Niestandardowa instalacja Azure Active Directory Połączenie

Użyj ustawień niestandardowych Azure Active Directory (Azure AD) Połączenie, jeśli chcesz uzyskać więcej opcji instalacji. Użyj tych ustawień, na przykład jeśli masz wiele lasów lub chcesz skonfigurować funkcje opcjonalne. Użyj ustawień niestandardowych we wszystkich przypadkach, gdy instalacja ekspresowa nie spełnia wymagań dotyczących wdrożenia lub topologii.

Wymagania wstępne:

Niestandardowe ustawienia instalacji

Aby skonfigurować niestandardową instalację usługi Azure AD Połączenie, przejdź przez strony kreatora, które opisano w poniższych sekcjach.

Ustawienia ekspresowe

Na stronie Ustawienia Express wybierz pozycję Dostosuj, aby rozpocząć instalację z dostosowanymi ustawieniami. Pozostała część tego artykułu przeprowadzi Cię przez proces instalacji niestandardowej. Użyj następujących linków, aby szybko przejść do informacji dotyczących określonej strony:

Instalacja wymaganych składników

Po zainstalowaniu usług synchronizacji możesz pozostawić niezaznakkcją opcjonalną sekcję konfiguracji. Usługa Azure AD Połączenie automatycznie skonfigurować wszystko. Konfiguruje ono wystąpienie SQL Server LocalDB programu Express 2012 Express, tworzy odpowiednie grupy i przypisuje uprawnienia. Jeśli chcesz zmienić wartości domyślne, wyczyść odpowiednie pola. W poniższej tabeli przedstawiono podsumowanie tych opcji i linki do dodatkowych informacji.

Zrzut ekranu przedstawiający opcjonalne opcje dla wymaganych składników instalacji w usłudze Azure AD Połączenie.

Konfiguracja opcjonalna Opis
Określanie niestandardowej lokalizacji instalacji Umożliwia zmianę domyślnej ścieżki instalacji usługi Azure AD Połączenie.
Użyj istniejącego serwera SQL Server Umożliwia określenie nazwy SQL Server wystąpienia. Wybierz tę opcję, jeśli masz już serwer bazy danych, którego chcesz użyć. W polach Nazwa wystąpienia wprowadź nazwę wystąpienia, przecinek i numer portu, jeśli SQL Server nie ma włączonego przeglądania. Następnie określ nazwę bazy danych usługi Azure AD Połączenie database. Twoje SQL określają, czy można utworzyć nową bazę danych, czy administrator SQL musi wcześniej utworzyć bazę danych. Jeśli masz uprawnienia SQL Server (SA), zobacz Install Azure AD Połączenie by using an existing database (Instalowanie usługi Azure AD Połączenie przy użyciu istniejącej bazy danych). Jeśli masz uprawnienia delegowane, zobacz Install Azure AD Połączenie by using SQL delegated administrator permissions (Instalowanie usługi Azure AD Połączenie przy użyciu SQL delegowanych uprawnień administratora).
Użyj istniejącego konta usługi Domyślnie usługa Azure AD Połączenie udostępnia konto usługi wirtualnej dla usług synchronizacji. Jeśli używasz zdalnego wystąpienia usługi SQL Server lub serwera proxy, który wymaga uwierzytelniania, możesz użyć zarządzanego konta usługi lub chronionego hasłem konta usługi w domenie. W takich przypadkach wprowadź konto, którego chcesz użyć. Aby uruchomić instalację, musisz być skojańcem zabezpieczeń w usłudze SQL, aby można było utworzyć poświadczenia logowania dla konta usługi. Aby uzyskać więcej informacji, zobacz Azure AD Połączenie accounts and permissions (Konta i uprawnienia usługi Azure AD).

Korzystając z najnowszej kompilacji, SQL może teraz aprowizować bazę danych poza pasmem. Następnie administrator usługi Azure AD Połączenie może go zainstalować z prawami właściciela bazy danych. Aby uzyskać więcej informacji, zobacz Install Azure AD Połączenie by using SQL delegated administrator permissions (Instalowanie usługi Azure AD za pomocą SQL delegowanych uprawnień administratora).
Określ niestandardowe grupy synchronizacji Domyślnie po zainstalowaniu usług synchronizacji usługa Azure AD Połączenie tworzy cztery grupy lokalne dla serwera. Te grupy to Administratorzy, Operatorzy, Przeglądaj i Resetowanie hasła. Możesz tu określić własne grupy. Grupy muszą być lokalne na serwerze. Nie mogą one być zlokalizowane w domenie.
Importowanie ustawień synchronizacji (wersja zapoznawcza) Umożliwia importowanie ustawień z innych wersji usługi Azure AD Połączenie. Aby uzyskać więcej informacji, zobacz Importowanie i eksportowanie ustawień konfiguracji usługi Azure AD Połączenie .

Logowanie użytkowników

Po zainstalowaniu wymaganych składników wybierz metodę logowania pojedynczego użytkowników. W poniższej tabeli krótko opisano dostępne opcje. Pełny opis metod logowania znajduje się w temacie Logowanie użytkowników.

Zrzut ekranu przedstawiający stronę "Logowanie użytkownika". Opcja "Synchronizacja skrótów haseł" jest zaznaczona.

