Penginstalan kustom Azure Active Directory Connect

Gunakan pengaturan kustom di Azure Active Directory (Microsoft Azure Active Directory) Connect saat Anda menginginkan opsi lainnya untuk penginstalan. Gunakan pengaturan ini, misalnya, jika Anda memiliki beberapa hutan atau jika Anda ingin mengonfigurasi fitur opsional. Gunakan pengaturan kustom dalam semua kasus di mana penginstalan ekspres tidak memenuhi kebutuhan penyebaran atau topologi Anda.

Prasyarat:

Pengaturan penginstalan kustom

Untuk menyiapkan penginstalan kustom untuk Microsoft Azure Active Directory Connect, masuk ke halaman panduan yang dijabarkan bagian berikut ini.

Pengaturan Ekspres

Pada halaman Pengaturan Ekspres, pilih Kustomisasi untuk memulai penginstalan pengaturan yang dikustomisasi. Sisa artikel ini memandu Anda melalui proses penginstalan kustom. Gunakan tautan berikut ini untuk masuk ke halaman tertentu dengan cepat:

Pasang komponen yang diperlukan

Saat Anda memasang layanan sinkronisasi, Anda dapat membiarkan bagian konfigurasi opsional tidak dipilih. Azure Active Directory Connect menyiapkan semuanya secara otomatis. Ini menyiapkan instans SQL Server 2019 Express LocalDB, membuat grup yang sesuai, dan menetapkan izin. Jika Anda ingin mengubah default, kosongkan kotak yang sesuai. Tabel berikut ini meringkas opsi ini dan menyediakan tautan ke informasi tambahan.

Screenshot showing optional selections for the required installation components in Azure AD Connect.

Konfigurasi Opsional Deskripsi
Menentukan lokasi penginstalan kustom Memungkinkan Anda mengubah jalur penginstalan default untuk Microsoft Azure Active Directory Connect.
Menggunakan Microsoft SQL Server yang sudah ada Memungkinkan Anda menentukan nama SQL Server dan nama instans. Pilih opsi ini jika Anda sudah memiliki server database yang ingin Anda gunakan. Untuk Nama Instans, masukkan nama instans, koma, dan nomor port jika instans SQL Server Anda tidak mengaktifkan penjelajahan. Lalu tentukan nama database Microsoft Azure Active Directory Connect. Hak istimewa SQL Anda menentukan apakah database baru dapat dibuat atau administrator SQL Anda harus membuat database terlebih dahulu. Jika Anda memiliki izin administrator SQL Server (SA), lihat Memasang Microsoft Azure Active Directory Connect dengan menggunakan database yang sudah ada. Jika Anda memiliki izin delegasi (DBO), lihat Memasang Microsoft Azure Active Directory Connect dengan menggunakan izin administrator delegasi SQL.
Menggunakan akun layanan yang sudah ada Secara default, Microsoft Azure Active Directory Connect menyediakan akun layanan virtual untuk layanan sinkronisasi. Jika Anda menggunakan instans SQL Server jarak jauh atau menggunakan proksi yang memerlukan autentikasi, Anda dapat menggunakan akun layanan terkelola atau akun layanan yang dilindungi kata sandi di domain. Dalam kasus tersebut, masukkan akun yang ingin Anda gunakan. Untuk menjalankan penginstalan, Anda harus menjadi SA di SQL sehingga Anda dapat membuat mandat masuk untuk akun layanan. Untuk informasi selengkapnya, lihat Akun dan izin Azure AD Connect.

Dengan menggunakan versi terbaru, administrator SQL kini dapat menyediakan database di luar jangkauan. Kemudian administrator Microsoft Azure Active Directory Connect dapat memasangnya dengan hak pemilik database. Untuk informasi selengkapnya, lihat Memasang Microsoft Azure Active Directory Connect dengan menggunakan izin administrator delegasi SQL.
Menentukan grup sinkronisasi kustom Secara default, ketika layanan sinkronisasi dipasang, Microsoft Azure Active Directory Connect membuat empat grup lokal ke server. Grup ini adalah Administrator, Operator, Penelusuran, dan Reset Kata Sandi. Anda dapat menentukan grup Anda sendiri di sini. Volume harus berada di server lokal. Mereka tidak dapat ditemukan di domain.
Mengimpor setelan sinkronisasi (pratinjau) Memungkinkan Anda mengimpor pengaturan dari versi Microsoft Azure Active Directory Connect lainnya. Untuk informasi selengkapnya, lihat Mengimpor dan mengekspor pengaturan konfigurasi Microsoft Azure Active Directory Connect.

Rincian masuk pengguna

Setelah memasang komponen yang diperlukan, pilih metode masuk tunggal pengguna Anda. Tabel berikut ini menjelaskan secara singkat opsi yang tersedia. Untuk deskripsi lengkap tentang metode masuk, lihat Masuk pengguna.

