Microsoft Entra Połączenie i Microsoft Entra Połączenie Health — plan instalacji

  • Artykuł

Instalowanie Połączenie firmy Microsoft

Ważne

Firma Microsoft nie obsługuje modyfikowania ani obsługi usługi Microsoft Entra Połączenie Sync poza akcjami, które zostały formalnie udokumentowane. Każda z tych akcji może spowodować niespójny lub nieobsługiwany stan usługi Microsoft Entra Połączenie Sync. W związku z tym firma Microsoft nie może zapewnić pomocy technicznej dla takich wdrożeń.

Pobieranie dla witryny Microsoft Entra Połączenie można znaleźć w Centrum pobierania Microsoft.

Rozwiązanie Scenariusz
Przed rozpoczęciem — Sprzęt i wymagania wstępne
  • Kroki, które należy wykonać przed rozpoczęciem instalowania Połączenie firmy Microsoft.
    		•
    Ustawienia ekspresowe
  • Jeśli masz usługę AD z jednym lasem, jest to zalecana opcja.
  • Użytkownicy logują się przy użyciu tego samego hasła dzięki synchronizacji haseł.
    		•
    Ustawienia dostosowane
  • Opcja używana, gdy masz większą liczbę lasów. Obsługuje wiele topologii lokalnych.
  • Możesz dostosować opcje logowania, takie jak uwierzytelnianie przekazywane, usługi federacyjne AD FS lub inny dostawca tożsamości.
  • Możesz dostosować funkcje synchronizacji, na przykład filtrowanie i zapisywanie zwrotne.
    		•
    Uaktualnianie z narzędzia DirSync
  • Używane, jeśli masz już działający serwer DirSync.
    		•
    Uaktualnianie z usługi Azure AD Sync lub microsoft Entra Połączenie
  • Istnieje kilka różnych metod do wyboru w zależności od preferencji.
    		•

    Po instalacji należy sprawdzić, czy wszystko działa zgodnie z oczekiwaniami, i przydzielić licencje do użytkowników.

    Następne kroki instalacji usługi Microsoft Entra Połączenie

    Temat Link
    Pobierz Połączenie firmy Microsoft Pobierz Połączenie firmy Microsoft
    Instalowanie przy użyciu ustawień ekspresowych Express installation of Microsoft Entra Połączenie
    Instalowanie przy użyciu ustawień dostosowanych Niestandardowa instalacja usługi Microsoft Entra Connect
    Uaktualnianie z narzędzia DirSync Uaktualnianie z narzędzia Azure AD Sync (DirSync)
    Po instalacji Weryfikowanie instalacji i przypisywanie licencji

    Dowiedz się więcej o instalowaniu Połączenie firmy Microsoft

    Warto również przygotować się na kwestie związane z działaniem. Może być wskazane zastosowanie serwera zapasowego umożliwiającego łatwe przełączenie w przypadku awarii. Jeśli planujesz częste wprowadzanie zmian konfiguracji, należy zaplanować serwer trybu przejściowego.

    Temat Link
    Obsługiwane topologie Topologie dla firmy Microsoft Entra Połączenie
    Zagadnienia dotyczące projektowania Microsoft Entra Połączenie pojęcia dotyczące projektowania
    Konta używane do instalacji Więcej informacji o poświadczeniach i uprawnieniach usługi Microsoft Entra Połączenie
    Planowanie operacyjne Microsoft Entra Połączenie Sync: zadania operacyjne i zagadnienia
    Opcje logowania użytkowników Microsoft Entra Połączenie Opcje logowania użytkownika

    Konfigurowanie funkcji synchronizacji

    Microsoft Entra Połączenie zawiera kilka funkcji, które można opcjonalnie włączyć lub są domyślnie włączone. Niektóre funkcje mogą wymagać wykonania dodatkowych czynności konfiguracyjnych w określonych scenariuszach i topologiach.

    Filtrowanie jest używane, gdy chcesz ograniczyć, które obiekty są synchronizowane z identyfikatorem Entra firmy Microsoft. Domyślnie synchronizacja obejmuje wszystkich użytkowników, kontakty, grupy i komputery z systemem Windows 10. Możesz zmienić ustawienia filtrowania na podstawie domen, jednostek organizacyjnych lub atrybutów.

