A Microsoft Entra ID egy felhőalapú, több-bérlős címtár- és identitásszolgáltatás. Ez a referenciaarchitektúra a felhőalapú identitáshitelesítés biztosításához ajánlott eljárásokat mutat be helyi Active Directory tartományok Microsoft Entra-azonosítóval való integrálásához.
Felépítés
A Visio-diagram online elérése a Microsoft 365-ben. Vegye figyelembe, hogy a diagram eléréséhez Visio-licenccel kell rendelkeznie. Vagy töltse le az architektúra Visio-fájlját (lásd: Visio lap "Microsoft Entra ID").
Megjegyzés:
Az egyszerűség kedvéért ez a diagram csak a Microsoft Entra-azonosítóhoz közvetlenül kapcsolódó kapcsolatokat jeleníti meg, és nem a protokollhoz kapcsolódó forgalmat, amelyek a hitelesítés és az identitás összevonásának részeként fordulhatnak elő. Egy webalkalmazás például átirányíthatja a webböngészőt a kérés Microsoft Entra-azonosítón keresztüli hitelesítéséhez. A hitelesítés megtörténtét követően a kérés visszaadható a webalkalmazásnak a megfelelő identitásadatokkal.
További szempontok: Megoldás választása a helyszíni Active Directory Azure-ral való integrálásához.
Összetevők
Az architektúra a következő összetevőket tartalmazza.
Microsoft Entra-bérlő. A szervezet által létrehozott Microsoft Entra-azonosító egy példánya. Ez a helyszíni Active Directoryból másolt objektumok tárolásával címtárszolgáltatásként szolgál a felhőalapú alkalmazásokhoz, valamint identitásszolgáltatásokat biztosít.
Alhálózat a webes rétegben. Ez az alhálózat webalkalmazásokat futtató virtuális gépeket tartalmaz. A Microsoft Entra ID az alkalmazás identitásközvetítője lehet.
Helyszíni AD DS-kiszolgáló. Helyszíni címtár- és identitásszolgáltatás. Az AD DS-címtár szinkronizálható a Microsoft Entra-azonosítóval, hogy lehetővé tegye a helyszíni felhasználók hitelesítését.
Microsoft Entra Csatlakozás Szinkronizálási kiszolgáló. A Microsoft Entra Csatlakozás szinkronizálási szolgáltatást futtató helyszíni számítógép. Ez a szolgáltatás szinkronizálja a helyi Active Directory tárolt adatokat a Microsoft Entra-azonosítóval. Ha például helyszíni csoportokat és felhasználókat épít ki vagy bont ki, ezek a módosítások a Microsoft Entra-azonosítóra propagálnak.
Megjegyzés:
Biztonsági okokból a Microsoft Entra ID kivonatként tárolja a felhasználók jelszavát. Ha egy felhasználó jelszó-visszaállítást igényel, ezt a helyszínen kell végrehajtani, és az új kivonatot el kell küldeni a Microsoft Entra-azonosítónak. A Microsoft Entra ID P1 vagy P2 kiadásai olyan funkciókat tartalmaznak, amelyek lehetővé teszik a jelszómódosításokat a felhőben, majd visszaírhatók a helyszíni AD DS-be.
Virtuális gépek az N szintű alkalmazáshoz. További információ ezekről az erőforrásokról: [Virtuális gépek futtatása N szintű architektúrához][implementing-a-multi-tier-architecture-on-Azure].
Forgatókönyv részletei
Lehetséges használati esetek
A referenciaarchitektúra tipikus alkalmazásai lehetnek:
- Webalkalmazások üzembe helyezése az Azure-ban, amelyek hozzáférést biztosítanak a vállalat távoli felhasználói számára.
- Önkiszolgáló képességek implementálása a végfelhasználók számára, például a jelszavak visszaállítására és a csoportfelügyelet delegálására. Ehhez a Microsoft Entra ID P1 vagy P2 kiadására van szükség.
