Installér synkronisering af Microsoft 365-adresseliste i Microsoft Azure
Microsoft Entra Connect (tidligere kaldet værktøjet Til katalogsynkronisering, Værktøjet Mappesynkronisering eller værktøjet DirSync.exe) er et program, som du installerer på en domænetilsluttet server for at synkronisere dine AD DS-brugere (Active Directory i det lokale miljø domæneservices) til Microsoft Entra lejer af dit Microsoft 365-abonnement. Microsoft 365 bruger Microsoft Entra ID til katalogtjenesten. Dit Microsoft 365-abonnement indeholder en Microsoft Entra lejer. Denne lejer kan også bruges til administration af din organisations identiteter med andre cloudarbejdsbelastninger, herunder andre SaaS-programmer og apps i Azure.
Du kan installere Microsoft Entra Oprette forbindelse på en lokal server, men du kan også installere den på en virtuel maskine i Azure af følgende årsager:
- Du kan klargøre og konfigurere skybaserede servere hurtigere, hvilket gør tjenesterne tilgængelige for dine brugere hurtigere.
- Azure tilbyder bedre tilgængelighed af websteder med en mindre indsats.
- Du kan reducere antallet af lokale servere i din organisation.
Denne løsning kræver forbindelse mellem dit lokale netværk og dit virtuelle Azure-netværk. Du kan få flere oplysninger under Opret forbindelse mellem et lokalt netværk og et virtuelt Microsoft Azure-netværk.
Bemærk!
I denne artikel beskrives synkronisering af et enkelt domæne i en enkelt skov. Microsoft Entra Connect synkroniserer alle AD DS-domæner i dit Active Directory-område med Microsoft 365. Hvis du har flere Active Directory-områder, der skal synkroniseres med Microsoft 365, skal du se Synkroniser mappe med flere områder med enkelt Sign-On scenarie.
Oversigt over installation af synkronisering af Microsoft 365-kataloger i Azure
I følgende diagram vises Microsoft Entra Opret forbindelse, der kører på en virtuel maskine i Azure (mappesynkroniseringsserveren), der synkroniserer et AD DS-område i det lokale miljø til et Microsoft 365-abonnement.
I diagrammet er der to netværk, der er forbundet via en websted til websted-VPN- eller ExpressRoute-forbindelse. Der er et netværk i det lokale miljø, hvor AD DS-domænecontrollere er placeret, og der er et virtuelt Azure-netværk med en katalogsynkroniseringsserver, som er en virtuel maskine, der kører Microsoft Entra Opret forbindelse. Der er to primære trafikflow, der stammer fra katalogsynkroniseringsserveren:
- Microsoft Entra Opret forbindelse forespørger en domænecontroller på netværket i det lokale miljø om ændringer af konti og adgangskoder.
- Microsoft Entra Connect sender ændringerne af konti og adgangskoder til den Microsoft Entra forekomst af dit Microsoft 365-abonnement. Da katalogsynkroniseringsserveren er i en udvidet del af dit lokale netværk, sendes disse ændringer via proxyserveren for det lokale netværk.
Bemærk!
Denne løsning beskriver synkronisering af et enkelt Active Directory-domæne i et enkelt Active Directory-område. Microsoft Entra Connect synkroniserer alle Active Directory-domæner i dit Active Directory-område med Microsoft 365. Hvis du har flere Active Directory-områder, der skal synkroniseres med Microsoft 365, skal du se Synkroniser mappe med flere områder med enkelt Sign-On scenarie.
Der er to overordnede trin, når du installerer denne løsning:
Opret et virtuelt Azure-netværk, og opret en websted til websted-VPN-forbindelse til dit lokale netværk. Du kan få flere oplysninger under Opret forbindelse mellem et lokalt netværk og et virtuelt Microsoft Azure-netværk.
Installér Microsoft Entra Opret forbindelse på en domænetilsluttet virtuel maskine i Azure, og synkroniser derefter AD DS i det lokale miljø til Microsoft 365. Dette omfatter:
Oprettelse af en Virtuel Azure-maskine til kørsel Microsoft Entra Opret forbindelse.
Installerer og konfigurerer Microsoft Entra Opret forbindelse.
