Vlastní instalace Azure Active Directory Připojení

Pokud chcete další možnosti instalace, použijte vlastní nastavení v Azure Active Directory (Azure AD) Připojení. Tato nastavení použijte například v případě, že máte více doménových struktur nebo chcete nakonfigurovat volitelné funkce. Použijte vlastní nastavení ve všech případech, kdy expresní instalace nevyhovuje vašim potřebám nasazení nebo topologie.

Požadavky:

Vlastní nastavení instalace

Pokud chcete nastavit vlastní instalaci pro službu Azure AD Připojení, projděte si stránky průvodce, které popisují následující části.

Expresní nastavení

Na stránce Express Nastavení vyberte Přizpůsobit a spusťte vlastní instalaci nastavení. Zbytek tohoto článku vás provede procesem vlastní instalace. Pomocí následujících odkazů můžete rychle přejít na informace pro konkrétní stránku:

Instalace požadovaných součástí

Při instalaci synchronizačních služeb můžete ponechat nepovinný oddíl konfigurace nevybraný. Azure AD Připojení nastaví všechno automaticky. Nastaví instanci SQL Server Express LocalDB 2019, vytvoří příslušné skupiny a přiřadí oprávnění. Pokud chcete výchozí hodnoty změnit, zrušte zaškrtnutí příslušných polí. Následující tabulka shrnuje tyto možnosti a obsahuje odkazy na další informace.

Screenshot showing optional selections for the required installation components in Azure AD Connect.

Volitelná konfigurace Popis
Určení vlastního umístění instalace Umožňuje změnit výchozí instalační cestu pro službu Azure AD Připojení.
Použít existující server SQL Server Umožňuje zadat název SQL Server a název instance. Tuto možnost zvolte, pokud už máte databázový server, který chcete použít. Jako název instance zadejte název instance, čárku a číslo portu, pokud vaše SQL Server instance nemá povolené procházení. Pak zadejte název databáze azure AD Připojení. Vaše oprávnění SQL určují, jestli je možné vytvořit novou databázi nebo jestli ji správce SQL musí předem vytvořit. Pokud máte oprávnění správce SQL Server (SA), přečtěte si téma Instalace Připojení Azure AD pomocí existující databáze. Pokud máte delegovaná oprávnění (DBO), přečtěte si téma Instalace Připojení Azure AD pomocí SQL delegovaných oprávnění správce.
Použít existující účet služby Ve výchozím nastavení azure AD Připojení poskytuje účet virtuální služby pro synchronizační služby. Pokud používáte vzdálenou instanci SQL Server nebo používáte proxy server, který vyžaduje ověření, můžete použít účet spravované služby nebo účet služby chráněný heslem v doméně. V těchto případech zadejte účet, který chcete použít. Pokud chcete instalaci spustit, musíte být správcem služby v SQL, abyste mohli pro účet služby vytvořit přihlašovací údaje. Další informace najdete v tématu Účty a oprávnění služby Azure AD Připojení.

Pomocí nejnovějšího sestavení teď správce SQL může databázi zřídit mimo pásmo. Pak ho správce služby Azure AD Připojení může nainstalovat s právy vlastníka databáze. Další informace najdete v tématu Instalace Připojení Azure AD pomocí SQL delegovaných oprávnění správce.
Zadat vlastní skupiny pro synchronizaci Ve výchozím nastavení služba Azure AD Připojení při instalaci synchronizačních služeb vytvoří čtyři skupiny, které jsou místní pro server. Tyto skupiny jsou Administrators, Operators, Browse a Password Reset. Tady můžete zadat vlastní skupiny. Skupiny musí být místní na serveru. Nemůžou být umístěné v doméně.
Import nastavení synchronizace (Preview) Umožní vám importovat nastavení z jiných verzí Azure AD Connect. Další informace najdete v tématu Import a export nastavení konfigurace služby Azure AD Připojení.

Přihlášení uživatele

Po instalaci požadovaných komponent vyberte metodu jednotného přihlašování uživatelů. Následující tabulka stručně popisuje dostupné možnosti. Úplný popis metod přihlášení najdete v tématu Přihlášení uživatele.

Screenshot that shows the

Možnost jednotného přihlašování Popis
Synchronizace hodnot hash hesel Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je například Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Hesla uživatelů se synchronizují do Azure AD jako hodnota hash hesla. Ověřování probíhá v cloudu. Další informace najdete v tématu Synchronizace hodnot hash hesel.
Předávací ověřování Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je například Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Hesla uživatelů se ověřují předáním místní Active Directory řadiči domény.
Federace se službou AD FS Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je například Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelé se přesměrují na místní instanci služby Azure Directory Federation Services (AD FS), aby se mohli přihlásit. Ověřování probíhá místně.
Federace s PingFederate Uživatelé se můžou přihlásit ke cloudovým službám Microsoftu, jako je například Microsoft 365, pomocí stejného hesla, které používají ve své místní síti. Uživatelé se přesměrují na místní instanci PingFederate, aby se mohli přihlásit. Ověřování probíhá místně.
Nekonfigurovat Není nainstalovaná ani nakonfigurovaná žádná funkce přihlášení uživatele. Tuto možnost zvolte, pokud už máte federační server třetí strany nebo jiné řešení.
Povolení jednotného přihlašování Tato možnost je dostupná se synchronizací hodnot hash hesel i předávacím ověřováním. Poskytuje jednotné přihlašování pro desktopové uživatele v podnikových sítích. Další informace najdete v tématu Jednotné přihlašování.

