Microsoft 365 Directory-szinkronizálás üzembe helyezése a Microsoft Azure-ben

Azure Active Directory (Azure AD) Csatlakozás (korábbi nevén címtár-szinkronizálási eszköz, címtár-szinkronizálási eszköz vagy DirSync.exe eszköz) olyan alkalmazás, amelyet tartományhoz csatlakoztatott kiszolgálóra telepít a helyi Active Directory Tartományi szolgáltatások (AD DS) felhasználóinak a Azure AD Microsoft 365-előfizetés bérlője. Microsoft 365 a címtárszolgáltatáshoz Azure AD használ. A Microsoft 365-előfizetése egy Azure AD-bérlőt tartalmaz. Ez a bérlő a szervezet identitásainak más felhőbeli számítási feladatokkal való kezelésére is használható, beleértve az Egyéb SaaS-alkalmazásokat és -alkalmazásokat az Azure-ban.

A Azure AD Csatlakozás telepítheti helyszíni kiszolgálóra, de az Azure-beli virtuális gépekre is telepítheti az alábbi okokból:

• Gyorsabban építhet ki és konfigurálhat felhőalapú kiszolgálókat, így a szolgáltatások hamarabb elérhetővé válnak a felhasználók számára.
• Az Azure kevesebb erőfeszítéssel jobb webhely-rendelkezésre állást biztosít.
• Csökkentheti a szervezet helyszíni kiszolgálóinak számát.

Ehhez a megoldáshoz kapcsolatra van szükség a helyszíni hálózat és az Azure-beli virtuális hálózat között. További információ: helyszíni hálózat Csatlakozás Microsoft Azure virtuális hálózatra.

Megjegyzés

Ez a cikk egyetlen tartomány szinkronizálását ismerteti egyetlen erdőben. Azure AD Csatlakozás szinkronizálja az Active Directory-erdő összes AD DS-tartományát Microsoft 365. Ha több Active Directory-erdőt szeretne szinkronizálni Microsoft 365, tekintse meg a többerdős címtár-szinkronizálás egyetlen Sign-On forgatókönyvet.

A Microsoft 365 címtár-szinkronizálás üzembe helyezésének áttekintése az Azure-ban

Az alábbi ábrán egy azure-beli virtuális gépen (a címtár-szinkronizálási kiszolgálón) futó Azure AD Csatlakozás látható, amely egy helyszíni AD DS-erdőt szinkronizál egy Microsoft 365-előfizetéssel.

Az ábrán két hálózat található, amelyeket helyek közötti VPN- vagy ExpressRoute-kapcsolat köt össze. Van egy helyszíni hálózat, ahol az AD DS-tartományvezérlők találhatók, és van egy Azure-beli virtuális hálózat címtár-szinkronizálási kiszolgálóval, amely egy Azure AD Csatlakozás futó virtuális gép. A címtár-szinkronizálási kiszolgálóról két fő forgalom folyik:

• Azure AD Csatlakozás a helyszíni hálózat egyik tartományvezérlőjének lekérdezi a fiókok és jelszavak módosításait.
• Azure AD Csatlakozás elküldi a fiókokat és jelszavakat a Microsoft 365-előfizetés Azure AD példányának. Mivel a címtár-szinkronizálási kiszolgáló a helyszíni hálózat egy kiterjesztett részén található, ezeket a módosításokat a helyszíni hálózat proxykiszolgálóján keresztül küldi el a rendszer.

Megjegyzés

Ez a megoldás egyetlen Active Directory-tartomány szinkronizálását ismerteti egyetlen Active Directory-erdőben. Azure AD Csatlakozás szinkronizálja az Active Directory-erdő összes Active Directory-tartományát Microsoft 365. Ha több Active Directory-erdőt szeretne szinkronizálni Microsoft 365, tekintse meg a többerdős címtár-szinkronizálás egyetlen Sign-On forgatókönyvet.

A megoldás üzembe helyezése két fő lépésből áll:

1. Hozzon létre egy Azure-beli virtuális hálózatot, és hozzon létre egy helyek közötti VPN-kapcsolatot a helyszíni hálózattal. További információ: helyszíni hálózat Csatlakozás Microsoft Azure virtuális hálózatra.

2. Telepítse Azure AD Csatlakozás egy tartományhoz csatlakoztatott virtuális gépen az Azure-ban, majd szinkronizálja a helyszíni AD DS-t Microsoft 365. Ez a következőkkel jár:

   Azure-beli virtuális gép létrehozása Azure AD Csatlakozás futtatásához.

   Azure AD Csatlakozás telepítése és konfigurálása.

   A Azure AD Csatlakozás konfigurálásához egy Azure AD rendszergazdai fiók és egy AD DS vállalati rendszergazdai fiók hitelesítő adataira (felhasználónévre és jelszóra) van szükség. Azure AD Csatlakozás azonnal és folyamatosan fut, hogy szinkronizálja a helyszíni AD DS-erdőt Microsoft 365.