Konfiguration af Microsoft Entra Connect kræver legitimationsoplysningerne (brugernavn og adgangskode) for en Microsoft Entra administratorkonto og en AD DS-virksomhedsadministratorkonto. Microsoft Entra Connect kører med det samme og løbende for at synkronisere AD DS-skoven i det lokale miljø til Microsoft 365.
Før du installerer denne løsning i produktion, kan du bruge instruktionerne i Den simulerede virksomhedsbasiskonfiguration til at konfigurere denne konfiguration som blåstempling, til demonstrationer eller til eksperimentering.
Vigtigt!
Når Microsoft Entra konfigurationen af Opret forbindelse er fuldført, gemmes legitimationsoplysningerne for AD DS-virksomhedsadministratoren ikke.
Bemærk!
I denne løsning beskrives synkronisering af et enkelt AD DS-område til Microsoft 365. Topologien, der er beskrevet i denne artikel, repræsenterer kun én måde at implementere denne løsning på. Organisationens topologi kan variere afhængigt af dine entydige netværkskrav og sikkerhedsovervejelser.
Planlæg, hvordan du hoster en katalogsynkroniseringsserver til Microsoft 365 i Azure
Forudsætninger
Før du begynder, skal du gennemse følgende forudsætninger for denne løsning:
Gennemse det relaterede planlægningsindhold i Planlæg dit virtuelle Azure-netværk.
Sørg for, at du opfylder alle forudsætninger for at konfigurere det virtuelle Azure-netværk.
Hav et Microsoft 365-abonnement, der indeholder active Directory-integrationsfunktionen. Du kan få oplysninger om Microsoft 365-abonnementer ved at gå til siden Microsoft 365-abonnement.
Klargør én Azure Virtual Machine, der kører Microsoft Entra Opret forbindelse for at synkronisere ad DS-området i det lokale miljø med Microsoft 365.
Du skal have legitimationsoplysningerne (navne og adgangskoder) for en AD DS-virksomhedsadministratorkonto og en Microsoft Entra administratorkonto.
Antagelser i forbindelse med løsningsarkitekturdesign
På følgende liste beskrives de designvalg, der er foretaget for denne løsning.
Denne løsning bruger et enkelt virtuelt Azure-netværk med en VPN-forbindelse fra websted til websted. Det virtuelle Azure-netværk hoster et enkelt undernet, der har én server, nemlig den mappesynkroniseringsserver, der kører Microsoft Entra Opret forbindelse.
På netværket i det lokale miljø findes der en domænecontroller og DNS-servere.
Microsoft Entra Connect udfører synkronisering af adgangskodehash i stedet for enkeltlogon. Du behøver ikke at udrulle en AD FS-infrastruktur (Active Directory Federation Services). Du kan få mere at vide om synkronisering af adgangskodehash og indstillinger for enkeltlogon under Valg af den rette godkendelsesmetode til din Microsoft Entra hybrididentitetsløsning.
Der er andre designvalg, som du kan overveje, når du installerer denne løsning i dit miljø. Disse omfatter følgende:
Hvis der er eksisterende DNS-servere i et eksisterende virtuelt Azure-netværk, skal du afgøre, om din mappesynkroniseringsserver skal bruge dem til navneopløsning i stedet for DNS-servere på netværket i det lokale miljø.
Hvis der er domænecontrollere i et eksisterende virtuelt Azure-netværk, skal du afgøre, om konfiguration af Active Directory-websteder og -tjenester kan være en bedre mulighed for dig. Katalogsynkroniseringsserveren kan forespørge domænecontrollerne på det virtuelle Azure-netværk om ændringer i konti og adgangskoder i stedet for domænecontrollere på netværket i det lokale miljø.
Oversigt over udrulning
Udrulning af Microsoft Entra Opret forbindelse på en virtuel maskine i Azure består af tre faser:
Fase 1: Opret og konfigurer det virtuelle Azure-netværk
Fase 2: Opret og konfigurer den virtuelle Azure-maskine
Fase 3: Installér og konfigurer Microsoft Entra Opret forbindelse
Efter udrulningen skal du også tildele placeringer og licenser til de nye brugerkonti i Microsoft 365.
Fase 1: Opret og konfigurer det virtuelle Azure-netværk
Hvis du vil oprette og konfigurere det virtuelle Azure-netværk, skal du fuldføre fase 1: Forbered dit lokale netværk og fase 2: Opret det virtuelle netværk på tværs af det lokale miljø i Azure i installationsoversigten for Opret forbindelse mellem et lokalt netværk og et virtuelt Microsoft Azure-netværk.
