Helyszíni AD-tartományok integrálása az Azure AD-vel

Azure Active Directory
Virtual Network
Virtual Machines

Azure Active Directory (Azure AD) egy felhőalapú, több-bérlős címtár és Identity szolgáltatás.Azure Active Directory (Azure AD) is a cloud-based multi-tenant directory and identity service. A referenciaarchitektúra a helyszíni Active Directory-tartományoknak a felhőalapú identitáshitelesítés biztosítása érdekében az Azure AD-vel való integrálására vonatkozó ajánlott eljárásokat jeleníti meg.This reference architecture shows best practices for integrating on-premises Active Directory domains with Azure AD to provide cloud-based identity authentication.

Felhőbeli identitás-architektúra Azure Active Directory használatával

Töltse le az architektúra Visio-fájlját.Download a Visio file of this architecture.

Megjegyzés

Az egyszerűség kedvéért a diagram csak az Azure AD közvetlen kapcsolatait mutatja, valamint a hitelesítés és az identitás-összevonás részeként esetleg felmerülő, nem protokollhoz kötődő forgalmat.For simplicity, this diagram only shows the connections directly related to Azure AD, and not protocol-related traffic that may occur as part of authentication and identity federation. Például egy webalkalmazás átirányíthatja a webböngészőt a kérés hitelesítésére az Azure AD-n keresztül.For example, a web application may redirect the web browser to authenticate the request through Azure AD. A hitelesítés megtörténtét követően a kérés visszaadható a webalkalmazásnak a megfelelő identitásadatokkal.Once authenticated, the request can be passed back to the web application, with the appropriate identity information.

A referenciaarchitektúra tipikus alkalmazásai lehetnek:Typical uses for this reference architecture include:

  • Webalkalmazások üzembe helyezése az Azure-ban, amelyek hozzáférést biztosítanak a vállalat távoli felhasználói számára.Web applications deployed in Azure that provide access to remote users who belong to your organization.
  • Önkiszolgáló képességek implementálása a végfelhasználók számára, például a jelszavak visszaállítására és a csoportfelügyelet delegálására.Implementing self-service capabilities for end-users, such as resetting their passwords, and delegating group management. Ehhez prémium szintű Azure AD kiadásra van szükség.This requires Azure AD Premium edition.
  • Olyan architektúrák, amelyekben a helyszíni hálózat és az alkalmazás Azure virtuális hálózata nem VPN-alagúton vagy ExpressRoute-kapcsolatcsoportoton keresztül kapcsolódik.Architectures in which the on-premises network and the application's Azure VNet are not connected using a VPN tunnel or ExpressRoute circuit.

Megjegyzés

Az Azure AD képes hitelesíteni a szervezet címtárában található felhasználók és alkalmazások identitását.Azure AD can authenticate the identity of users and applications that exist in an organization's directory. Egyes alkalmazások és szolgáltatások, például az SQL Server esetében szükség lehet a számítógép hitelesítésére is, ebben az esetben ez a megoldás nem megfelelő.Some applications and services, such as SQL Server, may require computer authentication, in which case this solution is not appropriate.

További szempontok: Megoldás választása a helyszíni Active Directory Azure-ral való integrálásához.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArchitektúraArchitecture

Az architektúra a következő összetevőket tartalmazza.The architecture has the following components.

  • Azure ad-bérlő.Azure AD tenant. A vállalat által létrehozott Azure AD-példány.An instance of Azure AD created by your organization. Ez a helyszíni Active Directoryból másolt objektumok tárolásával címtárszolgáltatásként szolgál a felhőalapú alkalmazásokhoz, valamint identitásszolgáltatásokat biztosít.It acts as a directory service for cloud applications by storing objects copied from the on-premises Active Directory and provides identity services.

  • Alhálózat a webes rétegben.Web tier subnet. Ez az alhálózat webalkalmazásokat futtató virtuális gépeket tartalmaz.This subnet holds VMs that run a web application. Az Azure AD szolgálhat identitásközvetítőként ehhez az alkalmazáshoz.Azure AD can act as an identity broker for this application.

  • Helyszíni AD DS-kiszolgáló.On-premises AD DS server. Helyszíni címtár-és Identitáskezelő szolgáltatás.An on-premises directory and identity service. Az AD DS könyvtárat szinkronizálhatja az Azure AD-vel, hogy lehetővé váljon a helyszíni felhasználók hitelesítése.The AD DS directory can be synchronized with Azure AD to enable it to authenticate on-premises users.

  • Azure AD Connect szinkronizálási kiszolgáló.Azure AD Connect sync server. Az Azure AD Connect szinkronizálási szolgáltatást futtató helyszíni számítógép.An on-premises computer that runs the Azure AD Connect sync service. Ez a szolgáltatás szinkronizálja az Active Directoryban tárolt adatokat az Azure AD-vel.This service synchronizes information held in the on-premises Active Directory to Azure AD. Például ha a helyszíni környezetben kioszt vagy megszüntet csoportokat vagy felhasználókat, ezeket a változásokat az Azure AD-be is propagálja a rendszer.For example, if you provision or deprovision groups and users on-premises, these changes propagate to Azure AD.

