Integrace místních domén AD s Azure AD

Azure Active Directory
Virtual Network
Virtual Machines

Azure Active Directory (Azure AD) je cloudový adresář pro více tenantů a službu identity.Azure Active Directory (Azure AD) is a cloud-based multi-tenant directory and identity service. Tato referenční architektura obsahuje osvědčené postupy pro integraci místních domén služby Active Directory se službou Azure AD za účelem zajištění ověřování identit v cloudu.This reference architecture shows best practices for integrating on-premises Active Directory domains with Azure AD to provide cloud-based identity authentication.

Architektura cloudových identit pomocí Azure Active Directory

Stáhněte si soubor aplikace Visio s touto architekturou.Download a Visio file of this architecture.

Poznámka

Tento diagram pro jednoduchost znázorňuje pouze připojení přímo související s Azure AD, a nikoli provoz související s protokolem, který může být součástí ověřování a federace identit.For simplicity, this diagram only shows the connections directly related to Azure AD, and not protocol-related traffic that may occur as part of authentication and identity federation. Webová aplikace může například přesměrovat webový prohlížeč, aby ověřil žádost prostřednictvím služby Azure AD.For example, a web application may redirect the web browser to authenticate the request through Azure AD. Žádost může být po ověření předána zpět webové aplikaci s informacemi o příslušné identitě.Once authenticated, the request can be passed back to the web application, with the appropriate identity information.

Mezi typická použití této referenční architektury patří:Typical uses for this reference architecture include:

  • Webové aplikace nasazené v Azure poskytující přístup vzdáleným uživatelům patřícím do vaší organizace.Web applications deployed in Azure that provide access to remote users who belong to your organization.
  • Implementace možností samoobslužné služby pro koncové uživatele, jako je například resetování hesla a delegování správy skupin.Implementing self-service capabilities for end-users, such as resetting their passwords, and delegating group management. To vyžaduje edici Azure AD Premium.This requires Azure AD Premium edition.
  • Architektury, ve kterých místní síť a virtuální síť Azure aplikace nejsou připojené prostřednictvím tunelu VPN nebo okruhu ExpressRoute.Architectures in which the on-premises network and the application's Azure VNet are not connected using a VPN tunnel or ExpressRoute circuit.

Poznámka

Azure AD dokáže ověřit identitu uživatelů a aplikací, které existují v adresáři organizace.Azure AD can authenticate the identity of users and applications that exist in an organization's directory. Některé aplikace a služby, jako je SQL Server, mohou vyžadovat ověřování počítače. V takovém případě toto řešení není vhodné.Some applications and services, such as SQL Server, may require computer authentication, in which case this solution is not appropriate.

Další informace najdete v článku Volba řešení pro integraci místní služby Active Directory s Azure.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArchitekturaArchitecture

Tato architektura se skládá z následujících součástí.The architecture has the following components.

  • Tenant Azure AD.Azure AD tenant. Instance Azure AD vytvořená vaší organizací.An instance of Azure AD created by your organization. Funguje jako adresářová služba pro cloudové aplikace, protože ukládá objekty zkopírované z místní služby Active Directory a poskytuje službu identit.It acts as a directory service for cloud applications by storing objects copied from the on-premises Active Directory and provides identity services.

  • Podsíť webové vrstvy.Web tier subnet. Tato podsíť obsahuje virtuální počítače, které provozují webovou aplikaci.This subnet holds VMs that run a web application. Azure AD může pro tuto aplikaci fungovat jako zprostředkovatel identit.Azure AD can act as an identity broker for this application.

  • Server místní služby AD DS.On-premises AD DS server. Místní adresář a služba identit.An on-premises directory and identity service. Služba AD DS adresář je možné synchronizovat se službou Azure AD, aby mohl ověřovat místní uživatele.The AD DS directory can be synchronized with Azure AD to enable it to authenticate on-premises users.

  • Server synchronizace služby Azure AD Connect.Azure AD Connect sync server. Místní počítač, který provozuje službu synchronizace Azure AD Connect.An on-premises computer that runs the Azure AD Connect sync service. Tato služba synchronizuje informace uchovávané v místní službě Active Directory do služby Azure AD.This service synchronizes information held in the on-premises Active Directory to Azure AD. Pokud například zřídíte nebo zrušíte zřízení skupin a uživatelů místně, tyto změny se rozšíří do služby Azure AD.For example, if you provision or deprovision groups and users on-premises, these changes propagate to Azure AD.

    Poznámka

    Z bezpečnostních důvodů ukládá služba Azure AD hesla uživatele jako hodnotu hash.For security reasons, Azure AD stores user's passwords as a hash. Pokud uživatel požaduje resetování hesla, musí se to provést místně a nová hodnota hash se musí odeslat do služby Azure AD.If a user requires a password reset, this must be performed on-premises and the new hash must be sent to Azure AD. Edice Azure AD Premium zahrnují funkce, které umožňují, aby se změny hesla prováděly v cloudu, a pak se zapisují zpátky do místního služba AD DS.Azure AD Premium editions include features that can allow for password changes to happen in the cloud and then be written back to on-premises AD DS.