Opcja logowania pojedynczego Opis
Synchronizacja skrótów haseł Użytkownicy mogą logować się do usług w chmurze firmy Microsoft, takich jak Microsoft 365, przy użyciu tego samego hasła, które jest im dane w sieci lokalnej. Hasła użytkowników są synchronizowane z usługą Azure AD jako skróty haseł. Uwierzytelnianie odbywa się w chmurze. Aby uzyskać więcej informacji, zobacz Synchronizacja skrótów haseł.
Uwierzytelnianie przekazywane Użytkownicy mogą logować się do usług w chmurze firmy Microsoft, takich jak Microsoft 365, przy użyciu tego samego hasła, które jest im dane w sieci lokalnej. Hasła użytkowników są weryfikowane przez przekazywane do lokalna usługa Active Directory domeny.
Federacja z usługami AD FS Użytkownicy mogą logować się do usług w chmurze firmy Microsoft, takich jak Microsoft 365, przy użyciu tego samego hasła, które jest im dane w sieci lokalnej. Użytkownicy są przekierowywani do lokalnego wystąpienia usług Azure Directory Federation Services (AD FS) w celu zalogowania. Uwierzytelnianie odbywa się lokalnie.
Federacja z serwerem PingFederate Użytkownicy mogą logować się do usług w chmurze firmy Microsoft, takich jak Microsoft 365, przy użyciu tego samego hasła, które jest im dane w sieci lokalnej. Użytkownicy są przekierowywani do lokalnego wystąpienia serwera PingFederate w celu zalogowania się. Uwierzytelnianie odbywa się lokalnie.
Nie konfiguruj Żadna funkcja logowania użytkownika nie jest zainstalowana ani skonfigurowana. Wybierz tę opcję, jeśli masz już serwer federowy innej firmy lub inne rozwiązanie.
Włączanie logowania pojedynczego Ta opcja jest dostępna zarówno w przypadku synchronizacji skrótów haseł, jak i uwierzytelniania pass-through. Zapewnia ona środowisko logowania pojedynczego dla użytkowników komputerów stacjonarnych w sieciach firmowych. Aby uzyskać więcej informacji, zobacz Single sign-on (Logowanie pojedynczej).

Uwaga: W AD FS ta opcja jest niedostępna dla klientów. AD FS już oferuje ten sam poziom logowania pojedynczego.

Łączenie z usługą Azure AD

Na stronie Połączenie do usługi Azure AD wprowadź konto administratora globalnego i hasło. Jeśli na poprzedniej stronie wybrano opcję Federacja z usługą AD FS, nie loguj się przy użyciu konta, które należy do domeny, która ma być włączyć federację.

Możesz użyć konta w domyślnej domenie onmicrosoft.com, która jest dostarczana z dzierżawą usługi Azure AD. To konto jest używane tylko do tworzenia konta usługi w usłudze Azure AD. Nie jest on używany po zakończeniu instalacji.

Zrzut ekranu przedstawiający stronę "Połączenie do usługi Azure AD".

Jeśli twoje konto administratora globalnego ma włączone uwierzytelnianie wieloskładnikowe, ponownie podaj hasło w oknie logowania i musisz ukończyć zadanie uwierzytelniania wieloskładnikowego. Wyzwaniem może być kod weryfikacyjny lub połączenie telefoniczne.

Zrzut ekranu przedstawiający stronę "Połączenie do usługi Azure AD". Pole uwierzytelniania wieloskładnikowego monituje użytkownika o kod.

Konto administratora globalnego może również mieć włączoną usługę Privileged Identity Management.

Jeśli widzisz błąd lub masz problemy z łącznością, zobacz Rozwiązywanie problemów z łącznością.

Strony synchronizacji

W poniższych sekcjach opisano strony w sekcji Synchronizacja.

Podłączanie katalogów

Aby nawiązać Active Directory Domain Services (Azure AD DS), usługa Azure AD Połączenie wymaga nazwy lasu i poświadczeń konta, które ma wystarczające uprawnienia.

Zrzut ekranu przedstawiający stronę Połączenie katalogów.

Po wprowadzeniu nazwy lasu i wybraniu polecenia Dodaj katalog zostanie wyświetlone okno. W poniższej tabeli opisano opcje.

Opcja Opis
Utwórz nowe konto Utwórz konto Azure AD DS, które usługa Azure AD Połączenie musi nawiązać połączenie z lasem usługi Active Directory podczas synchronizacji katalogów. Po wybraniu tej opcji wprowadź nazwę użytkownika i hasło dla konta administratora przedsiębiorstwa. Usługa Azure AD Połączenie używa podanego konta administratora przedsiębiorstwa do utworzenia wymaganego Azure AD DS przedsiębiorstwa. Możesz wprowadzić część domeny w formacie NetBIOS lub FQDN. Oznacza to, że wpisz FABRIKAM\administrator lub fabrikam.com\administrator.
Użyj istniejącego konta Podaj istniejące konto Azure AD DS, za pomocą Połączenie Azure AD nawiązać połączenie z lasem usługi Active Directory podczas synchronizacji katalogów. Możesz wprowadzić część domeny w formacie NetBIOS lub FQDN. Oznacza to, że wprowadź wartość FABRIKAM\syncuser lub fabrikam.com\syncuser. To konto może być kontem zwykłego użytkownika, ponieważ wymaga tylko domyślnych uprawnień do odczytu. Jednak w zależności od scenariusza może być konieczne więcej uprawnień. Aby uzyskać więcej informacji, zobacz Azure AD Połączenie accounts and permissions (Konta i uprawnienia usługi Azure AD).

Zrzut ekranu przedstawiający stronę "Połączenie Directory" i okno konta lasu A D, w którym można utworzyć nowe konto lub użyć istniejącego konta.

Uwaga

Od wersji 1.4.18.0 nie można używać konta administratora przedsiębiorstwa ani administratora domeny jako konta Azure AD DS łącznika. Po wybraniu opcji Użyj istniejącego konta , jeśli spróbujesz wprowadzić konto administratora przedsiębiorstwa lub konto administratora domeny, zostanie wyświetlony następujący błąd: "Użycie konta administratora domeny lub konta Enterprise dla konta lasu usługi AD jest niedozwolone. Pozwól usłudze Azure AD Połączenie utworzyć dla Ciebie konto lub określić konto synchronizacji z prawidłowymi uprawnieniami".

Konfiguracja logowania się w usłudze Azure AD

Na stronie konfiguracji logowania usługi Azure AD przejrzyj domeny głównej nazwy użytkownika (UPN) w domenie lokalnej Azure AD DS. Te domeny UPN zostały zweryfikowane w usłudze Azure AD. Na tej stronie skonfigurujesz atrybut do użycia dla atrybutu userPrincipalName.

Zrzut ekranu przedstawiający niezweryfikowane domeny na stronie "Konfiguracja logowania usługi Azure A D".