    Megjegyzés

    Biztonsági okokból az Azure AD a felhasználói jelszavakat kivonatként tárolja.For security reasons, Azure AD stores user's passwords as a hash. Ha a felhasználó jelszavát vissza kell állítani, ezt a helyszíni környezetben kell elvégezni, majd az új kivonatot le kell küldeni az Azure AD-be.If a user requires a password reset, this must be performed on-premises and the new hash must be sent to Azure AD. Az Azure AD Premium Edition kiadásainak szolgáltatásaival automatizálható ez a feladat, így a felhasználók maguk állíthatják vissza a jelszavaikat.Azure AD Premium editions include features that can automate this task to enable users to reset their own passwords.

  • Virtuális gépek az N szintű alkalmazáshoz.VMs for N-tier application. Ezekkel az erőforrásokkal kapcsolatban további információkért lásd: Virtuális gépek futtatása N szintű architektúrához.For more information about these resources, see Run VMs for an N-tier architecture.

JavaslatokRecommendations

Az alábbi javaslatok a legtöbb forgatókönyvre vonatkoznak.The following recommendations apply for most scenarios. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.Follow these recommendations unless you have a specific requirement that overrides them.

Azure AD Connect szinkronizálási szolgáltatásAzure AD Connect sync service

Az Azure AD Connect szinkronizálási szolgáltatás biztosítja, hogy a felhőben tárolt identitásadatok összhangban legyenek a helyszínen tároltakkal.The Azure AD Connect sync service ensures that identity information stored in the cloud is consistent with that held on-premises. A szolgáltatás az Azure AD Connect szoftver használatával telepíthető.You install this service using the Azure AD Connect software.

Az Azure AD Connect szinkronizálási szolgáltatás implementálása előtt mérje fel a vállalat szinkronizálási követelményeit.Before implementing Azure AD Connect sync, determine the synchronization requirements of your organization. Például hogy mit kell szinkronizálni, melyik tartományokból és milyen gyakran.For example, what to synchronize, from which domains, and how frequently. További információkért lásd: A címtár-szinkronizálási követelmények felmérése.For more information, see Determine directory synchronization requirements.

Az Azure AD Connect szinkronizálási szolgáltatást futtathatja egy virtuális gépen vagy egy helyszínen üzemeltetett számítógépen is.You can run the Azure AD Connect sync service on a VM or a computer hosted on-premises. Az Active Directory-címtárban lévő információk változékonyságától függően az Azure AD Connect szinkronizálási szolgáltatás terhelése az Azure AD első szinkronizálását követően valószínűleg nem lesz túl magas.Depending on the volatility of the information in your Active Directory directory, the load on the Azure AD Connect sync service is unlikely to be high after the initial synchronization with Azure AD. A szolgáltatás egy virtuális gépen futtatva szükség esetén könnyebben skálázható.Running the service on a VM makes it easier to scale the server if needed. A virtuális gép tevékenységének monitorozásával (lásd a Monitorozási szempontok című szakaszt) állapíthatja meg, hogy van-e szükség skálázásra.Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.

Ha több helyszíni tartománnyal rendelkezik egy erdőben, javasoljuk, hogy a teljes erdőre vonatkozó adatokat egyetlen Azure AD-bérlőn tárolja és szinkronizálja.If you have multiple on-premises domains in a forest, we recommend storing and synchronizing information for the entire forest to a single Azure AD tenant. Szűrje a több tartományban is előforduló identitásokra vonatkozó információkat, hogy elkerülje a duplikációt, és minden egyes identitás csak egyszer jelenjen meg az Azure AD-ben.Filter information for identities that occur in more than one domain, so that each identity appears only once in Azure AD, rather than being duplicated. A duplikáció inkonzisztenciához vezethet az adatok szinkronizálásakor.Duplication can lead to inconsistencies when data is synchronized. További információkért lásd alább a Topológia című szakaszt.For more information, see the Topology section below.

Szűréssel biztosítsa, hogy csak a szükséges adatok legyenek az Azure AD-ben tárolva.Use filtering so that only necessary data is stored in Azure AD. Lehetséges például, hogy a vállalat az inaktív fiókok adatait nem szeretné az Azure AD-ben tárolni.For example, your organization might not want to store information about inactive accounts in Azure AD. A szűrés történhet csoport, tartomány, szervezeti egység (OU) vagy attribútum alapján.Filtering can be group-based, domain-based, organization unit (OU)-based, or attribute-based. A szűrők kombinálásával összetettebb szabályok is létrehozhatók.You can combine filters to generate more complex rules. Például szinkronizálhatja egy adott tartománynak csak azokat az adatait, amelyek egy adott értékkel rendelkeznek egy kijelölt attribútumban.For example, you could synchronize objects held in a domain that have a specific value in a selected attribute. Részletes információkért lásd: Az Azure AD Connect szinkronizálása: a szűrés konfigurálása.For detailed information, see Azure AD Connect sync: Configure Filtering.

Az AD Connect szinkronizálási szolgáltatás magas rendelkezésre állásának implementálásához futtasson egy másodlagos átmeneti kiszolgálót.To implement high availability for the AD Connect sync service, run a secondary staging server. További információért lásd a Topológiai javaslatok című szakaszt.For more information, see the Topology recommendations section.