- Azok az architektúrák, amelyekben a helyszíni hálózat és az alkalmazás Azure-beli virtuális hálózata nem VPN-alagút vagy ExpressRoute-kapcsolatcsoport használatával csatlakozik.
Megjegyzés:
A Microsoft Entra-azonosító hitelesítheti a szervezet címtárában található felhasználók és alkalmazások identitását. Egyes alkalmazások és szolgáltatások, például az SQL Server esetében szükség lehet a számítógép hitelesítésére is, ebben az esetben ez a megoldás nem megfelelő.
Javaslatok
Az alábbi javaslatok a legtöbb forgatókönyvre vonatkoznak. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.
A Microsoft Entra Csatlakozás Sync szolgáltatás konfigurálása
A Microsoft Entra Csatlakozás Sync szolgáltatás biztosítja, hogy a felhőben tárolt identitásadatok összhangban legyenek a helyszínen tárolt identitásadatokkal. Ezt a szolgáltatást a Microsoft Entra Csatlakozás szoftverrel telepítheti.
A Microsoft Entra Csatlakozás Sync implementálása előtt határozza meg a szervezet szinkronizálási követelményeit. Például hogy mit kell szinkronizálni, melyik tartományokból és milyen gyakran. További információkért lásd: A címtár-szinkronizálási követelmények felmérése.
A Microsoft Entra Csatlakozás Sync szolgáltatást futtathatja egy helyszíni virtuális gépen vagy számítógépen. Az Active Directory-címtárban lévő információk változékonyságától függően a Microsoft Entra Csatlakozás Sync szolgáltatás terhelése nem valószínű, hogy magas lesz a Microsoft Entra-azonosítóval való kezdeti szinkronizálás után. A szolgáltatás egy virtuális gépen futtatva szükség esetén könnyebben skálázható. A virtuális gép tevékenységének monitorozásával (lásd a Monitorozási szempontok című szakaszt) állapíthatja meg, hogy van-e szükség skálázásra.
Ha egy erdőben több helyszíni tartomány is található, javasoljuk, hogy a teljes erdő adatait egyetlen Microsoft Entra-bérlővel tárolja és szinkronizálja. Szűrje az egynél több tartományban előforduló identitások adatait, hogy az egyes identitások csak egyszer jelenjenek meg a Microsoft Entra-azonosítóban a duplikálás helyett. A duplikáció inkonzisztenciához vezethet az adatok szinkronizálásakor. További információkért lásd alább a Topológia című szakaszt.
Használjon szűrést, hogy csak a szükséges adatok tárolódjon a Microsoft Entra-azonosítóban. Előfordulhat például, hogy a szervezet nem szeretne adatokat tárolni az inaktív fiókokról a Microsoft Entra-azonosítóban. A szűrés történhet csoport, tartomány, szervezeti egység (OU) vagy attribútum alapján. A szűrők kombinálásával összetettebb szabályok is létrehozhatók. Például szinkronizálhatja egy adott tartománynak csak azokat az adatait, amelyek egy adott értékkel rendelkeznek egy kijelölt attribútumban. Részletes információkért lásd: Microsoft Entra Csatlakozás Sync: Configure Filtering.
Az AD Connect szinkronizálási szolgáltatás magas rendelkezésre állásának implementálásához futtasson egy másodlagos átmeneti kiszolgálót. További információért lásd a Topológiai javaslatok című szakaszt.
Megjegyzés:
A Microsoft Entra Csatlakozás felhőszinkronizálás a Microsoft új ajánlata, amely a felhasználók, csoportok és névjegyek Microsoft Entra-azonosítóval való szinkronizálására vonatkozó hibrid identitáscélok teljesítésére és megvalósítására szolgál. A Microsoft Entra Csatlakozás felhőszinkronizálással az AD-ből a Microsoft Entra ID-be történő üzembe helyezés a Microsoft Online Servicesben van vezénylve.