Przejrzyj każdą domenę, która jest oznaczona jako Nie dodano lub Nie zweryfikowano. Upewnij się, że domeny, których używasz, zostały zweryfikowane w usłudze Azure AD. Po zweryfikowaniu domen wybierz ikonę cyklicznego odświeżania. Aby uzyskać więcej informacji, zobacz Dodawanie i weryfikowanie domeny.

Użytkownicy używają atrybutu userPrincipalName podczas logowania się do usługi Azure AD i Microsoft 365. Przed zsynchronizowaniem użytkowników usługa Azure AD powinna sprawdzić domeny, znane również jako sufiks nazwy UPN. Firma Microsoft zaleca zachowanie domyślnego atrybutu userPrincipalName.

Jeśli atrybut userPrincipalName nie jest tabelą i nie można go zweryfikować, możesz wybrać inny atrybut. Możesz na przykład wybrać adres e-mail jako atrybut, który zawiera identyfikator logowania. Jeśli używasz atrybutu innego niż userPrincipalName, jest on znany jako alternatywny identyfikator.

Wartość atrybutu alternatywnego identyfikatora musi być zgodne ze standardem RFC 822. Możesz użyć alternatywnego identyfikatora z synchronizacją skrótów haseł, uwierzytelnianiem pass-through i federacją. W usłudze Active Directory atrybut nie może być zdefiniowany jako wielowartościowy, nawet jeśli ma tylko jedną wartość. Aby uzyskać więcej informacji na temat alternatywnego identyfikatora, zobacz Uwierzytelnianie pass-through: często zadawane pytania.

Uwaga

Po włączeniu uwierzytelniania pass-through musisz mieć co najmniej jedną zweryfikowaną domenę, aby kontynuować proces instalacji niestandardowej.

Ostrzeżenie

Alternatywne identyfikatory nie są zgodne ze wszystkimi Microsoft 365 obciążeniami. Aby uzyskać więcej informacji, zobacz Konfigurowanie alternatywnych identyfikatorów logowania.

Filtrowanie domen i jednostek organizacyjnych

Domyślnie wszystkie domeny i jednostki organizacyjne są synchronizowane. Jeśli nie chcesz synchronizować niektórych domen lub maszyn wirtualnych z usługą Azure AD, możesz wyczyścić odpowiednie opcje.

Zrzut ekranu przedstawiający stronę filtrowania domena i nazwa użytkownika.

Ta strona umożliwia skonfigurowanie filtrowania opartego na domenie i ojmowej. Jeśli planujesz wprowadzić zmiany, zobacz Filtrowanie oparte na domenie i Filtrowanie na podstawie OU. Niektóre z nich są niezbędne do działania, dlatego należy pozostawić je wybrane.

Jeśli używasz filtrowania opartego na usłudze OU z usługą Azure AD Połączenie w wersji starszej niż 1.1.524.0, nowe maszyny wirtualne są domyślnie synchronizowane. Jeśli nie chcesz synchronizować nowych użytkowników, możesz dostosować domyślne zachowanie po kroku filtrowania na podstawie tej grupy. W przypadku usługi Azure AD Połączenie 1.1.524.0 lub nowszej możesz wskazać, czy chcesz synchronizować nowe maszyny wirtualne.

Jeśli planujesz używać filtrowaniaopartego na grupach, upewnij się, że uwzględniono w nim grupę i że nie jest ona filtrowana przy użyciu filtrowania OU. Filtrowanie oU jest oceniane przed oceną filtrowania opartego na grupach.

Istnieje również możliwość, że niektóre domeny są nieosiągalne ze względu na ograniczenia zapory. Te domeny nie są domyślnie zaznaczone i wyświetlane jest ostrzeżenie.

Zrzut ekranu przedstawiający nieosiągalne domeny.

Jeśli widzisz to ostrzeżenie, upewnij się, że te domeny są rzeczywiście nieosiągalne i że ostrzeżenie jest oczekiwane.

Unikatowa identyfikacja użytkowników

Na stronie Identyfikowanie użytkowników wybierz sposób identyfikowania użytkowników w katalogach lokalnych i identyfikowania ich przy użyciu atrybutu sourceAnchor.

Wybieranie sposobu identyfikowania użytkowników w katalogach lokalnych

Za pomocą funkcji Dopasowywanie między lasami można zdefiniować sposób reprezentowania użytkowników z Azure AD DS w usłudze Azure AD. Użytkownik może być reprezentowany tylko raz we wszystkich lasach lub może mieć kombinację włączonych i wyłączonych kont. W niektórych lasach użytkownik może być także wyświetlany jako kontakt.

Zrzut ekranu przedstawiający stronę, na której można jednoznacznie zidentyfikować użytkowników.

Ustawienie Opis
Użytkownicy są reprezentowani tylko raz we wszystkich lasach Wszyscy użytkownicy są utworzeni jako pojedyncze obiekty w usłudze Azure AD. Obiekty nie są połączone w metaverse.
Atrybut poczty Ta opcja łączy użytkowników i kontakty, jeśli atrybut poczty ma taką samą wartość w różnych lasach. Użyj tej opcji, gdy kontakty zostały utworzone przy użyciu narzędzia GALSync. Jeśli wybierzesz tę opcję, obiekty użytkowników, których atrybut poczty e-mail jest niezapulpulowany, nie będą synchronizowane z usługą Azure AD.
Atrybuty ObjectSID i msExchangeMasterAccountSID/msRTCSIP-OriginatorSID Ta opcja łączy włączonego użytkownika w lesie konta z wyłączonym użytkownikiem w lesie zasobów. W programie Exchange ta konfiguracja jest określana jako połączona skrzynka pocztowa. Tej opcji można użyć, jeśli używasz tylko lync i jeśli Exchange nie jest obecny w lesie zasobów.
Atrybuty SAMAccountName i MailNickName Ta opcja łączy atrybuty, w których identyfikator logowania użytkownika powinien zostać znaleziony.
Wybieranie określonego atrybutu Ta opcja umożliwia wybranie własnego atrybutu. Jeśli wybierzesz tę opcję, obiekty użytkowników, których (wybrany) atrybut jest niezapulowany, nie będą synchronizowane z usługą Azure AD. Ograniczenie: Tylko atrybuty, które znajdują się już w metaverse, są dostępne dla tej opcji.

