Oktatóanyag: egyetlen erdő integrálása egyetlen Azure AD-BérlővelTutorial: Integrate a single forest with a single Azure AD tenant

Ez az oktatóanyag végigvezeti a hibrid identitási környezetek létrehozásán Azure Active Directory (Azure AD) felhőalapú kiépítés használatával.This tutorial walks you through creating a hybrid identity environment using Azure Active Directory (Azure AD) Connect cloud provisioning.

Létrehozás

Az oktatóanyagban létrehozott környezetet tesztelésre vagy a Felhőbeli kiépítés megismerésére használhatja.You can use the environment you create in this tutorial for testing or for getting more familiar with cloud provisioning.

ElőfeltételekPrerequisites

A Azure Active Directory felügyeleti központbanIn the Azure Active Directory admin center

  1. Hozzon létre egy csak felhőalapú globális rendszergazdai fiókot az Azure AD-bérlőn.Create a cloud-only global administrator account on your Azure AD tenant. Így kezelheti a bérlő konfigurációját, ha a helyszíni szolgáltatások meghibásodnak vagy elérhetetlenné válnak.This way, you can manage the configuration of your tenant should your on-premises services fail or become unavailable. További információ a csak felhőalapú globális rendszergazdai fiók hozzáadásáról.Learn about adding a cloud-only global administrator account. Ennek a lépésnek a befejezése kritikus fontosságú annak biztosítása érdekében, hogy ne legyen kizárva a bérlőből.Completing this step is critical to ensure that you don't get locked out of your tenant.
  2. Adjon hozzá egy vagy több Egyéni tartománynevet az Azure ad-bérlőhöz.Add one or more custom domain names to your Azure AD tenant. A felhasználók a következő tartománynevek egyikével jelentkezhetnek be.Your users can sign in with one of these domain names.

Helyszíni környezetbenIn your on-premises environment

  1. Windows Server 2012 R2 vagy újabb rendszert futtató, tartományhoz csatlakoztatott, legalább 4 GB RAM-mal és .NET 4.7.1 + futtatókörnyezettel rendelkező gazdagép azonosításaIdentify a domain-joined host server running Windows Server 2012 R2 or greater with minimum of 4 GB RAM and .NET 4.7.1+ runtime

  2. Ha tűzfal található a kiszolgálók és az Azure AD között, konfigurálja a következő elemeket:If there is a firewall between your servers and Azure AD, configure the following items:

    • Győződjön meg arról, hogy az ügynökök az alábbi portokon keresztül tehetnek kimenő kéréseket az Azure ad-nek:Ensure that agents can make outbound requests to Azure AD over the following ports:

      PortszámPort number Használatuk módjaHow it's used
      8080 Letölti a visszavont tanúsítványok listáját (CRL) a TLS/SSL-tanúsítvány ellenőrzése közben.Downloads the certificate revocation lists (CRLs) while validating the TLS/SSL certificate
      443443 Kezeli az összes kimenő kommunikációt a szolgáltatással.Handles all outbound communication with the service
      8080 (nem kötelező)8080 (optional) Az ügynökök 10 percenként jelentik az állapotukat az 8080-as porton keresztül, ha a 443-es port nem érhető el.Agents report their status every 10 minutes over port 8080, if port 443 is unavailable. Ez az állapot az Azure AD-portálon jelenik meg.This status is displayed on the Azure AD portal.

      Ha a tűzfal a kezdeményező felhasználók alapján kényszeríti a szabályokat, nyissa meg ezeket a portokat a hálózati szolgáltatásként futtató Windows-szolgáltatások forgalmára.If your firewall enforces rules according to the originating users, open these ports for traffic from Windows services that run as a network service.

    • Ha a tűzfal vagy a proxy lehetővé teszi a biztonságos utótagok megadását, adja hozzá a t-t a ** * . msappproxy.net** és a ** * . servicebus.Windows.net**kapcsolatokhoz.If your firewall or proxy allows you to specify safe suffixes, then add connections t to *.msappproxy.net and *.servicebus.windows.net. Ha nem, engedélyezze a hozzáférést az Azure Datacenter IP-tartományokhoz, amelyek hetente frissülnek.If not, allow access to the Azure datacenter IP ranges, which are updated weekly.

    • Az ügynököknek hozzá kell férniük a login.Windows.net és a login.microsoftonline.com a kezdeti regisztrációhoz.Your agents need access to login.windows.net and login.microsoftonline.com for initial registration. Nyissa meg a tűzfalat az URL-címekhez is.Open your firewall for those URLs as well.

    • A tanúsítvány érvényesítéséhez oldja fel a következő URL-címeket: mscrl.microsoft.com:80, CRL.microsoft.com:80, OCSP.msocsp.com:80és www . Microsoft.com:80.For certificate validation, unblock the following URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80, and www.microsoft.com:80. Mivel ezek az URL-címek más Microsoft-termékekkel való tanúsítvány-érvényesítéshez használatosak, előfordulhat, hogy az URL-címeket feloldják.Since these URLs are used for certificate validation with other Microsoft products you may already have these URLs unblocked.

