Összevonás megvalósítása és kezelése

Befejeződött

Az összevonás új vagy meglévő helyi Active Directory farmot használhat a Windows Server 2012 R2(vagy újabb) rendszerben, a Microsoft Entra Csatlakozás pedig lehetővé teszi, hogy a felhasználók helyszíni jelszavukkal jelentkezzenek be a Microsoft Entra-erőforrásokba.

Diagram of federation between on-premises and Microsoft Entra ID. Shows users able log into both on-premises and cloud resources with a single shared login.

Az összevonás olyan tartományok gyűjteménye, amelyek megbízhatósági kapcsolattal rendelkeznek. A megbízhatósági szint eltérő, de általában magában foglalja a hitelesítést, és szinte mindig tartalmazza az engedélyezést. Egy tipikus összevonás több olyan szervezetet is tartalmazhat, amelyek megbízhatóságot hoztak létre az erőforrások egy csoportjához való megosztott hozzáféréshez.

A helyszíni környezetet összevonhatja a Microsoft Entra-azonosítóval, és ezt az összevonást használhatja hitelesítéshez és engedélyezéshez. Ez a bejelentkezési módszer garantálja, hogy a felhasználók hitelesítésének ellenőrzésére a helyszínen kerüljön sor. A rendszergazdák ezzel a metódussal szigorúbb hozzáférés-vezérlést implementálhatnak. Elérhető az AD FS-sel és a PingFederate-tel való összevonás.

Összevont bejelentkezéssel a felhasználók helyszíni jelszavukkal bejelentkezhetnek a Microsoft Entra-alapú szolgáltatásokba. Amíg a vállalati hálózaton vannak, nem is kell megadniuk a jelszavukat. Az AD FS összevonási beállításával üzembe helyezhet egy új vagy meglévő farmot az AD FS-vel a Windows Server 2012 R2 vagy újabb verziójában. Ha egy meglévő farmot ad meg, a Microsoft Entra Csatlakozás konfigurálja a farm és a Microsoft Entra-azonosító közötti megbízhatóságot, hogy a felhasználók bejelentkezhessenek.

Összevonás üzembe helyezésének követelménye az AD FS és a Microsoft Entra Csatlakozás

Az AD FS-farmon való üzembe helyezéshez a következőkre van szüksége:

  • Helyi rendszergazdai hitelesítő adatok az összevonási kiszolgálókon.
  • Helyi rendszergazdai hitelesítő adatok minden olyan munkacsoport-kiszolgálón (nem tartományhoz csatlakoztatott), amelyen üzembe kívánja helyezni a webes alkalmazásproxy szerepkört.
  • Az a gép, amelyen a varázslót futtatja, hogy csatlakozni tudjon az AD FS-t vagy webes alkalmazásproxy telepíteni kívánt egyéb gépekhez a Windows Remote Management használatával.

Összevonás beállítása a Microsoft Entra Csatlakozás használatával egy AD FS-farmhoz való csatlakozáshoz

Screenshot of Microsoft Entra Connect application showing the create and connect to an AD FS farm dialog.

Adja meg az AD FS-kiszolgálókat : Adja meg azokat a kiszolgálókat, ahol telepíteni szeretné az AD FS-t. A kapacitásigénytől függően hozzáadhat egy vagy több kiszolgálót. A konfiguráció beállítása előtt csatlakozzon az összes AD FS-kiszolgálóhoz az Active Directoryhoz. Ez a lépés nem szükséges a webes alkalmazásproxy kiszolgálókhoz. A Microsoft a teszt- és próbatelepítésekhez egyetlen AD FS-kiszolgáló üzembe helyezését javasolja. A kezdeti konfiguráció után a Microsoft Entra Csatlakozás ismételt futtatásával további kiszolgálókat adhat hozzá és helyezhet üzembe a skálázási igényeknek megfelelően.

Adja meg a webes alkalmazásproxy-kiszolgálókat: Adja meg a webes alkalmazásproxy kiszolgálókat. A webes alkalmazásproxy kiszolgáló a peremhálózaton van üzembe helyezve, és az extranet felé néz. Támogatja az extranetről érkező hitelesítési kéréseket. A kapacitásigénytől függően hozzáadhat egy vagy több kiszolgálót. A kezdeti konfiguráció után a Microsoft Entra Csatlakozás ismételt futtatásával további kiszolgálókat adhat hozzá és helyezhet üzembe a skálázási igényeknek megfelelően.