Wybieranie sposobu identyfikacji użytkowników przy użyciu zakotwiczenia źródła

Atrybut sourceAnchor jest niezmienny w okresie istnienia obiektu użytkownika. Jest to klucz podstawowy, który łączy użytkownika lokalnego z użytkownikiem w usłudze Azure AD.

Ustawienie Opis
Umożliwianie platformie Azure zarządzania zakotwiczeniami źródła Wybierz tę opcję, jeśli chcesz, aby usługa Azure AD wybierała ten atrybut za Ciebie. Jeśli wybierzesz tę opcję, usługa Azure AD Połączenie stosuje logikę wyboru atrybutu sourceAnchor opisaną w tesłudze Using ms-DS-ConsistencyGuid as sourceAnchor (Używanie atrybutu ms-DS-ConsistencyGuid jako sourceAnchor). Po zakończeniu instalacji niestandardowej zobaczysz, który atrybut został wybrany jako atrybut sourceAnchor.
Wybieranie określonego atrybutu Wybierz tę opcję, jeśli chcesz określić istniejący atrybut usługi AD jako atrybut sourceAnchor.

Ponieważ atrybutu sourceAnchor nie można zmienić, należy wybrać odpowiedni atrybut. Dobrym wyborem jest atrybut objectGUID. Ten atrybut nie zostanie zmieniony, chyba że konto użytkownika zostanie przeniesione między lasami lub domenami. Nie wybieraj atrybutów, które mogą się zmieniać, gdy osoba żeni się lub zmienia przypisania.

Nie można używać atrybutów, które zawierają znak @, więc nie można używać adresu e-mail i nazwy userPrincipalName. W atrybutie jest również rozróżniana wielkość liter, dlatego podczas przenoszenia obiektu między lasami należy zachować wielkie i małe litery. Atrybuty binarne są zakodowane w formacie Base64, ale inne typy atrybutów pozostają w stanie niezakodowania.

W scenariuszach federacji i niektórych interfejsach usługi Azure AD atrybut sourceAnchor jest również nazywany atrybutem immutableID.

Aby uzyskać więcej informacji na temat zakotwiczenia źródła, zobacz Design concepts (Pojęcia dotyczące projektowania).

Filtrowanie synchronizacji na podstawie grup

Funkcja filtrowania według grup umożliwia synchronizowanie tylko niewielkiego podzestawu obiektów w ramach pilotażu. Aby użyć tej funkcji, utwórz grupę w tym celu w lokalnym wystąpieniu usługi Active Directory. Następnie należy dodać użytkowników i grupy, którzy mają zostać zsynchronizowani z usługą Azure AD jako bezpośredni członkowie. Później możesz dodawać użytkowników lub usuwać ich z tej grupy, aby zachować listę obiektów, które powinny być obecne w usłudze Azure AD.

Wszystkie obiekty, które chcesz zsynchronizować, muszą być bezpośrednimi członkami grupy. Użytkownicy, grupy, kontakty i komputery lub urządzenia muszą być bezpośrednimi członkami. Członkostwo w grupach zagnieżdżonych nie jest rozpoznawane. Podczas dodawania grupy jako członka jest dodawana tylko sama grupa. Jej elementy członkowskie nie są dodawane.

Zrzut ekranu przedstawiający stronę, na której można wybrać sposób filtrowania użytkowników i urządzeń.

Ostrzeżenie

Ta funkcja jest przeznaczona do obsługi tylko wdrożenia pilotażowego. Nie używaj go w pełnym wdrożeniu produkcyjnym.

W przypadku pełnego wdrożenia produkcyjnego trudno byłoby zachować jedną grupę i wszystkie jej obiekty do zsynchronizowania. Zamiast funkcji filtrowania według grup użyj jednej z metod opisanych w tece Konfigurowanie filtrowania.

Funkcje opcjonalne

Na następnej stronie możesz wybrać funkcje opcjonalne dla swojego scenariusza.

Ostrzeżenie

Usługa Azure AD Połączenie w wersji 1.0.8641.0 i starszych bazuje na usłudze Azure Access Control Service do zapisu zwrotnego haseł. Ta usługa została wycofana 7 listopada 2018 r. Jeśli używasz dowolnej z tych wersji usługi Azure AD Połączenie i masz włączoną funkcję zapisu zwrotnego haseł, użytkownicy mogą utracić możliwość zmiany lub zresetowania swoich haseł po wycofaniu usługi. Te wersje usługi Azure AD Połączenie nie obsługują zapisu zwrotnego haseł.

Aby uzyskać więcej informacji, zobacz Migrowanie z usługi Azure Access Control Service.

Jeśli chcesz użyć funkcji zapisu zwrotnego haseł, pobierz najnowszą wersję usługi Azure AD Połączenie.

Zrzut ekranu przedstawiający stronę "Funkcje opcjonalne".

Ostrzeżenie

Jeśli Azure AD Sync lub synchronizacja bezpośrednia (DirSync) są aktywne, nie aktywuj żadnych funkcji zapisu zwrotnego w usłudze Azure AD Połączenie.

Funkcje opcjonalne Opis
Exchange wdrożenia hybrydowego Funkcja Exchange wdrożenia hybrydowego umożliwia współistnienie Exchange skrzynek pocztowych zarówno lokalnych, jak i Microsoft 365. Usługa Azure AD Połączenie synchronizuje określony zestaw atrybutów z usługi Azure AD z powrotem do katalogu lokalnego.
Exchange folderów publicznych poczty e-mail Funkcja Exchange folderów publicznych poczty umożliwia synchronizowanie obiektów folderu publicznego z włączoną obsługą poczty z lokalnego wystąpienia usługi Active Directory do usługi Azure AD.
Filtrowanie atrybutów i aplikacji usługi Azure AD Włączając filtrowanie atrybutów i aplikacji usługi Azure AD, można dostosować zestaw zsynchronizowanych atrybutów. Ta opcja dodaje do kreatora dwie dodatkowe strony konfiguracji. Więcej informacji znajduje się w temacie Filtrowanie atrybutów i aplikacji usługi Azure AD.
Synchronizacja skrótów haseł Jeśli jako rozwiązanie logowania wybrano federację, możesz włączyć synchronizację skrótów haseł. Następnie możesz użyć go jako opcji tworzenia kopii zapasowej.

