Instalace a konfigurace synchronizace adresářů s microsoft entra Připojení

  • 7 min

Microsoft Entra Připojení vyžaduje k hostování synchronizační služby počítač připojený k doméně. Většina organizací nasadí vyhrazený synchronizační server.

Požadavky

Po nastavení Azure s tenantem Active Directory musíte dokončit primární úlohy pro nasazení synchronizace adresářů pomocí následujících kroků:

  1. Přidejte doménu AD DS do Azure, ověřte doménu a pak ji nastavte jako primární doménu.

  2. Stáhněte a nainstalujte microsoft Entra Připojení.

    A screenshot of the Microsoft Entra Connect blade in the Microsoft Entra admin center. The administrator is about to download the Microsoft Entra Connect feature.

  3. Spusťte Průvodce konfigurací nástroje Microsoft Entra Připojení. (Volitelně můžete nakonfigurovat Microsoft Entra Připojení tak, aby synchronizoval konkrétní organizační jednotky v místním prostředí SLUŽBY AD DS).

    A screenshot of the Microsoft Entra Connect Wizard's Express Settings page. The administrator can choose Customize or Use express settings. The current AD forest is CONTOSO..

  4. Povolte volitelné funkce, jako je synchronizace hodnot hash hesel, zpětný zápis hesla a hybridní nasazení Exchange.

  5. Spusťte microsoft Entra Připojení a nechte ho nakonfigurovat prostředí pro synchronizaci adresářů.

  6. Ověřte výsledky synchronizace.

    A screenshot of the Microsoft Entra Connect Wizard, Domain/OU Filtering tab. The administrator has selected the Sync selected domains and OU options, in addition to the various OUs from the returned Contoso.com list.

Po nastavení microsoft Entra Připojení a provedení počáteční synchronizace můžete v případě potřeby změnit konfiguraci možností synchronizace. Instalace softwaru Microsoft Entra Připojení zahrnuje několik aplikací souvisejících se synchronizací adresářů. Když spustíte Microsoft Entra Připojení, máte možnost použít nastavení expresní instalace, která nastavuje synchronizaci adresářů s nejčastěji používanými nastaveními, nebo můžete zvolit přizpůsobení možností nastavení.

Pokud se rozhodnete použít vlastní instalaci, můžete na začátku instalace použít vlastní SQL server místo místní databáze. Můžete také použít existující účet služby místo účtu vytvořeného procesem automatického nastavení. Kromě toho můžete zadat vlastní skupiny synchronizace. Ve výchozím nastavení jsou skupiny Správa istrátory, operátory, procházet a skupiny pro resetování hesel vytvořené společností Microsoft Entra Připojení, ale pro tento účel můžete použít vlastní skupiny.

Ve výchozím nastavení microsoft Entra Připojení nastaví synchronizaci hodnot hash hesel pro režim synchronizace adresářů. Pokud zvolíte vlastní instalaci, můžete také zvolit federaci s možností AD FS nebo předávací ověřování. Případně můžete ručně nakonfigurovat synchronizaci adresářů, pokud máte nasazený federační server jiného než Microsoftu nebo jiné existující řešení.

Vlastní instalace Microsoft Entra Připojení vám také umožňuje zvolit způsob, jakým identifikujete uživatele. Ve výchozím nastavení instalační program předpokládá, že vaši uživatelé jsou reprezentováni pouze jednou napříč všemi adresáři. Pokud ale máte scénář, ve kterém existují identity uživatelů napříč více adresáři, musíte zvolit odpovídající atribut. Můžete si vybrat mezi možnostmi popsanými v následující tabulce.

Možnost Popis
atribut mail Tato možnost spojí uživatele a kontakty, pokud má atribut mail v různých doménových strukturách stejnou hodnotu.
ObjectSID a msExchangeMasterAccountSID Tato možnost připojí povoleného uživatele v doménové struktuře účtu k zakázanému uživateli v doménové struktuře prostředků Exchange. V Exchangi se to označuje také jako propojená poštovní schránka.
sAMAccountName a mailNickname Tato možnost spojí další atributy v umístěních v adresáři, kde se očekává, že se najde přihlašovací ID uživatele.
Vlastní atribut Tato možnost umožňuje vybrat vlastní atribut.
Zdrojové ukotvení Jedná se o atribut, který zůstává neměnný během životnosti objektu uživatele. Jinými slovy, tento atribut je primární klíč, který propojuje místní uživatelský objekt s objektem uživatele v Microsoft Entra ID. Vzhledem k tomu, že tento atribut nelze později změnit, je nutné pečlivě zvolit atribut, který chcete použít pro tento účel. Výchozí volba je objectGUID, protože tento atribut se nemění, pokud se uživatelský účet nepřesune mezi doménovými strukturami a doménami.

Atribut můžete nakonfigurovat UserPrincipalName ve stejném okně. Jedná se o atribut, který uživatelé používají při přihlášení k ID Microsoft Entra. Domény používané k tomuto účelu , označované také jako přípona UPN, by měly být před synchronizací objektů uživatele ověřeny v Microsoft Entra ID.

V některých případech můžete chtít synchronizovat pouze podmnožinu uživatelů z místní služby AD DS. Microsoft Entra Připojení umožňuje vybrat konkrétní skupinu uživatelů, které chcete synchronizovat s MICROSOFT Entra ID. Tuto skupinu byste měli vytvořit před spuštěním programu Microsoft Entra Připojení. Po dokončení instalace můžete přidat a odebrat uživatele z této skupiny, abyste zachovali seznam objektů uživatelů, které by měly být přítomné v Microsoft Entra ID. Jako obor replikace můžete použít také organizační jednotky z místní služby AD DS. V posledním kroku vám Microsoft Entra Připojení umožní nastavit některé volitelné funkce, které jsou k dispozici v Microsoft Entra ID P1 nebo P2.