Helyi Active Directory-tartományok integrálása a Microsoft Entra-azonosítóval

A Microsoft Entra ID egy felhőalapú, több-bérlős címtár- és identitásszolgáltatás. Ez a referenciaarchitektúra a felhőalapú identitáshitelesítés biztosításához ajánlott eljárásokat mutat be helyi Active Directory tartományok Microsoft Entra-azonosítóval való integrálásához.

Felépítés

A Visio-diagram online elérése a Microsoft 365-ben. Vegye figyelembe, hogy a diagram eléréséhez Visio-licenccel kell rendelkeznie. Vagy töltse le az architektúra Visio-fájlját (lásd: Visio lap "Microsoft Entra ID").

További szempontok: Megoldás választása a helyszíni Active Directory Azure-ral való integrálásához.

Összetevők

Az architektúra a következő összetevőket tartalmazza.

• Microsoft Entra-bérlő. A szervezet által létrehozott Microsoft Entra-azonosító egy példánya. Ez a helyszíni Active Directoryból másolt objektumok tárolásával címtárszolgáltatásként szolgál a felhőalapú alkalmazásokhoz, valamint identitásszolgáltatásokat biztosít.

• Alhálózat a webes rétegben. Ez az alhálózat webalkalmazásokat futtató virtuális gépeket tartalmaz. A Microsoft Entra ID az alkalmazás identitásközvetítője lehet.

• Helyszíni AD DS-kiszolgáló. Helyszíni címtár- és identitásszolgáltatás. Az AD DS-címtár szinkronizálható a Microsoft Entra-azonosítóval, hogy lehetővé tegye a helyszíni felhasználók hitelesítését.

• Microsoft Entra Csatlakozás Szinkronizálási kiszolgáló. A Microsoft Entra Csatlakozás szinkronizálási szolgáltatást futtató helyszíni számítógép. Ez a szolgáltatás szinkronizálja a helyi Active Directory tárolt adatokat a Microsoft Entra-azonosítóval. Ha például helyszíni csoportokat és felhasználókat épít ki vagy bont ki, ezek a módosítások a Microsoft Entra-azonosítóra propagálnak.

  Megjegyzés:

  Biztonsági okokból a Microsoft Entra ID kivonatként tárolja a felhasználók jelszavát. Ha egy felhasználó jelszó-visszaállítást igényel, ezt a helyszínen kell végrehajtani, és az új kivonatot el kell küldeni a Microsoft Entra-azonosítónak. A Microsoft Entra ID P1 vagy P2 kiadásai olyan funkciókat tartalmaznak, amelyek lehetővé teszik a jelszómódosításokat a felhőben, majd visszaírhatók a helyszíni AD DS-be.

• Virtuális gépek az N szintű alkalmazáshoz. További információ ezekről az erőforrásokról: [Virtuális gépek futtatása N szintű architektúrához][implementing-a-multi-tier-architecture-on-Azure].

Forgatókönyv részletei

Lehetséges használati esetek

A referenciaarchitektúra tipikus alkalmazásai lehetnek:

• Webalkalmazások üzembe helyezése az Azure-ban, amelyek hozzáférést biztosítanak a vállalat távoli felhasználói számára.
• Önkiszolgáló képességek implementálása a végfelhasználók számára, például a jelszavak visszaállítására és a csoportfelügyelet delegálására. Ehhez a Microsoft Entra ID P1 vagy P2 kiadására van szükség.
• Azok az architektúrák, amelyekben a helyszíni hálózat és az alkalmazás Azure-beli virtuális hálózata nem VPN-alagút vagy ExpressRoute-kapcsolatcsoport használatával csatlakozik.

Javaslatok

Az alábbi javaslatok a legtöbb forgatókönyvre vonatkoznak. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.

A Microsoft Entra Csatlakozás Sync szolgáltatás konfigurálása

A Microsoft Entra Csatlakozás Sync szolgáltatás biztosítja, hogy a felhőben tárolt identitásadatok összhangban legyenek a helyszínen tárolt identitásadatokkal. Ezt a szolgáltatást a Microsoft Entra Csatlakozás szoftverrel telepítheti.

A Microsoft Entra Csatlakozás Sync implementálása előtt határozza meg a szervezet szinkronizálási követelményeit. Például hogy mit kell szinkronizálni, melyik tartományokból és milyen gyakran. További információkért lásd: A címtár-szinkronizálási követelmények felmérése.