Screenshot that shows the

Opsi akses menyeluruh Deskripsi
Sinkronisasi hash kata sandi Pengguna dapat masuk ke layanan awan Microsoft, seperti Microsoft 365, dengan menggunakan kata sandi yang sama dengan yang mereka gunakan di jaringan lokal mereka. Kata sandi pengguna disinkronkan ke Microsoft Azure Active Directory sebagai hash kata sandi. Autentikasi terjadi di cloud. Untuk informasi selengkapnya, lihat Sinkronisasi hash kata sandi.
Autentikasi pass-through Pengguna dapat masuk ke layanan awan Microsoft, seperti Microsoft 365, dengan menggunakan kata sandi yang sama dengan yang mereka gunakan di jaringan lokal mereka. Kata sandi pengguna divalidasi dengan diteruskan ke pengontrol domain Direktori Aktif lokal.
Federasi dengan Azure Layanan Federasi Direktori Aktif Pengguna dapat masuk ke layanan awan Microsoft, seperti Microsoft 365, dengan menggunakan kata sandi yang sama dengan yang mereka gunakan di jaringan lokal mereka. Pengguna dialihkan ke instans Azure Directory Federation Services (Layanan Federasi Direktori Aktif) lokal mereka untuk masuk. Autentikasi terjadi secara lokal.
Federation dengan PingFederate Pengguna dapat masuk ke layanan awan Microsoft, seperti Microsoft 365, dengan menggunakan kata sandi yang sama dengan yang mereka gunakan di jaringan lokal mereka. Pengguna dialihkan ke instans PingFederate lokal mereka untuk masuk. Autentikasi terjadi secara lokal.
Jangan konfigurasikan Tidak ada fitur masuk pengguna yang terpasang atau dikonfigurasi. Pilih opsi ini jika Anda sudah memiliki server federasi pihak ketiga atau solusi lain di tempat.
Mengaktifkan akses menyeluruh Opsi ini tersedia dengan sinkronisasi hash kata sandi dan autentikasi pass-through. Ini memberikan satu pengalaman masuk untuk pengguna desktop di jaringan perusahaan. Untuk informasi selengkapnya, lihat Akses menyeluruh.


Untuk pelanggan AD FS, opsi ini tidak tersedia. Layanan Federasi Direktori Aktif sudah menawarkan tingkat akses menyeluruh yang sama.

Menyambungkan ke Microsoft Azure Active Directory

Pada halaman Sambungkan ke Microsoft Azure Active Directory, masukkan akun admin global dan kata sandi. Jika Anda memilih Federasi dengan Layanan Federasi Direktori Aktif di halaman sebelumnya, jangan masuk dengan akun yang berada di domain yang anda rencanakan untuk diaktifkan pada federasi.

Anda mungkin ingin menggunakan akun di domain onmicrosoft.com default, yang disertakan dengan penyewa Microsoft Azure Active Directory Anda. Akun ini digunakan hanya untuk membuat akun layanan di Microsoft Azure Active Directory. Ini tidak digunakan setelah penginstalan selesai.

Screenshot showing the

Jika akun admin global Anda mengaktifkan autentikasi multifaktor, Anda menyediakan kata sandi lagi di jendela masuk, dan Anda harus menyelesaikan tantangan autentikasi multifaktor. Tantangannya bisa menjadi kode verifikasi atau panggilan telepon.

Screenshot showing the

Akun admin global juga dapat mengaktifkan manajemen identitas istimewa.

Jika Anda melihat kesalahan atau mengalami masalah dengan konektivitas, lihat Memecahkan masalah konektivitas.

Menyinkronkan halaman

Bagian berikut ini menguraikan halaman di bagian Sinkronkan.

Menyambungkan direktori Anda

Untuk menyambungkan ke Active Directory Domain Services (Azure AD Domain Services), Azure AD Connect memerlukan nama hutan dan info masuk akun yang memiliki izin yang memadai.

Screenshot that shows the

Setelah Anda memasukkan nama forest dan memilih Tambahkan Direktori, sebuah jendela akan muncul. Tabel berikut ini menjelaskan opsi Anda.

Opsi Deskripsi
Buat akun baru Buat akun Azure Layanan Domain Active Directory yang perlu disambungkan Azure Layanan Domain Active Directory ke hutan Active Directory selama sinkronisasi direktori. Setelah Anda memilih opsi ini, masukkan nama pengguna dan kata sandi untuk akun admin perusahaan. Azure Active Directory Connect menggunakan akun admin perusahaan yang disediakan untuk membuat akun Azure Layanan Domain Active Directory Domain Services yang diperlukan. Anda dapat memasukkan bagian domain dalam format NetBIOS atau format FQDN. Yaitu, masukkan FABRIKAM\administrator atau fabrikam.com\administrator.
Gunakan akun yang sudah ada Sediakan akun Azure Active Directory Domain Services yang telah tersedia yang mana Azure Active Directory Connect bisa digunakan untuk terhubung dengan hutan Layanan Domain Active Directory selama sinkronisasi direktori. Anda dapat memasukkan bagian domain dalam format NetBIOS atau format FQDN. Yaitu, masukkan FABRIKAM\syncuser atau fabrikam.com\syncuser. Akun ini bisa menjadi akun pengguna biasa karena hanya membutuhkan izin baca default. Tetapi tergantung pada skenario Anda, Anda mungkin memerlukan lebih banyak izin. Untuk informasi selengkapnya, lihat Akun dan izin Azure AD Connect.

Screenshot showing the

Catatan

Mulai dari build 1.4.18.0, Anda tidak dapat menggunakan admin perusahaan atau akun admin domain sebagai akun konektor Azure AD Domain Services. Saat memilih Gunakan akun yang ada, jika Anda mencoba memasukkan akun admin enterprise atau akun admin domain, Anda akan melihat kesalahan berikut: "Menggunakan akun administrator Perusahaan atau Domain untuk akun forest AD Anda tidak diizinkan . Biarkan Microsoft Azure Active Directory Connect membuat akun untuk Anda atau menentukan akun sinkronisasi dengan izin yang tepat."

Konfigurasi masuk Microsoft Azure Active Directory

Pada halaman konfigurasi masuk Microsoft Azure Active Directory, tinjau domain nama utama pengguna (UPN) di Azure Layanan Domain Active Directory Domain Services lokal. Domain UPN ini telah diverifikasi di Microsoft Azure Active Directory. Pada halaman ini, Anda mengonfigurasi atribut yang akan digunakan untuk userPrincipalName.

Screenshot showing unverified domains on the

Tinjau setiap domain yang ditandai sebagai Tidak Ditambahkan atau Tidak Diverifikasi. Pastikan bahwa domain yang Anda gunakan telah diverifikasi di Microsoft Azure Active Directory. Setelah memverifikasi domain, pilih ikon refresh melingkar. Untuk informasi selengkapnya, lihat Tambahkan dan verifikasi domain.

