislosti na vašem scénáři ale možná budete potřebovat další oprávnění. další informace najdete v tématu Azure AD Connect účty a oprávnění.

snímek obrazovky zobrazující stránku Připojení Directory a účet doménové struktury D, kde se můžete rozhodnout vytvořit nový účet nebo použít existující účet.

Poznámka

Od 1.4.18.0 sestavení nemůžete jako účet služby Azure služba AD DS Connector použít účet správce rozlehlé sítě ani správce domény. když vyberete použít existující účet, pokud se pokusíte zadat účet enterprise admin nebo účet správce domény, zobrazí se následující chyba: "použití účtu správce Enterprise nebo domény pro účet doménové struktury AD není povolený. umožněte vám Azure AD Connect vytvořit účet nebo zadat synchronizační účet se správnými oprávněními. "

Konfigurace přihlášení k Azure AD

Na stránce Konfigurace přihlášení k Azure AD zkontrolujte domény hlavního názvu uživatele (UPN) v místní službě Azure služba AD DS. Tyto domény hlavního názvu uživatele (UPN) byly ověřeny v Azure AD. Na této stránce nakonfigurujete atribut, který má být použit pro userPrincipalName.

Snímek obrazovky se zobrazenými neověřenými doménami na stránce Konfigurace přihlášení Azure A D

Zkontrolujte všechny domény označené jako Nepřidáné nebo neověřené. Ujistěte se, že domény, které používáte, byly ověřeny v Azure AD. Po ověření domén vyberte ikonu kruhové aktualizace. Další informace najdete v tématu Přidání a ověření domény.

Uživatelé používají atribut userPrincipalName při přihlášení k Azure AD a Microsoft 365. Před synchronizací uživatelů by služba Azure AD měla ověřit domény, označované také jako přípona hlavního názvu uživatele (UPN). Společnost Microsoft doporučuje, abyste zachovali výchozí atribut userPrincipalName.

Pokud je atribut userPrincipalName nonroutable a nelze ho ověřit, můžete vybrat jiný atribut. Můžete například vybrat možnost e-mail jako atribut, který obsahuje přihlašovací ID. Použijete-li jiný atribut než userPrincipalName, je označováno jako alternativní ID.

Hodnota atributu alternativního ID musí dodržovat standard RFC 822. Alternativní ID můžete použít při synchronizaci hodnot hash hesel, předávacím ověřování a federaci. V Active Directory nesmí být tento atribut definovaný jako atribut s více hodnotami, a to ani když obsahuje pouze jednu hodnotu. Další informace o alternativním ID najdete v tématu předávací ověřování – Nejčastější dotazy.

Poznámka

Pokud povolíte předávací ověřování, musíte mít alespoň jednu ověřenou doménu, abyste mohli pokračovat v procesu vlastní instalace.

Upozornění

alternativní id nejsou kompatibilní se všemi Microsoft 365 úlohami. Další informace najdete v tématu Konfigurace alternativních přihlašovacích ID.

Filtrování domén a organizačních jednotek

Ve výchozím nastavení se synchronizují všechny domény a organizační jednotky (OU). Pokud nechcete synchronizovat některé domény nebo organizační jednotky s Azure AD, můžete zrušit příslušné výběry.

Snímek obrazovky se stránkou filtrování domény a O-U

Tato stránka nakonfiguruje filtrování založené na doméně a organizační jednotce. Pokud máte v plánu provádět změny, přečtěte si téma filtrování založené na doméně a filtrování podle organizačních jednotek. Některé organizační jednotky jsou zásadní pro funkčnost, takže byste je měli nechat zaškrtnuté.

použijete-li filtrování založené na organizační jednotce s Azure AD Connect verzí starší než 1.1.524.0, budou nové organizační jednotky ve výchozím nastavení synchronizovány. Pokud nechcete, aby se nové organizační jednotky synchronizovaly, můžete po kroku filtrování na základě organizační jednotky upravit výchozí chování. pro Azure AD Connect 1.1.524.0 nebo novější můžete určit, jestli chcete nové organizační jednotky synchronizovat.