A Microsoft Entra Csatlakozás Sync szolgáltatást futtathatja egy helyszíni virtuális gépen vagy számítógépen. Az Active Directory-címtárban lévő információk változékonyságától függően a Microsoft Entra Csatlakozás Sync szolgáltatás terhelése nem valószínű, hogy magas lesz a Microsoft Entra-azonosítóval való kezdeti szinkronizálás után. A szolgáltatás egy virtuális gépen futtatva szükség esetén könnyebben skálázható. A virtuális gép tevékenységének monitorozásával (lásd a Monitorozási szempontok című szakaszt) állapíthatja meg, hogy van-e szükség skálázásra.

Ha egy erdőben több helyszíni tartomány is található, javasoljuk, hogy a teljes erdő adatait egyetlen Microsoft Entra-bérlővel tárolja és szinkronizálja. Szűrje az egynél több tartományban előforduló identitások adatait, hogy az egyes identitások csak egyszer jelenjenek meg a Microsoft Entra-azonosítóban a duplikálás helyett. A duplikáció inkonzisztenciához vezethet az adatok szinkronizálásakor. További információkért lásd alább a Topológia című szakaszt.

Használjon szűrést, hogy csak a szükséges adatok tárolódjon a Microsoft Entra-azonosítóban. Előfordulhat például, hogy a szervezet nem szeretne adatokat tárolni az inaktív fiókokról a Microsoft Entra-azonosítóban. A szűrés történhet csoport, tartomány, szervezeti egység (OU) vagy attribútum alapján. A szűrők kombinálásával összetettebb szabályok is létrehozhatók. Például szinkronizálhatja egy adott tartománynak csak azokat az adatait, amelyek egy adott értékkel rendelkeznek egy kijelölt attribútumban. Részletes információkért lásd: Microsoft Entra Csatlakozás Sync: Configure Filtering.

Az AD Connect szinkronizálási szolgáltatás magas rendelkezésre állásának implementálásához futtasson egy másodlagos átmeneti kiszolgálót. További információért lásd a Topológiai javaslatok című szakaszt.

Biztonsági konfiguráció és szabályzat ellenőrzése

Felhasználói jelszókezelés A Microsoft Entra ID P1 vagy P2 kiadásai támogatják a jelszóvisszaírást, így a helyszíni felhasználók önkiszolgáló jelszó-visszaállítást végezhetnek az Azure Portalon. Ezt a funkciót csak a szervezet jelszóbiztonsági szabályzatának áttekintése után lehet engedélyezni. Például korlátozhatja, hogy mely felhasználók módosíthassák a jelszavukat, és testre szabhatja a jelszókezelési folyamatot. További információkért lásd: A jelszókezelés testreszabása a vállalat igényeinek megfelelően.

A kívülről elérhető helyszíni alkalmazások védelme. A Microsoft Entra alkalmazásproxyval szabályozott hozzáférést biztosíthat a helyszíni webalkalmazásokhoz a hálózaton kívüli felhasználók számára a Microsoft Entra-azonosítón keresztül. Az alkalmazást csak azok a felhasználók használhatják, akik érvényes hitelesítő adatokkal rendelkeznek az Azure-címtárban. További információkért lásd a következő cikket: Alkalmazásproxy engedélyezése az Azure Portalon.

Aktívan monitorozza a Microsoft Entra-azonosítót a gyanús tevékenységek jeleinek észlelése érdekében. Fontolja meg a Microsoft Entra ID P2 kiadás használatát, amely Microsoft Entra ID-védelem is tartalmaz. Az Identity Protection adaptív gépi tanulási algoritmusok és heurisztika segítségével észleli a rendellenességeket és a kockázati eseményeket, amelyek azt jelezhetik, hogy valamely identitás biztonsága sérült. Például képes észlelni a potenciálisan szokatlan tevékenységeket, például a szabálytalan bejelentkezési tevékenységeket, az ismeretlen forrásból vagy gyanús tevékenységeket mutató IP-címekről származó bejelentkezéseket, vagy az esetleg fertőzött eszközökről való bejelentkezéseket. Az Identity Protection ezeket az adatokat olyan jelentések és riasztások létrehozására használja, amelyek lehetővé teszik a kockázati események kivizsgálását és a megfelelő műveletek elvégzését. További információ: Microsoft Entra ID-védelem.