Jeśli wybrano uwierzytelnianie pass-through, możesz włączyć tę opcję, aby zapewnić obsługę starszych klientów i utworzyć kopię zapasową.

Aby uzyskać więcej informacji, zobacz Synchronizacja skrótów haseł.
Zapisywanie zwrotne haseł Użyj tej opcji, aby upewnić się, że zmiany haseł pochodzące z usługi Azure AD są zapisywane z powrotem w katalogu lokalnym. Więcej informacji można znaleźć w temacie Wprowadzenie do zarządzania hasłami
Zapisywanie zwrotne grup Jeśli używasz grup Microsoft 365, możesz reprezentować grupy w lokalnym wystąpieniu usługi Active Directory. Ta opcja jest dostępna tylko wtedy, Exchange w lokalnym wystąpieniu usługi Active Directory. Aby uzyskać więcej informacji, zobacz Azure AD Połączenie group writeback (Zapis zwrotny grup usługi Azure AD).
Zapisywanie zwrotne urządzeń W przypadku scenariuszy z dostępem warunkowym użyj tej opcji, aby zapisać obiekty urządzeń w usłudze Azure AD do lokalnego wystąpienia usługi Active Directory. Więcej informacji znajduje się w temacie Włączanie zapisywania zwrotnego urządzeń w programie Azure AD Connect.
Synchronizacja atrybutów rozszerzeń katalogów Wybierz tę opcję, aby zsynchronizować określone atrybuty z usługą Azure AD. Więcej informacji znajduje się w temacie Rozszerzenia katalogów.

Filtrowanie atrybutów i aplikacji usługi Azure AD

Jeśli chcesz ograniczyć atrybuty synchronizowane z usługą Azure AD, zacznij od wybrania usług, których używasz. Jeśli zmienisz opcje na tej stronie, musisz jawnie wybrać nową usługę, ponownie uruchomić kreatora instalacji.

Zrzut ekranu przedstawiający opcjonalne funkcje aplikacji usługi Azure A D.

Na podstawie usług wybranych w poprzednim kroku ta strona zawiera wszystkie synchronizowane atrybuty. Ta lista jest kombinacją wszystkich typów obiektów, które są synchronizowane. Jeśli chcesz, aby niektóre atrybuty pozostały niezsynchronizowane, możesz wyczyścić zaznaczenie tych atrybutów.

Zrzut ekranu przedstawiający opcjonalne funkcje atrybutów usługi Azure A D.

Ostrzeżenie

Usuwanie atrybutów może mieć wpływ na funkcjonalność. Aby uzyskać najlepsze rozwiązania i zalecenia, zobacz Atrybuty służące do synchronizowania .

Synchronizacja atrybutów rozszerzeń katalogów

Schemat w usłudze Azure AD można rozszerzyć przy użyciu atrybutów niestandardowych dodanych przez organizację lub innych atrybutów w usłudze Active Directory. Aby użyć tej funkcji, na stronie Funkcje opcjonalne wybierz pozycję Synchronizacja atrybutów rozszerzenia katalogu. Na stronie Rozszerzenia katalogów możesz wybrać więcej atrybutów do zsynchronizowania.

Uwaga

W polu Dostępne atrybuty jest wróżniana wielkość liter.

Zrzut ekranu przedstawiający stronę "Rozszerzenia katalogów".

Więcej informacji znajduje się w temacie Rozszerzenia katalogów.

Włączanie logowania pojedynczego

Na stronie Logowanie pojedyncze skonfigurujesz logowanie pojedyncze do użycia z synchronizacją haseł lub uwierzytelnianiem pass-through. Ten krok należy wykonać raz dla każdego lasu, który jest synchronizowany z usługą Azure AD. Konfiguracja obejmuje dwa kroki:

  1. Utwórz niezbędne konto komputera w lokalnym wystąpieniu usługi Active Directory.
  2. Skonfiguruj strefę intranetową maszyn klienckich do obsługi logowania pojedynczego.

Tworzenie konta komputera w usłudze Active Directory

Dla każdego lasu dodanego w usłudze Azure AD Połączenie należy podać poświadczenia administratora domeny, aby można było utworzyć konto komputera w każdym lesie. Poświadczenia są używane tylko do tworzenia konta. Nie są one przechowywane ani używane do żadnej innej operacji. Dodaj poświadczenia na stronie Włączanie logowania pojedynczego, jak pokazano na poniższej ilustracji.

Zrzut ekranu przedstawiający stronę "Włączanie logowania pojedynczego". Dodawane są poświadczenia lasu.

Uwaga

Możesz pominąć lasy, w których nie chcesz używać logowania pojedynczego.

Konfigurowanie strefy intranetowej dla maszyn klienckich

Aby upewnić się, że klient jest automatycznie logowania w strefie intranetu, upewnij się, że adres URL jest częścią strefy intranetu. Ten krok zapewnia, że komputer przyłączony do domeny automatycznie wysyła bilet protokołu Kerberos do usługi Azure AD, gdy jest połączony z siecią firmową.

Na komputerze z zasady grupy zarządzania:

  1. Otwórz narzędzia zasady grupy zarządzania.

  2. Edytuj zasady grupy, które będą stosowane do wszystkich użytkowników. Na przykład domyślne zasady domeny.

  3. Przejdź do strony konfiguracji użytkownika > Szablony administracyjne > Windows components > Internet Explorer > Internet Panel sterowania > Security Page. Następnie wybierz pozycję Lista przypisań lokacji do strefy.

  4. Włącz zasady. Następnie w oknie dialogowym wprowadź nazwę wartości i https://autologon.microsoftazuread-sso.com wartość 1 . Konfiguracja powinna wyglądać jak na poniższej ilustracji.

    Zrzut ekranu przedstawiający strefy intranetowe.