Poznámka: Pro zákazníky služby AD FS není tato možnost k dispozici. Služba AD FS už nabízí stejnou úroveň jednotného přihlašování.

Připojení k Azure AD

Na stránce Připojení na Azure AD zadejte účet a heslo globálního správce. Pokud jste na předchozí stránce vybrali federaci se službou AD FS , nepřihlašujte se pomocí účtu, který je v doméně, kterou chcete povolit pro federaci.

Můžete chtít použít účet ve výchozí onmicrosoft.com doméně, která je součástí vašeho tenanta Azure AD. Tento účet se používá pouze k vytvoření účtu služby v Azure AD. Po dokončení instalace se nepoužívá.

Poznámka

Osvědčeným postupem je vyhnout se používání místních synchronizovaných účtů pro přiřazení rolí Azure AD. Pokud dojde k ohrožení zabezpečení místního účtu, můžete ho použít i k ohrožení prostředků Azure AD. Úplný seznam osvědčených postupů najdete v tématu Osvědčené postupy pro role Azure AD.

Screenshot showing the

Pokud má váš účet globálního správce povolené vícefaktorové ověřování, zadáte heslo znovu v okně přihlášení a musíte dokončit vícefaktorové ověřování. Ověřovacím testem může být ověřovací kód nebo telefonní hovor.

Screenshot showing the

Účet globálního správce může mít také povolenou správu privilegovaných identit .

Pokud chcete použít podporu ověřování pro scénáře bez hesla, jako jsou federované účty, čipové karty a scénáře MFA, můžete při spuštění průvodce zadat přepínač /InteractiveAuth . Pomocí tohoto přepínače se vynechá uživatelské rozhraní ověřování Průvodce a pomocí uživatelského rozhraní knihovny MSAL zpracujete ověřování.

Pokud se zobrazí chyba nebo máte problémy s připojením, přečtěte si téma Řešení potíží s připojením.

Synchronizovat stránky

Následující části popisují stránky v oddílu Synchronizace .

Připojení adresářů

Pokud se chcete připojit k Active Directory Domain Services (Azure AD DS), azure AD Připojení potřebuje název doménové struktury a přihlašovací údaje účtu, který má dostatečná oprávnění.

Screenshot that shows the

Jakmile zadáte název doménové struktury a vyberete Přidat adresář, zobrazí se okno. Následující tabulka popisuje možnosti.

Možnost Popis
Vytvořit nový účet Vytvořte účet Azure AD DS, který azure AD Připojení musí během synchronizace adresářů připojit k doménové struktuře služby Active Directory. Po výběru této možnosti zadejte uživatelské jméno a heslo pro účet podnikového správce. Azure AD Připojení používá zadaný účet podnikového správce k vytvoření požadovaného účtu Azure AD DS. Část domény můžete zadat ve formátu NetBIOS nebo FQDN. To znamená, že zadejte FABRIKAM\administrator nebo fabrikam.com\administrator.
Použít existující účet Zadejte existující účet Azure AD DS, který může Azure AD Připojení použít k připojení k doménové struktuře Active Directory během synchronizace adresářů. Část domény můžete zadat ve formátu NetBIOS nebo FQDN. To znamená, že zadejte FABRIKAM\syncuser nebo fabrikam.com\syncuser. Tento účet může být běžný uživatelský účet, protože potřebuje jenom výchozí oprávnění ke čtení. V závislosti na vašem scénáři ale možná budete potřebovat další oprávnění. Další informace najdete v tématu Azure AD Připojení účty a oprávnění.

Screenshot showing the

Poznámka

Od verze buildu 1.4.18.0 nemůžete jako účet konektoru Azure AD DS použít účet podnikového správce ani účet správce domény. Když vyberete Možnost Použít existující účet, pokud se pokusíte zadat účet podnikového správce nebo účet správce domény, zobrazí se následující chyba: Používání účtu Enterprise nebo účtu správce domény pro účet doménové struktury AD není povolené. Nechte službu Azure AD Connect, aby za vás účet vytvořila, nebo určete účet synchronizace se správnými oprávněními.“

Konfigurace přihlášení k Azure AD

Na přihlašovací stránce Azure AD zkontrolujte domény hlavního názvu uživatele (UPN) v místní službě Azure AD DS. Tyto domény hlavního názvu uživatele (UPN) byly ověřeny v Azure AD. Na této stránce nakonfigurujete atribut tak, aby se používal pro userPrincipalName.