Pokud plánujete použít filtrování na základě skupin, ujistěte se, že organizační jednotka se skupinou je zahrnutá a není filtrována pomocí filtrování organizačních jednotek. Filtrování organizačních jednotek je vyhodnoceno před vyhodnocením filtrování na základě skupin.

Je také možné, že některé domény jsou nedosažitelné z důvodu omezení brány firewall. Ve výchozím nastavení se tyto domény nevýběrují a zobrazují se upozornění.

Snímek obrazovky znázorňující nedostupné domény

Pokud se zobrazí toto upozornění, ujistěte se, že tyto domény jsou skutečně nedosažitelné a že je očekávané upozornění.

Jednoznačná identifikace uživatelů

Na stránce identifikace uživatelů vyberte způsob identifikace uživatelů v místních adresářích a jejich identifikaci pomocí atributu sourceAnchor.

Vyberte způsob, jakým se mají uživatelé identifikovat v místních adresářích

Pomocí funkce Shoda napříč doménovými strukturami můžete definovat, jak budou uživatelé z doménových struktur Azure služba AD DS ve službě Azure AD zastoupeni. Uživatel může být ve všech doménových strukturách reprezentován jenom jednou nebo může mít kombinaci povolených a zakázaných účtů. Uživatel také může být v některých doménových strukturách reprezentován jako kontakt.

Snímek obrazovky zobrazující stránku, kde můžete jednoznačně identifikovat uživatele.

Nastavení Popis
Uživatelé se v rámci všech doménových struktur reprezentují jenom jednou. Všichni uživatelé jsou vytvořeni jako jednotlivé objekty v Azure AD. Objekty nejsou připojené do úložiště metaverse.
Atribut Mail Tato možnost spojí uživatele a kontakty, pokud má atribut mail v různých doménových strukturách stejnou hodnotu. Tuto možnost použijte, když se kontakty vytvořily pomocí GALSync. Pokud zvolíte tuto možnost, uživatelské objekty, jejichž atribut pošty se vyplní, se nesynchronizují do Azure AD.
Atributy ObjectSID a msExchangeMasterAccountSID/msRTCSIP-OriginatorSID Tato možnost spojí povoleného uživatele v doménové struktuře účtu se zakázaným uživatelem v doménové struktuře prostředku. V systému Exchange se tato konfigurace označuje jako propojená poštovní schránka. tuto možnost můžete použít, pokud používáte pouze Lync a pokud Exchange v doménové struktuře prostředků.
Atributy SAMAccountName a MailNickName Tato možnost se připojí k atributům, kde se očekává, že se najde ID přihlášení pro uživatele.
Zvolit konkrétní atribut Tato možnost umožňuje vybrat vlastní atribut. Pokud zvolíte tuto možnost, uživatelské objekty, jejichž (vybraný) atribut není naplněné, se synchronizují do Azure AD. Omezení: Pro tuto možnost jsou k dispozici pouze atributy, které jsou již v úložišti Metaverse.

Vyberte, jak se mají uživatelé identifikovat pomocí zdrojového ukotvení.

Atribut sourceAnchor je během životnosti objektu uživatele neměnný. Jedná se o primární klíč, který odkazuje na místního uživatele s uživatelem v Azure AD.

Nastavení Popis
Správa zdrojového ukotvení v Azure Tuto možnost vyberte, pokud chcete, aby Azure AD vybral atribut za vás. Pokud vyberete tuto možnost, Azure AD Připojení logiku výběru atributu sourceAnchor popsanou v části Použití ms-DS-ConsistencyGuid jako sourceAnchor. Po dokončení vlastní instalace uvidíte, který atribut byl vybrán jako atribut sourceAnchor.
Volba konkrétního atributu Tuto možnost vyberte, pokud chcete jako atribut sourceAnchor zadat existující atribut AD.

Protože atribut sourceAnchor nelze změnit, musíte zvolit odpovídající atribut. Jednou z vhodných možností je objectGUID. Tento atribut se nezmění, pokud není uživatelský účet přesunut mezi doménovými strukturami nebo doménami. Nevybíráte atributy, které se mohou změnit, když se osoba ohodí nebo změní přiřazení.