Pengguna menggunakan atribut userPrincipalName saat mereka masuk ke Microsoft Azure Active Directory dan Microsoft 365. Microsoft Azure Active Directory harus memverifikasi domain, juga dikenal sebagai akhiran UPN, sebelum pengguna disinkronkan. Microsoft menyarankan agar Anda menyimpan atribut default userPrincipalName.

Jika atribut userPrincipalName tidak dapat diubah dan tidak dapat diverifikasi, maka Anda dapat memilih atribut lain. Anda dapat, misalnya, memilih email sebagai atribut yang memegang ID masuk. Saat Anda menggunakan atribut selain userPrincipalName, atribut ini dikenal sebagai ID alternatif.

Nilai atribut ID alternatif harus mengikuti standar RFC 822. Anda dapat menggunakan ID alternatif dengan sinkronisasi hash kata sandi, autentikasi pass-through, dan federasi. Di Direktori Aktif, atribut tidak dapat didefinisikan sebagai multinilai, meskipun hanya memiliki satu nilai. Untuk informasi selengkapnya tentang ID alternatif, lihat Autentikasi pass-through: Pertanyaan yang sering diajukan.

Catatan

Ketika Anda mengaktifkan autentikasi pass-through, Anda harus memiliki setidaknya satu domain terverifikasi untuk melanjutkan melalui proses penginstalan kustom.

Peringatan

ID alternatif tidak kompatibel dengan semua beban kerja Microsoft 365. Untuk informasi selengkapnya, lihat Mengonfigurasi ID masuk alternatif.

Pemfilteran domain dan unit organisasi

Secara default, semua domain dan unit organisasi (OUs) disinkronkan. Jika Anda tidak ingin menyinkronkan beberapa domain atau unit organisasi ke Microsoft Azure Active Directory, Anda bisa menghapus pilihan yang sesuai.

Screenshot showing the Domain and O U filtering page.

Halaman ini mengonfigurasi pemfilteran berbasis domain dan berbasis unit organisasi. Jika Anda berencana membuat perubahan, lihat Pemfilteran berbasis domain dan pemfilteran berbasis unit organisasi. Beberapa unit organisasi sangat penting untuk fungsionalitas, jadi Anda harus membiarkannya dipilih.

Jika Anda menggunakan pemfilteran berbasis unit organisasi dengan versi Microsoft Azure Active Directory Connect yang lebih lama dari 1.1.524.0, unit organisasi baru disinkronkan secara default. Jika Anda tidak ingin unit organisasi baru disinkronkan, maka Anda dapat menyesuaikan perilaku default setelah langkah pemfilteran berbasis unit organisasi. Untuk Microsoft Azure Active Directory Connect 1.1.524.0 atau yang lebih baru, Anda bisa mengindikasikan apakah Anda ingin unit organisasi baru disinkronkan.

Jika Anda berencana menggunakan pemfilteran berbasis grup, maka pastikan unit organisasi dengan grup disertakan dan tidak difilter dengan menggunakan pemfilteran unit organisasi. Pemfilteran unit organisasi dievaluasi sebelum pemfilteran berbasis grup dievaluasi.

Ada kemungkinan juga bahwa beberapa domain tidak dapat dijangkau karena pembatasan firewall. Domain ini tidak dipilih secara default, dan mereka menampilkan peringatan.

Screenshot showing unreachable domains.

Jika Anda melihat peringatan ini, pastikan bahwa domain ini memang tidak dapat dijangkau dan peringatan telah diperkirakan.

Mengidentifikasi pengguna Anda secara unik

Pada halaman Mengidentifikasi pengguna, pilih cara mengidentifikasi pengguna di direktori lokal Anda dan cara mengidentifikasinya dengan menggunakan atribut sourceAnchor.

Pilih bagaimana pengguna harus diidentifikasi di direktori lokal Anda

Dengan menggunakan fitur Pencocokan di seluruh hutan, Anda dapat menentukan bagaimana pengguna dari hutan Azure Active Directory Domain Services Anda diwakili di Microsoft Azure Layanan Domain Active Directory. Pengguna mungkin hanya diwakili sekali di semua hutan atau mungkin memiliki kombinasi akun yang diaktifkan dan dinonaktifkan. Pengguna mungkin juga diwakili sebagai kontak di beberapa hutan.

Screenshot showing the page where you can uniquely identify your users.

Pengaturan Deskripsi
Pengguna hanya diwakili sekali di semua hutan Semua pengguna dibuat sebagai objek individual di Microsoft Azure Active Directory. Objek tidak digabungkan dalam metaverse.
Atribut surat Opsi ini bergabung dengan pengguna dan kontak jika atribut email memiliki nilai yang sama di hutan yang berbeda. Gunakan opsi ini saat kontak Anda dibuat dengan menggunakan GALSync. Jika Anda memilih opsi ini, objek pengguna yang atribut emailnya tidak diisi tidak disinkronkan ke Azure Active Directory.
Atribut ObjectSID dan msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID Opsi ini bergabung dengan pengguna yang diaktifkan di hutan akun dengan pengguna dinonaktifkan di hutan sumber daya. Di Exchange, konfigurasi ini dikenal sebagai kotak surat yang ditautkan. Anda bisa menggunakan opsi ini jika Anda hanya menggunakan Lync dan jika Exchange tidak ada di hutan sumber daya.
Atribut SAMAccountName dan MailNickName Opsi ini bergabung pada atribut di mana ID masuk untuk pengguna diharapkan ditemukan.
Pilih atribut tertentu Opsi ini memungkinkan Anda memilih atribut Anda sendiri. Jika Anda memilih opsi ini, objek pengguna yang atribut emailnya tidak diisi tidak akan disinkronkan ke Azure Active Directory. Batasan: Hanya atribut yang sudah ada dalam metaverse yang tersedia untuk opsi ini.