  5. Wybierz dwukrotnie przycisk OK.

Konfigurowanie federacji przy użyciu usług AD FS

Usługę Azure AD AD FS skonfigurować za Połączenie za pomocą kilku kliknięć. Przed rozpoczęciem potrzebne są:

  • Windows Server 2012 R2 lub nowszy dla serwera federowego. Zdalne zarządzanie powinno być włączone.
  • Windows Server 2012 R2 lub nowszy dla serwera serwer proxy aplikacji Sieci Web. Zdalne zarządzanie powinno być włączone.
  • Certyfikat TLS/SSL dla nazwy usługi federacyjnej, która ma być sts.contoso.com.

Uwaga

Certyfikat TLS/SSL dla farmy serwerów AD FS można zaktualizować przy użyciu usługi Azure AD Połączenie nawet wtedy, gdy nie jest on w stanie zarządzać relacją zaufania federacji.

AD FS wymagań wstępnych konfiguracji

Aby skonfigurować farmę AD FS przy użyciu usługi Azure AD Połączenie, upewnij się, że usługa WinRM jest włączona na serwerach zdalnych. Upewnij się, że zostały wykonane inne zadania z tematu Wymagania wstępne federacji. Upewnij się również, że są spełnione wymagania dotyczące portów wymienione w tabeli serwerów usługi Azure AD Połączenie i serwerów federowanych/WAP.

Tworzenie nowej famy usług AD FS lub korzystanie z istniejącej farmy usług AD FS

Możesz użyć istniejącej farmy AD FS lub utworzyć nową. Jeśli zdecydujesz się utworzyć nowy certyfikat, musisz podać certyfikat TLS/SSL. Jeśli certyfikat TLS/SSL jest chroniony hasłem, zostanie wyświetlony monit o podanie hasła.

Zrzut ekranu przedstawiający stronę "Farma serwerów A D F"

Jeśli zdecydujesz się na użycie istniejącej farmy AD FS, zobaczysz stronę, na której można skonfigurować relację zaufania między AD FS a usługą Azure AD.

Uwaga

Za pomocą usługi Azure AD Połączenie zarządzać tylko jedną AD FS farmą. Jeśli masz istniejące zaufanie federacji, w którym usługa Azure AD jest skonfigurowana w wybranej farmie AD FS, usługa Azure AD Połączenie ponownie utworzy relację zaufania od podstaw.

Określanie serwerów usług AD FS

Określ serwery, na których chcesz zainstalować AD FS. W zależności od potrzeb pojemności można dodać jeden lub więcej serwerów. Przed skonfigurowaniem tej konfiguracji dołącz wszystkie serwery AD FS do usługi Active Directory. Ten krok nie jest wymagany w przypadku serwerów sieci Web serwer proxy aplikacji sieci Web.

Firma Microsoft zaleca instalowanie jednego serwera usług AD FS do celów wdrożeń testowych i pilotażowych. Po wstępnej konfiguracji można dodać i wdrożyć więcej serwerów w celu spełnienia wymagań skalowania, uruchamiając ponownie usługę Azure AD Połączenie.

Uwaga

Przed skonfigurowaniem tej konfiguracji upewnij się, że wszystkie serwery są przyłączone do domeny usługi Azure AD.

Zrzut ekranu przedstawiający stronę "Serwery federujące".

Określanie serwerów proxy aplikacji internetowych

Określ serwery serwer proxy aplikacji Sieci Web. Serwer web serwer proxy aplikacji jest wdrażany w sieci obwodowej z dostępem do ekstranetu. Obsługuje żądania uwierzytelniania z ekstranetu. W zależności od potrzeb pojemności można dodać jeden lub więcej serwerów.

Firma Microsoft zaleca zainstalowanie jednego serwera sieci Web serwer proxy aplikacji wdrożenia testowego i pilotażowego. Po wstępnej konfiguracji można dodać i wdrożyć więcej serwerów w celu spełnienia wymagań skalowania, uruchamiając ponownie usługę Azure AD Połączenie. Zaleca się użycie równoważnej liczby serwerów proxy w celu spełnienia uwierzytelniania z intranetu.

Uwaga

  • Jeśli używane konto nie jest administratorem lokalnym na serwerach web serwer proxy aplikacji, zostanie wyświetlony monit o poświadczenia administratora.
  • Przed określeniem serwerów serwer proxy aplikacji sieci Web upewnij się, że istnieje łączność HTTP/HTTPS między serwerem usługi Azure AD Połączenie a serwerem web serwer proxy aplikacji sieci Web.
  • Upewnij się, że istnieje łączność HTTP/HTTPS między serwerem aplikacji internetowej i serwerem AD FS, aby umożliwić przepływ żądań uwierzytelniania.

Zrzut ekranu przedstawiający stronę serwerów serwer proxy aplikacji Sieci Web.

Zostanie wyświetlony monit o wprowadzenie poświadczeń, aby serwer aplikacji internetowej może nawiązać bezpieczne połączenie z serwerem AD FS sieci Web. Te poświadczenia muszą być dla konta administratora lokalnego na AD FS serwera.

Zrzut ekranu przedstawiający stronę "Poświadczenia". Poświadczenia administratora są wprowadzane w polu nazwy użytkownika i w polu hasła.

Określanie konta usługi dla usług AD FS

Usługa AD FS wymaga konta usługi domeny do uwierzytelniania użytkowników i wyszukiwania informacji o użytkowniku w usłudze Active Directory. Obsługiwane są dwa typy kont usługi:

  • Konto usługi zarządzane przez grupę: ten typ konta został wprowadzony AD DS przez Windows Server 2012. Ten typ konta zapewnia usługi, takie jak AD FS. Jest to pojedyncze konto, w którym nie trzeba regularnie aktualizować hasła. Opcja ta powinna być używana, jeśli kontrolery domeny systemu Windows Server 2012 znajdują się już w domenie, do której należą serwery usług AD FS.
  • Konto użytkownika domeny: ten typ konta wymaga podania hasła i regularnego aktualizowania go po jego wygaśnięciu. Użyj tej opcji tylko wtedy, gdy nie masz kontrolerów Windows Server 2012 domeny w domenie, do której AD FS serwery.