  • Virtuální počítače pro N-vrstvou aplikaci.VMs for N-tier application. Další informace o těchto prostředcích najdete v tématu Spuštění virtuálních počítačů pro N-vrstvou architekturu.For more information about these resources, see Run VMs for an N-tier architecture.

DoporučeníRecommendations

Následující doporučení platí pro většinu scénářů.The following recommendations apply for most scenarios. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.Follow these recommendations unless you have a specific requirement that overrides them.

Služba synchronizace Azure AD ConnectAzure AD Connect sync service

Služba synchronizace Azure AD Connect zajišťuje, aby informace o identitě uložené v cloudu byly konzistentní s informacemi uloženými místně.The Azure AD Connect sync service ensures that identity information stored in the cloud is consistent with that held on-premises. Tuto službu nainstalujete pomocí softwaru Azure AD Connect.You install this service using the Azure AD Connect software.

Před implementací synchronizace Azure AD Connect určete požadavky, které má na synchronizaci vaše organizace.Before implementing Azure AD Connect sync, determine the synchronization requirements of your organization. Jedná se například o to, co se má synchronizovat, z jakých domén a jak často.For example, what to synchronize, from which domains, and how frequently. Další informace najdete v tématu Určení požadavků na synchronizaci adresáře.For more information, see Determine directory synchronization requirements.

Službu synchronizace Azure AD Connect můžete provozovat na virtuálním počítači nebo na místně hostovaném počítači.You can run the Azure AD Connect sync service on a VM or a computer hosted on-premises. V závislosti na nestálosti informací ve vašem adresáři Active Directory nebude zátěž služby synchronizace Azure AD Connect po počáteční synchronizaci s Azure AD pravděpodobně vysoká.Depending on the volatility of the information in your Active Directory directory, the load on the Azure AD Connect sync service is unlikely to be high after the initial synchronization with Azure AD. Provozování služby na virtuálním počítači usnadňuje v případě potřeby škálování serveru.Running the service on a VM makes it easier to scale the server if needed. Abyste mohli určit, jestli je škálování potřeba, monitorujte aktivitu na virtuálním počítači podle popisu v části Aspekty monitorování.Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.

Pokud máte v doménové struktuře více místních domén, doporučujeme ukládat a synchronizovat informace pro celou doménovou strukturu v jednom tenantovi služby Azure AD.If you have multiple on-premises domains in a forest, we recommend storing and synchronizing information for the entire forest to a single Azure AD tenant. Filtrujte informace pro identity, které se vyskytují ve více doménách, tak aby se každá identita v Azure AD objevila pouze jednou a neduplikovala se.Filter information for identities that occur in more than one domain, so that each identity appears only once in Azure AD, rather than being duplicated. Duplikování může vést k nekonzistencím při synchronizaci dat.Duplication can lead to inconsistencies when data is synchronized. Další informace najdete v části popisující topologii.For more information, see the Topology section below.

Používejte filtrování, abyste v Azure AD ukládali jen nezbytná data.Use filtering so that only necessary data is stored in Azure AD. Vaše organizace například nemusí chtít ukládat informace o neaktivních účtech v Azure AD.For example, your organization might not want to store information about inactive accounts in Azure AD. Filtrování může být založené na skupině, doméně, organizační jednotce nebo atributu.Filtering can be group-based, domain-based, organization unit (OU)-based, or attribute-based. Pokud chcete vygenerovat složitější pravidla, můžete filtry zkombinovat.You can combine filters to generate more complex rules. Můžete třeba synchronizovat objekty uložené v doméně, které mají konkrétní hodnotu vybraného atributu.For example, you could synchronize objects held in a domain that have a specific value in a selected attribute. Podrobné informace najdete v tématu Synchronizace Azure AD Connect: Konfigurace filtrování.For detailed information, see Azure AD Connect sync: Configure Filtering.

Pokud chcete implementovat vysokou dostupnost služby synchronizace AD Connect, spusťte sekundární pracovní server.To implement high availability for the AD Connect sync service, run a secondary staging server. Další informace najdete v části s doporučeními ohledně topologie.For more information, see the Topology recommendations section.