    Synchronizacja skrótów haseł synchronizuje skrót haseł w usłudze Active Directory z identyfikatorem Entra firmy Microsoft. Użytkownik końcowy może korzystać z tego samego hasła lokalnie i w chmurze, zarządzając nim w jednej lokalizacji. Ponieważ źródłem jest lokalna usługa Active Directory, można używać również własnych zasad haseł.

    Zapisywanie zwrotne haseł umożliwia użytkownikom zmienianie i resetowanie haseł w chmurze i stosowanie lokalnych zasad haseł.

    Zapisywanie zwrotne urządzeń umożliwi zapisanie urządzenia zarejestrowanego w usłudze Microsoft Entra ID do lokalna usługa Active Directory, aby można było go używać do dostępu warunkowego.

    Funkcja zapobiegania przypadkowemu usuwaniu jest domyślnie włączona i zabezpiecza katalog w chmurze przed usunięciem dużej liczby elementów jednocześnie. Domyślnie dozwolone jest usunięcie 500 elementów w jednym przebiegu. Możesz zmienić to ustawienie w zależności od wielkości organizacji.

    Automatyczne uaktualnianie jest domyślnie włączone w przypadku instalacji ustawień ekspresowych i zapewnia, że aplikacja Microsoft Entra Połączenie jest zawsze aktualna wraz z najnowszą wersją.

    Następne kroki konfigurowania funkcji synchronizacji

    Temat Link
    konfigurowanie filtrowania Synchronizacja usługi Microsoft Entra Connect: Konfigurowanie filtrowania
    Synchronizacja skrótów haseł Synchronizacja skrótów haseł
    Uwierzytelnianie przekazywane Uwierzytelnianie przekazywane
    Zapisywanie zwrotne haseł Wprowadzenie do zarządzania hasłami
    Zapisywanie zwrotne urządzeń Włączanie zapisywania zwrotnego urządzeń w usłudze Microsoft Entra Połączenie
    zapobieganie przypadkowemu usuwaniu Microsoft Entra Połączenie Sync: zapobieganie przypadkowym usunięciom
    Automatycznie uaktualnianie Microsoft Entra Połączenie: automatyczne uaktualnianie

    Dostosowywanie usługi Microsoft Entra Połączenie Sync

    Usługa Microsoft Entra Połączenie Sync jest dostarczana z domyślną konfiguracją przeznaczoną do pracy dla większości klientów i topologii. Zawsze jednak mogą występować sytuacje, w których konfiguracja domyślna nie sprawdza się i wymaga dostosowania. Obsługiwane jest wprowadzanie zmian zgodnie z opisem w tej sekcji i w połączonych tematach.

    Jeśli nie masz doświadczenia z topologią synchronizacji, warto zapoznać się z podstawowymi informacjami i używanymi pojęciami przedstawionymi w temacie zagadnienia techniczne. Nawet jeśli niektóre rzeczy są podobne, wiele się zmieniło, jak również.

    Konfiguracja domyślna dopuszcza istnienie więcej niż jednego lasu w konfiguracji. W takich topologiach obiekt użytkownika może być reprezentowany jako kontakt w innym lesie. Użytkownik może także mieć połączoną skrzynkę pocztową w innym lesie zasobów. Działanie konfiguracji domyślnej przedstawiono w temacie użytkownicy i kontakty.

    Model konfiguracji synchronizacji jest nazywany aprowizacją deklaratywną. Zaawansowane przepływy atrybutów używają funkcji do wyrażania przekształceń atrybutów. Całą konfigurację można zobaczyć i zbadać przy użyciu narzędzi dostarczanych z firmą Microsoft Entra Połączenie. Jeśli konieczne jest wprowadzenie zmian w konfiguracji, pamiętaj o postępowaniu zgodnie z najlepszymi rozwiązaniami, co ułatwi przyjmowanie nowych wersji.