Biztonsági konfiguráció és szabályzat ellenőrzése
Felhasználói jelszókezelés A Microsoft Entra ID P1 vagy P2 kiadásai támogatják a jelszóvisszaírást, így a helyszíni felhasználók önkiszolgáló jelszó-visszaállítást végezhetnek az Azure Portalon. Ezt a funkciót csak a szervezet jelszóbiztonsági szabályzatának áttekintése után lehet engedélyezni. Például korlátozhatja, hogy mely felhasználók módosíthassák a jelszavukat, és testre szabhatja a jelszókezelési folyamatot. További információkért lásd: A jelszókezelés testreszabása a vállalat igényeinek megfelelően.
A kívülről elérhető helyszíni alkalmazások védelme. A Microsoft Entra alkalmazásproxyval szabályozott hozzáférést biztosíthat a helyszíni webalkalmazásokhoz a hálózaton kívüli felhasználók számára a Microsoft Entra-azonosítón keresztül. Az alkalmazást csak azok a felhasználók használhatják, akik érvényes hitelesítő adatokkal rendelkeznek az Azure-címtárban. További információkért lásd a következő cikket: Alkalmazásproxy engedélyezése az Azure Portalon.
Aktívan monitorozza a Microsoft Entra-azonosítót a gyanús tevékenységek jeleinek észlelése érdekében. Fontolja meg a Microsoft Entra ID P2 kiadás használatát, amely Microsoft Entra ID-védelem is tartalmaz. Az Identity Protection adaptív gépi tanulási algoritmusok és heurisztika segítségével észleli a rendellenességeket és a kockázati eseményeket, amelyek azt jelezhetik, hogy valamely identitás biztonsága sérült. Például képes észlelni a potenciálisan szokatlan tevékenységeket, például a szabálytalan bejelentkezési tevékenységeket, az ismeretlen forrásból vagy gyanús tevékenységeket mutató IP-címekről származó bejelentkezéseket, vagy az esetleg fertőzött eszközökről való bejelentkezéseket. Az Identity Protection ezeket az adatokat olyan jelentések és riasztások létrehozására használja, amelyek lehetővé teszik a kockázati események kivizsgálását és a megfelelő műveletek elvégzését. További információ: Microsoft Entra ID-védelem.
Az Azure Portalon a Microsoft Entra ID jelentéskészítési funkciójával figyelheti a rendszerben előforduló biztonsági tevékenységeket. További információ a jelentések használatáról: Microsoft Entra ID Reporting Guide.
Hálózati topológia ellenőrzése
Konfigurálja a Microsoft Entra Csatlakozás a szervezet követelményeinek leginkább megfelelő topológiák implementálásához. A Microsoft Entra Csatlakozás által támogatott topológiák a következők:
Egyetlen erdő, egyetlen Microsoft Entra könyvtár. Ebben a topológiában a Microsoft Entra Csatlakozás egyetlen helyszíni erdő egy vagy több tartományából származó objektumokat és identitásadatokat szinkronizál egyetlen Microsoft Entra-bérlőbe. Ez a topológia a Microsoft Entra Csatlakozás expressz telepítésének alapértelmezett implementációja.
Megjegyzés:
Ne használjon több Microsoft Entra Csatlakozás Sync-kiszolgálót, hogy az ugyanabban a helyszíni erdőben lévő különböző tartományokat ugyanahhoz a Microsoft Entra-bérlőhöz csatlakoztassa, kivéve, ha átmeneti módban futtat egy kiszolgálót, az alábbiakban leírtak szerint.
Több erdő, egyetlen Microsoft Entra könyvtár. Ebben a topológiában a Microsoft Entra Csatlakozás több erdő objektumait és identitásadatait szinkronizálja egyetlen Microsoft Entra-bérlőbe. Akkor alkalmazza ezt a topológiát, ha a vállalat több helyszíni erdővel rendelkezik. Összevonhatja az identitásadatokat, így minden egyes egyedi felhasználó egyszer jelenik meg a Microsoft Entra könyvtárban, még akkor is, ha a felhasználó több erdőben is létezik. Minden erdő ugyanazt a Microsoft Entra Csatlakozás Sync-kiszolgálót használja. A Microsoft Entra Csatlakozás Sync-kiszolgálónak nem kell tartományhoz tartoznia, de minden erdőből elérhetőnek kell lennie.
