Plánování integrace Microsoft Entra

  • 13 min

Když pracovníci IT ve společnosti Contoso implementují cloudovou službu nebo aplikaci ve svém IT prostředí, obvykle chtějí pro své místní a cloudové aplikace používat jedno úložiště identit. Pomocí synchronizace adresářů můžou připojit místní službu AD DS s ID Microsoft Entra.

Co je synchronizace adresářů?

Synchronizace adresářů umožňuje synchronizaci mezi místní službou AD DS a ID Microsoft Entra pro uživatele, skupiny a kontakty. V nejjednodušší podobě nainstalujete komponentu synchronizace adresářů na server ve vaší místní doméně. Potom poskytnete účet doménovým Správa a podnikovým Správa přístup k místní službě AD DS a dalšímu účtu s přístupem správce k Microsoft Entra ID a necháte ho spustit.

Uživatelské účty, skupiny a kontakty, které vyberete ze služby AD DS, se pak replikují do Microsoft Entra ID. Uživatelé pak můžou tyto účty použít k přihlášení ke službám Azure a k přístupu ke službám Azure, které k ověřování spoléhají na ID Microsoft Entra.

Pokud neaktivujete synchronizaci hesel, budou mít uživatelé k přihlášení k prostředku Azure samostatné heslo od místního prostředí. I když implementujete synchronizaci hesel, uživatelům se při přístupu k prostředku Azure na počítačích připojených k doméně stále zobrazí výzva k zadání přihlašovacích údajů. Výhodou synchronizace hesel je, že pokud se chcete přihlásit k prostředku Azure, můžou uživatelé používat stejné uživatelské jméno a heslo jako přihlášení k doméně. Nezaměňujte ho s jednotným přihlašováním. Chování poskytnuté synchronizací hesel se nazývá stejné přihlášení.

S Azure je tok synchronizace jednosměrný z místní služby AD DS do Azure. S funkcemi Microsoft Entra ID P1 nebo P2 se ale některé atributy replikují v opačném směru. Azure můžete například nakonfigurovat tak, aby zapsal hesla zpět do místní služby AD DS a do skupin a zařízení z Microsoft Entra ID. Pokud nechcete synchronizovat celou místní službu AD DS, synchronizace adresářů pro Microsoft Entra ID podporuje omezené filtrování a přizpůsobení toku atributů na základě následujících hodnot:

  • OU
  • Doména
  • Atributy uživatele
  • Aplikace

Microsoft Entra Connect

K synchronizaci mezi místní službou AD DS a Microsoft Entra ID můžete použít Microsoft Entra Připojení (Microsoft Entra Připojení). Microsoft Entra Připojení je nástroj založený na průvodci, který umožňuje připojení mezi místní infrastrukturou identit a Azure. Pomocí průvodce můžete zvolit topologii a požadavky a pak průvodce nasadí a nakonfiguruje všechny požadované součásti za vás. V závislosti na vybranýchpožadavch

  • Synchronizace Azure Active Directory (Azure AD Sync)
  • Hybridní nasazení Exchange
  • Zpětný zápis změn hesla
  • Proxy servery služby AD FS a AD FS nebo webové proxy aplikací
  • Modul Microsoft Graph PowerShellu

Poznámka:

Většina organizací nasadí vyhrazený synchronizační server pro hostování Připojení Microsoft Entra.

Když spustíte Microsoft Entra Připojení, dojde k následujícímu:

  • Do Microsoft Entra ID se přidají noví uživatelé, skupiny a objekty kontaktů v místní službě AD DS. Licence pro cloudové služby, jako je Microsoft 365, se ale k těmto objektům nepřiřazují automaticky.
  • Atributy existujících uživatelů, skupin nebo kontaktních objektů, které jsou změněny v místní službě AD DS, se upravují v Microsoft Entra ID. Ne všechny místní atributy služby AD DS se ale synchronizují s ID Microsoft Entra. Sadu atributů, které se synchronizují s ID Microsoft Entra, můžete nakonfigurovat pomocí komponenty Správce synchronizace microsoft Entra Připojení.
  • Stávající uživatelé, skupiny a kontaktní objekty odstraněné z místní služby AD DS se odstraní z ID Microsoft Entra.
  • Existující objekty uživatele, které jsou místně zakázané, jsou v Azure zakázané. Licence však nejsou automaticky nepřiřazeny.

Microsoft Entra ID vyžaduje, abyste měli jeden zdroj autority pro každý objekt. Proto je důležité si uvědomit, že ve scénáři microsoft Entra Připojení, když spouštíte synchronizaci služby Active Directory, jste hlavní objekty z místní služby AD DS pomocí nástrojů, jako jsou Uživatelé a počítače služby Active Directory nebo Windows PowerShell. Zdrojem autority je však místní služba AD DS. Po dokončení prvního cyklu synchronizace se zdroj autority převede z cloudu do místní služby AD DS. Všechny následné změny cloudových objektů (s výjimkou licencování) jsou zvládnou z místních nástrojů SLUŽBY AD DS. Odpovídající cloudové objekty jsou jen pro čtení a správci Microsoft Entra nemohou upravovat cloudové objekty, pokud je zdrojem autority místní služba AD DS, pokud neimplementujete některé technologie, které umožňují zpětný zápis.