Jeśli wybrano opcję Utwórz konto usługi zarządzane przez grupę i ta funkcja nigdy nie była używana w usłudze Active Directory, wprowadź poświadczenia administratora przedsiębiorstwa. Poświadczenia te służą do inicjowania magazynu kluczy i włączania funkcji w usłudze Active Directory.

Uwaga

Usługa Azure AD Połączenie sprawdza, AD FS usługa jest już zarejestrowana jako główna nazwa usługi (SPN) w domenie. Azure AD DS nie zezwala na rejestrowanie zduplikowanych sieci SPN w tym samym czasie. Jeśli zostanie znaleziona zduplikowana spn, nie można kontynuować dalej, dopóki nie zostanie usunięta.

Zrzut ekranu przedstawiający stronę "Konto usługi A D F".

Wybierz domenę usługi Azure AD, którą chcesz federować

Użyj strony Domena usługi Azure AD, aby skonfigurować relację federacyjną między AD FS a usługą Azure AD. W tym miejscu skonfigurujesz AD FS do zapewnienia tokenów zabezpieczających w usłudze Azure AD. Skonfigurujesz również usługę Azure AD tak, aby ufała tokenom z tego AD FS wystąpienia.

Na tej stronie można skonfigurować tylko jedną domenę podczas instalacji początkowej. Później można skonfigurować więcej domen przez ponowne uruchomienie programu Azure AD Connect.

Zrzut ekranu przedstawiający stronę "Domena usługi Azure A D".

Weryfikowanie domeny usługi Azure AD wybranej do federacji

Po wybraniu domeny do federacji usługa Azure AD Połączenie udostępnia informacje, których można użyć do zweryfikowania niezweryfikowanych domen. Aby uzyskać więcej informacji, zobacz Dodawanie i weryfikowanie domeny.

Zrzut ekranu przedstawiający stronę "Domena usługi Azure A D", w tym informacje, których można użyć do zweryfikowania domeny.

Uwaga

Usługa Azure AD Połączenie próbuje zweryfikować domenę na etapie konfiguracji. Jeśli nie dodasz niezbędnych rekordów systemu nazw domen (DNS), nie można ukończyć konfiguracji.

Konfigurowanie federacji z serwerem PingFederate

Serwer PingFederate można skonfigurować za pomocą usługi Azure AD Połączenie za pomocą kilku kliknięć. Wymagane są następujące wymagania wstępne:

  • PingFederate 8.4 lub nowszy. Aby uzyskać więcej informacji, zobacz Integracja serwera PingFederatez Azure Active Directory i Microsoft 365 .
  • Certyfikat TLS/SSL dla nazwy usługi federacyjnej, która ma być sts.contoso.com.

Weryfikowanie domeny

Po wybraniu opcji skonfigurowania federacji przy użyciu serwera PingFederate zostanie poproszony o zweryfikowanie domeny, którą chcesz federować. Wybierz domenę z menu rozwijanego.

Zrzut ekranu przedstawiający stronę "Domena usługi Azure A D". Wybrana jest przykładowa domena "contoso.com".

Eksportowanie ustawień serwera PingFederate

Skonfiguruj serwer PingFederate jako serwer federatora dla każdej federowej domeny platformy Azure. Wybierz pozycję Eksportuj Ustawienia aby udostępnić te informacje administratorowi serwera PingFederate. Administrator serwera federacyjnych aktualizuje konfigurację, a następnie udostępnia adres URL serwera PingFederate i numer portu, dzięki czemu usługa Azure AD Połączenie może zweryfikować ustawienia metadanych.

Zrzut ekranu przedstawiający stronę "Ustawienia serwera PingFederate". W górnej części Ustawienia zostanie wyświetlony przycisk "Eksportuj Ustawienia".

Aby rozwiązać problemy z walidacją, skontaktuj się z administratorem serwera PingFederate. Na poniższej ilustracji przedstawiono informacje o serwerze PingFederate, który nie ma prawidłowej relacji zaufania z platformą Azure.

Zrzut ekranu przedstawiający informacje o serwerze: Znaleziono serwer PingFederate, ale brakuje lub wyłączono połączenie dostawcy usług dla platformy Azure.

Weryfikowanie łączności federacji

Usługa Azure AD Połączenie próbuje zweryfikować punkty końcowe uwierzytelniania pobrane z metadanych pingFederate w poprzednim kroku. Usługa Azure AD Połączenie najpierw próbuje rozpoznać punkty końcowe przy użyciu lokalnych serwerów DNS. Następnie próbuje rozpoznać punkty końcowe przy użyciu zewnętrznego dostawcy DNS. Aby rozwiązać problemy z walidacją, skontaktuj się z administratorem serwera PingFederate.

Zrzut ekranu przedstawiający stronę "Weryfikowanie łączności".

Weryfikowanie logowania federacji

Na koniec możesz sprawdzić nowo skonfigurowany przepływ logowania federacyjnego, logując się do domeny federacyjnej. Jeśli logowanie zakończy się pomyślnie, federacja z usługą PingFederate zostanie pomyślnie skonfigurowana.

Zrzut ekranu przedstawiający stronę "Verify federated login" (Weryfikuj logowanie federowane). Komunikat u dołu wskazuje pomyślne zalogowanie.

Konfigurowanie i weryfikowanie stron

Konfiguracja odbywa się na stronie Konfigurowanie.

Uwaga

Jeśli skonfigurowano federację, przed kontynuowaniem instalacji upewnij się, że skonfigurowano również usługę Rozpoznawania nazw dla serwerów federowych.

Zrzut ekranu przedstawiający stronę "Gotowe do skonfigurowania".

Korzystanie z trybu przejściowego

Nowy serwer synchronizacji można skonfigurować równolegle z trybem przejściowym. Jeśli chcesz użyć tej konfiguracji, tylko jeden serwer synchronizacji może wyeksportować dane do jednego katalogu w chmurze. Jeśli jednak chcesz przejść z innego serwera, na przykład serwera z programem DirSync, możesz włączyć usługę Azure AD Połączenie w trybie przejściowym.