Nemůžete použít atributy, které obsahují znak @, takže nemůžete použít e-mail a userPrincipalName. Atribut také rozlišuje velká a malá písmena, takže když přesunete objekt mezi doménovými strukturami, nezapomeňte zachovat velká a malá písmena. Binární atributy jsou kódované ve formátu Base64, ale jiné typy atributů zůstávají v nekódovaném stavu.

Ve scénářích federace a některých rozhraních Azure AD se atribut sourceAnchor označuje také jako immutableID.

Další informace o zdrojovém ukotvení najdete v tématu Koncepty návrhu.

Filtrování synchronizace podle skupin

Funkce filtrování podle skupin umožňuje synchronizovat pouze malou podmnožinu objektů pro pilotní projekt. Pokud chcete tuto funkci použít, vytvořte pro tento účel skupinu v místní instanci služby Active Directory. Jako přímé členy přidejte uživatele a skupiny, které chcete synchronizovat do Azure AD. Později můžete přidat uživatele nebo odebrat uživatele z této skupiny, abyste zachovali seznam objektů, které by měly být přítomny v Azure AD.

Všechny objekty, které chcete synchronizovat, musí být přímými členy skupiny. Uživatelé, skupiny, kontakty a počítače nebo zařízení musí být přímými členy. Vnořené členství ve skupinách se nevyřeší. Když přidáte skupinu jako člena, přidá se jenom samotná skupina. Jeho členy se nepřidávají.

Snímek obrazovky zobrazující stránku, kde můžete filtrovat uživatele a zařízení

Upozornění

Tato funkce je určená k podpoře pouze pilotního nasazení. Nepoužívejte ho v plném produkčním nasazení.

V úplném produkčním nasazení by bylo obtížné udržovat jednu skupinu a všechny její objekty k synchronizaci. Místo funkce filtrování skupin použijte jednu z metod popsaných v tématu Konfigurace filtrování.

Volitelné funkce

Na další stránce můžete vybrat volitelné funkce pro váš scénář.

Upozornění

Azure AD Připojení verze 1.0.8641.0 a starší spoléhají na službu Azure Access Control Service zpětného zápisu hesla. Tato služba byla 7. listopadu 2018 vyřazena. Pokud používáte libovolnou z těchto verzí služby Azure AD Připojení a povolili jste zpětný zápis hesla, můžou uživatelé po vyřazení služby z provozu přijít o možnost změnit nebo resetovat hesla. Tyto verze služby Azure AD Připojení nepodporují zpětný zápis hesla.

Další informace najdete v tématu Migrace z Azure Access Control Service.

Pokud chcete použít zpětný zápis hesla, stáhněte si nejnovější verzi azure AD Připojení.

Snímek obrazovky se stránkou Volitelné funkce

Upozornění

Pokud Azure AD Sync nebo přímá synchronizace (DirSync) aktivní, neaktivovat žádné funkce zpětného zápisu ve službě Azure AD Připojení.

Volitelné funkce Popis
Exchange hybridního nasazení Funkce Exchange hybridního nasazení umožňuje koexistenci Exchange poštovních schránek v místním prostředí i v Microsoft 365. Azure AD Připojení synchronizuje konkrétní sadu atributů z Azure AD zpět do místního adresáře.
Exchange veřejných složek pošty Funkce Exchange veřejné složky pošty umožňuje synchronizovat objekty veřejné složky s povolenou poštou z místní instance Active Directory do Azure AD.
Filtrování aplikací a atributů Azure AD Když povolíte filtrování aplikací a atributů Azure AD, můžete přizpůsobit sadu synchronizovaných atributů. Tato možnost rozšíří průvodce o další dvě stránky konfigurace. Další informace najdete v tématu Filtrování aplikací a atributů Azure AD.
Synchronizace hodnot hash hesel Pokud jste jako přihlašovací řešení vybrali federaci, můžete povolit synchronizaci hodnot hash hesel. Pak ji můžete použít jako záložní možnost.

Pokud jste vybrali předávkovací ověřování, můžete tuto možnost povolit, abyste zajistili podporu starších klientů a zajistili zálohu.