Megjegyzés:
Ebben a topológiában ne használjon külön Microsoft Entra Csatlakozás Sync-kiszolgálókat az egyes helyszíni erdők egyetlen Microsoft Entra-bérlőhöz való csatlakoztatásához. Ez duplikált identitásadatokat eredményezhet a Microsoft Entra-azonosítóban, ha a felhasználók több erdőben is jelen vannak.
Több erdő, külön topológiák. Ez a topológia egyetlen Microsoft Entra-bérlőbe egyesíti a különálló erdők identitásadatait, és az összes erdőt különálló entitásként kezeli. Ez a topológia akkor hasznos, ha különböző szervezetek erdőit kombinálja, és az egyes felhasználók identitásadatai csak egy erdőben vannak tárolva.
Megjegyzés:
Ha az egyes erdők globális címlistái (GAL) szinkronizálva vannak, az egyes erdőkben lévő felhasználók egy másik erdőben kapcsolatként jelen lehetnek. Ez akkor fordulhat elő, ha a vállalat a Forefront Identity Manager 2010 vagy a Microsoft Identity Manager 2016 használatával megvalósította a GALSyncet. Ebben a forgatókönyvben, megadhatja, hogy a felhasználók a Mail attribútumukkal legyenek azonosítva. Az identitásokat az ObjectSID és az msExchMasterAccountSID attribútumok használatával is egyeztetheti. Ez akkor hasznos, ha egy vagy több, letiltott fiókokat tartalmazó erőforráserdővel rendelkezik.
Átmeneti kiszolgáló. Ebben a konfigurációban a Microsoft Entra Csatlakozás Sync-kiszolgáló egy második példányát futtatja az elsővel párhuzamosan. Ez a struktúra az alábbiakhoz hasonló forgatókönyveket tesz lehetővé:
Magas rendelkezésre állás.
A Microsoft Entra Csatlakozás Sync-kiszolgáló új konfigurációjának tesztelése és üzembe helyezése.
Új kiszolgáló bevezetése és a régi konfiguráció leszerelése.
Ezekben a forgatókönyvekben a második példány átmeneti módban fut. A kiszolgáló az importált objektumokat és szinkronizálási adatokat rögzíti az adatbázisában, de nem továbbítja az adatokat a Microsoft Entra-azonosítónak. Ha letiltja az előkészítési módot, a kiszolgáló elkezd adatokat írni a Microsoft Entra-azonosítóba, és szükség esetén elkezdi a jelszóvisszaírást a helyszíni címtárakba. További információ: Microsoft Entra Csatlakozás Sync: Operatív feladatok és szempontok.
Több Microsoft Entra-címtár. Általában egyetlen Microsoft Entra-címtárat hoz létre egy szervezet számára, de előfordulhatnak olyan helyzetek, amikor külön Microsoft Entra-címtárakban kell particionolnia az adatokat. Ebben az esetben kerülje a szinkronizálási és jelszóvisszaírási problémákat azáltal, hogy biztosítja, hogy a helyszíni erdő minden objektuma csak egy Microsoft Entra-címtárban jelenjen meg. A forgatókönyv implementálásához konfiguráljon külön Microsoft Entra Csatlakozás Sync-kiszolgálókat az egyes Microsoft Entra-címtárakhoz, és használjon szűrést, hogy minden Microsoft Entra Csatlakozás Sync-kiszolgáló egy kölcsönösen kizáró objektumkészleten működjön.
Ezekről a topológiákról további információt a Microsoft Entra Csatlakozás topológiáiban talál.