Screenshot showing unverified domains on the

Zkontrolujte každou doménu, která je označená jako Nepřidána nebo není ověřená. Ujistěte se, že domény, které používáte, byly ověřeny v Azure AD. Po ověření domén vyberte ikonu cyklických aktualizací. Další informace najdete v tématu Přidání a ověření domény.

Uživatelé při přihlášení k Azure AD a Microsoft 365 používají atribut userPrincipalName. Služba Azure AD by měla před synchronizací uživatelů ověřit domény, označované také jako přípona UPN. Společnost Microsoft doporučuje zachovat výchozí atribut userPrincipalName.

Pokud atribut userPrincipalName není směrovatelný a nelze jej ověřit, můžete vybrat jiný atribut. Můžete například vybrat e-mail jako atribut, který obsahuje PŘIHLAŠOVACÍ ID. Pokud používáte jiný atribut než userPrincipalName, označuje se jako alternativní ID.

Hodnota atributu alternativního ID musí dodržovat standard RFC 822. Alternativní ID můžete použít při synchronizaci hodnot hash hesel, předávacím ověřování a federaci. V Active Directory nesmí být tento atribut definovaný jako atribut s více hodnotami, a to ani když obsahuje pouze jednu hodnotu. Další informace o alternativním ID najdete v tématu Předávací ověřování: Nejčastější dotazy.

Poznámka

Pokud povolíte předávací ověřování, musíte mít alespoň jednu ověřenou doménu, abyste mohli pokračovat v procesu vlastní instalace.

Upozornění

Alternativní ID nejsou kompatibilní se všemi úlohami Microsoft 365. Další informace najdete v tématu Konfigurace alternativních ID přihlašování.

Filtrování domén a organizačních jednotek

Ve výchozím nastavení se synchronizují všechny domény a organizační jednotky . Pokud nechcete synchronizovat některé domény nebo organizační jednotky do Azure AD, můžete zrušit příslušné výběry.

Screenshot showing the Domain and O U filtering page.

Tato stránka konfiguruje filtrování založené na doméně a organizační jednotce. Pokud plánujete provádět změny, podívejte se na filtrování založené na doméně a filtrování na základě organizačních jednotek. Některé organizační jednotky jsou nezbytné pro funkce, takže byste je měli nechat vybrané.

Pokud používáte filtrování založené na organizační jednotce se službou Azure AD Připojení starší než 1.1.524.0, ve výchozím nastavení se nové organizační jednotky synchronizují. Pokud nechcete, aby se nové organizační jednotky synchronizovaly, můžete upravit výchozí chování po kroku filtrování založeného na organizační jednotce . U služby Azure AD Připojení 1.1.524.0 nebo novější můžete určit, jestli chcete synchronizovat nové organizační jednotky.

Pokud plánujete používat filtrování založené na skupinách, ujistěte se, že je organizační jednotka se skupinou zahrnutá a není filtrovaná pomocí filtrování organizačních jednotek. Filtrování organizačních jednotek se vyhodnocuje před vyhodnocením filtrování na základě skupin.

Je také možné, že některé domény nejsou kvůli omezením brány firewall nedostupné. Tyto domény jsou ve výchozím nastavení nevybrané a zobrazují upozornění.

Screenshot showing unreachable domains.

Pokud se zobrazí toto upozornění, ujistěte se, že jsou tyto domény skutečně nedostupné a že je toto upozornění očekávané.

Jednoznačná identifikace uživatelů

Na stránce Identifikace uživatelů zvolte, jak identifikovat uživatele v místních adresářích a jak je identifikovat pomocí atributu sourceAnchor.

Vyberte způsob, jakým se mají uživatelé identifikovat v místních adresářích

Pomocí funkce Porovnávání napříč doménovými strukturami můžete definovat, jak jsou uživatelé z doménových struktur Azure AD DS reprezentováni v Azure AD. Uživatel může být reprezentován pouze jednou napříč všemi doménovými strukturami nebo může mít kombinaci povolených a zakázaných účtů. Uživatel také může být v některých doménových strukturách reprezentován jako kontakt.

Screenshot showing the page where you can uniquely identify your users.

Nastavení Popis
Uživatelé jsou reprezentováni pouze jednou napříč všemi doménovými strukturami. Všichni uživatelé jsou vytvořeni jako jednotlivé objekty v Azure AD. Objekty nejsou připojené k metaverse.
Atribut Mail Tato možnost spojí uživatele a kontakty, pokud má atribut mail v různých doménových strukturách stejnou hodnotu. Tuto možnost použijte při vytváření kontaktů pomocí galsync. Pokud zvolíte tuto možnost, objekty uživatelů, jejichž atribut pošty není vyplněný, se nesynchronují do Azure AD.
Atributy ObjectSID a msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID Tato možnost spojí povoleného uživatele v doménové struktuře účtu se zakázaným uživatelem v doménové struktuře prostředku. V systému Exchange se tato konfigurace označuje jako propojená poštovní schránka. Tuto možnost můžete použít, pokud používáte jenom Lync a pokud Exchange není v doménové struktuře prostředků.
Atributy SAMAccountName a MailNickName Tato možnost se připojí k atributům, u kterých se očekává, že se najde PŘIHLAŠOVACÍ ID uživatele.
Volba konkrétního atributu Tato možnost umožňuje vybrat vlastní atribut. Pokud zvolíte tuto možnost, objekty uživatelů, jejichž (vybraný) atribut není vyplněný, se nesynchronují do Azure AD. Omezení: Pro tuto možnost jsou k dispozici pouze atributy, které jsou již v metaverzi.