Biztonsági javaslatokSecurity recommendations

Felhasználói jelszavas kezelés.User password management. Az Azure AD Premium Edition kiadásai támogatják a jelszóvisszaírást, így a helyi felhasználók önkiszolgálóan állíthatják vissza jelszavaikat az Azure Portalon.The Azure AD Premium editions support password writeback, enabling your on-premises users to perform self-service password resets from within the Azure portal. Ezt a funkciót csak a szervezet jelszavas biztonsági házirendjének áttekintése után lehet engedélyezni.This feature should be enabled only after reviewing your organization's password security policy. Például korlátozhatja, hogy mely felhasználók módosíthassák a jelszavukat, és testre szabhatja a jelszókezelési folyamatot.For example, you can restrict which users can change their passwords, and you can tailor the password management experience. További információkért lásd: A jelszókezelés testreszabása a vállalat igényeinek megfelelően.For more information, see Customizing Password Management to fit your organization's needs.

A kívülről elérhető helyszíni alkalmazások védelme.Protect on-premises applications that can be accessed externally. Az Azure AD-alkalmazásproxy segítségével szabályozott hozzáférést biztosíthat a külső felhasználók számára a helyszíni webalkalmazásokhoz.Use the Azure AD Application Proxy to provide controlled access to on-premises web applications for external users through Azure AD. Az alkalmazást csak azok a felhasználók használhatják, akik érvényes hitelesítő adatokkal rendelkeznek az Azure-címtárban.Only users that have valid credentials in your Azure directory have permission to use the application. További információkért lásd a következő cikket: Alkalmazásproxy engedélyezése az Azure Portalon.For more information, see the article Enable Application Proxy in the Azure portal.

Az Azure AD aktív monitorozása a gyanús tevékenységek jeleinek észlelésére.Actively monitor Azure AD for signs of suspicious activity. Vegye fontolóra az Azure AD Premium P2 kiadás használatát, amely tartalmazza az Azure AD Identity Protection szolgáltatást is.Consider using Azure AD Premium P2 edition, which includes Azure AD Identity Protection. Az Identity Protection adaptív gépi tanulási algoritmusok és heurisztika segítségével észleli a rendellenességeket és a kockázati eseményeket, amelyek azt jelezhetik, hogy valamely identitás biztonsága sérült.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that may indicate that an identity has been compromised. Például képes észlelni a potenciálisan szokatlan tevékenységeket, például a szabálytalan bejelentkezési tevékenységeket, az ismeretlen forrásból vagy gyanús tevékenységeket mutató IP-címekről származó bejelentkezéseket, vagy az esetleg fertőzött eszközökről való bejelentkezéseket.For example, it can detect potentially unusual activity such as irregular sign-in activities, sign-ins from unknown sources or from IP addresses with suspicious activity, or sign-ins from devices that may be infected. Az adatok alapján az Identity Protection jelentéseket és riasztásokat hoz létre, amelyek segítségével megvizsgálhatja a kockázati eseményeket, és megteheti a szükséges intézkedéseket.Using this data, Identity Protection generates reports and alerts that enables you to investigate these risk events and take appropriate action. További információkért lásd: Azure Active Directory Identity Protection.For more information, see Azure Active Directory Identity Protection.

Az Azure Portalon az Azure AD jelentéskészítési szolgáltatásával monitorozhatja a rendszerben előforduló, a biztonsággal kapcsolatos tevékenységeket.You can use the reporting feature of Azure AD in the Azure portal to monitor security-related activities occurring in your system. A jelentések használatával kapcsolatos további információkért lásd az Azure Active Directory jelentéskészítési útmutatóját.For more information about using these reports, see Azure Active Directory Reporting Guide.

Topológiai javaslatokTopology recommendations

Az Azure AD Connect megfelelő konfigurálásával valósítsa meg a vállalat követelményeihez leginkább illő topológiát.Configure Azure AD Connect to implement a topology that most closely matches the requirements of your organization. A Azure AD Connect által támogatott topológiák a következők:Topologies that Azure AD Connect supports include:

  • Egyetlen erdő, egyetlen Azure AD-címtár.Single forest, single Azure AD directory. Ebben a topológiában az Azure AD Connect az objektumokat és az identitásadatokat egyetlen helyszíni erdő egy vagy több tartományából egyetlen Azure AD-bérlőre szinkronizálja.In this topology, Azure AD Connect synchronizes objects and identity information from one or more domains in a single on-premises forest into a single Azure AD tenant. Ez az Azure AD Connect gyorstelepítés során megvalósított alapértelmezett topológia.This is the default topology implemented by the express installation of Azure AD Connect.

    Megjegyzés

    Ne használjon több Azure AD Connect szinkronizálási kiszolgálót az egyazon helyszíni erdőben lévő különböző tartományok egyazon Azure AD-bérlőre való csatlakoztatására, hacsak nem egy átmeneti módban futó kiszolgálót futtat (lásd alább).Don't use multiple Azure AD Connect sync servers to connect different domains in the same on-premises forest to the same Azure AD tenant, unless you are running a server in staging mode, described below.