Další informace najdete v tématu Synchronizace hodnot hash hesel.
Zpětný zápis hesla Pomocí této možnosti zajistíte, že se změny hesel pocházející z Azure AD zapisou zpět do místního adresáře. Další informace najdete v tématu Začínáme se správou hesel.
Zpětný zápis skupin Pokud používáte Microsoft 365 skupiny, můžete reprezentovat skupiny v místní instanci služby Active Directory. Tato možnost je dostupná jenom v případě, Exchange ve vaší místní instanci služby Active Directory. Další informace najdete v tématu Zpětný zápis skupiny Připojení Azure AD.
Zpětný zápis zařízení Ve scénářích podmíněného přístupu použijte tuto možnost k zápisu objektů zařízení ve službě Azure AD do místní instance Služby Active Directory. Další informace najdete v tématu Povolení zpětného zápisu zařízení v Azure AD Connect.
Synchronizace atributů rozšíření adresáře Tuto možnost vyberte, pokud chcete synchronizovat zadané atributy se službou Azure AD. Další informace najdete v tématu Rozšíření adresáře.

Filtrování aplikací a atributů Azure AD

Pokud chcete omezit, které atributy se synchronizují s Azure AD, začněte výběrem služeb, které používáte. Pokud změníte výběry na této stránce, musíte explicitně vybrat novou službu tím, že znovu vyberete průvodce instalací.

Snímek obrazovky s volitelnými funkcemi aplikací Azure A D

Na základě služeb, které jste vybrali v předchozím kroku, se na této stránce zobrazují všechny synchronizované atributy. Tento seznam je kombinací všech synchronizovaných typů objektů. Pokud potřebujete, aby některé atributy zůstaly nesynchronizované, můžete výběr z těchto atributů vymazat.

Snímek obrazovky s volitelnými funkcemi atributů Azure A D

Upozornění

Odebrání atributů může mít vliv na funkčnost. Osvědčené postupy a doporučení najdete v tématu Atributy k synchronizaci.

Synchronizace atributů rozšíření adresáře

Schéma v Azure AD můžete rozšířit pomocí vlastních atributů, které vaše organizace přidala, nebo pomocí jiných atributů ve službě Active Directory. Pokud chcete tuto funkci použít, vyberte na stránce Volitelné funkce možnost Synchronizace atributů rozšíření adresáře. Na stránce Rozšíření adresáře můžete vybrat další atributy, které se mají synchronizovat.

Poznámka

V poli Dostupné atributy se rozlišují malá a velká písmena.

Snímek obrazovky se stránkou Rozšíření adresáře

Další informace najdete v tématu Rozšíření adresáře.

Povolení jednotného přihlašování

Na stránce Jednotné přihlašování nakonfigurujete jednotné přihlašování pro použití se synchronizací hesel nebo předávatým ověřováním. Tento krok proveďte jednou pro každou doménovou strukturu, která se synchronizuje s Azure AD. Konfigurace zahrnuje dva kroky:

  1. Vytvořte potřebný účet počítače v místní instanci služby Active Directory.
  2. Nakonfigurujte zónu intranetu klientských počítačů tak, aby podporovala jednotné přihlašování.

Vytvoření účtu počítače ve službě Active Directory

Pro každou doménovou strukturu přidanou v Azure AD Připojení musíte zadat přihlašovací údaje správce domény, aby bylo možné vytvořit účet počítače v každé doménové struktuře. Přihlašovací údaje se používají jenom k vytvoření účtu. Neuchovávají se ani se neuchovávají pro žádnou jinou operaci. Přidejte přihlašovací údaje na stránce Povolit jednotné přihlašování, jak je vidět na následujícím obrázku.

Snímek obrazovky se stránkou Povolit jednotné přihlašování Přidávají se přihlašovací údaje doménové struktury.

Poznámka

Doménové struktury můžete přeskočit tam, kde nechcete používat jednotné přihlašování.

Konfigurace zóny intranetu pro klientské počítače

Pokud chcete zajistit, aby se klient v zóně intranetu automaticky přihlásí, ujistěte se, že je adresa URL součástí zóny intranetu. Tento krok zajistí, že počítač připojený k doméně automaticky odešle lístek Kerberos do Azure AD, když je připojený k podnikové síti.