Výběr způsobu identifikace uživatelů pomocí zdrojové ukotvení

Atribut sourceAnchor je neměnný během životnosti objektu uživatele. Jedná se o primární klíč, který propojuje místního uživatele s uživatelem v Azure AD.

Nastavení Popis
Umožnit Azure spravovat zdrojovou ukotvení Tuto možnost vyberte, pokud chcete, aby Azure AD vybral atribut za vás. Pokud vyberete tuto možnost, azure AD Připojení použije logiku výběru atributu sourceAnchor popsanou v tématu Použití ms-DS-ConsistencyGuid jako sourceAnchor. Po dokončení vlastní instalace uvidíte, který atribut byl vybrán jako atribut sourceAnchor.
Volba konkrétního atributu Tuto možnost vyberte, pokud chcete jako atribut sourceAnchor zadat existující atribut AD.

Protože atribut sourceAnchor nejde změnit, musíte zvolit příslušný atribut. Jednou z vhodných možností je objectGUID. Tento atribut se nezmění, pokud se uživatelský účet nepřesune mezi doménovými strukturami nebo doménami. Nevybírejte atributy, které se můžou změnit, když se osoba ožení nebo změní přiřazení.

Nemůžete použít atributy, které obsahují znak @, takže nemůžete používat e-mail a userPrincipalName. Atribut je také rozlišují velká a malá písmena, takže když přesunete objekt mezi doménovými strukturami, nezapomeňte zachovat velká a malá písmena. Binární atributy jsou kódování Base64, ale jiné typy atributů zůstávají ve svém nekódovaném stavu.

Ve scénářích federace a některých rozhraních Azure AD se atribut sourceAnchor označuje také jako neměnné ID.

Další informace o zdrojové ukotvení najdete v tématu Koncepty návrhu.

Filtrování synchronizace podle skupin

Funkce filtrování na skupinách umožňuje synchronizovat pouze malou podmnožinu objektů pro pilotní nasazení. Pokud chcete tuto funkci použít, vytvořte skupinu pro tento účel ve vaší místní instanci služby Active Directory. Jako přímé členy přidejte uživatele a skupiny, které chcete synchronizovat do Azure AD. Později můžete přidat uživatele nebo odebrat uživatele z této skupiny, abyste zachovali seznam objektů, které by měly být přítomné v Azure AD.

Všechny objekty, které chcete synchronizovat, musí být přímými členy skupiny. Uživatelé, skupiny, kontakty a počítače nebo zařízení musí být všichni přímí členové. Vnořené členství ve skupině se nevyřeší. Když přidáte skupinu jako člena, přidá se jenom samotná skupina. Jeho členové nejsou přidáni.

Screenshot showing the page where you can choose how to filter users and devices.

Upozornění

Tato funkce je určená k podpoře pouze pilotního nasazení. Nepoužívejte ho v plném produkčním nasazení.

V plném produkčním nasazení by bylo obtížné udržovat jednu skupinu a všechny její objekty k synchronizaci. Místo funkce filtrování na skupinách použijte jednu z metod popsaných v tématu Konfigurace filtrování.

Volitelné funkce

Na další stránce můžete vybrat volitelné funkce pro váš scénář.

Upozornění

Azure AD Připojení verze 1.0.8641.0 a starší spoléhají na službu Azure Access Control Service pro zpětný zápis hesla. Tato služba byla vyřazena 7. listopadu 2018. Pokud používáte některou z těchto verzí služby Azure AD Připojení a povolíte zpětný zápis hesla, uživatelé můžou při vyřazení služby přijít o možnost změnit nebo resetovat svá hesla. Tyto verze azure AD Připojení nepodporují zpětný zápis hesla.

Další informace najdete v tématu Migrace ze služby Azure Access Control Service.

Pokud chcete použít zpětný zápis hesla, stáhněte si nejnovější verzi azure AD Připojení.

Screenshot showing the

Upozornění

Pokud jsou aktivní Azure AD Sync nebo přímá synchronizace (DirSync), neaktivujte žádné funkce zpětného zápisu ve službě Azure AD Připojení.