Memilih bagaimana pengguna harus diidentifikasi dengan menggunakan jangkar sumber

Atribut sourceAnchor tidak dapat diubah selama masa pakai objek pengguna. Ini adalah kunci utama yang menautkan pengguna lokal dengan pengguna di Microsoft Azure Active Directory.

Pengaturan Deskripsi
Biarkan Azure mengelola jangkar sumber Pilih opsi ini jika Anda ingin Microsoft Azure Active Directory memilih atribut untuk Anda. Jika Anda memilih opsi ini, Microsoft Azure Active Directory Connect menerapkan logika pemilihan atribut yang dijelaskan dalam Menggunakan ms-DS-ConsistencyGuid sebagai sourceAnchor. Setelah penginstalan kustom selesai, Anda akan melihat atribut mana yang dipilih sebagai atribut sourceAnchor.
Pilih atribut tertentu Pilih opsi ini jika Anda ingin menentukan atribut AD yang ada sebagai atribut sourceAnchor.

Karena atribut sourceAnchor tidak dapat diubah, Anda harus memilih atribut yang sesuai. Kandidat yang baik adalah objectGUID. Atribut ini tidak diubah kecuali akun pengguna dipindahkan antara hutan atau domain. Jangan pilih atribut yang dapat berubah saat seseorang menikah atau mengubah tugas.

Anda tidak dapat menggunakan atribut yang menyertakan tanda (@), sehingga Anda tidak dapat menggunakan email dan userPrincipalName. Atribut ini juga peka huruf besar/kecil, jadi saat Anda memindahkan objek di antara hutan, pastikan untuk mempertahankan huruf besar dan huruf kecil. Atribut biner terkodekan Base64, tetapi jenis atribut lainnya tetap dalam keadaan tidak dikodekan.

Dalam skenario federasi dan beberapa antarmuka Microsoft Azure Active Directory, atribut sourceAnchor juga dikenal sebagai ID yang tidak dapat diubah.

Untuk informasi selengkapnya tentang jangkar sumber, lihat Konsep desain.

Menyinkronkan pemfilteran berdasarkan grup

Fitur filtering-on-groups memungkinkan Anda menyinkronkan hanya sebagian kecil objek untuk pilot. Untuk menggunakan fitur ini, buat grup untuk tujuan ini dalam instans Direktori Aktif lokal Anda. Lalu tambahkan pengguna dan grup yang harus disinkronkan ke Microsoft Azure Active Directory sebagai anggota langsung. Nantinya Anda bisa menambahkan pengguna atau menghapus pengguna dari grup ini untuk mempertahankan daftar objek yang seharusnya ada di Microsoft Azure Active Directory.

Semua objek yang ingin Anda sinkronkan harus menjadi anggota langsung grup. Pengguna, grup, kontak, dan komputer atau perangkat semuanya harus menjadi anggota langsung. Keanggotaan grup berlapis tidak diselesaikan. Saat Anda menambahkan grup sebagai anggota, hanya grup itu sendiri yang ditambahkan. Anggotanya tidak ditambahkan.

Screenshot showing the page where you can choose how to filter users and devices.

Peringatan

Fitur ini dimaksudkan untuk hanya mendukung penyebaran pilot. Jangan menggunakannya dalam penyebaran produksi penuh.

Dalam penyebaran produksi penuh, akan sulit untuk mempertahankan satu kelompok dan semua objeknya untuk disinkronkan. Alih-alih fitur filtering-on-groups, gunakan salah satu metode yang dijelaskan dalam Mengonfigurasi pemfilteran.

Fitur opsional

Pada halaman berikutnya, Anda dapat memilih fitur opsional untuk skenario Anda.

Peringatan

Microsoft Azure Active Directory Connect versi 1.0.8641.0 dan yang lebih lama mengandalkan Azure Access Control Service untuk penulisan balik kata sandi. Layanan ini dihentikan pada 7 November 2018. Jika Anda menggunakan salah satu versi Microsoft Azure Active Directory Connect ini dan telah mengaktifkan penulisan kata sandi, pengguna mungkin kehilangan kemampuan untuk mengubah atau mengatur ulang kata sandi mereka saat layanan dihentikan. Versi Azure Active Directory Connect ini tidak mendukung penulisan kata sandi.

Untuk informasi selengkapnya, lihat Melakukan migrasi dari Azure Access Control Service.

Jika Anda ingin menggunakan penulisan kata sandi, unduh versi terbaru Microsoft Azure Active Directory Connect.

Screenshot showing the

Peringatan

Jika Sinkronisasi AAD atau Sinkronisasi Langsung (DirSync) aktif, jangan aktifkan fitur tulis balik apa pun di Microsoft Azure Active Directory Connect.

Fitur opsional Deskripsi
Penyebaran hibrid Exchange Fitur penyebaran hibrid Exchange memungkinkan koeksistensi kotak surat Exchange baik lokal maupun di Microsoft 365. Azure Active Directory Connect menyinkronkan sekumpulan atribut dari Azure Active Directory kembali ke direktori lokal Anda.
Folder publik email Exchange Fitur folder publik email Exchange memungkinkan Anda menyinkronkan objek folder-publik email-aktif dari instans Direktori Aktif lokal Anda ke Microsoft Azure Active Directory.
Aplikasi Microsoft Azure Active Directory dan pemfilteran atribut Dengan mengaktifkan aplikasi Microsoft Azure Active Directory dan pemfilteran atribut, Anda dapat menyesuaikan sekumpulan atribut yang disinkronkan. Opsi ini menambahkan dua halaman konfigurasi lagi ke wizard. Untuk informasi selengkapnya, lihat Aplikasi Microsoft Azure Active Directory dan pemfilteran atribut.
Sinkronisasi hash kata sandi Jika Anda memilih federasi sebagai solusi masuk, Anda dapat mengaktifkan sinkronisasi hash kata sandi. Kemudian Anda dapat menggunakannya sebagai opsi cadangan.