Na počítači, který obsahuje Zásady skupiny nástroje pro správu:

  1. Otevřete nástroj Zásady skupiny pro správu.

  2. Upravte zásady skupiny, které se použijí pro všechny uživatele. Příkladem je zásada Výchozí doména.

  3. Na stránce Zabezpečení > internetového Šablony pro správu > Windows konfigurace > Internet Explorer > Ovládací panely konfigurace > uživatelů. Pak vyberte Seznam přiřazení site-to-zone.

  4. Povolte zásadu. Potom v dialogovém okně zadejte název hodnoty a https://autologon.microsoftazuread-sso.com hodnotu 1 . Vaše nastavení by mělo vypadat jako na následujícím obrázku.

    Snímek obrazovky zobrazující zóny intranetu

  5. Dvakrát vyberte OK.

Konfigurace federace se službou AD FS

Konfiguraci služby AD FS pomocí služby Azure AD Připojení několika kliknutími. Než začnete, potřebujete:

  • Windows Server 2012 R2 nebo novější pro federační server. Vzdálená správa by měla být povolená.
  • Windows Server 2012 R2 nebo novější pro webový proxy aplikací server. Vzdálená správa by měla být povolená.
  • Certifikát TLS/SSL pro název federační služby, který chcete použít (například sts.contoso.com).

Poznámka

Certifikát TLS/SSL pro vaši farmu AD FS můžete aktualizovat pomocí služby Azure AD Připojení i v případě, že ho ke správě důvěryhodnosti federace nepoužete.

AD FS konfigurace

Pokud chcete nakonfigurovat AD FS pomocí služby Azure AD Připojení, ujistěte se, že je na vzdálených serverech povolená služba WinRM. Ujistěte se, že jste dokončili další úlohy v části Požadavky federace. Také se ujistěte, že splňujete požadavky na porty uvedené v tabulce serverů Azure AD Připojení a Federování/WAP.

Vytvoření nové farmy služby AD FS nebo použití existující farmy služby AD FS

Můžete použít existující AD FS nebo vytvořit novou. Pokud se rozhodnete vytvořit nový certifikát, musíte zadat certifikát TLS/SSL. Pokud je certifikát TLS/SSL chráněný heslem, zobrazí se výzva k zadání hesla.

Snímek obrazovky zobrazující stránku Farma AD F

Pokud se rozhodnete použít existující AD FS, zobrazí se stránka, kde můžete nakonfigurovat vztah důvěryhodnosti mezi AD FS a Azure AD.

Poznámka

Pomocí služby Azure AD Připojení spravovat pouze jednu AD FS farmu. Pokud máte existující vztah důvěryhodnosti federace, ve kterém je pro vybranou farmu AD FS azure AD nakonfigurovaná služba Azure AD, Připojení důvěryhodnost znovu vytvoří od začátku.

Zadání serverů služby AD FS

Zadejte servery, na které chcete nainstalovat AD FS. V závislosti na potřebách kapacity můžete přidat jeden nebo více serverů. Před nastavením této konfigurace připojte všechny servery AD FS ke službě Active Directory. Tento krok není pro webové servery proxy aplikací potřeba.

Společnost Microsoft doporučuje instalaci jednoho serveru služby AD FS pro zkušební a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery, aby splňovaly vaše požadavky na škálování, a to tak, že znovu Připojení Azure AD.

Poznámka

Před nastavením této konfigurace se ujistěte, že jsou všechny vaše servery připojené k doméně Azure AD.

Snímek obrazovky se stránkou Federační servery

Zadání proxy serverů webových aplikací

Zadejte své webové proxy aplikací servery. Webový proxy aplikací je nasazený v hraniční síti a směřuje k extranetu. Podporuje žádosti o ověření z extranetu. V závislosti na potřebách kapacity můžete přidat jeden nebo více serverů.

Microsoft doporučuje instalaci jednoho webového proxy aplikací pro testovací a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery, aby splňovaly vaše požadavky na škálování, a to tak, že znovu Připojení Azure AD. Pro ověření z intranetu doporučujeme mít stejný počet proxy serverů.