  • Több erdő, egyetlen Azure AD-címtár.Multiple forests, single Azure AD directory. Ebben a topológiában az Azure AD Connect az objektumokat és az identitásadatokat több erdőből egyetlen Azure AD-bérlőre szinkronizálja.In this topology, Azure AD Connect synchronizes objects and identity information from multiple forests into a single Azure AD tenant. Akkor alkalmazza ezt a topológiát, ha a vállalat több helyszíni erdővel rendelkezik.Use this topology if your organization has more than one on-premises forest. Az identitásadatok konszolidálhatóak, így mindegyik egyedi felhasználói egyszer csak jelenik meg az Azure AD-címtárban, még akkor is, ha ugyanaz a felhasználó több erdőben is szerepel.You can consolidate identity information so that each unique user is represented once in the Azure AD directory, even if the same user exists in more than one forest. Mindegyik erdő ugyanazt az Azure AD Connect szinkronizálási kiszolgálót használja.All forests use the same Azure AD Connect sync server. Az Azure AD Connect szinkronizálási kiszolgálónak egyik tartományhoz sem kell tartoznia, de mindegyik erdőből elérhetőnek kell lennie.The Azure AD Connect sync server does not have to be part of any domain, but it must be reachable from all forests.

    Megjegyzés

    Ebben a topológiában ne használjon külön Azure AD Connect szinkronizálási kiszolgálókat az egyes helyszíni erdők egy adott Azure AD-bérlőre való csatlakoztatásához.In this topology, don't use separate Azure AD Connect sync servers to connect each on-premises forest to a single Azure AD tenant. Ez az identitásadatok duplikálását eredményezheti az Azure AD-ben, ha a felhasználók több erdőben is jelen vannak.This can result in duplicated identity information in Azure AD if users are present in more than one forest.

  • Több erdő, külön topológiák.Multiple forests, separate topologies. Ez a topológia több külön erdőből egyesít identitásadatokat egyetlen Azure AD-bérlőre az egyes erdőket külön entitásokként kezelve.This topology merges identity information from separate forests into a single Azure AD tenant, treating all forests as separate entities. Ez a topológia akkor hasznos, ha több vállalat erdőit egyesíti, és mindegyik felhasználó identitásadatai csak egy erdőben találhatóak meg.This topology is useful if you are combining forests from different organizations and the identity information for each user is held in only one forest.

    Megjegyzés

    Ha az egyes erdők globális címlistái (GAL) szinkronizálva vannak, az egyes erdőkben lévő felhasználók egy másik erdőben kapcsolatként jelen lehetnek.If the global address lists (GAL) in each forest are synchronized, a user in one forest may be present in another as a contact. Ez akkor fordulhat elő, ha a vállalat a Forefront Identity Manager 2010 vagy a Microsoft Identity Manager 2016 használatával megvalósította a GALSyncet.This can occur if your organization has implemented GALSync with Forefront Identity manager 2010 or Microsoft Identity Manager 2016. Ebben a forgatókönyvben, megadhatja, hogy a felhasználók a Mail attribútumukkal legyenek azonosítva.In this scenario, you can specify that users should be identified by their Mail attribute. Az identitásokat az ObjectSID és az msExchMasterAccountSID attribútumok használatával is egyeztetheti.You can also match identities using the ObjectSID and msExchMasterAccountSID attributes. Ez akkor hasznos, ha egy vagy több, letiltott fiókokat tartalmazó erőforráserdővel rendelkezik.This is useful if you have one or more resource forests with disabled accounts.

  • Átmeneti kiszolgáló.Staging server. Ebben a konfigurációban egy második Azure AD Connect szinkronizálási kiszolgáló példányt futtat az elsővel párhuzamosan.In this configuration, you run a second instance of the Azure AD Connect sync server in parallel with the first. Ez a struktúra az alábbiakhoz hasonló forgatókönyveket tesz lehetővé:This structure supports scenarios such as:

    • Magas rendelkezésre állás.High availability.

    • Az Azure AD Connect szinkronizálási kiszolgáló új konfigurációjának tesztelése és üzembe helyezése.Testing and deploying a new configuration of the Azure AD Connect sync server.

    • Új kiszolgáló bevezetése és a régi konfiguráció leszerelése.Introducing a new server and decommissioning an old configuration.

      Ezekben a forgatókönyvekben a második példány átmeneti módban fut.In these scenarios, the second instance runs in staging mode. A kiszolgáló rögzíti az importált objektumokat és a szinkronizálási adatokat az adatbázisában, de nem továbbítja azokat az Azure AD szolgáltatásba.The server records imported objects and synchronization data in its database, but does not pass the data to Azure AD. Ha letiltja az átmeneti módot, a kiszolgáló elkezdi az adatokat az Azure AD-be írni, valamint visszaírni a jelszavakat a helyszíni címtárakba (ahol alkalmazható).If you disable staging mode, the server starts writing data to Azure AD, and also starts performing password write-backs into the on-premises directories where appropriate. További információkért lásd: Az Azure AD Connect szinkronizálása: üzemeltetési feladatok és szempontok.For more information, see Azure AD Connect sync: Operational tasks and considerations.