Az Azure Portalon a Microsoft Entra ID jelentéskészítési funkciójával figyelheti a rendszerben előforduló biztonsági tevékenységeket. További információ a jelentések használatáról: Microsoft Entra ID Reporting Guide.

Hálózati topológia ellenőrzése

Konfigurálja a Microsoft Entra Csatlakozás a szervezet követelményeinek leginkább megfelelő topológiák implementálásához. A Microsoft Entra Csatlakozás által támogatott topológiák a következők:

• Egyetlen erdő, egyetlen Microsoft Entra könyvtár. Ebben a topológiában a Microsoft Entra Csatlakozás egyetlen helyszíni erdő egy vagy több tartományából származó objektumokat és identitásadatokat szinkronizál egyetlen Microsoft Entra-bérlőbe. Ez a topológia a Microsoft Entra Csatlakozás expressz telepítésének alapértelmezett implementációja.

  Megjegyzés:

  Ne használjon több Microsoft Entra Csatlakozás Sync-kiszolgálót, hogy az ugyanabban a helyszíni erdőben lévő különböző tartományokat ugyanahhoz a Microsoft Entra-bérlőhöz csatlakoztassa, kivéve, ha átmeneti módban futtat egy kiszolgálót, az alábbiakban leírtak szerint.

• Több erdő, egyetlen Microsoft Entra könyvtár. Ebben a topológiában a Microsoft Entra Csatlakozás több erdő objektumait és identitásadatait szinkronizálja egyetlen Microsoft Entra-bérlőbe. Akkor alkalmazza ezt a topológiát, ha a vállalat több helyszíni erdővel rendelkezik. Összevonhatja az identitásadatokat, így minden egyes egyedi felhasználó egyszer jelenik meg a Microsoft Entra könyvtárban, még akkor is, ha a felhasználó több erdőben is létezik. Minden erdő ugyanazt a Microsoft Entra Csatlakozás Sync-kiszolgálót használja. A Microsoft Entra Csatlakozás Sync-kiszolgálónak nem kell tartományhoz tartoznia, de minden erdőből elérhetőnek kell lennie.

  Megjegyzés:

  Ebben a topológiában ne használjon külön Microsoft Entra Csatlakozás Sync-kiszolgálókat az egyes helyszíni erdők egyetlen Microsoft Entra-bérlőhöz való csatlakoztatásához. Ez duplikált identitásadatokat eredményezhet a Microsoft Entra-azonosítóban, ha a felhasználók több erdőben is jelen vannak.

• Több erdő, külön topológiák. Ez a topológia egyetlen Microsoft Entra-bérlőbe egyesíti a különálló erdők identitásadatait, és az összes erdőt különálló entitásként kezeli. Ez a topológia akkor hasznos, ha különböző szervezetek erdőit kombinálja, és az egyes felhasználók identitásadatai csak egy erdőben vannak tárolva.

  Megjegyzés:

  Ha az egyes erdők globális címlistái (GAL) szinkronizálva vannak, az egyes erdőkben lévő felhasználók egy másik erdőben kapcsolatként jelen lehetnek. Ez akkor fordulhat elő, ha a vállalat a Forefront Identity Manager 2010 vagy a Microsoft Identity Manager 2016 használatával megvalósította a GALSyncet. Ebben a forgatókönyvben, megadhatja, hogy a felhasználók a Mail attribútumukkal legyenek azonosítva. Az identitásokat az ObjectSID és az msExchMasterAccountSID attribútumok használatával is egyeztetheti. Ez akkor hasznos, ha egy vagy több, letiltott fiókokat tartalmazó erőforráserdővel rendelkezik.

• Átmeneti kiszolgáló. Ebben a konfigurációban a Microsoft Entra Csatlakozás Sync-kiszolgáló egy második példányát futtatja az elsővel párhuzamosan. Ez a struktúra az alábbiakhoz hasonló forgatókönyveket tesz lehetővé:

  • Magas rendelkezésre állás.

  • A Microsoft Entra Csatlakozás Sync-kiszolgáló új konfigurációjának tesztelése és üzembe helyezése.