Volitelné funkce Popis
Exchange hybridní nasazení Funkce hybridního nasazení Exchange umožňuje koexistenci poštovních schránek Exchange jak místně, tak i v Microsoft 365. Azure AD Připojení synchronizuje konkrétní sadu atributů z Azure AD zpět do místního adresáře.
Exchange veřejné složky pošty Funkce Exchange veřejných složek pošty umožňuje synchronizovat objekty veřejné složky s podporou pošty z místní instance služby Active Directory do Azure AD. Všimněte si, že není podporována synchronizace skupin, které obsahují veřejné složky jako členy, a pokus o to způsobí chybu synchronizace.
Filtrování aplikací a atributů Azure AD Povolením filtrování aplikací a atributů Azure AD můžete přizpůsobit sadu synchronizovaných atributů. Tato možnost rozšíří průvodce o další dvě stránky konfigurace. Další informace najdete v tématu Filtrování aplikací a atributů Azure AD.
Synchronizace hodnot hash hesel Pokud jste jako řešení přihlašování vybrali federaci, můžete povolit synchronizaci hodnot hash hesel. Pak ho můžete použít jako možnost zálohování.

Pokud jste vybrali předávací ověřování, můžete tuto možnost povolit, abyste zajistili podporu starších klientů a zajistili zálohu.

Další informace najdete v tématu Synchronizace hodnot hash hesel.
Zpětný zápis hesla Pomocí této možnosti se ujistěte, že se změny hesel pocházející z Azure AD zapisují zpět do místního adresáře. Další informace najdete v tématu Začínáme se správou hesel.
Zpětný zápis skupin Pokud používáte Skupiny Microsoft 365, můžete reprezentovat skupiny ve vaší místní instanci služby Active Directory. Tato možnost je dostupná jenom v případě, že máte Exchange v místní instanci služby Active Directory. Další informace najdete v tématu Zpětný zápis skupiny azure AD Připojení.
Zpětný zápis zařízení Pro scénáře podmíněného přístupu použijte tuto možnost k zápisu objektů zařízení v Azure AD do místní instance služby Active Directory. Další informace najdete v tématu Povolení zpětného zápisu zařízení v Azure AD Connect.
Synchronizace atributů rozšíření adresáře Tuto možnost vyberte, pokud chcete synchronizovat zadané atributy do Azure AD. Další informace najdete v tématu Rozšíření adresáře.

Filtrování aplikací a atributů Azure AD

Pokud chcete omezit, které atributy se synchronizují s Azure AD, začněte výběrem služeb, které používáte. Pokud změníte výběry na této stránce, musíte explicitně vybrat novou službu tak, že znovu spustíte průvodce instalací.

Screenshot showing optional Azure A D apps features.

Na základě služeb, které jste vybrali v předchozím kroku, se na této stránce zobrazují všechny atributy, které jsou synchronizované. Tento seznam je kombinací všech typů objektů, které se synchronizují. Pokud potřebujete, aby některé atributy zůstaly nesynchronizované, můžete výběr z těchto atributů vymazat.

Screenshot showing optional Azure A D attributes features.

Upozornění

Odebrání atributů může ovlivnit funkčnost. Osvědčené postupy a doporučení najdete v tématu Atributy, které se mají synchronizovat.

Synchronizace atributů rozšíření adresáře

Schéma ve službě Azure AD můžete rozšířit pomocí vlastních atributů, které vaše organizace přidala, nebo pomocí jiných atributů ve službě Active Directory. Pokud chcete tuto funkci použít, vyberte na stránce Volitelné funkcesynchronizaci atributů rozšíření adresáře. Na stránce Rozšíření adresáře můžete vybrat další atributy, které chcete synchronizovat.

Poznámka

Pole Dostupné atributy rozlišují velká a malá písmena.

Screenshot showing the

Další informace najdete v tématu Rozšíření adresáře.

Povolení jednotného přihlašování

Na stránce jednotného přihlašování nakonfigurujete jednotné přihlašování pro použití se synchronizací hesel nebo předávacím ověřováním. Tento krok provedete jednou pro každou doménovou strukturu, která se synchronizuje s Azure AD. Konfigurace zahrnuje dva kroky:

  1. Vytvořte potřebný účet počítače ve vaší místní instanci služby Active Directory.
  2. Nakonfigurujte intranetovou zónu klientských počítačů tak, aby podporovala jednotné přihlašování.

Vytvoření účtu počítače ve službě Active Directory

Pro každou doménovou strukturu přidanou v Azure AD Připojení je potřeba zadat přihlašovací údaje správce domény, aby bylo možné účet počítače vytvořit v každé doménové struktuře. Přihlašovací údaje se používají pouze k vytvoření účtu. Neukládají se ani nepoužívají pro žádnou jinou operaci. Přidejte přihlašovací údaje na stránce Povolit jednotné přihlašování , jak ukazuje následující obrázek.

Screenshot showing the

Poznámka

Doménové struktury můžete přeskočit, kde nechcete používat jednotné přihlašování.

Konfigurace zóny intranetu pro klientské počítače

Pokud chcete zajistit, aby se klient automaticky přihlašuje do zóny intranetu, ujistěte se, že je adresa URL součástí intranetové zóny. Tento krok zajistí, že počítač připojený k doméně automaticky odešle lístek Kerberos do Azure AD, když je připojený k podnikové síti.

Na počítači s nástroji pro správu Zásady skupiny:

  1. Otevřete nástroje pro správu Zásady skupiny.

  2. Upravte zásady skupiny, které se použijí pro všechny uživatele. Například výchozí zásady domény.

  3. Přejděte na šablony ConfigurationAdministrative> Templates >Windows ComponentsInternet>ExplorerInternet>Ovládací panely>Security Page. Pak vyberte web pro seznam přiřazení zón.