  • Több Azure AD-címtár.Multiple Azure AD directories. Egy vállalathoz egyetlen Azure AD-címtárat javasolt létrehozni, de előfordulhatnak olyan esetek, amikor az adatokat külön Azure AD-címtárakba kell particionálni.It is recommended that you create a single Azure AD directory for an organization, but there may be situations where you need to partition information across separate Azure AD directories. Ebben az esetben a szinkronizálási és jelszó-visszaírási problémák elkerülése érdekében gondoskodjon róla, hogy a helyi erdő minden objektuma csak egyetlen Azure AD-címtárban jelenjen meg.In this case, avoid synchronization and password write-back issues by ensuring that each object from the on-premises forest appears in only one Azure AD directory. A forgatókönyv implementálásához konfiguráljon külön Azure AD Connect szinkronizálási kiszolgálót minden egyes Azure AD-címtárhoz, és szűrés segítségével biztosítsa, hogy az egyes Azure AD Connect szinkronizálási kiszolgálók egymást kölcsönösen kizáró objektumhalmazokon működjenek.To implement this scenario, configure separate Azure AD Connect sync servers for each Azure AD directory, and use filtering so that each Azure AD Connect sync server operates on a mutually exclusive set of objects.

További információk ezekről a topológiákról: Azure AD Connect-topológiák.For more information about these topologies, see Topologies for Azure AD Connect.

FelhasználóhitelesítésUser authentication

Alapértelmezés szerint a Azure AD Connect szinkronizálási kiszolgáló a jelszó-kivonatolási szinkronizálást konfigurálja a helyszíni tartomány és az Azure AD között, és az Azure AD szolgáltatás feltételezi, hogy a felhasználók ugyanazt a jelszót használják, mint a helyszínen.By default, the Azure AD Connect sync server configures password hash synchronization between the on-premises domain and Azure AD, and the Azure AD service assumes that users authenticate by providing the same password that they use on-premises. A legtöbb vállalat számára ez megfelelő, de érdemes figyelembe venni a vállalat meglévő szabályzatait és infrastruktúráját.For many organizations, this is appropriate, but you should consider your organization's existing policies and infrastructure. Például:For example:

  • Előfordulhat, hogy a szervezet biztonsági házirendje tiltja a jelszó-kivonatok felhőbe való szinkronizálását.The security policy of your organization may prohibit synchronizing password hashes to the cloud. Ebben az esetben a szervezetnek áteresztő hitelesítéstkell megfontolnia.In this case, your organization should consider pass-through authentication.
  • Esetleg az lehet az elvárás, hogy a felhasználók a felhőerőforrásokat a vállalati hálózaton lévő, tartományra csatlakozott gépekről zökkenőmentes egyszeri bejelentkezéssel (SSO) érhessék el.You might require that users experience seamless single sign-on (SSO) when accessing cloud resources from domain-joined machines on the corporate network.
  • Lehet, hogy a szervezete már rendelkezik Active Directory összevonási szolgáltatások (AD FS) (AD FS) vagy egy külső gyártótól származó összevonási szolgáltatóval.Your organization might already have Active Directory Federation Services (AD FS) or a third-party federation provider deployed. Az Azure AD megfelelő konfigurálásával ez az infrastruktúra beállítható a felhőben tárolt jelszóadatok helyett a hitelesítés és az egyszeri bejelentkezés használatára.You can configure Azure AD to use this infrastructure to implement authentication and SSO rather than by using password information held in the cloud.

További információ: Azure ad Connect felhasználói bejelentkezési lehetőségek.For more information, see Azure AD Connect User Sign-on options.

Azure AD-alkalmazásproxyAzure AD application proxy

Az Azure AD használatával biztosíthatja a helyszíni alkalmazások elérését.Use Azure AD to provide access to on-premises applications.

A helyszíni webalkalmazásokat megnyithatja az Azure AD-alkalmazásproxy összetevő által kezelt alkalmazásproxy-összekötők használatával.Expose your on-premises web applications using application proxy connectors managed by the Azure AD application proxy component. Az alkalmazásproxy-összekötő kimenő hálózati kapcsolatot nyit az Azure AD-alkalmazásproxyhoz, és a távoli felhasználók kéréseit a rendszer az Azure AD-ből ezen a kapcsolaton keresztül irányítja vissza a webalkalmazásokba.The application proxy connector opens an outbound network connection to the Azure AD application proxy, and remote users' requests are routed back from Azure AD through this connection to the web apps. Így nem szükséges helyszíni bemenő portokat nyitni a helyszíni tűzfalon, és csökken a vállalat támadási felülete.This removes the need to open inbound ports in the on-premises firewall and reduces the attack surface exposed by your organization.

További információkért lásd: Alkalmazások közzététele az Azure AD-alkalmazásproxyval.For more information, see Publish applications using Azure AD Application proxy.

ObjektumszinkronizációObject synchronization

Az Azure AD Connect alapértelmezett konfigurációja szinkronizálja az objektumokat a helyi Active Directory könyvtárából a következő cikkben megadott szabályok alapján : Azure ad Connect Sync: az alapértelmezett konfiguráció ismertetése.The default configuration for Azure AD Connect synchronizes objects from your local Active Directory directory based on the rules specified in the article Azure AD Connect sync: Understanding the default configuration. A szabályoknak megfelelő objektumok szinkronizálva lesznek, a többi objektum figyelmen kívül lesz hagyva.Objects that satisfy these rules are synchronized while all other objects are ignored. Néhány példa szabály:Some example rules:

  • A felhasználói objektumoknak rendelkezniük kell egy egyedi sourceAnchor attribútummal, és az accountEnabled attribútumnak ki kell lennie töltve.User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.
  • A felhasználói objektumoknak rendelkezniük kell egy sAMAccountName attribútummal, és nem kezdődhetnek az Azure AD_ vagy MSOL_ szövegrésszel.User objects must have a sAMAccountName attribute and cannot start with the text Azure AD_ or MSOL_.