Doporučení zabezpečeníSecurity recommendations

Správa hesel uživatelů.User password management. Edice Azure AD Premium podporují zpětný zápis hesla a umožňují tak místním uživatelům provádět samoobslužné resetování hesel na portálu Azure Portal.The Azure AD Premium editions support password writeback, enabling your on-premises users to perform self-service password resets from within the Azure portal. Tato funkce by měla být povolená až po kontrole zásad zabezpečení hesel ve vaší organizaci.This feature should be enabled only after reviewing your organization's password security policy. Můžete například omezit, kteří uživatelé mohou změnit svá hesla, a prostředí pro správu hesel si můžete přizpůsobit.For example, you can restrict which users can change their passwords, and you can tailor the password management experience. Další informace najdete v tématu Přizpůsobení správy hesel podle potřeb vaší organizace.For more information, see Customizing Password Management to fit your organization's needs.

Chraňte místní aplikace, ke kterým je možné přistupovat externě.Protect on-premises applications that can be accessed externally. Použijte Proxy aplikací služby Azure AD a zajistěte externím uživatelům řízený přístup k místním webovým aplikacím prostřednictvím služby Azure AD.Use the Azure AD Application Proxy to provide controlled access to on-premises web applications for external users through Azure AD. Oprávnění používat aplikaci mají pouze uživatelé s platnými přihlašovacími údaji v adresáři Azure.Only users that have valid credentials in your Azure directory have permission to use the application. Další informace najdete v článku Povolení proxy aplikací na portálu Azure Portal.For more information, see the article Enable Application Proxy in the Azure portal.

Aktivně monitorujte známky podezřelých aktivit v Azure AD.Actively monitor Azure AD for signs of suspicious activity. Zvažte použití edice Azure AD Premium P2, která obsahuje službu Azure AD Identity Protection.Consider using Azure AD Premium P2 edition, which includes Azure AD Identity Protection. Služba Identity Protection používá ke zjištění anomálií a rizikových událostí, které by mohly naznačovat napadení identity, adaptivní algoritmy a heuristiku služby Machine Learning.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that may indicate that an identity has been compromised. Může například zjistit potenciálně neobvyklé aktivity, jako jsou nestandardní aktivity přihlašování, přihlašování z neznámých zdrojů nebo z IP adres s podezřelou aktivitou nebo přihlašování ze zařízení, která mohou být nakažená.For example, it can detect potentially unusual activity such as irregular sign-in activities, sign-ins from unknown sources or from IP addresses with suspicious activity, or sign-ins from devices that may be infected. Služba Identity Protection pomocí těchto dat generuje sestavy a výstrahy, které vám umožňují tyto rizikové události prozkoumat a provést odpovídající akci.Using this data, Identity Protection generates reports and alerts that enables you to investigate these risk events and take appropriate action. Další informace najdete v článku Azure Active Directory Identity Protection.For more information, see Azure Active Directory Identity Protection.

K monitorování aktivit souvisejících se zabezpečením, ke kterým v systému dochází, můžete použít funkci vytváření sestav služby Azure AD na portálu Azure Portal.You can use the reporting feature of Azure AD in the Azure portal to monitor security-related activities occurring in your system. Další informace o použití těchto sestav najdete v článku Průvodce vytvářením sestav služby Azure Active Directory.For more information about using these reports, see Azure Active Directory Reporting Guide.

Doporučení pro topologiiTopology recommendations

Nakonfigurujte službu Azure AD Connect tak, aby implementovala topologii, která co nejvíce odpovídá požadavkům vaší organizace.Configure Azure AD Connect to implement a topology that most closely matches the requirements of your organization. Mezi topologie, které Azure AD Connect podporuje:Topologies that Azure AD Connect supports include:

  • Jedna doménová struktura, jeden adresář Azure AD.Single forest, single Azure AD directory. V této topologii služba Azure AD Connect synchronizuje objekty a informace o identitách z jedné nebo více domén v jedné místní doménové struktuře do jednoho tenanta služby Azure AD.In this topology, Azure AD Connect synchronizes objects and identity information from one or more domains in a single on-premises forest into a single Azure AD tenant. Jedná se o výchozí topologii implementovanou prostřednictvím expresní instalace služby Azure AD Connect.This is the default topology implemented by the express installation of Azure AD Connect.

    Poznámka

    Pro připojení různých domén ve stejné místní doménové struktuře ke stejnému tenantovi služby Azure AD nepoužívejte více serverů synchronizace služby Azure AD Connect, pokud nepoužíváte server v pracovním režimu, jak je popsáno níže.Don't use multiple Azure AD Connect sync servers to connect different domains in the same on-premises forest to the same Azure AD tenant, unless you are running a server in staging mode, described below.