Az Azure AD Connect létesítési ügynök telepítéseInstall the Azure AD Connect provisioning agent

  1. Jelentkezzen be a tartományhoz csatlakoztatott kiszolgálóra.Sign in to the domain joined server. Ha az alapszintű ad-és Azure-környezettel foglalkozó oktatóanyagot használja, az DC1 lenne.If you are using the Basic AD and Azure environment tutorial, it would be DC1.

  2. Jelentkezzen be a Azure Portalba kizárólag Felhőbeli globális rendszergazdai hitelesítő adatok használatával.Sign in to the Azure portal using cloud-only global admin credentials.

  3. A bal oldalon válassza a Azure Active Directory, majd a Azure ad Connectlehetőséget, majd a központban válassza a felügyelet kiépítés (előzetes verzió) elemet.On the left, select Azure Active Directory, click Azure AD Connect, and in the center select Manage provisioning (preview).

    Azure Portal

  4. Kattintson az ügynök letöltéseelemre.Click Download agent.

  5. Futtassa az Azure AD Connect üzembe helyezési ügynököt.Run the Azure AD Connect provisioning agent.

  6. A splash képernyőn fogadja el a licencelési feltételeket, majd kattintson a telepítésgombra.On the splash screen, Accept the licensing terms and click Install.

    Üdvözlőképernyő

  7. A művelet befejezése után elindul a konfigurációs varázsló.Once this operation completes, the configuration wizard will launch. Jelentkezzen be az Azure AD globális rendszergazdai fiókjával.Sign in with your Azure AD global administrator account. Vegye figyelembe, hogy ha az Internet Explorer fokozott biztonsági funkciója engedélyezve van, ez letiltja a bejelentkezést.Note that if you have IE enhanced security enabled this will block the sign-in. Ebben az esetben zárjuk le a telepítést, tiltsa le az IE fokozott biztonságát a Kiszolgálókezelőben, majd kattintson a HRE-létesítési ügynök varázslóra a telepítés újraindításához.If this is the case, close the installation, disable IE enhanced security in Server Manager, and click the AAD Connect Provisioning Agent Wizard to restart the installation.

  8. A Active Directory összekapcsolása képernyőn kattintson a könyvtár hozzáadása lehetőségre, majd jelentkezzen be a Active Directory tartományi rendszergazdai fiókjával.On the Connect Active Directory screen, click Add directory and then sign in with your Active Directory domain administrator account. Megjegyzés: a tartományi rendszergazdai fióknak nem kell módosítania a jelszó-módosítási követelményeket.NOTE: The domain administrator account should not have password change requirements. Abban az esetben, ha a jelszó lejár vagy megváltozik, újra kell konfigurálnia az ügynököt az új hitelesítő adatokkal.In case the password expires or changes, you will need to re-configure the agent with the new credentials. Ezzel a művelettel a helyszíni címtárat fogja felvenni.This operation will add your on-premises directory. Kattintson a Tovább gombra.Click Next.

    Üdvözlőképernyő

  9. A konfiguráció kész képernyőn kattintson a Confirm (megerősítés) gombra.On the Configuration complete screen, click Confirm. Ez a művelet regisztrálja és újraindítja az ügynököt.This operation will register and restart the agent.

    Üdvözlőképernyő

  10. Ha a művelet befejeződik, megjelenik egy értesítés: az ügynök konfigurációjának ellenőrzése sikerült.Once this operation completes you should see a notice: Your agent configuration was successfully verified. Kattintson a Kilépéslehetőségre.You can click Exit.
    ÜdvözlőképernyőWelcome screen

  11. Ha továbbra is megjelenik a kezdeti splash képernyő, kattintson a Bezárásgombra.If you still see the initial splash screen, click Close.

Ügynök telepítésének ellenőrzéseVerify agent installation

Az ügynök ellenőrzése a Azure Portal és az ügynököt futtató helyi kiszolgálón történik.Agent verification occurs in the Azure portal and on the local server that is running the agent.

Azure Portal ügynök ellenőrzéseAzure portal agent verification

Az alábbi lépéseket követve ellenőrizheti, hogy az ügynök látja-e az Azure-t:To verify the agent is being seen by Azure follow these steps:

  1. Jelentkezzen be az Azure Portalra.Sign in to the Azure portal.

  2. A bal oldalon válassza a Azure Active Directory, majd a Azure ad Connect , és a központban válassza a felügyelet kiépítés (előzetes verzió) lehetőséget.On the left, select Azure Active Directory, click Azure AD Connect and in the center select Manage provisioning (preview).
    Azure PortalAzure portal

  3. Az Azure ad-kiépítés (előzetes verzió) képernyőn kattintson az összes ügynök áttekintéseelemre.On the Azure AD Provisioning (preview) screen click Review all agents. Azure AD-kiépítésAzure AD Provisioning