Jika Anda memilih autentikasi pass-through, Anda dapat mengaktifkan opsi ini untuk memastikan dukungan untuk klien lama dan untuk menyediakan cadangan.

Untuk informasi selengkapnya, lihat
.
Tulis balik kata sandi Gunakan opsi ini untuk memastikan bahwa perubahan kata sandi yang berasal dari Microsoft Azure Active Directory ditulis kembali ke direktori lokal Anda. Untuk informasi selengkapnya, lihat Mulai menggunakan kata sandi terkelola.
Penulisan ulang grup Jika Anda menggunakan Grup Microsoft 365, maka Anda dapat mewakili grup dalam instans Direktori Aktif lokal Anda. Opsi ini hanya tersedia jika Anda memiliki Exchange dalam instans Direktori Aktif lokal Anda. Untuk informasi selengkapnya, lihat penulisan kembali grup Azure Active Directory Connect.
Penulisan ulang perangkat Untuk skenario akses bersyarat, gunakan opsi ini untuk menulis kembali objek perangkat di Microsoft Azure Active Directory ke instans Direktori Aktif lokal Anda. Untuk informasi selengkapnya, lihat Mengaktifkan penulisan ulang perangkat di Azure Active Directory Connect.
Sinkronisasi atribut ekstensi direktori Pilih opsi ini untuk menyinkronkan atribut tertentu ke Microsoft Azure Active Directory. Untuk informasi selengkapnya, lihat Ekstensi direktori.

Aplikasi Microsoft Azure Active Directory dan pemfilteran atribut

Jika Anda ingin membatasi atribut mana yang akan disinkronkan ke Microsoft Azure Active Directory, maka mulailah dengan memilih layanan yang Anda gunakan. Jika Anda mengubah pilihan pada halaman ini, Anda harus secara eksplisit memilih layanan baru dengan menjalankan ulang instalan wizard.

Screenshot showing optional Azure A D apps features.

Berdasarkan layanan yang Anda pilih di langkah sebelumnya, halaman ini memperlihatkan semua atribut yang disinkronkan. Daftar ini adalah kombinasi dari semua tipe objek yang sedang disinkronkan. Jika Anda memerlukan beberapa atribut untuk tetap tidak disinkronkan, Anda dapat menghapus pilihan dari atribut tersebut.

Screenshot showing optional Azure A D attributes features.

Peringatan

Menghapus atribut bisa mempengaruhi fungsionalitas. Untuk praktik dan rekomendasi terbaik, lihat Atribut untuk disinkronkan.

Sinkronisasi atribut Ekstensi Direktori

Anda dapat memperluas skema di Microsoft Azure Active Directory dengan menggunakan atribut kustom yang ditambahkan organisasi Anda atau dengan menggunakan atribut lain di Direktori Aktif. Untuk menggunakan fitur ini, pada halaman Fitur Opsional, pilih Sinkronisasi atribut Ekstensi Direktori. Pada halaman Ekstensi Direktori, Anda dapat memilih lebih banyak atribut untuk disinkronkan.

Catatan

Bidang Atribut yang Tersedia peka huruf besar/kecil.

Screenshot showing the

Untuk informasi selengkapnya, lihat Ekstensi direktori.

Mengaktifkan akses menyeluruh

Pada halaman Masuk tunggal Anda mengonfigurasi masuk tunggal untuk digunakan dengan sinkronisasi kata sandi atau autentikasi pass-through. Anda melakukan langkah ini sekali untuk setiap hutan yang sedang disinkronkan ke Microsoft Azure Active Directory. Konfigurasi melibatkan dua langkah:

  1. Buat akun komputer yang diperlukan dalam instans Direktori Aktif lokal Anda.
  2. Mengonfigurasi zona intranet mesin klien untuk mendukung akses menyeluruh.

Membuat akun komputer di Direktori Aktif

Untuk setiap hutan yang telah ditambahkan di Microsoft Azure Active Directory Connect, Anda perlu menyediakan info masuk administrator domain sehingga akun komputer dapat dibuat di setiap hutan. Mandat hanya digunakan untuk membuat akun. Mereka tidak disimpan atau digunakan untuk operasi lainnya. Tambahkan info masuk di halaman Aktifkan akses menyeluruh, seperti yang ditunjukkan gambar berikut ini.

Screenshot showing the

Catatan

Anda dapat melewati hutan di mana Anda tidak ingin menggunakan akses menyeluruh.

Mengonfigurasi zona intranet untuk mesin klien

Untuk memastikan bahwa klien masuk secara otomatis di zona intranet, pastikan URL adalah bagian dari zona intranet. Langkah ini memastikan bahwa komputer yang bergabung dengan domain secara otomatis mengirim tiket Kerberos ke Microsoft Azure Active Directory saat terhubung ke jaringan perusahaan.

Pada komputasi yang memiliki alat kelola Kebijakan Grup:

  1. Buka alat manajemen Kebijakan Grup.

  2. Edit kebijakan grup yang akan diterapkan ke semua pengguna. Misalnya, kebijakan Domain Default.

  3. Masuk ke Konfigrasi PenggunaTemplat administratifKomponen WindowsInternet ExplorerKontrol Panel InternetHalaman keamanan. Lalu pilih Situs ke Daftar Penetapan Zona.

  4. Aktifkan kebijakan. Kemudian, dalam kotak dialog, masukkan nama nilai https://autologon.microsoftazuread-sso.com dan nilai 1. Pengaturan Anda akan terlihat seperti gambar berikut.