  4. Povolte zásadu. Potom v dialogovém okně zadejte název https://autologon.microsoftazuread-sso.com hodnoty a hodnotu .1 Nastavení by mělo vypadat jako na následujícím obrázku.

    Screenshot showing intranet zones.

  5. Dvakrát vyberte OK .

Konfigurace federace se službou AD FS

Službu AD FS můžete nakonfigurovat pomocí služby Azure AD Připojení několika kliknutími. Než začnete, potřebujete:

  • Windows Server 2012 R2 nebo novější pro federační server. Vzdálená správa by měla být povolená.
  • Windows Server 2012 R2 nebo novější pro webový server proxy aplikací. Vzdálená správa by měla být povolená.
  • Certifikát TLS/SSL pro název federační služby, který chcete použít (například sts.contoso.com).

Poznámka

Certifikát TLS/SSL pro farmu SLUŽBY AD FS můžete aktualizovat pomocí služby Azure AD Připojení i v případě, že ho nepoužíváte ke správě vztahu důvěryhodnosti federace.

Požadavky na konfiguraci služby AD FS

Pokud chcete nakonfigurovat farmu SLUŽBY AD FS pomocí služby Azure AD Připojení, ujistěte se, že je na vzdálených serverech povolená služba WinRM. Ujistěte se, že jste dokončili další úlohy v požadavcích federace. Ujistěte se také, že dodržujete požadavky na porty uvedené v tabulce serverů Azure AD Připojení a federačních a WAP.

Vytvoření nové farmy služby AD FS nebo použití existující farmy služby AD FS

Můžete použít existující farmu služby AD FS nebo vytvořit novou. Pokud se rozhodnete vytvořit nový, musíte zadat certifikát TLS/SSL. Pokud je certifikát TLS/SSL chráněný heslem, zobrazí se výzva k zadání hesla.

Screenshot showing the

Pokud se rozhodnete použít existující farmu služby AD FS, zobrazí se stránka, kde můžete nakonfigurovat vztah důvěryhodnosti mezi AD FS a Azure AD.

Poznámka

Azure AD Připojení můžete použít ke správě pouze jedné farmy SLUŽBY AD FS. Pokud máte existující vztah důvěryhodnosti federace, ve kterém je služba Azure AD nakonfigurovaná ve vybrané farmě AD FS, azure AD Připojení znovu vytvoří vztah důvěryhodnosti od začátku.

Zadání serverů služby AD FS

Zadejte servery, na které chcete službu AD FS nainstalovat. V závislosti na vašich potřebách kapacity můžete přidat jeden nebo více serverů. Před nastavením této konfigurace připojte všechny servery SLUŽBY AD FS ke službě Active Directory. Tento krok není nutný pro webové proxy aplikací servery.

Společnost Microsoft doporučuje instalaci jednoho serveru služby AD FS pro zkušební a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery tak, aby vyhovovaly vašim potřebám škálování, a to opětovným spuštěním služby Azure AD Připojení.

Poznámka

Před nastavením této konfigurace se ujistěte, že jsou všechny vaše servery připojené k doméně Azure AD.

Screenshot showing the

Zadání proxy serverů webových aplikací

Zadejte webové proxy aplikací servery. Webový proxy aplikací server se nasadí ve vaší hraniční síti a bude mít extranet. Podporuje žádosti o ověření z extranetu. V závislosti na vašich potřebách kapacity můžete přidat jeden nebo více serverů.

Microsoft doporučuje nainstalovat jeden webový proxy aplikací server pro testovací a pilotní nasazení. Po počáteční konfiguraci můžete přidat a nasadit další servery tak, aby vyhovovaly vašim potřebám škálování, a to opětovným spuštěním služby Azure AD Připojení. Doporučujeme, abyste měli odpovídající počet proxy serverů, abyste splnili ověřování z intranetu.

Poznámka

  • Pokud účet, který používáte, není místním správcem na webových proxy aplikací serverech, zobrazí se výzva k zadání přihlašovacích údajů správce.
  • Než zadáte webové proxy aplikací servery, ujistěte se, že mezi serverem azure AD Připojení a webovým proxy aplikací serverem existuje připojení HTTP/HTTPS.
  • Ujistěte se, že mezi serverem webových aplikací a serverem SLUŽBY AD FS existuje připojení HTTP/HTTPS, aby bylo možné procházet požadavky na ověřování.

Screenshot showing the Web Application Proxy servers page.

Zobrazí se výzva k zadání přihlašovacích údajů, aby mohl server webových aplikací navázat zabezpečené připojení k serveru SLUŽBY AD FS. Tyto přihlašovací údaje musí být pro účet místního správce na serveru SLUŽBY AD FS.