Dette er din resulterende konfiguration.
Denne figur viser et netværk i det lokale miljø, der er forbundet til et virtuelt Azure-netværk via en websted til websted-VPN- eller ExpressRoute-forbindelse.
Fase 2: Opret og konfigurer den virtuelle Azure-maskine
Opret den virtuelle maskine i Azure ved hjælp af vejledningen Opret din første virtuelle Windows-maskine i Azure Portal. Brug følgende indstillinger:
I ruden Grundlæggende skal du vælge det samme abonnement, den samme placering og den samme ressourcegruppe som dit virtuelle netværk. Registrer brugernavnet og adgangskoden på en sikker placering. Du skal bruge disse senere for at oprette forbindelse til den virtuelle maskine.
Vælg A2 Standardstørrelse i ruden Vælg en størrelse.
Vælg Standardlagertype i afsnittet Lager i ruden Indstillinger. I afsnittet Netværk skal du vælge navnet på dit virtuelle netværk og undernettet til hosting af katalogsynkroniseringsserveren (ikke GatewaySubnet). Lad alle andre indstillinger være på deres standardværdier.
Kontrollér, at katalogsynkroniseringsserveren bruger DNS korrekt, ved at kontrollere din interne DNS for at sikre, at der blev tilføjet en adressepost (A) for den virtuelle maskine med dens IP-adresse.
Brug vejledningen i Opret forbindelse til den virtuelle maskine, og log på for at oprette forbindelse til katalogsynkroniseringsserveren med en Forbindelse til Fjernskrivebord. Når du er logget på, skal du slutte den virtuelle maskine til AD DS-domænet i det lokale miljø.
Hvis du vil Microsoft Entra Opret forbindelse for at få adgang til internetressourcer, skal du konfigurere katalogsynkroniseringsserveren til at bruge proxyserveren på netværket i det lokale miljø. Du skal kontakte netværksadministratoren for at få yderligere konfigurationstrin at udføre.
Dette er din resulterende konfiguration.
Denne figur viser den virtuelle maskine til katalogsynkroniseringsserver på det virtuelle Azure-netværk på tværs af det lokale miljø.
Fase 3: Installér og konfigurer Microsoft Entra Opret forbindelse
Fuldfør følgende procedure:
Opret forbindelse til katalogsynkroniseringsserveren ved hjælp af en Fjernskrivebord-forbindelse med en AD DS-domænekonto, der har lokale administratorrettigheder. Se Opret forbindelse til den virtuelle maskine, og log på.
Åbn artiklen Konfigurer katalogsynkronisering for Microsoft 365 fra katalogsynkroniseringsserveren, og følg vejledningen i katalogsynkronisering med synkronisering af adgangskodehash.
Forsigtighed
Installationsprogrammet opretter den AAD_xxxxxxxxxxxx konto i organisationsenheden Lokale brugere. Undlad at flytte eller fjerne denne konto, da synkroniseringen mislykkes.
Dette er din resulterende konfiguration.
I denne figur vises katalogsynkroniseringsserveren med Microsoft Entra Opret forbindelse på det virtuelle Azure-netværk på tværs af det lokale miljø.
Tildel placeringer og licenser til brugere i Microsoft 365
Microsoft Entra Connect føjer konti til dit Microsoft 365-abonnement fra AD DS i det lokale miljø, men for at brugerne kan logge på Microsoft 365 og bruge deres tjenester, skal kontiene konfigureres med en placering og licenser. Brug disse trin til at tilføje placeringen og aktivere licenser for de relevante brugerkonti:
Log på Microsoft 365 Administration, og klik derefter på Administration.
Klik på Aktive>brugere i venstre navigationsrude.
På listen over brugerkonti skal du markere afkrydsningsfeltet ud for den bruger, du vil aktivere.
Klik på Rediger for produktlicenser på brugerens side.
På siden Produktlicenser skal du vælge en placering for brugeren for Placering og derefter aktivere de relevante licenser for brugeren.
Når du er færdig, skal du klikke på Gem og derefter klikke på Luk to gange.
Gå tilbage til trin 3 for yderligere brugere.
Se også
Microsoft 365-løsnings- og arkitekturcenter
Opret forbindelse fra et netværk i det lokale miljø til et virtuelt Microsoft Azure-netværk
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om