  • Új kiszolgáló bevezetése és a régi konfiguráció leszerelése.

    Ezekben a forgatókönyvekben a második példány átmeneti módban fut. A kiszolgáló az importált objektumokat és szinkronizálási adatokat rögzíti az adatbázisában, de nem továbbítja az adatokat a Microsoft Entra-azonosítónak. Ha letiltja az előkészítési módot, a kiszolgáló elkezd adatokat írni a Microsoft Entra-azonosítóba, és szükség esetén elkezdi a jelszóvisszaírást a helyszíni címtárakba. További információ: Microsoft Entra Csatlakozás Sync: Operatív feladatok és szempontok.

• Több Microsoft Entra-címtár. Általában egyetlen Microsoft Entra-címtárat hoz létre egy szervezet számára, de előfordulhatnak olyan helyzetek, amikor külön Microsoft Entra-címtárakban kell particionolnia az adatokat. Ebben az esetben kerülje a szinkronizálási és jelszóvisszaírási problémákat azáltal, hogy biztosítja, hogy a helyszíni erdő minden objektuma csak egy Microsoft Entra-címtárban jelenjen meg. A forgatókönyv implementálásához konfiguráljon külön Microsoft Entra Csatlakozás Sync-kiszolgálókat az egyes Microsoft Entra-címtárakhoz, és használjon szűrést, hogy minden Microsoft Entra Csatlakozás Sync-kiszolgáló egy kölcsönösen kizáró objektumkészleten működjön.

Ezekről a topológiákról további információt a Microsoft Entra Csatlakozás topológiáiban talál.

Felhasználói hitelesítési módszer konfigurálása

Alapértelmezés szerint a Microsoft Entra Csatlakozás Sync-kiszolgáló jelszókivonat-szinkronizálást konfigurál a helyszíni tartomány és a Microsoft Entra-azonosító között. A Microsoft Entra szolgáltatás feltételezi, hogy a felhasználók a helyszíni jelszó megadásával hitelesítik magukat. Sok szervezet esetében ez a stratégia megfelelő, de érdemes megfontolni a szervezet meglévő szabályzatait és infrastruktúráját. Például:

• A szervezet biztonsági szabályzata megtilthatja a jelszókivonatok felhőbe való szinkronizálását. Ebben az esetben a szervezetnek érdemes megfontolnia az átmenő hitelesítést.
• Esetleg az lehet az elvárás, hogy a felhasználók a felhőerőforrásokat a vállalati hálózaton lévő, tartományra csatlakozott gépekről zökkenőmentes egyszeri bejelentkezéssel (SSO) érhessék el.
• Előfordulhat, hogy a szervezet már telepítette a Active Directory összevonási szolgáltatások (AD FS) (AD FS) vagy egy külső összevonási szolgáltatót. A Microsoft Entra ID-t úgy konfigurálhatja, hogy ezzel az infrastruktúrával implementálja a hitelesítést és az egyszeri bejelentkezést a felhőben tárolt jelszóadatok használata helyett.

További információ: Microsoft Entra Csatlakozás Felhasználói bejelentkezés beállításai.

A Microsoft Entra alkalmazásproxy konfigurálása

A Microsoft Entra ID használatával hozzáférést biztosíthat a helyszíni alkalmazásokhoz.

Tegye elérhetővé helyszíni webalkalmazásait a Microsoft Entra alkalmazásproxy-összetevő által felügyelt alkalmazásproxy-összekötőkkel. Az alkalmazásproxy-összekötő kimenő hálózati kapcsolatot nyit meg a Microsoft Entra alkalmazásproxyval. A távoli felhasználók kérelmei vissza lesznek irányítva a Microsoft Entra-azonosítóból ezen a proxykapcsolaton keresztül a webalkalmazásokhoz. Ez a konfiguráció megszünteti a bejövő portok megnyitásának szükségességét a helyszíni tűzfalon, és csökkenti a szervezet által közzétett támadási felületet.

További információ: Alkalmazások közzététele a Microsoft Entra alkalmazásproxyval.