Screenshot showing the

Zadání účtu služby AD FS

Služba AD FS vyžaduje účet doménové služby k ověřování uživatelů a vyhledávání informací o uživatelích ve službě Active Directory. Podporuje dva typy účtů služeb:

  • Účet spravované služby skupiny: Tento typ účtu byl zaveden do služby AD DS Windows Server 2012. Tento typ účtu poskytuje služby, jako je SLUŽBA AD FS. Jedná se o jeden účet, ve kterém nemusíte pravidelně aktualizovat heslo. Tuto možnost použijte, pokud se řadiče domény systému Windows Server 2012 už nacházejí v doméně, do které patří server služby AD FS.
  • Uživatelský účet domény: Tento typ účtu vyžaduje, abyste zadali heslo a pravidelně ho aktualizovali, jakmile vyprší jeho platnost. Tuto možnost použijte jenom v případě, že nemáte Windows Server 2012 řadiče domény v doméně, do které patří vaše servery SLUŽBY AD FS.

Pokud jste vybrali možnost Vytvořit skupinu účet spravované služby a tato funkce se nikdy nepoužila ve službě Active Directory, zadejte přihlašovací údaje podnikového správce. Tyto přihlašovací údaje slouží k inicializaci úložiště klíčů a povolení této funkce ve službě Active Directory.

Poznámka

Azure AD Připojení zkontroluje, jestli je služba AD FS už zaregistrovaná jako hlavní název služby (SPN) v doméně. Azure AD DS neumožňuje registraci duplicitních hlavních názvů služeb současně. Pokud se najde duplicitní hlavní název služby( SPN), nemůžete pokračovat dál, dokud se hlavní název služby neodebere.

Screenshot showing the

Vyberte doménu Azure AD, kterou chcete federovat.

Na stránce Doména Azure AD můžete nastavit vztah federace mezi AD FS a Azure AD. Tady nakonfigurujete službu AD FS tak, aby poskytovala tokeny zabezpečení azure AD. Azure AD také nakonfigurujete tak, aby důvěřovala tokenům z této instance služby AD FS.

Na této stránce můžete v počáteční instalaci nakonfigurovat jenom jednu doménu. Později můžete znovu spustit Azure AD Connect a nakonfigurovat další domény.

Screenshot that shows the

Výběr domény Azure AD vybrané k federaci

Když vyberete doménu, kterou chcete federovat, azure AD Připojení poskytuje informace, které můžete použít k ověření neověřené domény. Další informace najdete v tématu Přidání a ověření domény.

Screenshot showing the

Poznámka

Azure AD Připojení se pokusí ověřit doménu během fáze konfigurace. Pokud nepřidáte potřebné záznamy DNS (Domain Name System), konfiguraci nejde dokončit.

Konfigurace federace s PingFederate

PingFederate můžete nakonfigurovat s Azure AD Připojení několika kliknutími. Jsou vyžadovány následující požadavky:

Ověření domény

Po nastavení federace pomocí PingFederate se zobrazí výzva k ověření domény, kterou chcete federovat. V rozevírací nabídce vyberte doménu.

Screenshot that shows the

Export nastavení PingFederate

Nakonfigurujte PingFederate jako federační server pro každou federovanou doménu Azure. Pokud chcete tyto informace sdílet se správcem PingFederate, vyberte exportovat Nastavení. Správce federačního serveru aktualizuje konfiguraci a pak poskytne adresu URL serveru PingFederate a číslo portu, aby služba Azure AD Připojení ověřila nastavení metadat.

Screenshot showing the

Případné problémy s ověřením řešte se správcem PingFederate. Následující obrázek ukazuje informace o serveru PingFederate, který nemá platný vztah důvěryhodnosti s Azure.

Screenshot showing server information: The PingFederate server was found, but the service provider connection for Azure is missing or disabled.

Ověření připojení federace

Azure AD Připojení se pokusí ověřit koncové body ověřování, které načítá z metadat PingFederate v předchozím kroku. Azure AD Připojení se nejprve pokusí přeložit koncové body pomocí místních serverů DNS. Dále se pokusí přeložit koncové body pomocí externího poskytovatele DNS. Případné problémy s ověřením řešte se správcem PingFederate.

Screenshot showing the

Ověření přihlašování k federaci

Nakonec můžete ověřit nově nakonfigurovaný tok přihlášení federace tím, že se přihlásíte k federované doméně. Pokud se vaše přihlášení podaří, je federace pomocí PingFederate úspěšně nakonfigurovaná.

Screenshot showing the

Konfigurace a ověření stránek

Konfigurace se provede na stránce Konfigurace .

Poznámka

Pokud jste nakonfigurovali federaci, před pokračováním instalace se ujistěte, že jste také nakonfigurovali překlad názvů pro federační servery .

Screenshot showing the

Použití přípravného režimu

Nový synchronizační server je možné nastavit paralelně s pracovním režimem. Pokud chcete použít toto nastavení, může exportovat do jednoho adresáře v cloudu jenom jeden synchronizační server. Pokud ale chcete přejít z jiného serveru, například ze serveru se systémem DirSync, můžete povolit azure AD Připojení v pracovním režimu.