Felhasználói hitelesítési módszer konfigurálása
Alapértelmezés szerint a Microsoft Entra Csatlakozás Sync-kiszolgáló jelszókivonat-szinkronizálást konfigurál a helyszíni tartomány és a Microsoft Entra-azonosító között. A Microsoft Entra szolgáltatás feltételezi, hogy a felhasználók a helyszíni jelszó megadásával hitelesítik magukat. Sok szervezet esetében ez a stratégia megfelelő, de érdemes megfontolni a szervezet meglévő szabályzatait és infrastruktúráját. Például:
- A szervezet biztonsági szabályzata megtilthatja a jelszókivonatok felhőbe való szinkronizálását. Ebben az esetben a szervezetnek érdemes megfontolnia az átmenő hitelesítést.
- Esetleg az lehet az elvárás, hogy a felhasználók a felhőerőforrásokat a vállalati hálózaton lévő, tartományra csatlakozott gépekről zökkenőmentes egyszeri bejelentkezéssel (SSO) érhessék el.
- Előfordulhat, hogy a szervezet már telepítette a Active Directory összevonási szolgáltatások (AD FS) (AD FS) vagy egy külső összevonási szolgáltatót. A Microsoft Entra ID-t úgy konfigurálhatja, hogy ezzel az infrastruktúrával implementálja a hitelesítést és az egyszeri bejelentkezést a felhőben tárolt jelszóadatok használata helyett.
További információ: Microsoft Entra Csatlakozás Felhasználói bejelentkezés beállításai.
A Microsoft Entra alkalmazásproxy konfigurálása
A Microsoft Entra ID használatával hozzáférést biztosíthat a helyszíni alkalmazásokhoz.
Tegye elérhetővé helyszíni webalkalmazásait a Microsoft Entra alkalmazásproxy-összetevő által felügyelt alkalmazásproxy-összekötőkkel. Az alkalmazásproxy-összekötő kimenő hálózati kapcsolatot nyit meg a Microsoft Entra alkalmazásproxyval. A távoli felhasználók kérelmei vissza lesznek irányítva a Microsoft Entra-azonosítóból ezen a proxykapcsolaton keresztül a webalkalmazásokhoz. Ez a konfiguráció megszünteti a bejövő portok megnyitásának szükségességét a helyszíni tűzfalon, és csökkenti a szervezet által közzétett támadási felületet.
További információ: Alkalmazások közzététele a Microsoft Entra alkalmazásproxyval.
A Microsoft Entra objektumszinkronizálásának konfigurálása
A Microsoft Entra Csatlakozás alapértelmezett konfigurációja a Microsoft Entra Csatlakozás Szinkronizálás: Az alapértelmezett konfiguráció ismertetése című cikkben meghatározott szabályok alapján szinkronizálja az objektumokat a helyi Active Directory-címtárból. A szabályoknak megfelelő objektumok szinkronizálva lesznek, a többi objektum figyelmen kívül lesz hagyva. Néhány példa szabály:
- A felhasználói objektumoknak rendelkezniük kell egy egyedi sourceAnchor attribútummal, és az accountEnabled attribútumnak ki kell lennie töltve.
- A felhasználói objektumoknak sAMAccountName attribútummal kell rendelkezniük, és nem kezdődhetnek az Azure AD_ vagy MSOL_ szöveggel.
A Microsoft Entra Csatlakozás számos szabályt alkalmaz a Felhasználó, a Kapcsolattartó, a Csoport, a ForeignSecurityPrincipal és a Számítógép objektumra. Ha módosítania kell az alapértelmezett szabálykészletet, használja a Microsoft Entra Csatlakozás által telepített Szinkronizálási szabályok szerkesztőt. További információ: Microsoft Entra Csatlakozás Sync: Understanding the default configuration).