  4. A helyszíni kiépítési ügynökök képernyőjén látni fogja a telepített ügynököket.On the On-premises provisioning agents screen you will see the agents you have installed. Ellenőrizze, hogy a szóban forgó ügynök aktív-e, és hogy van-e megjelölve.Verify that the agent in question is there and is marked active. Kiépítési ügynökökProvisioning agents

A helyi kiszolgálónOn the local server

Az ügynök futtatásának ellenőrzéséhez kövesse az alábbi lépéseket:To verify that the agent is running follow these steps:

  1. Jelentkezzen be a kiszolgálóra egy rendszergazdai fiókkalLog on to the server with an administrator account
  2. Nyissa meg a szolgáltatásokat vagy navigáljon a szolgáltatáshoz , vagy indítsa el a Start/Run/Services. msc parancsot.Open Services by either navigating to it or by going to Start/Run/Services.msc.
  3. Győződjön meg arról, hogy a szolgáltatásokterületen a Microsoft Azure ad összekapcsolási ügynök frissítése és a Microsoft Azure ad kapcsolat létesítése ügynök van jelen, és az állapota fut.Under Services, make sure Microsoft Azure AD Connect Agent Updater and Microsoft Azure AD Connect Provisioning Agent are present and the status is Running. SzolgáltatásokServices

Azure AD Connect felhőalapú kiépítés konfigurálásaConfigure Azure AD Connect cloud provisioning

A kiépítés konfigurálásához kövesse az alábbi lépéseketUse the following steps to configure provisioning

  1. Jelentkezzen be az Azure AD-portálra.Sign in to the Azure AD portal.
  2. Kattintson Azure Active DirectoryClick Azure Active Directory
  3. Kattintson Azure ad ConnectClick Azure AD Connect
  4. Válassza a felügyelet létesítése (előzetes verzió)  képernyőképet, amely a "kiépítés kezelése (előzetes verzió)" hivatkozást mutatja.Select Manage provisioning (Preview) Screenshot showing "Manage provisioning (Preview)" link.
  5. Az New Configuration  Azure ad-kiépítés (előzetes verzió) képernyő új konfiguráció képernyőképére kattintva kiemelve jelenik meg az "új konfiguráció" hivatkozás.Click New Configuration Screenshot of Azure AD Provisioning (Preview) screen with "New configuration" link highlighted.
  6. A konfiguráció képernyőn adja meg az értesítő e-mailt, helyezze át a választót az engedélyezéshez , majd kattintson a Mentésgombra.On the configuration screen, enter a Notification email, move the selector to Enable and click Save. Képernyőkép a konfigurálásról a képernyőn megjelenő értesítő e-mailben és a kijelölés engedélyezése lapon.Screenshot of Configure screen with Notification email filled in and Enable selected.
  7. A konfigurációs állapotnak most kifogástalannakkell lennie.The configuration status should now be Healthy. Képernyőkép az Azure AD-kiépítési (előzetes) képernyőről, amely kifogástalan állapotot mutat.Screenshot of Azure AD Provisioning (Preview) screen showing Healthy status.

A felhasználók létrehozásának és szinkronizálásának ellenőrzéseVerify users are created and synchronization is occurring

Ekkor ellenőrzi, hogy a helyszíni címtárban lévő felhasználók szinkronizálva lettek-e, és már léteznek-e az Azure AD-bérlőben.You will now verify that the users that you had in our on-premises directory have been synchronized and now exist in our Azure AD tenant. Vegye figyelembe, hogy ez eltarthat néhány óráig.Be aware that this may take a few hours to complete. A felhasználók szinkronizálásának ellenőrzéséhez tegye a következőket.To verify users are synchronized do the following.

  1. Nyissa meg az Azure Portalt, és jelentkezzen be egy Azure-előfizetéssel rendelkező fiókkal.Browse to the Azure portal and sign in with an account that has an Azure subscription.
  2. A bal oldalon válassza a Azure Active DirectoryOn the left, select Azure Active Directory
  3. A Kezelés menüpontban válassza a Felhasználók lehetőséget.Under Manage, select Users.
  4. Ellenőrizze, hogy megjelenik-e az új felhasználók a bérlőbenVerify that you see the new users in our tenant
    SzinkronizálásiSynch

Bejelentkezés az egyik felhasználóvalTest signing in with one of our users

  1. Tallózással keresse meg a https://myapps.microsoft.comBrowse to https://myapps.microsoft.com
  2. Jelentkezzen be egy olyan felhasználói fiókkal, amely az új bérlőben lett létrehozva.Sign in with a user account that was created in our new tenant. A következő formátumban kell bejelentkeznie: ( user@domain.onmicrosoft.com ).You will need to sign in using the following format: (user@domain.onmicrosoft.com). Ugyanazt a jelszót használja, amelyet a felhasználó a helyszíni bejelentkezéshez használ.Use the same password that the user uses to sign in on-premises.
    EllenőrzésVerify

Ezzel sikeresen beállított egy hibrid identitási környezetet, amellyel tesztelheti és megismerheti az Azure által kínált lehetőségeket.You have now successfully setup a hybrid identity environment that you can use to test and familiarize yourself with what Azure has to offer.

Következő lépésekNext steps