Po włączeniu instalacji przejściowej aparat synchronizacji importuje i synchronizuje dane w zwykły sposób. Jednak nie eksportuje żadnych danych do usługi Azure AD lub Active Directory. W trybie przejściowym funkcja synchronizacji haseł i funkcja zapisu zwrotnego haseł są wyłączone.

Zrzut ekranu przedstawiający opcję "Włącz tryb przejściowy".

W trybie przejściowym możesz wprowadzić wymagane zmiany w alercie synchronizacji i sprawdzić, co zostanie wyeksportowane. Jeśli konfiguracja wygląda dobrze, uruchom ponownie kreatora instalacji i wyłącz tryb przejściowy.

Dane są teraz eksportowane z serwera do usługi Azure AD. Pamiętaj, aby w tym samym czasie wyłączyć drugi serwer, aby aktywnie eksportował tylko jeden serwer.

Więcej informacji znajduje się w temacie Tryb przejściowy.

Weryfikowanie konfiguracji federacji

Usługa Azure AD Połączenie weryfikuje ustawienia DNS po wybraniu przycisku Weryfikuj. Sprawdza on następujące ustawienia:

  • Łączność intranetowa
    • Rozwiąż federacyjną nazwę FQDN: usługa Azure AD Połączenie sprawdza, czy usługa DNS może rozpoznać federacyjną nazwę FQDN w celu zapewnienia łączności. Jeśli usługa Azure AD Połączenie nie może rozpoznać nazw FQDN, weryfikacja zakończy się niepowodzeniem. Aby ukończyć weryfikację, upewnij się, że rekord DNS jest obecny dla nazwy FQDN usługi federacji.
    • Rekord A dns: usługa Azure AD Połączenie sprawdza, czy usługa federska ma rekord A. W przypadku braku rekordu A weryfikacja kończy się niepowodzeniem. Aby ukończyć weryfikację, utwórz rekord A (a nie rekord CNAME) dla federacyjną nazwę FQDN.
  • Łączność z ekstranetem
    • Rozwiąż federacyjną nazwę FQDN: usługa Azure AD Połączenie sprawdza, czy usługa DNS może rozpoznać federacyjną nazwę FQDN w celu zapewnienia łączności.

      Zrzut ekranu przedstawiający stronę "Instalacja ukończona".

      Zrzut ekranu przedstawiający stronę "Instalacja ukończona". Komunikat wskazuje, że konfiguracja intranetu została zweryfikowana.

Aby zweryfikować uwierzytelnianie end-to-end, ręcznie wykonaj co najmniej jeden z następujących testów:

  • Po zakończeniu synchronizacji w usłudze Azure AD Połączenie użyj dodatkowego zadania Weryfikuj logowanie federowane, aby zweryfikować uwierzytelnianie dla konta użytkownika lokalnego, które wybierzesz.
  • Upewnij się, że możesz zalogować się z przeglądarki na maszynie przyłączonej do domeny w intranecie. Połączenie do https://myapps.microsoft.com . Następnie użyj zalogowanego konta, aby zweryfikować logowanie. Wbudowane konto Azure AD DS nie jest zsynchronizowane i nie można używać go do weryfikacji.
  • Upewnij się, że możesz zalogować się z urządzenia w ekstranecie. Na komputerze macierzyscym lub urządzeniu przenośnym połącz się z usługą https://myapps.microsoft.com . Następnie podaj swoje poświadczenia.
  • Sprawdź poprawność logowania wzbogaconego klienta. Połączenie do https://testconnectivity.microsoft.com . Następnie wybierz Office 365 > Office 365 Test Sign-On test.

Rozwiązywanie problemów

Ta sekcja zawiera informacje dotyczące rozwiązywania problemów, których można użyć, jeśli masz problem podczas instalowania usługi Azure AD Połączenie.

Podczas dostosowywania instalacji usługi Azure AD Połączenie na stronie Instalowanie wymaganych składników możesz wybrać pozycję Użyj istniejącej SQL Server. Może zostać wyświetlony następujący błąd: "Baza ADSync zawiera już dane i nie można jej nadpisać. Usuń istniejącą bazę danych i spróbuj ponownie".

Zrzut ekranu przedstawiający stronę "Instalowanie wymaganych składników". W dolnej części strony zostanie wyświetlony błąd.

Ten błąd jest wyświetlany, ponieważ baza danych ADSync już istnieje w SQL określonej SQL Server określonej bazy danych.

Ten błąd jest zwykle wyświetlany po odinstalowaniu usługi Azure AD Połączenie. Baza danych nie jest usuwana z komputera z systemem SQL Server podczas odinstalowywania usługi Azure AD Połączenie.

Aby rozwiązać ten problem:

  1. Sprawdź bazę ADSync, która była używana przez usługę Azure AD Połączenie przed jej odinstalowywaniem. Upewnij się, że baza danych nie jest już używana.

  2. Należy wrócić do kopii zapasowej bazy danych.

  3. Usuń bazę danych:

    1. Użyj Microsoft SQL Server Management Studio, aby nawiązać połączenie z SQL wystąpieniem.
    2. Znajdź bazę ADSync i kliknij ją prawym przyciskiem myszy.
    3. W menu kontekstowym wybierz pozycję Usuń.
    4. Wybierz przycisk OK, aby usunąć bazę danych.

Zrzut ekranu przedstawiający Microsoft SQL Server Management Studio. Zostanie wybrana synchronizacja D.

Po usunięciu bazy ADSync wybierz pozycję Zainstaluj, aby ponowić próbę instalacji.

Następne kroki

Po zakończeniu instalacji wyloguj się z Windows. Następnie zaloguj się ponownie przed użyciem Synchronization Service Manager lub Edytora reguł synchronizacji.

Teraz, po zainstalowaniu usługi Azure AD Połączenie, możesz zweryfikować instalację i przypisać licencje.

Aby uzyskać więcej informacji na temat funkcji włączonych podczas instalacji, zobacz Zapobieganie przypadkowemu usuwaniu i Azure AD Połączenie Health.

Aby uzyskać więcej informacji na inne typowe tematy, zobacz Synchronizacja usługi Azure AD Połączenie: Harmonogram i Integrowanie tożsamości lokalnych z usługą Azure AD.