Az Azure AD Connect több szabályt is alkalmaz a felhasználói, kapcsolattartói, csoport-, ForeignSecurityPrincipal és számítógép-objektumokra.Azure AD Connect applies several rules to User, Contact, Group, ForeignSecurityPrincipal, and Computer objects. Szükség esetén az Azure AD Connecttel telepített szinkronizálási szabályszerkesztővel módosíthatja az alapértelmezett szabálykészletet.Use the Synchronization Rules Editor installed with Azure AD Connect if you need to modify the default set of rules. További információért lásd: Az Azure AD Connect szinkronizálása: az alapértelmezett konfiguráció ismertetése.For more information, see Azure AD Connect sync: Understanding the default configuration).

Saját szűrők megadásával korlátozhatja a tartomány vagy szervezeti egység által szinkronizálandó objektumok mennyiségét.You can also define your own filters to limit the objects to be synchronized by domain or OU. Másik megoldásként alkalmazhat összetettebb egyéni szűrőket is, amilyenek például a következő szakaszban vannak leírva: Az Azure AD Connect szinkronizálása: a szűrés konfigurálása.Alternatively, you can implement more complex custom filtering such as that described in Azure AD Connect sync: Configure Filtering.

FigyelésMonitoring

Az állapotmonitorozást a következő, helyszínen telepített ügynökök végzik:Health monitoring is performed by the following agents installed on-premises:

  • Az Azure AD Connect telepít egy ügynököt, amely a szinkronizálási műveletekre vonatkozó adatokat rögzíti.Azure AD Connect installs an agent that captures information about synchronization operations. Az Azure Portalon az Azure AD Connect Health panelen monitorozhatja az állapotát és a teljesítményét.Use the Azure AD Connect Health blade in the Azure portal to monitor its health and performance. További információkért lásd: Az Azure AD Connect Health szinkronizálási szolgáltatás használata.For more information, see Using Azure AD Connect Health for sync.
  • Az AD DS-tartományok és -címtárak Azure-ból való monitorozásához telepítse az Azure AD Connect Health for AD DS-ügynököt egy, a helyszíni tartományban lévő gépen.To monitor the health of the AD DS domains and directories from Azure, install the Azure AD Connect Health for AD DS agent on a machine within the on-premises domain. Az Azure Portal Azure Active Directory Connect Health panele használatával monitorozható az állapot.Use the Azure Active Directory Connect Health blade in the Azure portal for health monitoring. További információkért lásd: Az Azure AD Connect Health használata az AD DS szolgáltatássalFor more information, see Using Azure AD Connect Health with AD DS
  • Telepítse az Azure AD Connect Health for AD FS-ügynököt a helyszínen futó szolgáltatások állapotának monitorozására, és az Azure Portal Azure Active Directory Connect Health panelén monitorozhatja az AD FS-t.Install the Azure AD Connect Health for AD FS agent to monitor the health of services running on on-premises, and use the Azure Active Directory Connect Health blade in the Azure portal to monitor AD FS. További információkért lásd: Az Azure AD Connect Health használata az AD FS szolgáltatássalFor more information, see Using Azure AD Connect Health with AD FS

Az AD Connect Health-ügynökök telepítésével és a vonatkozó követelményekkel kapcsolatos további információkért lásd: Az Azure AD Connect Health-ügynök telepítése.For more information on installing the AD Connect Health agents and their requirements, see Azure AD Connect Health Agent Installation.

Méretezési szempontokScalability considerations

Az Azure AD szolgáltatás támogatja a replikaalapú skálázást, egy az írási műveleteket kezelő elsődleges replikával és több csak olvasható másodlagos replikával.The Azure AD service supports scalability based on replicas, with a single primary replica that handles write operations plus multiple read-only secondary replicas. Az Azure AD transzparens módon átirányítja a másodlagos replikákra irányuló írási kísérleteket az elsődleges replikára, majd biztosítja a végleges konzisztenciát.Azure AD transparently redirects attempted writes made against secondary replicas to the primary replica and provides eventual consistency. Az elsődleges replikán végrehajtott valamennyi módosítás propagálva lesz a másodlagos replikákra.All changes made to the primary replica are propagated to the secondary replicas. Ez az architektúra jól skálázható, mivel az Azure AD-re irányuló műveletek nagy része olvasási, nem pedig írási művelet.This architecture scales well because most operations against Azure AD are reads rather than writes. További információkért lásd: Azure AD: a georedundáns, magas rendelkezésre állású, elosztott felhőcímtárunk technikai részletei.For more information, see Azure AD: Under the hood of our geo-redundant, highly available, distributed cloud directory.

Az Azure AD Connect szinkronizálási kiszolgáló esetében határozza meg, hogy várhatóan hány objektumot fog szinkronizálni a helyi címtárból.For the Azure AD Connect sync server, determine how many objects you are likely to synchronize from your local directory. Ha az objektumok száma kevesebb mint 100 000, használhatja az Azure AD Connecttel biztosított alapértelmezett SQL Server Express LocalDB szoftvert.If you have less than 100,000 objects, you can use the default SQL Server Express LocalDB software provided with Azure AD Connect. Nagyobb mennyiségű objektum esetén telepítse az SQL-kiszolgáló éles verzióját, és végezze el az Azure AD Connect egyéni telepítését, amely során megadja, hogy annak az SQL Server egy meglévő példányát kell használnia.If you have a larger number of objects, you should install a production version of SQL Server and perform a custom installation of Azure AD Connect, specifying that it should use an existing instance of SQL Server.