Mielőtt éles környezetben üzembe helyezené ezt a megoldást, a szimulált vállalati alapkonfiguráció utasításait követve konfigurálhatja ezt a konfigurációt megvalósíthatósági próbaként, bemutatókhoz vagy kísérletezéshez.

Fontos

Amikor Azure AD Csatlakozás konfiguráció befejeződik, nem menti az AD DS vállalati rendszergazdai fiók hitelesítő adatait.

Megjegyzés

Ez a megoldás egyetlen AD DS-erdő szinkronizálását ismerteti Microsoft 365. A cikkben tárgyalt topológia csak egy módszert jelent a megoldás implementálására. A szervezet topológiája az egyedi hálózati követelmények és biztonsági szempontok alapján eltérő lehet.

Címtárszinkronizálási kiszolgáló üzemeltetésének tervezése Microsoft 365 az Azure-ban

Előfeltételek

Mielőtt hozzákezdene, tekintse át a megoldás következő előfeltételeit:

• Tekintse át a kapcsolódó tervezési tartalmakat az Azure-beli virtuális hálózat megtervezése című témakörben.

• Győződjön meg arról, hogy megfelel az Azure-beli virtuális hálózat konfigurálásához szükséges összes előfeltételnek .

• Olyan Microsoft 365 előfizetéssel rendelkezik, amely tartalmazza az Active Directory integrációs funkciót. Az Microsoft 365-előfizetésekkel kapcsolatos információkért látogasson el a Microsoft 365 előfizetési lapjára.

• Építsen ki egy azure-beli virtuális gépet, amely Azure AD Csatlakozás fut a helyszíni AD DS-erdő és a Microsoft 365 szinkronizálásához.

  Rendelkeznie kell az AD DS vállalati rendszergazdai fiókjához tartozó hitelesítő adatokkal (névvel és jelszóval), valamint egy Azure AD rendszergazdai fiókkal.

Megoldásarchitektúra tervezési előfeltételei

Az alábbi lista a megoldáshoz választott tervezési lehetőségeket ismerteti.

• Ez a megoldás egyetlen Azure-beli virtuális hálózatot használ helyek közötti VPN-kapcsolattal. Az Azure-beli virtuális hálózat egyetlen alhálózatot üzemeltet, amely egyetlen kiszolgálóval rendelkezik, a címtár-szinkronizálási kiszolgálóval, amely Azure AD Csatlakozás fut.

• A helyszíni hálózaton tartományvezérlő és DNS-kiszolgálók léteznek.

• Azure AD Csatlakozás egyszeri bejelentkezés helyett jelszókivonat-szinkronizálást hajt végre. Az Active Directory összevonási szolgáltatások (AD FS) infrastruktúráját nem kell üzembe helyeznie. A jelszókivonat-szinkronizálásról és az egyszeri bejelentkezési lehetőségekről további információt a Azure Active Directory hibrid identitáskezelési megoldás megfelelő hitelesítési módszerének kiválasztását ismertető cikkben talál.

Más tervezési lehetőségeket is figyelembe vehet, amikor üzembe helyezi ezt a megoldást a környezetben. Ezek közé tartoznak például az alábbiak:

• Ha meglévő DNS-kiszolgálók vannak egy meglévő Azure-beli virtuális hálózatban, határozza meg, hogy szeretné-e, hogy a címtár-szinkronizálási kiszolgáló névfeloldás céljából használja őket a helyszíni hálózat DNS-kiszolgálói helyett.

• Ha vannak tartományvezérlők egy meglévő Azure-beli virtuális hálózatban, határozza meg, hogy az Active Directory-helyek és -szolgáltatások konfigurálása jobb megoldás-e Önnek. A címtár-szinkronizálási kiszolgáló lekérdezheti az Azure-beli virtuális hálózat tartományvezérlőit a fiókok és jelszavak változásairól a helyszíni hálózat tartományvezérlői helyett.

Üzembe helyezési ütemterv

A Azure AD Csatlakozás üzembe helyezése egy Azure-beli virtuális gépen három fázisból áll:

• 1. fázis: Az Azure-beli virtuális hálózat létrehozása és konfigurálása
• 2. fázis: Az Azure-beli virtuális gép létrehozása és konfigurálása
• 3. fázis: A Azure AD Csatlakozás telepítése és konfigurálása

Az üzembe helyezést követően helyeket és licenceket is hozzá kell rendelnie az új felhasználói fiókokhoz Microsoft 365.

1. fázis: Az Azure-beli virtuális hálózat létrehozása és konfigurálása

Az Azure-beli virtuális hálózat létrehozásához és konfigurálásához végezze el az 1. fázist: A helyszíni hálózat előkészítése és a 2. fázis: A létesítmények közötti virtuális hálózat létrehozása az Azure-ban a helyszíni hálózat Csatlakozás Microsoft Azure virtuális hálózathoz való üzembehelyezési ütemtervében.

Ez az eredményként kapott konfiguráció.