    Screenshot showing intranet zones.

  5. Pilih OK dua kali.

Mengonfigurasi federasi dengan Layanan Federasi Direktori Aktif

Anda dapat mengonfigurasi Layanan Federasi Direktori Aktif dengan Azure Active Directory Connect hanya dengan beberapa klik. Sebelum memulai, Anda perlu:

  • Windows Server 2012 R2 atau yang lebih baru untuk server federasi. Manajemen jarak jauh harus difungsikan.
  • Windows Server 2012 R2 atau yang lebih baru untuk server Proksi Aplikasi Web. Manajemen jarak jauh harus difungsikan.
  • Sertifikat TLS/SSL untuk nama layanan federasi yang ingin Anda gunakan (misalnya, sts.contoso.com).

Catatan

Anda dapat memperbarui sertifikat TLS/SSL untuk Layanan Federasi Direktori Aktif dengan menggunakan Azure Active Directory Connect meskipun Anda tidak menggunakannya untuk mengelola kepercayaan federasi Anda.

Prasyarat konfigurasi Layanan Federasi Direktori Aktif

Untuk mengonfigurasi Layanan Federasi Direktori Aktif dengan menggunakan Azure Active Directory Connect, pastikan WinRM diaktifkan di server jarak jauh. Pastikan Anda telah menyelesaikan tugas lain dalam prasyarat Federasi. Pastikan juga Anda mengikuti persyaratan port yang tercantum dalam tabel server Azure Active Directory Connect dan Federation/WAP.

Buat pertanian Layanan Federasi Direktori Aktif baru atau gunakan Layanan Federasi Direktori Aktif yang sudah ada

Anda dapat menggunakan Layanan Federasi Direktori Aktif yang sudah ada atau membuat yang baru. Jika Anda memilih untuk membuat yang baru, Anda harus memberikan sertifikat TLS/SSL. Jika sertifikat TLS/SSL dilindungi oleh kata sandi, maka Anda akan diminta untuk memberikan kata sandi.

Screenshot showing the

Jika Anda memilih untuk menggunakan Layanan Federasi Direktori Aktif yang sudah ada, Anda akan melihat halaman tempat Anda bisa mengonfigurasi hubungan kepercayaan antara Layanan Federasi Direktori Aktif dan Microsoft Azure Active Directory.

Catatan

Anda dapat menggunakan Microsoft Azure Active Directory Connect untuk mengelola hanya satu Layanan Federasi Direktori Aktif. Jika Anda memiliki kepercayaan federasi yang sudah ada di mana Microsoft Azure Active Directory dikonfigurasi pada Layanan Federasi Direktori Aktif yang dipilih, Azure Active Directory Connect akan membuat kembali kepercayaan dari awal.

Tentukan server Layanan Federasi Direktori Aktif

Tentukan server tempat Anda ingin memasang Layanan Federasi Direktori Aktif. Anda dapat menambahkan satu atau beberapa server, tergantung pada kebutuhan kapasitas Anda. Sebelum Anda menyetel konfigurasi ini, bergabunglah dengan semua server Layanan Federasi Direktori Aktif ke Active Directory. Langkah ini tidak diperlukan untuk server Proksi Aplikasi Web.

Microsoft merekomendasikan untuk memasang satu server Layanan Federasi Direktori Aktif untuk pengujian dan penerapan pilot. Setelah konfigurasi awal, Anda dapat menambahkan dan menyebarkan lebih banyak server untuk memenuhi kebutuhan penskalaan Anda dengan menjalankan Azure Active Directory Connect lagi.

Catatan

Sebelum Anda menyiapkan konfigurasi ini, pastikan semua server Anda bergabung ke domain Azure Active Directory.

Screenshot showing the

Tentukan server Proksi Aplikasi Web

Tentukan server Proksi Aplikasi Web Anda. Server Proksi Aplikasi Web disebarkan di jaringan perimeter Anda, menghadap ke ekstranet. Ini mendukung permintaan autentikasi dari ekstranet. Anda dapat menambahkan satu atau beberapa server, tergantung pada kebutuhan kapasitas Anda.

Microsoft merekomendasikan untuk memasang satu server Proksi Aplikasi Web untuk pengujian dan penerapan pilot. Setelah konfigurasi awal, Anda dapat menambahkan dan menyebarkan lebih banyak server untuk memenuhi kebutuhan penskalaan Anda dengan menjalankan Azure Active Directory Connect lagi. Kami menyarankan agar Anda memiliki jumlah server proksi yang setara untuk memenuhi autentikasi dari intranet.

Catatan

  • Jika akun yang Anda gunakan bukan admin lokal di server Proksi Aplikasi Web, maka Anda akan dimintai info masuk admin.
  • Sebelum Anda menentukan server Proksi Aplikasi Web, pastikan ada konektivitas HTTP/HTTPS antara server Azure Active Directory Connect dan server Proksi Aplikasi Web.
  • Pastikan bahwa ada konektivitas HTTP / HTTPS antara Server Aplikasi Web dan server Layanan Federasi Direktori Aktif untuk memungkinkan permintaan alur autentikasi.

Screenshot showing the Web Application Proxy servers page.

Anda diminta untuk memasukkan info masuk sehingga server aplikasi web dapat membuat koneksi aman ke server Layanan Federasi Direktori Aktif. Mandat ini harus untuk akun administrator lokal di server Layanan Federasi Direktori Aktif.