Saját szűrők megadásával korlátozhatja a tartomány vagy szervezeti egység által szinkronizálandó objektumok mennyiségét. Alternatív megoldásként összetettebb egyéni szűrést is implementálhat, például a Microsoft Entra Csatlakozás Sync: Configure Filtering (Szűrés konfigurálása) című cikkben leírtakhoz hasonlóan.
Monitorozási ügynökök konfigurálása
Az állapotmonitorozást a következő, helyszínen telepített ügynökök végzik:
- A Microsoft Entra Csatlakozás egy olyan ügynököt telepít, amely a szinkronizálási műveletek adatait rögzíti. Az Azure PortalOn a Microsoft Entra Csatlakozás Health panel használatával monitorozza annak állapotát és teljesítményét. További információ: A Microsoft Entra Csatlakozás Health használata szinkronizáláshoz.
- Az AD DS-tartományok és -könyvtárak állapotának az Azure-ból való figyeléséhez telepítse a Microsoft Entra Csatlakozás Health for AD DS-ügynököt egy helyszíni tartományon belüli számítógépre. Állapotfigyeléshez használja a Microsoft Entra Csatlakozás Health panelt az Azure Portalon. További információ: A Microsoft Entra Csatlakozás Health használata az AD DS-vel
- Telepítse a Microsoft Entra Csatlakozás Health for AD FS-ügynököt a helyszínen futó szolgáltatások állapotának figyeléséhez, és az Azure PortalOn a Microsoft Entra Csatlakozás Health panel használatával figyelje az AD FS-t. További információ: A Microsoft Entra Csatlakozás Health használata az AD FS-vel
Az AD Csatlakozás Health-ügynökök telepítéséről és követelményeikről további információt a Microsoft Entra Csatlakozás Health Agent telepítésével kapcsolatban talál.
Considerations
Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.
Megbízhatóság
A megbízhatóság biztosítja, hogy az alkalmazás megfeleljen az ügyfelek felé vállalt kötelezettségeknek. További információ: A megbízhatósági pillér áttekintése.
A Microsoft Entra szolgáltatás földrajzilag elosztott, és világszerte több adatközpontban fut automatizált feladatátvétellel. Ha egy adatközpont elérhetetlenné válik, a Microsoft Entra-azonosító biztosítja, hogy a címtáradatok elérhetők legyen például legalább két regionálisan elosztott adatközpontban.
Megjegyzés:
Az Microsoft 365-alkalmazások AD-szint és a Prémium szolgáltatások szolgáltatásiszint-szerződése (SLA) legalább 99,9%-os rendelkezésre állást garantál. A Microsoft Entra ID ingyenes szintje nem tartalmaz SLA-t. További információ: Microsoft Entra ID SLA.
Fontolja meg a Microsoft Entra Csatlakozás Sync-kiszolgáló egy második példányának üzembe helyezését átmeneti módban a rendelkezésre állás növelése érdekében, amint azt a topológiajavaslatok szakasz ismerteti.
Ha nem a Microsoft Entra Csatlakozás SQL Server Express LocalDB-példányát használja, fontolja meg az SQL-fürtözés használatát a magas rendelkezésre állás érdekében. A Microsoft Entra Csatlakozás nem támogat olyan megoldásokat, mint a tükrözés vagy az Always On.
A Microsoft Entra Csatlakozás Sync-kiszolgáló magas rendelkezésre állásának elérésével és a hiba utáni helyreállítással kapcsolatos további szempontokért tekintse meg a Microsoft Entra Csatlakozás Sync: Üzemeltetési feladatok és szempontok – Vészhelyreállítás című témakört.
Biztonság
A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: A biztonsági pillér áttekintése.
Feltételes hozzáférés-vezérlés használatával utasítsa el a váratlan forrásokból származó hitelesítési kéréseket:
A Microsoft Entra többtényezős hitelesítés (MFA) aktiválása, ha egy felhasználó nem megbízható helyről, például az interneten keresztül próbál csatlakozni megbízható hálózat helyett.