Ez az ábra egy azure-beli virtuális hálózathoz helyek közötti VPN- vagy ExpressRoute-kapcsolaton keresztül csatlakozó helyszíni hálózatot mutat be.

2. fázis: Az Azure-beli virtuális gép létrehozása és konfigurálása

Hozza létre a virtuális gépet az Azure-ban a következő utasítások alapján: Hozza létre az első Windows virtuális gépet a Azure Portal. Használja a következő beállításokat:

• Az Alapszintű beállítások panelen válassza ki ugyanazt az előfizetést, helyet és erőforráscsoportot, mint a virtuális hálózat. Rögzítse a felhasználónevet és a jelszót egy biztonságos helyen. Ezekre később szüksége lesz a virtuális géphez való csatlakozáshoz.

• A Méret kiválasztása panelen válassza az A2 Standard méretet.

• A Gépház panel Storage szakaszában válassza ki a Standard tárolótípust. A Hálózat szakaszban válassza ki a virtuális hálózat nevét és a címtár-szinkronizálási kiszolgáló üzemeltetésére szolgáló alhálózatot (ne a GatewaySubnetet). Hagyja meg az összes többi beállítást az alapértelmezett értéken.

Ellenőrizze, hogy a címtár-szinkronizálási kiszolgáló megfelelően használja-e a DNS-t. Ehhez ellenőrizze a belső DNS-t, és győződjön meg arról, hogy hozzá lett adva egy címrekord (A) a virtuális géphez annak IP-címével.

A Csatlakozás utasításait követve jelentkezzen be a címtár-szinkronizálási kiszolgálóhoz távoli asztali kapcsolattal. Bejelentkezés után csatlakoztassa a virtuális gépet a helyszíni AD DS-tartományhoz.

Ahhoz, hogy Azure AD Csatlakozás hozzáférhessen az internetes erőforrásokhoz, konfigurálnia kell a címtár-szinkronizálási kiszolgálót a helyszíni hálózat proxykiszolgálójának használatára. További konfigurálási lépésekért forduljon a hálózati rendszergazdához.

Ez az eredményként kapott konfiguráció.

Ez az ábra a címtár-szinkronizálási kiszolgáló virtuális gépét mutatja a létesítmények közötti Azure-beli virtuális hálózaton.

3. fázis: A Azure AD Csatlakozás telepítése és konfigurálása

Hajtsa végre a következő eljárást:

1. Csatlakozás a címtár-szinkronizálási kiszolgálóhoz távoli asztali kapcsolattal, helyi rendszergazdai jogosultságokkal rendelkező AD DS tartományi fiókkal. Lásd: Csatlakozás a virtuális géphez, és jelentkezzen be.

2. A címtár-szinkronizálási kiszolgálóról nyissa meg a Címtár-szinkronizálás beállítása Microsoft 365 cikkhez, és kövesse a jelszókivonat-szinkronizálással történő címtár-szinkronizálásra vonatkozó utasításokat.

Figyelemfelhívás

A telepítő létrehozza a AAD_xxxxxxxxxxxx fiókot a Helyi felhasználók szervezeti egységben (OU). Ne helyezze át vagy távolítsa el ezt a fiókot, vagy a szinkronizálás sikertelen lesz.

Ez az eredményként kapott konfiguráció.

Ez az ábra a címtár-szinkronizálási kiszolgálót mutatja Azure AD Csatlakozás a létesítmények közötti Azure-beli virtuális hálózaton.

Helyek és licencek hozzárendelése felhasználókhoz a Microsoft 365

Azure AD Csatlakozás a helyszíni AD DS-ből fiókokat ad hozzá a Microsoft 365-előfizetéséhez, de ahhoz, hogy a felhasználók bejelentkezhessenek Microsoft 365 és használhassák a szolgáltatásait, a fiókokat helyhez és licencekhez kell konfigurálni. Az alábbi lépésekkel adhatja hozzá a helyet, és aktiválhatja a licenceket a megfelelő felhasználói fiókokhoz:

1. Jelentkezzen be a Microsoft 365 Felügyeleti központ, majd kattintson Rendszergazda.

2. A bal oldali navigációs sávon kattintson az Aktív felhasználók elemre > .

3. A felhasználói fiókok listájában jelölje be az aktiválni kívánt felhasználó melletti jelölőnégyzetet.

4. A felhasználó lapján kattintson a Terméklicencek szerkesztése elemre.

5. A Terméklicencek lapon válassza ki a felhasználó tartózkodási helyét, majd engedélyezze a megfelelő licenceket a felhasználó számára.

6. Ha elkészült, kattintson a Mentés, majd kétszer a Bezárás gombra.

7. Vissza a 3. lépésre további felhasználók számára.

Lásd még

Microsoft 365 megoldás- és architektúraközpont

Helyszíni hálózat Csatlakozás Microsoft Azure virtuális hálózathoz

Azure AD Csatlakozás letöltése

Címtár-szinkronizálás beállítása Microsoft 365