Screenshot showing the

Tentukan akun layanan untuk Layanan Federasi Direktori Aktif

Layanan Federasi Direktori Aktif memerlukan akun layanan domain untuk mengautentikasi pengguna dan mencari informasi pengguna di Direktori Aktif. Ini dapat mendukung dua jenis akun layanan:

  • Akun layanan terkelola grup: Jenis akun ini dimasukkan ke dalam AD DS oleh Windows Server 2012. Jenis akun ini menyediakan layanan seperti Layanan Federasi Direktori Aktif. Ini adalah satu akun di mana Anda tidak perlu memperbarui kata sandi secara teratur. Gunakan opsi ini jika Anda sudah memiliki pengontrol domain Windows Server 2012 di domain tempat server Layanan Federasi Direktori Aktif Anda berada.
  • Akun pengguna domain: Jenis akun ini mengharuskan Anda untuk memberikan kata sandi dan memperbaruinya secara teratur ketika kedaluwarsa. Gunakan opsi ini hanya ketika Anda tidak memiliki pengontrol domain Windows Server 2012 di domain tempat server Layanan Federasi Direktori Aktif Anda berada.

Jika Anda memilih Buat Grup Akun Layanan Terkelola dan fitur ini belum pernah digunakan di Direktori Aktif, lalu masukkan info masuk admin perusahaan Anda. Info masuk ini digunakan untuk memulai penyimpanan kunci dan mengaktifkan fitur di Direktori Aktif.

Catatan

Azure Active Directory Connect memeriksa Layanan Federasi Direktori Aktif sudah terdaftar sebagai nama pokok layanan (SPN) di domain. Azure AD Domain Services tidak mengizinkan SPN duplikat didaftarkan secara bersamaan. Jika SPN duplikat ditemukan, Anda tidak dapat melanjutkan lebih lanjut sampai SPN dihapus.

Screenshot showing the

Pilih domain Microsoft Azure Active Directory yang ingin Anda federasi

Gunakan halaman Domain Microsoft Azure Active Directory untuk menyiapkan hubungan federasi antara Layanan Federasi Direktori Aktif dan Microsoft Azure Active Directory. Di sini, Anda mengonfigurasi Layanan Federasi Direktori Aktif untuk memberikan token keamanan ke Microsoft Azure Active Directory. Anda juga mengonfigurasi Microsoft Azure Active Directory untuk mempercayai token dari instans Layanan Federasi Direktori Aktif ini.

Di halaman ini, Anda hanya dapat mengonfigurasi satu domain dalam penginstalan awal. Anda bisa mengonfigurasi lebih banyak domain nanti dengan menjalankan Azure Active Directory Connect lagi.

Screenshot that shows the

Memverifikasi domain Microsoft Azure Active Directory yang dipilih untuk federasi

Saat Anda memilih domain yang ingin Anda federasikan, Azure Active Directory Connect menyediakan informasi yang bisa Anda gunakan untuk memverifikasi domain yang belum diverifikasi. Untuk informasi selengkapnya, lihat Tambahkan dan verifikasi domain.

Screenshot showing the

Catatan

Azure Active Directory Connect mencoba memverifikasi domain selama tahap konfigurasi. Jika Anda tidak menambahkan catatan Domain Name System (DNS) yang diperlukan, konfigurasi tidak bisa diselesaikan.

Mengonfigurasi federasi dengan PingFederate

Anda dapat mengonfigurasi PingFederate dengan Azure Active Directory Connect hanya dengan beberapa klik. Prasyarat berikut diperlukan:

Memverifikasi domain

Setelah Anda memilih untuk menyiapkan federasi dengan menggunakan PingFederate, Anda diminta untuk memverifikasi domain yang ingin Anda federasikan. Pilih domain dari menu turun.

Screenshot that shows the

Mengekspor pengaturan PingFederate

Mengonfigurasi PingFederate sebagai server federasi untuk setiap domain Azure federasi. Pilih Ekspor Pengaturan untuk berbagi informasi ini dengan administrator PingFederate Anda. Administrator server federasi memperbarui konfigurasi lalu menyediakan URL server PingFederate dan nomor port sehingga Microsoft Azure Active Directory Connect dapat memverifikasi pengaturan metadata.

Screenshot showing the

Hubungi administrator PingFederate Anda untuk mengatasi masalah validasi apa pun. Gambar berikut ini memperlihatkan informasi tentang server PingFederate yang tidak memiliki hubungan kepercayaan yang valid dengan Azure.

Screenshot showing server information: The PingFederate server was found, but the service provider connection for Azure is missing or disabled.

Memverifikasi konektivitas federasi

Microsoft Azure Active Directory Connect mencoba memvalidasi titik akhir autentikasi yang diambilnya dari metadata PingFederate di langkah sebelumnya. Microsoft Azure Active Directory Connect pertama kali mencoba mengatasi titik akhir dengan menggunakan server DNS lokal Anda. Selanjutnya, ia mencoba untuk mengatasi titik akhir dengan menggunakan penyedia DNS eksternal. Hubungi administrator PingFederate Anda untuk mengatasi masalah validasi apa pun.

Screenshot showing the

Memverifikasi masuk federasi

Terakhir, Anda dapat memverifikasi alur login federasi yang baru dikonfigurasi dengan masuk ke domain federasi. Jika berhasil masuk, maka federasi dengan PingFederate berhasil dikonfigurasi.

Screenshot showing the

Mengonfigurasi dan memverifikasi halaman

Konfigurasi terjadi pada halaman Konfigurasi.

Catatan

Jika Anda mengonfigurasi federasi, maka pastikan Anda juga telah mengonfigurasi Resolusi nama untuk server federasi sebelum melanjutkan penginstalan.

Screenshot showing the

Gunakan mode pementasan

Dimungkinkan untuk menyiapkan server sinkronisasi baru secara paralel dengan mode pementasan. Jika Anda ingin menggunakan pengaturan ini, maka hanya satu server sinkronisasi yang dapat mengekspor ke satu direktori di cloud. Tetapi jika Anda ingin pindah dari server lain, misalnya server yang menjalankan DirSync, maka Anda dapat mengaktifkan Microsoft Azure Active Directory Connect dalam mode pementasan.