  • Více doménových struktur, jeden adresář Azure AD.Multiple forests, single Azure AD directory. V této topologii služba Azure AD Connect synchronizuje objekty a informace o identitách z více doménových struktur do jednoho tenanta služby Azure AD.In this topology, Azure AD Connect synchronizes objects and identity information from multiple forests into a single Azure AD tenant. Tuto topologii použijte, pokud má vaše organizace více než jednu místní doménovou strukturu.Use this topology if your organization has more than one on-premises forest. Informace o identitě můžete konsolidovat tak, aby byl každý jedinečný uživatel v adresáři služby Azure AD zastoupený jednou, i když existuje ve více doménových strukturách.You can consolidate identity information so that each unique user is represented once in the Azure AD directory, even if the same user exists in more than one forest. Všechny doménové struktury používají stejný server synchronizace služby Azure AD Connect.All forests use the same Azure AD Connect sync server. Server synchronizace služby Azure AD Connect nemusí být součástí žádné domény, ale musí být dostupný ze všech doménových struktur.The Azure AD Connect sync server does not have to be part of any domain, but it must be reachable from all forests.

    Poznámka

    V této topologii nepoužívejte pro připojení jednotlivých místních doménových struktur k jednomu tenantovi služby Azure AD samostatné servery synchronizace služby Azure AD Connect.In this topology, don't use separate Azure AD Connect sync servers to connect each on-premises forest to a single Azure AD tenant. Pokud se uživatelé vyskytují ve více doménových strukturách, může totiž dojít k duplicitním informacím o identitě ve službě Azure AD.This can result in duplicated identity information in Azure AD if users are present in more than one forest.

  • Více doménových struktur, samostatné topologie.Multiple forests, separate topologies. Tato topologie slučuje informace o identitě z různých doménových struktur do jednoho tenanta služby Azure AD. Všechny doménové struktury považuje za samostatné entity.This topology merges identity information from separate forests into a single Azure AD tenant, treating all forests as separate entities. Tato topologie je užitečná, pokud kombinujete doménové struktury z různých organizací a informace o identitě pro každého uživatele se uchovávají pouze v jedné doménové struktuře.This topology is useful if you are combining forests from different organizations and the identity information for each user is held in only one forest.

    Poznámka

    Pokud jsou globální seznamy adres v jednotlivých doménových strukturách synchronizované, může se uživatel z jedné doménové struktury vyskytovat v jiné doménové struktuře jako kontakt.If the global address lists (GAL) in each forest are synchronized, a user in one forest may be present in another as a contact. K této situaci může dojít, pokud vaše organizace implementovala GALSync s produktem Forefront Identity Manager 2010 nebo Microsoft Identity Manager 2016.This can occur if your organization has implemented GALSync with Forefront Identity manager 2010 or Microsoft Identity Manager 2016. V tomto scénáři můžete určit, že se uživatelé mají identifikovat podle atributu Mail.In this scenario, you can specify that users should be identified by their Mail attribute. Identity můžete přiřadit také pomocí atributů ObjectSID a msExchMasterAccountSID.You can also match identities using the ObjectSID and msExchMasterAccountSID attributes. To je užitečné, pokud máte jednu nebo více doménových struktur prostředků se zakázanými účty.This is useful if you have one or more resource forests with disabled accounts.

  • Pracovní server.Staging server. V této konfiguraci spustíte druhou instanci serveru synchronizace služby Azure AD Connect paralelně s první instancí.In this configuration, you run a second instance of the Azure AD Connect sync server in parallel with the first. Tato struktura podporuje například tyto scénáře:This structure supports scenarios such as:

    • Vysoká dostupnostHigh availability.

    • Testování a nasazení nové konfigurace serveru synchronizace služby Azure AD ConnectTesting and deploying a new configuration of the Azure AD Connect sync server.

    • Představení nového serveru a vyřazení staré konfigurace z provozuIntroducing a new server and decommissioning an old configuration.

      V těchto scénářích se druhá instance spouští v pracovním režimu.In these scenarios, the second instance runs in staging mode. Server zaznamenává do své databáze importované objekty a data synchronizace. Tato data ale nepředává službě Azure AD.The server records imported objects and synchronization data in its database, but does not pass the data to Azure AD. Pokud zakážete pracovní režim, server zahájí zápis dat do služby Azure AD a také začne provádět zpětný zápis hesel do místních adresářů (tam kde je to vhodné).If you disable staging mode, the server starts writing data to Azure AD, and also starts performing password write-backs into the on-premises directories where appropriate. Další informace najdete v článku Synchronizace Azure AD Connect: Provozní úlohy a požadavky.For more information, see Azure AD Connect sync: Operational tasks and considerations.

  • Několik adresářů služby Azure AD.Multiple Azure AD directories. Doporučujeme vytvořit jeden adresář služby Azure AD na organizaci. Mohou se ale vyskytnout situace, kdy můžete potřebovat rozdělit informace napříč samostatnými adresáři služby Azure AD.It is recommended that you create a single Azure AD directory for an organization, but there may be situations where you need to partition information across separate Azure AD directories. V tomto případě se vyhnete potížím se synchronizací a zpětným zápisem hesel tak, že zajistíte, aby se každý objekt z místní doménové struktury zobrazil pouze v jednom adresáři služby Azure AD.In this case, avoid synchronization and password write-back issues by ensuring that each object from the on-premises forest appears in only one Azure AD directory. Pokud chcete tento scénář implementovat, nakonfigurujte samostatné servery synchronizace služby Azure AD Connect pro jednotlivé adresáře služby Azure AD a použijte filtrování, aby každý server synchronizace služby Azure AD Connect používal vzájemně se vylučující sadu objektů.To implement this scenario, configure separate Azure AD Connect sync servers for each Azure AD directory, and use filtering so that each Azure AD Connect sync server operates on a mutually exclusive set of objects.