Poznámka

  • Pokud účet, který používáte, není místním správcem na webových proxy aplikací, zobrazí se výzva k zadání přihlašovacích údajů správce.
  • Před zadáním webových proxy aplikací se ujistěte, že je mezi serverem azure AD Připojení serverem a serverem webového serveru proxy aplikací protokol HTTP/HTTPS.
  • Ujistěte se, že mezi serverem webové aplikace a serverem webové aplikace existuje připojení HTTP/HTTPS, AD FS aby mohly procházet požadavky na ověření.

Snímek obrazovky se stránkou Proxy aplikací serveru

Zobrazí se výzva k zadání přihlašovacích údajů, aby server webové aplikace mohl navázat zabezpečené připojení k AD FS serveru. Tyto přihlašovací údaje musí být pro účet místního správce na AD FS serveru.

Snímek obrazovky se stránkou Přihlašovací údaje Přihlašovací údaje správce se zadává do pole uživatelského jména a hesla.

Zadání účtu služby AD FS

Služba AD FS vyžaduje účet doménové služby k ověřování uživatelů a vyhledávání informací o uživatelích ve službě Active Directory. Podporuje dva typy účtů služeb:

  • Skupinový účet spravované služby: Tento typ účtu byl zaveden do služby AD DS Windows Server 2012. Tento typ účtu poskytuje služby, jako je AD FS. Jedná se o jeden účet, ve kterém nemusíte heslo pravidelně aktualizovat. Tuto možnost použijte, pokud se řadiče domény systému Windows Server 2012 už nacházejí v doméně, do které patří server služby AD FS.
  • Uživatelský účet domény: Tento typ účtu vyžaduje zadání hesla a jeho pravidelnou aktualizaci po vypršení jeho platnosti. Tuto možnost použijte jenom v případě, že nemáte Windows Server 2012 domény v doméně, do které patří AD FS servery.

Pokud jste vybrali Možnost Vytvořit skupinový účet spravované služby a tato funkce se ve službě Active Directory nikdy nepouží pomocí této funkce, zadejte přihlašovací údaje podnikového správce. Tyto přihlašovací údaje slouží k inicializaci úložiště klíčů a povolení této funkce ve službě Active Directory.

Poznámka

Azure AD Připojení kontroluje, jestli je AD FS už zaregistrovaná jako hlavní název služby (SPN) v doméně. Azure AD DS neumožňují registraci duplicitních SPN současně. Pokud je nalezen duplicitní hlavní název služby (SPN), nemůžete pokračovat, dokud se hlavní název služby (SPN) odebere.

Snímek obrazovky se stránkou Účet služby A D F S

Vyberte doménu Azure AD, kterou chcete federovat.

Stránka Azure AD Domain slouží k nastavení federačního vztahu mezi službou AD FS a Azure AD. Tady nakonfigurujete službu AD FS tak, aby poskytovala tokeny zabezpečení službě Azure AD. Azure AD také nakonfigurujete tak, aby důvěřuje tokenům z této AD FS instance.

Na této stránce můžete při počáteční instalaci nakonfigurovat jenom jednu doménu. Později můžete znovu spustit Azure AD Connect a nakonfigurovat další domény.

Snímek obrazovky se stránkou Azure A D Domain

Výběr domény Azure AD vybrané k federaci

Když vyberete doménu, kterou chcete federovat, Azure AD Připojení informace, které můžete použít k ověření neověřené domény. Další informace najdete v tématu Přidání a ověření domény.

Snímek obrazovky se stránkou Azure A D Domain včetně informací, které můžete použít k ověření domény

Poznámka

Azure AD Připojení pokusí ověřit doménu během fáze konfigurace. Pokud přidáte nezbytné záznamy DNS (Domain Name System), konfiguraci není možné dokončit.

Konfigurace federace s PingFederate

PingFederate můžete nakonfigurovat pomocí Azure AD Připojení několika kliknutími. Jsou nutné následující požadavky:

  • PingFederate 8.4 nebo novější. Další informace najdete v tématu Integrace PingFederate s Azure Active Directorya Microsoft 365 .
  • Certifikát TLS/SSL pro název federační služby, který chcete použít (například sts.contoso.com).