A Microsoft Entra objektumszinkronizálásának konfigurálása

A Microsoft Entra Csatlakozás alapértelmezett konfigurációja a Microsoft Entra Csatlakozás Szinkronizálás: Az alapértelmezett konfiguráció ismertetése című cikkben meghatározott szabályok alapján szinkronizálja az objektumokat a helyi Active Directory-címtárból. A szabályoknak megfelelő objektumok szinkronizálva lesznek, a többi objektum figyelmen kívül lesz hagyva. Néhány példa szabály:

• A felhasználói objektumoknak rendelkezniük kell egy egyedi sourceAnchor attribútummal, és az accountEnabled attribútumnak ki kell lennie töltve.
• A felhasználói objektumoknak sAMAccountName attribútummal kell rendelkezniük, és nem kezdődhetnek az Azure AD_ vagy MSOL_ szöveggel.

A Microsoft Entra Csatlakozás számos szabályt alkalmaz a Felhasználó, a Kapcsolattartó, a Csoport, a ForeignSecurityPrincipal és a Számítógép objektumra. Ha módosítania kell az alapértelmezett szabálykészletet, használja a Microsoft Entra Csatlakozás által telepített Szinkronizálási szabályok szerkesztőt. További információ: Microsoft Entra Csatlakozás Sync: Understanding the default configuration).

Saját szűrők megadásával korlátozhatja a tartomány vagy szervezeti egység által szinkronizálandó objektumok mennyiségét. Alternatív megoldásként összetettebb egyéni szűrést is implementálhat, például a Microsoft Entra Csatlakozás Sync: Configure Filtering (Szűrés konfigurálása) című cikkben leírtakhoz hasonlóan.

Monitorozási ügynökök konfigurálása

Az állapotmonitorozást a következő, helyszínen telepített ügynökök végzik:

• A Microsoft Entra Csatlakozás egy olyan ügynököt telepít, amely a szinkronizálási műveletek adatait rögzíti. Az Azure PortalOn a Microsoft Entra Csatlakozás Health panel használatával monitorozza annak állapotát és teljesítményét. További információ: A Microsoft Entra Csatlakozás Health használata szinkronizáláshoz.
• Az AD DS-tartományok és -könyvtárak állapotának az Azure-ból való figyeléséhez telepítse a Microsoft Entra Csatlakozás Health for AD DS-ügynököt egy helyszíni tartományon belüli számítógépre. Állapotfigyeléshez használja a Microsoft Entra Csatlakozás Health panelt az Azure Portalon. További információ: A Microsoft Entra Csatlakozás Health használata az AD DS-vel
• Telepítse a Microsoft Entra Csatlakozás Health for AD FS-ügynököt a helyszínen futó szolgáltatások állapotának figyeléséhez, és az Azure PortalOn a Microsoft Entra Csatlakozás Health panel használatával figyelje az AD FS-t. További információ: A Microsoft Entra Csatlakozás Health használata az AD FS-vel

Az AD Csatlakozás Health-ügynökök telepítéséről és követelményeikről további információt a Microsoft Entra Csatlakozás Health Agent telepítésével kapcsolatban talál.

Considerations

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

Megbízhatóság

A megbízhatóság biztosítja, hogy az alkalmazás megfeleljen az ügyfelek felé vállalt kötelezettségeknek. További információ: A megbízhatósági pillér áttekintése.

A Microsoft Entra szolgáltatás földrajzilag elosztott, és világszerte több adatközpontban fut automatizált feladatátvétellel. Ha egy adatközpont elérhetetlenné válik, a Microsoft Entra-azonosító biztosítja, hogy a címtáradatok elérhetők legyen például legalább két regionálisan elosztott adatközpontban.

Fontolja meg a Microsoft Entra Csatlakozás Sync-kiszolgáló egy második példányának üzembe helyezését átmeneti módban a rendelkezésre állás növelése érdekében, amint azt a topológiajavaslatok szakasz ismerteti.

Ha nem a Microsoft Entra Csatlakozás SQL Server Express LocalDB-példányát használja, fontolja meg az SQL-fürtözés használatát a magas rendelkezésre állás érdekében. A Microsoft Entra Csatlakozás nem támogat olyan megoldásokat, mint a tükrözés vagy az Always On.

A Microsoft Entra Csatlakozás Sync-kiszolgáló magas rendelkezésre állásának elérésével és a hiba utáni helyreállítással kapcsolatos további szempontokért tekintse meg a Microsoft Entra Csatlakozás Sync: Üzemeltetési feladatok és szempontok – Vészhelyreállítás című témakört.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: A biztonsági pillér áttekintése.