Adja meg az AD FS szolgáltatáshoz tartozó szolgáltatásfiókot Az AD FS szolgáltatáshoz tartományi szolgáltatásfiók szükséges a felhasználók hitelesítéséhez és a felhasználói adatok kereséséhez az Active Directoryban. A szolgáltatásfiókok két típusát tudja támogatni:

  • Felügyelt szolgáltatásfiók csoportosítása
  • Tartományi felhasználó fiókja

Válassza ki azt a Microsoft Entra-tartományt, amelyet össze szeretne egyesíteni : A Microsoft Entra tartománylap használatával állítsa be az AD FS és a Microsoft Entra ID közötti összevonási kapcsolatot. Itt úgy konfigurálja az AD FS-t, hogy biztonsági jogkivonatokat biztosítson a Microsoft Entra ID-nak. Úgy is konfigurálhatja a Microsoft Entra-azonosítót, hogy megbízzanak az AD FS-példány jogkivonataiban. Ezen a lapon csak egyetlen tartományt konfigurálhat a kezdeti telepítés során. Később további tartományokat is konfigurálhat a Microsoft Entra Csatlakozás ismételt futtatásával.

Microsoft Entra Csatlakozás eszközök az összevonás kezeléséhez

A Microsoft Entra Csatlakozás a Microsoft Entra Csatlakozás varázslóval minimális felhasználói beavatkozással elvégezhet különböző AD FS-sel kapcsolatos feladatokat. Miután befejezte a Microsoft Entra Csatlakozás telepítését a varázsló futtatásával, a varázslót újra futtathatja más feladatok elvégzéséhez. A varázslóval például helyreállíthatja a megbízhatóságot a Microsoft 365-ben, összevonhatja a Microsoft Entra-azonosítót alternatív bejelentkezési azonosítóval, és hozzáadhat egy AD FS webes alkalmazásproxy (WAP) kiszolgálót.

A megbízhatóság javítása: A Microsoft Entra Csatlakozás használatával ellenőrizheti az AD FS és a Microsoft Entra ID megbízhatóságának aktuális állapotát, és megfelelő műveleteket végezhet a megbízhatóság helyreállításához.

A Microsoft Entra-azonosítóval való összevonás alternatív azonosítóval Javasolt, hogy a helyszíni felhasználónév (UPN) és a felhőbeli felhasználónevek neve azonos legyen. Ha a helyszíni UPN nem módosítható tartományt (pl. Contoso.local) használ, vagy a helyi alkalmazásfüggőségek miatt nem módosítható, javasoljuk, hogy állítson be alternatív bejelentkezési azonosítót. Az alternatív bejelentkezési azonosító lehetővé teszi a bejelentkezési felület konfigurálását, ahol a felhasználók az UPN-ükön kívül más attribútummal, például levelezéssel is bejelentkezhetnek. A Microsoft Entra-azonosítóban a felhasználónév kiválasztása Csatlakozás alapértelmezés szerint az Active Directory userPrincipalName attribútuma. Ha a felhasználónév bármely más attribútumát választja, és az AD FS használatával egyesít, akkor a Microsoft Entra Csatlakozás konfigurálja az AD FS-t az alternatív bejelentkezési azonosítóhoz.

Összevont tartomány hozzáadása A Microsoft Entra Csatlakozás használatával egyszerűen felvehet egy, a Microsoft Entra-azonosítóval összevonandó tartományt. A Microsoft Entra Csatlakozás hozzáadja az összevonási tartományt, és módosítja a jogcímszabályokat, hogy megfelelően tükrözzék a kiállítót, ha több tartományt összevont a Microsoft Entra-azonosítóval.

A Hozzáadás és az AD FS-kiszolgáló, valamint az AD FS-webkiszolgáló hozzáadása alkalmazásproxy kiszolgálóval együtt.

Device writeback

Az eszközvisszaírás az eszközalapú feltételes hozzáférés engedélyezésére szolgál az ADFS által védett eszközökhöz. Ez a feltételes hozzáférés további biztonságot és biztosítékot nyújt arra vonatkozóan, hogy az alkalmazásokhoz csak megbízható eszközök férhetnek hozzá. Az eszközvisszaírás lehetővé teszi ezt a biztonságot az Azure-ban regisztrált összes eszköz szinkronizálásával a helyi Active Directory. Ha a beállítás során konfigurálva van, a rendszer a következő műveleteket hajtja végre az AD-erdő előkészítéséhez:

  • Ha még nem léteznek, hozzon létre és konfiguráljon új tárolókat és objektumokat a következő területen: CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest dn ].
  • Ha még nem léteznek, hozzon létre és konfiguráljon új tárolókat és objektumokat a következő alatt: CN=RegisteredDevices,[domain-dn]. Ebben a tárolóban létrejönnek az eszközobjektumok.
  • Állítsa be a szükséges engedélyeket a Microsoft Entra Csatlakozás or-fiókon az eszközök Active Directoryban való kezeléséhez.