Další informace o těchto topologiích najdete v článku Topologie pro Azure AD Connect.For more information about these topologies, see Topologies for Azure AD Connect.

Ověřování uživatelůUser authentication

Ve výchozím nastavení server Azure AD Connect Sync konfiguruje synchronizaci hodnot hash hesel mezi místní doménou a službou Azure AD a služba Azure AD předpokládá, že se uživatelé ověřují zadáním stejného hesla, které používají místně.By default, the Azure AD Connect sync server configures password hash synchronization between the on-premises domain and Azure AD, and the Azure AD service assumes that users authenticate by providing the same password that they use on-premises. Tento scénář je vhodný pro mnoho společností. Měli byste ale zvážit stávající zásady a infrastrukturu vaší organizace.For many organizations, this is appropriate, but you should consider your organization's existing policies and infrastructure. Například:For example:

  • Zásady zabezpečení vaší organizace můžou zakázat synchronizaci hodnot hash hesel do cloudu.The security policy of your organization may prohibit synchronizing password hashes to the cloud. V takovém případě by vaše organizace měla zvážit předávací ověřování.In this case, your organization should consider pass-through authentication.
  • Můžete chtít uživatelům zajistit bezproblémové jednotné přihlašování pro přístup ke cloudovým prostředkům z počítačů připojených k doméně v podnikové síti.You might require that users experience seamless single sign-on (SSO) when accessing cloud resources from domain-joined machines on the corporate network.
  • Vaše organizace už může mít nasazený Active Directory Federation Services (AD FS) (AD FS) nebo poskytovatele federace třetích stran.Your organization might already have Active Directory Federation Services (AD FS) or a third-party federation provider deployed. Službu Azure AD můžete nakonfigurovat tak, aby tuto infrastrukturu používala pro implementaci ověřování a jednotného přihlašování a nepoužívala informace o hesle uložené v cloudu.You can configure Azure AD to use this infrastructure to implement authentication and SSO rather than by using password information held in the cloud.

Další informace najdete v tématu možnosti přihlašování uživatelů Azure AD Connect.For more information, see Azure AD Connect User Sign-on options.

Proxy aplikace služby Azure ADAzure AD application proxy

Službu Azure AD použijte pro zajištění přístupu k místním aplikacím.Use Azure AD to provide access to on-premises applications.

Místní webové aplikace zveřejněte pomocí konektorů proxy aplikací, které spravuje komponenta Proxy aplikací Azure AD.Expose your on-premises web applications using application proxy connectors managed by the Azure AD application proxy component. Konektor proxy aplikace otevře odchozí síťové připojení k proxy aplikace služby Azure AD a žádosti vzdálených uživatelů se prostřednictvím tohoto připojení směrují zpět z Azure AD do webových aplikací.The application proxy connector opens an outbound network connection to the Azure AD application proxy, and remote users' requests are routed back from Azure AD through this connection to the web apps. Tímto se eliminuje potřeba otevřít porty pro příchozí spojení na místní bráně firewall a omezí se tak potenciální oblast útoku zveřejněná vaší organizací.This removes the need to open inbound ports in the on-premises firewall and reduces the attack surface exposed by your organization.

Další informace najdete v článku Publikování aplikací pomocí proxy aplikace služby Azure AD.For more information, see Publish applications using Azure AD Application proxy.

Synchronizace objektůObject synchronization

Výchozí konfigurace pro Azure AD Connect synchronizuje objekty z místního adresáře služby Active Directory na základě pravidel uvedených v článku Azure AD Connect synchronizace: principy výchozí konfigurace.The default configuration for Azure AD Connect synchronizes objects from your local Active Directory directory based on the rules specified in the article Azure AD Connect sync: Understanding the default configuration. Objekty, které tato pravidla splňují, se synchronizují. Všechny ostatní objekty budou ignorovány.Objects that satisfy these rules are synchronized while all other objects are ignored. Tady je několik ukázkových pravidel:Some example rules:

  • Uživatelské objekty musí mít jedinečný atribut sourceAnchor atribut a vyplněný atribut accountEnabled.User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.
  • Uživatelské objekty musí mít atribut sAMAccountName a nesmí začínat textem Azure AD_ nebo MSOL_.User objects must have a sAMAccountName attribute and cannot start with the text Azure AD_ or MSOL_.