Oprávnění a účty vyžadované ke spuštění Připojení Microsoft Entra

Pokud chcete implementovat Připojení Microsoft Entra, musíte mít účet s požadovanými oprávněními přiřazenými pro místní službu AD DS i Microsoft Entra ID. Instalace a konfigurace Připojení Microsoft Entra vyžaduje následující účty:

  • Účet Azure s oprávněním Globální Správa istrator v tenantovi Azure (například účet organizace), který není účtem použitým k nastavení samotného účtu.
  • Místní účet s oprávněními Enterprise Správa istrator v místní službě AD DS. V průvodci Microsoft Entra Připojení můžete pro tento účel použít existující účet nebo nechat průvodce vytvořit účet za vás.

Microsoft Entra Připojení používá účet globálního Správa istratoru Azure ke zřizování a aktualizaci objektů při spuštění Průvodce konfigurací microsoft Entra Připojení. V Azure byste měli vytvořit vyhrazený účet služby pro synchronizaci adresářů, protože nemůžete použít účet správce tenanta Azure. Toto omezení je způsobeno tím, že účet, který jste použili k nastavení Azure, nemusí mít příponu názvu domény, která odpovídá názvu domény. Účet musí být členem skupiny rolí Globální Správa istrátory.

V místním prostředí musí mít účet, který se používá k instalaci a konfiguraci microsoft Entra Připojení, následující oprávnění:

  • Oprávnění podnikového Správa stratoru ve službě AD DS. Toto oprávnění se vyžaduje k vytvoření synchronizačního uživatelského účtu ve službě Active Directory.
  • Oprávnění správce místního počítače. Toto oprávnění se vyžaduje k instalaci softwaru Microsoft Entra Připojení.

Účet použitý ke konfiguraci Připojení Microsoft Entra a spuštění průvodce konfigurací musí být umístěn ve skupině ADSync místního počítače Správa s. Ve výchozím nastavení se účet použitý k instalaci microsoft Entra Připojení automaticky přidá do této skupiny.

Poznámka:

Účet, který používáte k instalaci služby AD Připojení, se při instalaci produktu automaticky přidá do skupiny ADSync Správa s. Abyste mohli používat rozhraní Synchronization Service Manager, musíte se odhlásit a znovu se přihlásit, protože účet nebude vyzvedávat identifikátor zabezpečení skupiny (SID), dokud se účet příště nepoužije k přihlášení.

A screenshot of Active Directory Users and Computers. The administrator has opened two accounts: MSOL_c778af008d92 and AAD_c778af008d92. The General tab is selected for both accounts.

Účet Enterprise Správa istrator je vyžadován pouze při instalaci a konfiguraci Připojení Microsoft Entra, ale jeho přihlašovací údaje nejsou uloženy nebo uloženy průvodcem konfigurací. Proto byste měli vytvořit speciální účet správce Microsoft Entra Připojení pro instalaci a konfiguraci Připojení Microsoft Entra a přiřadit tento účet skupině Enterprise Správa istrators při nastavení microsoft Entra Připojení. Tento účet Microsoft Entra Připojení Správa istrator by však měl být po dokončení instalace Microsoft En Připojení tra odebrán ze skupiny Enterprise Správa istrators. Následující tabulka obsahuje podrobnosti o účtech vytvořených během konfigurace Microsoft Entra Připojení.

Účet Popis
MSOL_<id> Tento účet se vytvoří během instalace Microsoft Entra Připojení a je nakonfigurovaný tak, aby se synchronizoval s tenantem Azure. Účet má oprávnění replikace adresáře v místní službě AD DS a oprávnění k zápisu u určitých atributů, aby bylo možné hybridní nasazení.
AAD_<id> Toto je účet služby pro synchronizační modul. Vytvoří se s náhodně vygenerovaným složitým heslem, které je automaticky nakonfigurované tak, aby nikdy nevypršovalo platnost. Když se služba synchronizace adresářů spustí, pomocí přihlašovacích údajů účtu služby načte z místní služby Active Directory a pak zapíše obsah synchronizační databáze do Azure. To se provádí pomocí přihlašovacích údajů správce tenanta, které zadáte v Průvodci konfigurací Microsoft Entra Připojení.

Upozornění

Po instalaci Připojení Microsoft Entra byste neměli měnit účet služby pro Microsoft Entra Připojení, protože Microsoft Entra Připojení se vždy pokusí spustit pomocí účtu vytvořeného během instalace. Pokud změníte účet, Microsoft Entra Připojení přestane běžet a naplánované synchronizace už nedochází.

Další čtení

Další informace najdete v následujícím dokumentu.