A felhasználó eszközének platformtípusa (iOS, Android, Windows Mobile, Windows) alapján határozza meg az alkalmazásokra és szolgáltatásokra vonatkozó hozzáférési szabályzatot.
Rögzítse a felhasználói eszközök engedélyezett/letiltott állapotát, és építse be ezeket az információkat is a hozzáférési szabályzat ellenőrzéseibe. Például ha a felhasználó telefonja elveszett vagy ellopták, azt letiltottként kell rögzíteni, hogy ne lehessen a hozzáféréshez felhasználni.
Szabályozza a felhasználók erőforrásokhoz való hozzáférését csoporttagság alapján. A Microsoft Entra dinamikus tagsági szabályaival egyszerűsítheti a csoportfelügyeletet. Ennek rövid áttekintéséért lásd: Bevezetés a dinamikus csoporttagságba.
A feltételes hozzáférési kockázati szabályzatokkal Microsoft Entra ID-védelem speciális védelmet biztosíthat a szokatlan bejelentkezési tevékenységek vagy egyéb események alapján.
További információ: Microsoft Entra Feltételes hozzáférés.
Költségoptimalizálás
A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.
Az Azure díjkalkulátorával megbecsülheti költségeit.
A költség szempontjai a következők:
Microsoft Entra Csatlakozás – A Microsoft Entra Csatlakozás szinkronizálási funkció a Microsoft Entra ID minden kiadásában elérhető.
A Microsoft Entra Csatlakozás használatához nincs további licenckövetelmény, és az Azure-előfizetés tartalmazza.
A Microsoft Entra ID kiadásaival kapcsolatos díjszabási információkért tekintse meg a Microsoft Entra díjszabását.
Virtuális gépek N szintű alkalmazáshoz – Az erőforrásokkal kapcsolatos költséginformációkért lásd: [Virtuális gépek futtatása N szintű architektúrához][implementing-a-multi-tier-architecture-on-Azure].
Működés eredményessége
Az üzemeltetési kiválóság azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben tartják azt. További információ: A működési kiválósági pillér áttekintése.
Kezelhetőség
A Microsoft Entra-azonosító kezelésének két aspektusa van:
- Rendszergazda Microsoft Entra-azonosító regisztrálása a felhőben.
- A Microsoft Entra Csatlakozás Sync-kiszolgálók karbantartása.
A Microsoft Entra ID a következő lehetőségeket kínálja a tartományok és könyvtárak felhőbeli kezeléséhez:
- Microsoft Graph PowerShell-modul – a Microsoft Entra gyakori felügyeleti feladatainak, például a felhasználókezelésnek, a tartománykezelésnek és az egyszeri bejelentkezés konfigurálásának parancsmagja.
- A Microsoft Entra felügyeleti panel az Azure Portalon – interaktív felügyeleti nézetet biztosít a címtárról, és lehetővé teszi a Microsoft Entra ID legtöbb aspektusának vezérlését és konfigurálását.
A Microsoft Entra Csatlakozás a következő eszközöket telepíti a Microsoft Entra Csatlakozás Sync szolgáltatások helyszíni gépekről való karbantartásához:
- Microsoft Entra Csatlakozás konzol – lehetővé teszi a Azure AD-szinkronizáló kiszolgáló konfigurációjának módosítását, a szinkronizálási mód testreszabását, az átmeneti mód engedélyezését vagy letiltását, valamint a felhasználói bejelentkezési mód váltását. A helyszíni infrastruktúrával engedélyezheti az Active Directory FS-bejelentkezést.
- Szinkronizálási szolgáltatáskezelő – az eszköz Műveletek lapján kezelheti a szinkronizálási folyamatot, és észlelheti, hogy a folyamat bármely része sikertelen volt-e. Az eszköz használatával manuálisan indíthatja a szinkronizálást. Az Összekötők lapon felügyelheti a tartományok összekötőit, amelyekhez a szinkronizáló vezérlő csatlakozik.