Azure AD Connect používá několik pravidel na objekty uživatele, kontaktu, skupiny, sady cizích objektů zabezpečení a počítače.Azure AD Connect applies several rules to User, Contact, Group, ForeignSecurityPrincipal, and Computer objects. Pokud potřebujete změnit výchozí sadu pravidel, použijte editor pravidel synchronizace nainstalovaný společně se službou Azure AD Connect.Use the Synchronization Rules Editor installed with Azure AD Connect if you need to modify the default set of rules. Další informace najdete v článku Synchronizace služby Azure AD Connect: Principy výchozí konfigurace.For more information, see Azure AD Connect sync: Understanding the default configuration).

Můžete také definovat vlastní filtry a omezit tak objekty, které se mají synchronizovat podle domény nebo organizační jednotky.You can also define your own filters to limit the objects to be synchronized by domain or OU. Nebo můžete implementovat složitější vlastní filtrování, jak je to popsané v článku Synchronizace služby Azure AD Connect: Konfigurace filtrování.Alternatively, you can implement more complex custom filtering such as that described in Azure AD Connect sync: Configure Filtering.

MonitorováníMonitoring

Monitorování stavu se provádí prostřednictvím následujících místně instalovaných agentů:Health monitoring is performed by the following agents installed on-premises:

  • Služba Azure AD Connect nainstaluje agenta, který shromažďuje informace o operacích synchronizace.Azure AD Connect installs an agent that captures information about synchronization operations. Pro monitorování jeho stavu a výkonu použijte okno Azure AD Connect Health na portálu Azure Portal.Use the Azure AD Connect Health blade in the Azure portal to monitor its health and performance. Další informace najdete v článku Používání služby Azure AD Connect Health pro synchronizaci.For more information, see Using Azure AD Connect Health for sync.
  • Abyste mohli monitorovat stav domén a adresářů AD DS ze služby Azure, nainstalujte službu Azure AD Connect Health pro agenta AD DS na počítač v místní doméně.To monitor the health of the AD DS domains and directories from Azure, install the Azure AD Connect Health for AD DS agent on a machine within the on-premises domain. K monitorování stavu použijte okno Azure Active Directory Connect Health na portálu Azure Portal.Use the Azure Active Directory Connect Health blade in the Azure portal for health monitoring. Další informace najdete v článku Používání služby Azure AD Connect Health se službou AD DS.For more information, see Using Azure AD Connect Health with AD DS
  • Abyste mohli monitorovat stav místně běžících služeb, nainstalujte službu Azure AD Connect Health pro agenta služby AD FS a pro monitorování služby AD FS použijte okno Azure Active Directory Connect Health na portálu Azure Portal.Install the Azure AD Connect Health for AD FS agent to monitor the health of services running on on-premises, and use the Azure Active Directory Connect Health blade in the Azure portal to monitor AD FS. Další informace najdete v článku Používání služby Azure AD Connect Health se službou AD FS.For more information, see Using Azure AD Connect Health with AD FS

Další informace o instalaci agentů AD Connect Health a jejich požadavcích najdete v článku Instalace agenta služby Azure AD Connect Health.For more information on installing the AD Connect Health agents and their requirements, see Azure AD Connect Health Agent Installation.

Aspekty zabezpečeníScalability considerations

Služba Azure AD podporuje škálovatelnost na základě replik s jednou primární replikou, která zpracovává operace zápisu, a několika sekundárními replikami jen pro čtení.The Azure AD service supports scalability based on replicas, with a single primary replica that handles write operations plus multiple read-only secondary replicas. Služba Azure AD transparentně přesměruje pokusy o zápis provedené vzhledem k sekundárním replikám na primární repliku a poskytne konzistenci typu Případné.Azure AD transparently redirects attempted writes made against secondary replicas to the primary replica and provides eventual consistency. Veškeré změny provedené u primární repliky se rozšíří na sekundární repliky.All changes made to the primary replica are propagated to the secondary replicas. Tato architektura se dobře škáluje, protože většinu operací vzhledem ke službě Azure AD tvoří operace čtení (a nikoli operace zápisu).This architecture scales well because most operations against Azure AD are reads rather than writes. Další informace najdete v článku Azure AD: Pod pokličkou geograficky redundantního, vysoce dostupného, distribuovaného cloudového adresáře.For more information, see Azure AD: Under the hood of our geo-redundant, highly available, distributed cloud directory.