Rendelkezésre állási szempontokAvailability considerations

Az Azure AD szolgáltatás földrajzilag elosztott, és világszerte több adatközpontban fut, automatizált feladatátvételsel.The Azure AD service is geo-distributed and runs in multiple datacenters spread around the world with automated failover. Ha egy adatközpont elérhetetlenné válik, az Azure AD biztosítja, hogy a címtáradatok legalább két, regionálisan elosztott adatközpontban elérhetők legyenek a hozzáféréshez.If a datacenter becomes unavailable, Azure AD ensures that your directory data is available for instance access in at least two more regionally dispersed datacenters.

Megjegyzés

A Microsoft 365 apps AD-szint és a prémium szintű szolgáltatások szolgáltatói szerződése (SLA) legalább 99,9%-os rendelkezésre állást garantál.The service level agreement (SLA) for the Microsoft 365 Apps AD tier and Premium services guarantees at least 99.9% availability. Az Azure AD ingyenes szintjéhez nem tartozik SLA.There is no SLA for the Free tier of Azure AD. További információt az Azure Active Directory szolgáltatói szerződést ismertető szakaszban talál.For more information, see SLA for Azure Active Directory.

Fontolja meg az Azure AD Connect szinkronizálási kiszolgáló egy második példányának átmeneti módú kiépítését a rendelkezésre állás növelése érdekében, amint azt a Topológiai javaslatok című szakasz ismerteti.Consider provisioning a second instance of Azure AD Connect sync server in staging mode to increase availability, as discussed in the topology recommendations section.

Ha nem az Azure AD Connecthez tartozó SQL Server Express LocalDB-példányt használja, vegye fontolóra az SQL-fürtözés alkalmazását a magas rendelkezésre állás eléréséhez.If you are not using the SQL Server Express LocalDB instance that comes with Azure AD Connect, consider using SQL clustering to achieve high availability. Az Azure AD Connect a tükrözést, az Always Ont és a hasonló megoldásokat nem támogatja.Solutions such as mirroring and Always On are not supported by Azure AD Connect.

Az Azure AD Connect szinkronizálási kiszolgáló magas rendelkezésre állásának biztosításával, valamint a meghibásodások utáni helyreállítással kapcsolatos további szempontokat lásd: Azure AD Connect-szinkronizálás: üzemeltetési feladatok és szempontok – vészhelyreállítás.For additional considerations about achieving high availability of the Azure AD Connect sync server and also how to recover after a failure, see Azure AD Connect sync: Operational tasks and considerations - Disaster Recovery.

Felügyeleti szempontokManageability considerations

Az Azure AD kezelése kapcsán két szempontot kell figyelembe venni:There are two aspects to managing Azure AD:

  • Az Azure AD felügyelete a felhőben.Administering Azure AD in the cloud.
  • Az Azure AD Connect szinkronizálási kiszolgálók karbantartása.Maintaining the Azure AD Connect sync servers.

Az Azure AD a következő lehetőségeket kínálja a tartományok és a címtárak kezeléséhez a felhőben:Azure AD provides the following options for managing domains and directories in the cloud:

  • Azure Active Directory PowerShell-modul.Azure Active Directory PowerShell Module. Akkor használja ezt a modult, ha általános Azure AD felügyeleti feladatokat kell szkriptelnie, például felhasználó- és tartománykezelést, valamint az egyszeri bejelentkezés konfigurálását.Use this module if you need to script common Azure AD administrative tasks such as user management, domain management, and configuring single sign-on.
  • Az Azure Portal Azure AD-felügyelet panele.Azure AD management blade in the Azure portal. Ez a panel a címtár interaktív felügyeleti nézetét mutatja, és lehetővé teszi az Azure AD legtöbb funkciójának vezérlését és konfigurálását.This blade provides an interactive management view of the directory, and enables you to control and configure most aspects of Azure AD.

Az Azure AD Connect a következő eszközöket telepíti a helyszíni gépekről induló Azure AD Connect szinkronizálási szolgáltatások karbantartásához:Azure AD Connect installs the following tools to maintain Azure AD Connect sync services from your on-premises machines:

  • Microsoft Azure Active Directory Connect-konzol.Microsoft Azure Active Directory Connect console. Ezzel az eszközzel módosíthatja az Azure AD Sync-kiszolgáló konfigurációját, testre szabhatja a szinkronizálás menetét, engedélyezheti vagy letilthatja az átmeneti módot, és átállíthatja a felhasználói bejelentkezési módot.This tool enables you to modify the configuration of the Azure AD Sync server, customize how synchronization occurs, enable or disable staging mode, and switch the user sign-in mode. A helyszíni infrastruktúrával Active Directory FS-bejelentkezést is engedélyezheti.You can enable Active Directory FS sign-in using your on-premises infrastructure.
  • Synchronization Service Manager.Synchronization Service Manager. Az eszköz Műveletek lapján felügyelheti a szinkronizálás folyamatát, és észlelheti, ha a folyamat bármely része meghiúsult.Use the Operations tab in this tool to manage the synchronization process and detect whether any parts of the process have failed. Az eszköz használatával manuálisan indíthatja a szinkronizálást.You can trigger synchronizations manually using this tool. Az Összekötők lapon felügyelheti a tartományok összekötőit, amelyekhez a szinkronizáló vezérlő csatlakozik.The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.
  • Szinkronizálási szabályszerkesztő.Synchronization Rules Editor. Az eszköz segítségével testre szabhatja az objektumok átalakításának módját azok másolása során a helyszíni címtár és az Azure AD között.Use this tool to customize the way objects are transformed when they are copied between an on-premises directory and Azure AD. Az eszköz segítségével további attribútumokat és objektumokat adhat meg a szinkronizáláshoz, majd szűrők alkalmazásával határozhatja meg, hogy mely objektumok legyenek vagy ne legyenek szinkronizálva.This tool enables you to specify additional attributes and objects for synchronization, then executes filters to determine which objects should or should not be synchronized. További információkért lásd Az Azure AD Connect szinkronizálása: az alapértelmezett konfiguráció ismertetése című dokumentum Szinkronizálási szabályszerkesztő című szakaszát.For more information, see the Synchronization Rule Editor section in the document Azure AD Connect sync: Understanding the default configuration.

Az Azure AD Connect kezelésével kapcsolatos további információkért és tippekért lásd: Az Azure AD Connect szinkronizálása: ajánlott eljárások az alapértelmezett konfiguráció módosításához.For more information and tips for managing Azure AD Connect, see Azure AD Connect sync: Best practices for changing the default configuration.

Biztonsági szempontokSecurity considerations

Feltételes hozzáférés-vezérlés használatával utasítsa el a váratlan forrásokból származó hitelesítési kéréseket:Use conditional access control to deny authentication requests from unexpected sources:

  • Trigger Azure Active Directory multi-Factor Authentication (MFA) , ha egy felhasználó nem megbízható helyről próbál csatlakozni, például egy megbízható hálózat helyett az interneten keresztül.Trigger Azure Active Directory Multi-Factor Authentication (MFA) if a user attempts to connect from a untrusted location such as across the Internet instead of a trusted network.

  • A felhasználó eszközének platformtípusa (iOS, Android, Windows Mobile, Windows) alapján határozza meg az alkalmazásokra és szolgáltatásokra vonatkozó hozzáférési szabályzatot.Use the device platform type of the user (iOS, Android, Windows Mobile, Windows) to determine access policy to applications and features.

  • Rögzítse a felhasználói eszközök engedélyezett/letiltott állapotát, és építse be ezeket az információkat is a hozzáférési szabályzat ellenőrzéseibe.Record the enabled/disabled state of users' devices, and incorporate this information into the access policy checks. Például ha a felhasználó telefonja elveszett vagy ellopták, azt letiltottként kell rögzíteni, hogy ne lehessen a hozzáféréshez felhasználni.For example, if a user's phone is lost or stolen it should be recorded as disabled to prevent it from being used to gain access.

  • Szabályozza a felhasználók erőforrásokhoz való hozzáférését csoporttagság alapján.Control user access to resources based on group membership. Az Azure AD dinamikus tagsági szabályainak segítségével egyszerűsítheti a csoportok adminisztrációját.Use Azure AD dynamic membership rules to simplify group administration. Ennek rövid áttekintéséért lásd: Bevezetés a dinamikus csoporttagságba.For a brief overview of how this works, see Introduction to Dynamic Memberships for Groups.

  • Az Azure AD Identity Protection feltételes hozzáférési kockázati szabályzatainak használatával gondoskodjon megfelelő védelemről a szokatlan bejelentkezési tevékenységek és egyéb események figyelésével.Use conditional access risk policies with Azure AD Identity Protection to provide advanced protection based on unusual sign-in activities or other events.

További információkért lásd: Azure Active Directory feltételes hozzáférés.For more information, see Azure Active Directory conditional access.

A DevOps megfontolandó szempontjaiDevOps considerations

A DevOps kapcsolatos megfontolásokért lásd : DevOps (AD DS) Active Directory Domain Services kiterjesztése az Azure-ra.For DevOps considerations, see DevOps: Extending Active Directory Domain Services (AD DS) to Azure.

Költségekkel kapcsolatos szempontokCost considerations

Az Azure díjkalkulátorával megbecsülheti költségeit.Use the Azure pricing calculator to estimate costs. További szempontokat a Microsoft Azure Well-Architected-keretrendszerCost szakasza tartalmaz.Other considerations are described in the Cost section in Microsoft Azure Well-Architected Framework.

Az alábbiakban az architektúrában használt szolgáltatások díjszabása látható.Here are cost considerations for the services used in this architecture.

Azure AD ConnectAzure AD Connect

Az Azure Active Directory által kínált kiadásokkal kapcsolatos információkért lásd: az Azure ad díjszabása.For information about the editions offered by Azure Active Directory, see Azure AD pricing. Az AD-összekötő szinkronizálási funkciója minden kiadásban elérhető.The AD Connect sync feature is available in all editions.

Virtuális gépek N szintű alkalmazáshozVMs for N-Tier application

Ezen erőforrásokra vonatkozó költségadatok esetében futtassa a virtuális gépeket egy N szintű architektúrához.For cost information about these resources, Run VMs for an N-tier architecture.