Saat Anda mengaktifkan pengaturan pementasan, mesin sinkronisasi mengimpor dan menyinkronkan data seperti biasa. Tetapi tidak mengekspor data ke Microsoft Azure Active Directory atau Layanan Domain Active Directory. Dalam mode pementasan, fitur sinkronisasi kata sandi dan fitur sandi tulis balik dinonaktifkan.

Screenshot showing the

Dalam mode pementasan, Anda dapat membuat perubahan yang diperlukan pada mesin sinkronisasi dan meninjau apa yang akan diekspor. Ketika konfigurasi terlihat bagus, jalankan lagi wizard penginstalan dan nonaktifkan mode pementasan.

Data sekarang diekspor ke Microsoft Azure Active Directory dari server. Pastikan untuk menonaktifkan server lain pada saat yang sama sehingga hanya satu server yang aktif mengekspor.

Untuk informasi selengkapnya, lihat Mode pementasan.

Memverifikasi konfigurasi federasi Anda

Microsoft Azure Active Directory Connect memverifikasi pengaturan DNS saat Anda memilih tombol Verifikasi. Ini memeriksa pengaturan berikut:

  • Konektivitas intranet
    • Mengatasi federasi FQDN: Microsoft Azure Active Directory Connect memeriksa apakah DNS dapat menyelesaikan FQDN federasi untuk memastikan konektivitas. Jika Microsoft Azure Active Directory Connect tidak dapat mengatasi FQDN, verifikasi gagal. Untuk menyelesaikan verifikasi, pastikan bahwa catatan DNS hadir untuk layanan federasi FQDN.
    • Catatan DNS A: Azure AD Connect memeriksa apakah layanan federasi Anda memiliki rekaman A. Dengan tidak adanya rekaman A, verifikasi gagal. Untuk menyelesaikan verifikasi, buat rekaman A (bukan rekaman CNAME) untuk federasi Anda FQDN.
  • Konektivitas ekstranet
    • Mengatasi federasi FQDN: Microsoft Azure Active Directory Connect memeriksa apakah DNS dapat menyelesaikan FQDN federasi untuk memastikan konektivitas.

      Screenshot showing the

      Screenshot showing the

Untuk memvalidasi autentikasi end-to-end, lakukan satu atau beberapa tes berikut secara manual:

  • Saat sinkronisasi selesai, di Microsoft Azure Active Directory Connect, gunakan tugas tambahan Verifikasi log masuk untuk memverifikasi autentikasi pada akun pengguna lokal yang Anda pilih.
  • Dari mesin yang bergabung dengan domain di intranet, pastikan Anda dapat masuk dari browser. Sambungkan ke https://myapps.microsoft.com. Kemudian gunakan akun masuk Anda untuk memverifikasi masuk. Akun administrator Azure AD Domain Services bawaan tidak sinkronkan, dan Anda tidak dapat menggunakannya untuk verifikasi.
  • Pastikan Anda dapat masuk dari perangkat di ekstranet. Di mesin rumah atau perangkat seluler, sambungkan ke https://myapps.microsoft.com. Kemudian berikan informasi masuk Anda.
  • Memvalidasi rincian masuk klien kaya. Sambungkan ke https://testconnectivity.microsoft.com. Lalu pilih Office 365Uji Akses Menyeluruh Office 365.

Pecahkan masalah

Bagian ini berisi informasi pemecahan masalah yang bisa Anda gunakan jika Anda mengalami masalah saat memasang Microsoft Azure Active Directory Connect.

Saat Anda mengkustomisasi penginstalan Azure AD Connect, pada halaman Pasang komponen yang diperlukan, Anda bisa memilih Gunakan Microsoft SQL Server yang sudah ada. Anda mungkin melihat kesalahan berikut: "Database Sinkronisasi AAD sudah berisi data dan tidak dapat ditimpa. Silakan hapus database yang ada, lalu coba kembali."

Screenshot that shows the

Anda melihat kesalahan ini karena database bernama Sinkronisasi AAD sudah ada pada instans SQL dari SQL Server yang Anda tentukan.

Anda biasanya melihat kesalahan ini setelah menghapus penginstalan Microsoft Azure Active Directory Connect. Database tidak dihapus dari komputer yang menjalankan SQL Server saat Anda menghapus penginstalan Microsoft Azure Active Directory Connect.

Untuk memperbaiki masalah ini:

  1. Periksa database Sinkronisasi AAD yang digunakan Microsoft Azure Active Directory Connect sebelum dihapus penginstalannya. Pastikan bahwa database tidak lagi digunakan.

  2. Cadangkan database.

  3. Menghapus database:

    1. Gunakan Microsoft SQL Server Management Studio untuk menyambungkan ke instans SQL.
    2. Temukan database Sinkronisasi AAD dan klik kanan database tersebut.
    3. Pada menu konteks, pilih Hapus.
    4. Pilih OK untuk menghapus database.

Screenshot showing Microsoft SQL Server Management Studio. A D Sync is selected.

Setelah Anda menghapus database Sinkronisasi AAD, pilih Pasang untuk mencoba kembali penginstalan.

Langkah berikutnya

Setelah penginstalan selesai, keluar dari Windows. Kemudian masuk lagi sebelum Anda menggunakan Synchronization Service Manager atau Editor Aturan Sinkronisasi.

Sekarang setelah Anda memasang Azure AD Connect, Anda dapat memverifikasi penginstalan dan menetapkan lisensi.

Untuk informasi selengkapnya tentang fitur yang Anda aktifkan selama penginstalan, lihat Mencegah penghapusan yang tidak disengaja dan Azure AD Connect Health.

Untuk informasi selengkapnya tentang topik umum lainnya, lihat Sinkronisasi Microsoft Azure Active Directory Connect: Scheduler dan Integrasikan identitas lokal Anda dengan Microsoft Azure Active Directory.