Pro server synchronizace Azure AD Connect určete, kolik objektů z místního adresáře budete pravděpodobně synchronizovat.For the Azure AD Connect sync server, determine how many objects you are likely to synchronize from your local directory. Pokud máte méně než 100 000 objektů, můžete použít výchozí software SQL Server Express LocalDB poskytovaný službou Azure AD Connect.If you have less than 100,000 objects, you can use the default SQL Server Express LocalDB software provided with Azure AD Connect. Pokud máte větší počet objektů, měli byste si nainstalovat produkční verzi SQL Serveru a provést vlastní instalaci služby Azure AD Connect a specifikovat, že má používat stávající instanci SQL Serveru.If you have a larger number of objects, you should install a production version of SQL Server and perform a custom installation of Azure AD Connect, specifying that it should use an existing instance of SQL Server.

Aspekty dostupnostiAvailability considerations

Služba Azure AD je geograficky distribuovaná a běží v několika datových centrech po celém světě díky automatizovanému převzetí služeb při selhání.The Azure AD service is geo-distributed and runs in multiple datacenters spread around the world with automated failover. Pokud bude datacentrum nedostupné, Azure AD zajistí, aby data adresáře byla k dispozici pro přístup k instanci alespoň v nejméně dvou dalších oblastech Datacenter.If a datacenter becomes unavailable, Azure AD ensures that your directory data is available for instance access in at least two more regionally dispersed datacenters.

Poznámka

Smlouva o úrovni služeb (SLA) pro vrstvu služby Microsoft 365 Apps a služby Premium zaručuje minimálně 99,9% dostupnost.The service level agreement (SLA) for the Microsoft 365 Apps AD tier and Premium services guarantees at least 99.9% availability. Pro úroveň Free služby Azure AD neexistuje žádná smlouva SLA.There is no SLA for the Free tier of Azure AD. Další informace najdete v článku Smlouva SLA pro Azure Active Directory.For more information, see SLA for Azure Active Directory.

Zvažte zřízení druhé instance serveru synchronizace Azure AD Connect v pracovním režimu za účelem zvýšení dostupnosti, jak je popsáno v části s doporučeními pro topologie.Consider provisioning a second instance of Azure AD Connect sync server in staging mode to increase availability, as discussed in the topology recommendations section.

Pokud instanci serveru SQL Server Express LocalDB, která se dodává se službou Azure AD Connect, nepoužíváte, zvažte použití SQL clusteringu za účelem dosažení vysoké dostupnosti.If you are not using the SQL Server Express LocalDB instance that comes with Azure AD Connect, consider using SQL clustering to achieve high availability. Služba Azure AD Connect nepodporuje řešení, jako je například zrcadlení nebo Always On.Solutions such as mirroring and Always On are not supported by Azure AD Connect.

Další informace týkající se dosažení vysoké dostupnosti serveru synchronizace služby Azure AD Connect a také postupu obnovení po selhání najdete v článku Synchronizace služby Azure AD Connect: Provozní úlohy a důležité informace – zotavení po havárii.For additional considerations about achieving high availability of the Azure AD Connect sync server and also how to recover after a failure, see Azure AD Connect sync: Operational tasks and considerations - Disaster Recovery.

Aspekty správyManageability considerations

Existují dva aspekty správy služby Azure AD:There are two aspects to managing Azure AD:

  • Správa služby Azure AD v clouduAdministering Azure AD in the cloud.
  • Údržba serverů synchronizace služby Azure AD ConnectMaintaining the Azure AD Connect sync servers.

Služba Azure AD poskytuje následující možnosti správy domén a adresářů v cloudu:Azure AD provides the following options for managing domains and directories in the cloud:

  • Modul Azure Active Directory PowerShell.Azure Active Directory PowerShell Module. Tento modul použijte, pokud potřebujete skriptovat běžné úlohy správy služby Azure AD, jako je například správa uživatelů, správa domén a konfigurace jednotného přihlašování.Use this module if you need to script common Azure AD administrative tasks such as user management, domain management, and configuring single sign-on.
  • Okno správy služby Azure AD na portálu Azure Portal.Azure AD management blade in the Azure portal. Toto okno poskytuje interaktivní zobrazení správy adresáře a umožňuje řídit a konfigurovat většinu aspektů služby Azure AD.This blade provides an interactive management view of the directory, and enables you to control and configure most aspects of Azure AD.

Služba Azure AD Connect nainstaluje následující nástroje pro údržbu služby synchronizace Azure AD Connect z místních počítačů:Azure AD Connect installs the following tools to maintain Azure AD Connect sync services from your on-premises machines:

  • Konzola Microsoft Azure Active Directory Connect.Microsoft Azure Active Directory Connect console. Tento nástroj umožňuje změnit konfiguraci serveru služby Azure AD Sync, přizpůsobit průběh synchronizace, povolit nebo zakázat pracovní režim a přepínat režim přihlašování uživatelů.This tool enables you to modify the configuration of the Azure AD Sync server, customize how synchronization occurs, enable or disable staging mode, and switch the user sign-in mode. Můžete povolit přihlášení ke službě Active Directory FS pomocí místní infrastruktury.You can enable Active Directory FS sign-in using your on-premises infrastructure.
  • Synchronization Service Manager.Synchronization Service Manager. Kartu Operations (Operace) v tomto nástroji použijte ke správě procesu synchronizace a ke zjištění, jestli nedošlo k selhání některé části procesu.Use the Operations tab in this tool to manage the synchronization process and detect whether any parts of the process have failed. Pomocí tohoto nástroje můžete synchronizace ručně aktivovat.You can trigger synchronizations manually using this tool. Karta Connectors (Konektory) umožňuje řídit připojení pro domény, ke kterým je synchronizační model připojený.The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.
  • Editor synchronizačních pravidel.Synchronization Rules Editor. Tento nástroj můžete použít k úpravám způsobu transformace objektů při jejich kopírování mezi místním adresářem a službou Azure AD.Use this tool to customize the way objects are transformed when they are copied between an on-premises directory and Azure AD. Tento nástroj umožňuje určit další atributy a objekty pro synchronizaci a potom spustí filtry, aby určil objekty, které se mají a nemají synchronizovat.This tool enables you to specify additional attributes and objects for synchronization, then executes filters to determine which objects should or should not be synchronized. Další informace najdete v části Editor synchronizačních pravidel v dokumentu Synchronizace služby Azure AD Connect: Principy výchozí konfigurace.For more information, see the Synchronization Rule Editor section in the document Azure AD Connect sync: Understanding the default configuration.

Další informace a tipy pro správu služby Azure AD Connect najdete v části Synchronizace služby Azure AD Connect: Osvědčené postupy pro změnu výchozí konfigurace.For more information and tips for managing Azure AD Connect, see Azure AD Connect sync: Best practices for changing the default configuration.

Důležité informace o zabezpečeníSecurity considerations

K odmítnutí žádostí o ověření z neočekávaných zdrojů použijte řízení podmíněného přístupu:Use conditional access control to deny authentication requests from unexpected sources:

  • Trigger Azure Active Directory Multi-Factor Authentication (MFA) , pokud se uživatel pokusí připojit z nedůvěryhodného umístění, například přes Internet, nikoli z důvěryhodné sítě.Trigger Azure Active Directory Multi-Factor Authentication (MFA) if a user attempts to connect from a untrusted location such as across the Internet instead of a trusted network.

  • Abyste mohli určit zásady přístupu pro aplikace a funkce, použijte typ platformy zařízení uživatele (iOS, Android, Windows Mobile, Windows).Use the device platform type of the user (iOS, Android, Windows Mobile, Windows) to determine access policy to applications and features.

  • Zaznamenejte povolený/zakázaný stav zařízení uživatele a tyto informace začleňte do kontrol zásad přístupu.Record the enabled/disabled state of users' devices, and incorporate this information into the access policy checks. Pokud třeba dojde ke ztrátě nebo odcizení telefonu uživatele, měl by být zaznamenán jako zakázaný. Zabrání se tak tomu, aby se použil k získání přístupu.For example, if a user's phone is lost or stolen it should be recorded as disabled to prevent it from being used to gain access.

  • Řiďte přístup uživatelů k prostředkům na základě členství ve skupinách.Control user access to resources based on group membership. Pro zjednodušení správy skupin použijte pravidla dynamického členství služby Azure AD.Use Azure AD dynamic membership rules to simplify group administration. Stručný přehled o tom, jak to funguje, najdete v článku Úvod do dynamického členství pro skupiny.For a brief overview of how this works, see Introduction to Dynamic Memberships for Groups.

  • Používejte zásady rizik podmíněného přístupu se službou Azure AD Identity Protection k zajištění rozšířené ochrany na základě neobvyklých přihlašovacích aktivit nebo jiných událostí.Use conditional access risk policies with Azure AD Identity Protection to provide advanced protection based on unusual sign-in activities or other events.

Další informace najdete v článku Podmíněný přístup služby Azure Active Directory.For more information, see Azure Active Directory conditional access.

Důležité informace o DevOpsDevOps considerations

Pokyny pro DevOps najdete v tématu DevOps: rozšíření Active Directory Domain Services (služba AD DS) do Azure.For DevOps considerations, see DevOps: Extending Active Directory Domain Services (AD DS) to Azure.

Azure AD ConnectAzure AD Connect

Funkce synchronizace Azure AD Connect je k dispozici ve všech edicích Azure Active Directory.The Azure AD Connect synchronization feature is available in all editions of Azure Active Directory.

Virtuální počítače pro N-vrstvou aplikaciVMs for N-Tier application

Informace o nákladech týkajících se těchto prostředků najdete v tématu spuštění virtuálních počítačů pro N-vrstvou architekturu.For cost information about these resources, see Run VMs for an N-tier architecture.

CenyPricing

K odhadu nákladů použijte cenovou kalkulačku Azure.Use the Azure pricing calculator to estimate costs.

Další krokyNext steps