- Szinkronizálási szabályok szerkesztője – lehetővé teszi az objektumok átalakításának testreszabását a helyszíni címtár és a Microsoft Entra-azonosító közötti másoláskor. Ez az eszköz lehetővé teszi, hogy további attribútumokat és objektumokat adjon meg a szinkronizáláshoz, majd szűrőket hajt végre annak meghatározásához, hogy mely objektumokat kell vagy ne szinkronizálni. További információt a Microsoft Entra Csatlakozás Sync: Az alapértelmezett konfiguráció ismertetése című dokumentum Szinkronizálási szabályszerkesztő szakaszában talál.
A Microsoft Entra Csatlakozás kezelésével kapcsolatos további információkért és tippekért lásd: Microsoft Entra Csatlakozás Sync: Ajánlott eljárások az alapértelmezett konfiguráció módosításához.
DevOps
A DevOps-szempontokat a Active Directory tartományi szolgáltatások (AD DS) Azure-ra való kiterjesztésének működési kiválósága című témakörben találhatja meg.
Teljesítmény hatékonysága
A teljesítménybeli hatékonyság lehetővé teszi, hogy a számítási feladatok hatékonyan méretezhetők legyenek a felhasználók igényei szerint. További információ: Teljesítményhatékonysági pillér áttekintése.
A Microsoft Entra szolgáltatás támogatja a replikákon alapuló méretezhetőséget egyetlen elsődleges replikával, amely írási műveleteket és több írásvédett másodlagos replikát kezel. A Microsoft Entra ID transzparens módon irányítja át a másodlagos replikákon végrehajtott írásokat az elsődleges replikára, és végleges konzisztenciát biztosít. Az elsődleges replikán végrehajtott valamennyi módosítás propagálva lesz a másodlagos replikákra. Ez az architektúra jól skálázható, mert a Microsoft Entra-azonosítóval végzett műveletek többsége írás helyett olvasásra szolgál. További információ: Mi a Microsoft Entra architektúrája?
A Microsoft Entra Csatlakozás Sync-kiszolgáló esetében határozza meg, hogy hány objektumot szinkronizálhat a helyi címtárból. Ha 100 000-nél kevesebb objektummal rendelkezik, használhatja a Microsoft Entra Csatlakozás által biztosított alapértelmezett SQL Server Express LocalDB szoftvert. Ha nagyobb számú objektummal rendelkezik, telepítse az SQL Server éles verzióját, és végezze el a Microsoft Entra Csatlakozás egyéni telepítését, megadva, hogy az SQL Server meglévő példányát kell használnia.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- Eric Woodruff | Termék műszaki szakértője
A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.
További lépések
- Tekintse át a Microsoft Entra hibrid identitástervezési szempontjait, amelyek további információkat tartalmaznak a hibrid identitással kapcsolatos döntések meghozataláról.
- Tekintse át a Microsoft Entra Csatlakozás topológiáit, hogy a Microsoft Entra Csatlakozás hibrid topológiája támogatott konfigurációban legyen üzembe helyezve.
- Ismerje meg, hogyan védheti meg az alkalmazásokhoz való hozzáférést feltételes hozzáféréssel a feltételes hozzáférés üzembe helyezésének megtervezésével.
- Az AD DS azure-beli infrastruktúraként való biztosításával kapcsolatos további információkért tekintse át a helyszíni AD azure-ral való integrálását ismertető cikket.
- Tekintse át a Microsoft Entra alkalmazásproxyt , ha helyszíni vagy felhőalapú IaaS-alkalmazásokkal kíván Microsoft Entra-integrációt biztosítani.
- Mivel az identitás a biztonság új vezérlősíkja, tekintse át az Identity Management ajánlott eljárásait.
- Továbbá, mivel a megoldás üzembe helyezése magas jogosultsági szintű fiókokat igényel, tekintse át a kiemelt hozzáférés biztosítását, és ismerje meg a kiemelt fiókok biztonsági vezérlőit.