Ověření domény

Jakmile se rozhodnete nastavit federaci pomocí PingFederate, budete vyzváni k ověření domény, kterou chcete federovat. V rozevírací nabídce vyberte doménu.

Snímek obrazovky se stránkou Azure A D Domain Je vybraná contoso.com doména.

Export nastavení PingFederate

Nakonfigurujte PingFederate jako federační server pro každou federovanou doménu Azure. Vyberte Exportovat Nastavení a nasdílejte tyto informace správci PingFederate. Správce federačního serveru aktualizuje konfiguraci a pak poskytne adresu URL a číslo portu serveru PingFederate, aby služba Azure AD Připojení mohli ověřit nastavení metadat.

Snímek obrazovky se stránkou Nastavení PingFederate Tlačítko Exportovat Nastavení se zobrazí v horní části stránky.

Případné problémy s ověřením řešte se správcem PingFederate. Následující obrázek ukazuje informace o serveru PingFederate, který nemá platný vztah důvěryhodnosti s Azure.

Snímek obrazovky zobrazující informace o serveru: Server PingFederate byl nalezen, ale připojení poskytovatele služeb pro Azure chybí nebo je zakázané

Ověření připojení federace

Azure AD Připojení pokusí ověřit ověřovací koncové body, které načte z metadat PingFederate v předchozím kroku. Azure AD Připojení pokusí koncové body přeložit pomocí místních serverů DNS. Dále se pokusí koncové body přeložit pomocí externího poskytovatele DNS. Případné problémy s ověřením řešte se správcem PingFederate.

Snímek obrazovky se stránkou Ověřit připojení

Ověření federačního přihlášení

Nakonec můžete ověřit nově nakonfigurovaný tok přihlášení federace tím, že se přihlásíte k federované doméně. Pokud je vaše přihlášení úspěšné, federace s PingFederate je úspěšně nakonfigurovaná.

Snímek obrazovky se stránkou Ověřit federované přihlášení V dolní části se zobrazí zpráva o úspěšném přihlášení.

Konfigurace a ověření stránek

Konfigurace probíhá na stránce Konfigurace.

Poznámka

Pokud jste nakonfigurovali federaci, před pokračováním instalace se ujistěte, že jste také nakonfigurovali překlad ip adres pro federační servery.

Snímek obrazovky se stránkou Připraveno ke konfiguraci

Použití pracovního režimu

Nový synchronizační server je možné nastavit paralelně s pracovním režimem. Pokud chcete použít toto nastavení, může do jednoho adresáře v cloudu exportovat pouze jeden synchronizační server. Pokud ale chcete přejít z jiného serveru, například ze serveru se spuštěnou službou DirSync, můžete povolit službu Azure AD Připojení v pracovní režimu.

Když povolíte pracovní nastavení, synchronizační modul importuje a synchronizuje data jako obvykle. Neexportuje ale žádná data do Azure AD nebo Active Directory. V pracovním režimu je funkce synchronizace hesel a zpětný zápis hesla zakázaná.

Snímek obrazovky s možností Povolit pracovní režim

V pracovních režimech můžete v synchronizačním modulu provést požadované změny a zkontrolovat, co se bude exportovat. Když jste s konfigurací spokojeni, znovu spusťte průvodce instalací a vypněte pracovní režim.

Data se teď ze serveru exportuje do Azure AD. Nezapomeňte současně zakázat druhý server tak, aby pouze jeden server prováděl aktivní export.

Další informace najdete v tématu Pracovní režim.