Feltételes hozzáférés-vezérlés használatával utasítsa el a váratlan forrásokból származó hitelesítési kéréseket:

• A Microsoft Entra többtényezős hitelesítés (MFA) aktiválása, ha egy felhasználó nem megbízható helyről, például az interneten keresztül próbál csatlakozni megbízható hálózat helyett.

• A felhasználó eszközének platformtípusa (iOS, Android, Windows Mobile, Windows) alapján határozza meg az alkalmazásokra és szolgáltatásokra vonatkozó hozzáférési szabályzatot.

• Rögzítse a felhasználói eszközök engedélyezett/letiltott állapotát, és építse be ezeket az információkat is a hozzáférési szabályzat ellenőrzéseibe. Például ha a felhasználó telefonja elveszett vagy ellopták, azt letiltottként kell rögzíteni, hogy ne lehessen a hozzáféréshez felhasználni.

• Szabályozza a felhasználók erőforrásokhoz való hozzáférését csoporttagság alapján. A Microsoft Entra dinamikus tagsági szabályaival egyszerűsítheti a csoportfelügyeletet. Ennek rövid áttekintéséért lásd: Bevezetés a dinamikus csoporttagságba.

• A feltételes hozzáférési kockázati szabályzatokkal Microsoft Entra ID-védelem speciális védelmet biztosíthat a szokatlan bejelentkezési tevékenységek vagy egyéb események alapján.

További információ: Microsoft Entra Feltételes hozzáférés.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.

Az Azure díjkalkulátorával megbecsülheti költségeit.

A költség szempontjai a következők:

• Microsoft Entra Csatlakozás – A Microsoft Entra Csatlakozás szinkronizálási funkció a Microsoft Entra ID minden kiadásában elérhető.

  • A Microsoft Entra Csatlakozás használatához nincs további licenckövetelmény, és az Azure-előfizetés tartalmazza.

  • A Microsoft Entra ID kiadásaival kapcsolatos díjszabási információkért tekintse meg a Microsoft Entra díjszabását.

• Virtuális gépek N szintű alkalmazáshoz – Az erőforrásokkal kapcsolatos költséginformációkért lásd: [Virtuális gépek futtatása N szintű architektúrához][implementing-a-multi-tier-architecture-on-Azure].

Működés eredményessége

Az üzemeltetési kiválóság azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben tartják azt. További információ: A működési kiválósági pillér áttekintése.

Kezelhetőség

A Microsoft Entra-azonosító kezelésének két aspektusa van:

• Rendszergazda Microsoft Entra-azonosító regisztrálása a felhőben.
• A Microsoft Entra Csatlakozás Sync-kiszolgálók karbantartása.

A Microsoft Entra ID a következő lehetőségeket kínálja a tartományok és könyvtárak felhőbeli kezeléséhez:

• Microsoft Graph PowerShell-modul – a Microsoft Entra gyakori felügyeleti feladatainak, például a felhasználókezelésnek, a tartománykezelésnek és az egyszeri bejelentkezés konfigurálásának parancsmagja.
• A Microsoft Entra felügyeleti panel az Azure Portalon – interaktív felügyeleti nézetet biztosít a címtárról, és lehetővé teszi a Microsoft Entra ID legtöbb aspektusának vezérlését és konfigurálását.

A Microsoft Entra Csatlakozás a következő eszközöket telepíti a Microsoft Entra Csatlakozás Sync szolgáltatások helyszíni gépekről való karbantartásához:

• Microsoft Entra Csatlakozás konzol – lehetővé teszi a Azure AD-szinkronizáló kiszolgáló konfigurációjának módosítását, a szinkronizálási mód testreszabását, az átmeneti mód engedélyezését vagy letiltását, valamint a felhasználói bejelentkezési mód váltását. A helyszíni infrastruktúrával engedélyezheti az Active Directory FS-bejelentkezést.
• Szinkronizálási szolgáltatáskezelő – az eszköz Műveletek lapján kezelheti a szinkronizálási folyamatot, és észlelheti, hogy a folyamat bármely része sikertelen volt-e. Az eszköz használatával manuálisan indíthatja a szinkronizálást. Az Összekötők lapon felügyelheti a tartományok összekötőit, amelyekhez a szinkronizáló vezérlő csatlakozik.
• Szinkronizálási szabályok szerkesztője – lehetővé teszi az objektumok átalakításának testreszabását a helyszíni címtár és a Microsoft Entra-azonosító közötti másoláskor. Ez az eszköz lehetővé teszi, hogy további attribútumokat és objektumokat adjon meg a szinkronizáláshoz, majd szűrőket hajt végre annak meghatározásához, hogy mely objektumokat kell vagy ne szinkronizálni. További információt a Microsoft Entra Csatlakozás Sync: Az alapértelmezett konfiguráció ismertetése című dokumentum Szinkronizálási szabályszerkesztő szakaszában talál.

A Microsoft Entra Csatlakozás kezelésével kapcsolatos további információkért és tippekért lásd: Microsoft Entra Csatlakozás Sync: Ajánlott eljárások az alapértelmezett konfiguráció módosításához.

DevOps

A DevOps-szempontokat a Active Directory tartományi szolgáltatások (AD DS) Azure-ra való kiterjesztésének működési kiválósága című témakörben találhatja meg.

Teljesítmény hatékonysága

A teljesítménybeli hatékonyság lehetővé teszi, hogy a számítási feladatok hatékonyan méretezhetők legyenek a felhasználók igényei szerint. További információ: Teljesítményhatékonysági pillér áttekintése.

A Microsoft Entra szolgáltatás támogatja a replikákon alapuló méretezhetőséget egyetlen elsődleges replikával, amely írási műveleteket és több írásvédett másodlagos replikát kezel. A Microsoft Entra ID transzparens módon irányítja át a másodlagos replikákon végrehajtott írásokat az elsődleges replikára, és végleges konzisztenciát biztosít. Az elsődleges replikán végrehajtott valamennyi módosítás propagálva lesz a másodlagos replikákra. Ez az architektúra jól skálázható, mert a Microsoft Entra-azonosítóval végzett műveletek többsége írás helyett olvasásra szolgál. További információ: Mi a Microsoft Entra architektúrája?

A Microsoft Entra Csatlakozás Sync-kiszolgáló esetében határozza meg, hogy hány objektumot szinkronizálhat a helyi címtárból. Ha 100 000-nél kevesebb objektummal rendelkezik, használhatja a Microsoft Entra Csatlakozás által biztosított alapértelmezett SQL Server Express LocalDB szoftvert. Ha nagyobb számú objektummal rendelkezik, telepítse az SQL Server éles verzióját, és végezze el a Microsoft Entra Csatlakozás egyéni telepítését, megadva, hogy az SQL Server meglévő példányát kell használnia.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

• Eric Woodruff | Termék műszaki szakértője

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

További lépések

• Tekintse át a Microsoft Entra hibrid identitástervezési szempontjait, amelyek további információkat tartalmaznak a hibrid identitással kapcsolatos döntések meghozataláról.
• Tekintse át a Microsoft Entra Csatlakozás topológiáit, hogy a Microsoft Entra Csatlakozás hibrid topológiája támogatott konfigurációban legyen üzembe helyezve.
• Ismerje meg, hogyan védheti meg az alkalmazásokhoz való hozzáférést feltételes hozzáféréssel a feltételes hozzáférés üzembe helyezésének megtervezésével.
• Az AD DS azure-beli infrastruktúraként való biztosításával kapcsolatos további információkért tekintse át a helyszíni AD azure-ral való integrálását ismertető cikket.
• Tekintse át a Microsoft Entra alkalmazásproxyt , ha helyszíni vagy felhőalapú IaaS-alkalmazásokkal kíván Microsoft Entra-integrációt biztosítani.
• Mivel az identitás a biztonság új vezérlősíkja, tekintse át az Identity Management ajánlott eljárásait.
• Továbbá, mivel a megoldás üzembe helyezése magas jogosultsági szintű fiókokat igényel, tekintse át a kiemelt hozzáférés biztosítását, és ismerje meg a kiemelt fiókok biztonsági vezérlőit.

Kapcsolódó erőforrások

• Identitás kezelése több-bérlős alkalmazásokban
• Helyszíni AD integrálása az Azure-ral
• Helyszíni AD FS kiterjesztése az Azure-ra