Když povolíte přípravnou instalaci, synchronizační modul naimportuje a synchronizuje data jako normální. Exportuje ale žádná data do Azure AD nebo Active Directory. V pracovním režimu je funkce synchronizace hesel a funkce zpětného zápisu hesla zakázaná.

Screenshot showing the

V pracovním režimu můžete provést požadované změny synchronizačního modulu a zkontrolovat, co se bude exportovat. Když jste s konfigurací spokojeni, znovu spusťte průvodce instalací a vypněte pracovní režim.

Data se teď exportují do Azure AD ze serveru. Nezapomeňte současně zakázat druhý server tak, aby pouze jeden server prováděl aktivní export.

Další informace najdete v tématu Pracovní režim.

Ověření konfigurace federace

Azure AD Připojení ověří nastavení DNS, když vyberete tlačítko Ověřit. Zkontroluje následující nastavení:

  • Připojení k intranetu
    • Řešení plně kvalifikovaného názvu domény federace: Azure AD Připojení zkontroluje, jestli může DNS přeložit plně kvalifikovaný název domény federace, aby se zajistilo připojení. Pokud azure AD Připojení nemůže přeložit plně kvalifikovaný název domény, ověření se nezdaří. Pokud chcete ověření dokončit, ujistěte se, že pro plně kvalifikovaný název domény federační služby existuje záznam DNS.
    • Záznam DNS: Azure AD Připojení zkontroluje, jestli vaše federační služba obsahuje záznam A. Při absenci záznamu A se ověření nezdaří. K dokončení ověření vytvořte záznam A (ne záznam CNAME) pro plně kvalifikovaný název domény federace.
  • Připojení extranetu
    • Řešení plně kvalifikovaného názvu domény federace: Azure AD Připojení zkontroluje, jestli může DNS přeložit plně kvalifikovaný název domény federace, aby se zajistilo připojení.

      Screenshot showing the

      Screenshot showing the

Pokud chcete ověřit kompletní ověřování, proveďte ručně jeden nebo více z následujících testů:

  • Po dokončení synchronizace použijte ve službě Azure AD Připojení další úlohu Ověření federovaného přihlášení k ověření ověřování pro místní uživatelský účet, který zvolíte.
  • Z počítače připojeného k doméně v intranetu se ujistěte, že se můžete přihlásit z prohlížeče. Připojení na https://myapps.microsoft.com. Pak pomocí přihlášeného účtu ověřte přihlášení. Integrovaný účet správce Azure AD DS není synchronizovaný a nemůžete ho použít k ověření.
  • Ujistěte se, že se můžete přihlásit ze zařízení v extranetu. Na domácím počítači nebo mobilním zařízení se připojte k https://myapps.microsoft.com. Pak zadejte svoje přihlašovací údaje.
  • Ověřte přihlášení plně funkčního klienta. Připojení na https://testconnectivity.microsoft.com. Pak vyberte Office 365>Office 365 Jeden test Sign-On.

Řešení potíží

Tato část obsahuje informace o řešení potíží, které můžete použít, pokud máte potíže s instalací služby Azure AD Připojení.

Když přizpůsobíte instalaci Připojení Azure AD, můžete na stránce Instalace požadovaných komponent vybrat možnost Použít existující SQL Server. Může se zobrazit následující chyba: "Databáze ADSync již obsahuje data a nelze ji přepsat. Odeberte existující databázi a zkuste to znovu."

Screenshot that shows the

Tato chyba se zobrazí, protože databáze s názvem ADSync již existuje v SQL instanci SQL Server, kterou jste zadali.

Tato chyba se obvykle zobrazí po odinstalaci služby Azure AD Připojení. Databáze se neodstraní z počítače, na kterém běží SQL Server při odinstalaci služby Azure AD Připojení.

Tento problém vyřešíte takto:

  1. Zkontrolujte ADSync databázi, kterou Připojení Azure AD použil před odinstalací. Ujistěte se, že se databáze už nepoužívá.

  2. Zálohujte databázi.

  3. Odstraňte databázi:

    1. K připojení k instanci SQL použijte Microsoft SQL Server Management Studio.
    2. Vyhledejte databázi ADSync a klikněte na ni pravým tlačítkem myši.
    3. V místní nabídce vyberte Odstranit.
    4. Výběrem možnosti OK odstraníte databázi.

Screenshot showing Microsoft SQL Server Management Studio. A D Sync is selected.

Po odstranění ADSync databáze vyberte Nainstalovat a zkuste instalaci zopakovat.

Další kroky

Po dokončení instalace se odhlaste z Windows. Potom se znovu přihlaste, než použijete synchronizační Service Manager nebo Editor synchronizačních pravidel.

Teď, když jste nainstalovali službu Azure AD Připojení, můžete ověřit instalaci a přiřadit licence.

Další informace o funkcích, které jste povolili během instalace, najdete v tématu Prevence náhodných odstranění a služby Azure AD Připojení Health.

Další informace o dalších běžných tématech najdete v tématu Synchronizace služby Azure AD Připojení: Plánovač a integrace místních identit se službou Azure AD.