Ověření konfigurace federace

Azure AD Připojení ověří nastavení DNS, když vyberete tlačítko Ověřit. Zkontroluje následující nastavení:

  • Připojení k intranetu
    • Překlad plně kvalifikovaných názvů domén federace: Azure AD Připojení, jestli DNS dokáže přeložit plně kvalifikovaný název domény federace a zajistit tak připojení. Pokud Azure AD Připojení plně kvalifikovaný název domény přeložit, ověření se nezdaří. Pokud chcete ověření dokončit, ujistěte se, že pro plně kvalifikovaný název domény federační služby existuje záznam DNS.
    • Záznam DNS A: Azure AD Připojení kontroluje, jestli má vaše federační služba záznam A. Pokud záznam A chybí, ověření se nezdaří. Pokud chcete ověření dokončit, vytvořte pro svůj plně kvalifikovaný název domény federace záznam A (nikoli záznam CNAME).
  • Připojení k extranetu

    • Překlad plně kvalifikovaných názvů domén federace: Azure AD Připojení, jestli DNS dokáže přeložit plně kvalifikovaný název domény federace a zajistit tak připojení.

      Snímek obrazovky se stránkou Instalace dokončena

      Snímek obrazovky se stránkou Instalace dokončena Zpráva značí, že konfigurace intranetu byla ověřena.

Pokud chcete ověřit koncové ověřování, proveďte ručně jeden nebo více z následujících testů:

  • Po dokončení synchronizace ve službě Azure AD Připojení pomocí další úlohy Ověřit federované přihlášení ověřte ověřování pro místní uživatelský účet, který zvolíte.
  • Z počítače připojeného k doméně na intranetu se ujistěte, že se můžete přihlásit z prohlížeče. Připojení na https://myapps.microsoft.com . Pak pomocí přihlášeného účtu ověřte přihlášení. Předdefinovaný Azure AD DS správce není synchronizovaný a nemůžete ho použít k ověření.
  • Ujistěte se, že se můžete přihlásit ze zařízení v extranetu. Na domácím počítači nebo mobilním zařízení se připojte k https://myapps.microsoft.com . Pak zadejte své přihlašovací údaje.
  • Ověřte přihlášení plně funkčního klienta. Připojení na https://testconnectivity.microsoft.com . Pak vyberte Office 365 > Office 365 test Sign-On jeden test.

Řešení potíží

Tato část obsahuje informace o řešení potíží, které můžete použít, pokud máte problém s instalací služby Azure AD Připojení.

Když přizpůsobíte instalaci Připojení Azure AD, můžete na stránce Instalovat požadované součásti vybrat Použít existující SQL Server. Může se zobrazit následující chyba: "ADSync databáze již obsahuje data a nelze ji přepsat. Odeberte existující databázi a zkuste to znovu."

Snímek obrazovky zobrazující stránku Instalace požadovaných komponent V dolní části stránky se zobrazí chyba.

Tato chyba se zobrazí, protože databáze ADSync již existuje v instanci SQL instance SQL Server, kterou jste zadali.

Tato chyba se obvykle zobrazí po odinstalaci služby Azure AD Připojení. Databáze se při odinstalaci služby Azure AD SQL Server z počítače, na Připojení.

Pokud chcete tento problém vyřešit:

  1. Zkontrolujte databázi ADSync, kterou služba Azure AD Připojení použila před odinstalací. Ujistěte se, že se databáze už nebude používat.

  2. Zálohujte databázi.

  3. Odstraňte databázi:

    1. Pomocí Microsoft SQL Server Management Studio se připojte k SQL instanci.
    2. Vyhledejte ADSync databáze a klikněte na ní pravým tlačítkem.
    3. V místní nabídce vyberte Odstranit.
    4. Výběrem OK databázi odstraňte.

Snímek obrazovky Microsoft SQL Server Management Studio Je vybraná synchronizace D.

Po odstranění ADSync databáze vyberte Nainstalovat a zkuste instalaci zopakovat.

Další kroky

Po dokončení instalace se odhlásit Windows. Pak se znovu přihlaste, než použijete Synchronization Service Manager nebo Synchronizační editor pravidel.

Teď, když máte nainstalovanou službu Azure AD Připojení, můžete ověřit instalaci a přiřadit licence.

Další informace o funkcích, které jste povolili během instalace, najdete v tématu Prevence náhodného odstranění a Azure AD Připojení Health.

Další informace o dalších běžných tématech najdete v tématech Synchronizace Připojení Azure AD: Scheduler a Integrace místních identit se službou Azure AD.