    Następne kroki dostosowywania usługi Microsoft Entra Połączenie Sync

    Temat Link
    Wszystkie artykuły dotyczące usługi Microsoft Entra Połączenie Sync Microsoft Entra Połączenie Sync
    Zagadnienia techniczne Synchronizacja Microsoft Entra Connect: Pojęcia techniczne
    opis konfiguracji domyślnej Synchronizacja programu Microsoft Entra Connect Sync: opis konfiguracji domyślnej
    Opis użytkowników i kontaktów Microsoft Entra Połączenie Sync: Informacje o użytkownikach i kontaktach
    Aprowizacja deklaratywna Synchronizacja programu Microsoft Entra Connect Sync: opis wyrażeń związanych z aprowizacją deklaratywną
    Zmienianie konfiguracji domyślnej Najlepsze rozwiązania dotyczące zmieniania konfiguracji domyślnej

    Konfigurowanie funkcji federacyjnych

    Firma Microsoft Entra Połączenie udostępnia kilka funkcji, które upraszczają federację z identyfikatorem Entra firmy Microsoft przy użyciu usług AD FS i zarządzaniem zaufaniem federacyjnym. Program Microsoft Entra Połączenie obsługuje usługi AD FS w systemie Windows Server 2012R2 lub nowszym.

    Zaktualizuj certyfikat TLS/SSL farmy usług AD FS, nawet jeśli nie używasz usługi Microsoft Entra Połączenie do zarządzania zaufaniem federacyjnym.

    Dodaj serwer usług AD FS do farmy, aby rozwinąć farmę zgodnie z potrzebami.

    Napraw zaufanie za pomocą identyfikatora Entra firmy Microsoft za pomocą kilku prostych kliknięć.

    Usługi AD FS można skonfigurować pod kątem obsługi wielu domen. Możesz na przykład mieć wiele domen najwyższego poziomu, których musisz użyć na potrzeby federacji.

    Jeśli serwer usług AD FS nie został skonfigurowany do automatycznego aktualizowania certyfikatów z identyfikatora Entra firmy Microsoft lub jeśli używasz rozwiązania innego niż ADFS, otrzymasz powiadomienie, gdy trzeba zaktualizować certyfikaty.

    Następne kroki konfigurowania funkcji federacyjnych

    Temat Link
    Wszystkie artykuły dotyczące usług AD FS Microsoft Entra Połączenie i federacja
    Konfigurowanie usług AD FS z poddomenami Obsługa wielu domen na potrzeby federacji z identyfikatorem Entra firmy Microsoft
    Zarządzanie farmą usług AD FS Zarządzanie i dostosowywanie usług AD FS za pomocą usługi Microsoft Entra Połączenie
    Ręczne aktualizowanie certyfikatów federacji Odnawianie certyfikatów federacyjnych dla platformy Microsoft 365 i identyfikatora Entra firmy Microsoft

    Wprowadzenie do usługi Microsoft Entra Połączenie Health

    Aby rozpocząć pracę z usługą Microsoft Entra Połączenie Health, wykonaj następujące kroki:

    1. Pobierz identyfikator entra firmy Microsoft P1 lub P2 lub rozpocznij wersję próbną.
    2. Pobierz i zainstaluj agentów usługi Microsoft Entra Połączenie Health na serwerach tożsamości.
    3. Wyświetl pulpit nawigacyjny microsoft Entra Połączenie Health pod adresem https://aka.ms/aadconnecthealth.

    Uwaga

    Pamiętaj, że przed wyświetlaniem danych na pulpicie nawigacyjnym usługi Microsoft Entra Połączenie Health należy zainstalować agentów kondycji firmy Microsoft Połączenie na serwerach docelowych.

    Pobierz i zainstaluj program Microsoft Entra Połączenie Health Agent

    Microsoft Entra Połączenie Health Portal

    Portal Microsoft Entra Połączenie Health przedstawia widoki alertów, monitorowania wydajności i analizy użycia. Adres https://aka.ms/aadconnecthealth URL umożliwia przejście do głównego bloku usługi Microsoft Entra Połączenie Health. Blok możesz traktować jak okno. W bloku głównym zobaczysz pozycję Szybki start, usługi w usłudze Microsoft Entra Połączenie Health i dodatkowe opcje konfiguracji. Zobacz poniższy zrzut ekranu i zamieszczone pod nim krótkie objaśnienia. Po wdrożeniu agentów usługa kondycji automatycznie identyfikuje usługi monitorujące przez firmę Microsoft Entra Połączenie Health.

    Uwaga

    Aby uzyskać informacje o licencjonowaniu, zobacz Stronę z cennikiem microsoft Entra Połączenie Health — często zadawane pytania lub cennik firmy Microsoft Entra.

    Microsoft Entra Połączenie Health Portal

    • Szybki Start: wybranie tej opcji powoduje otwarcie bloku Szybki start. Możesz pobrać program Microsoft Entra Połączenie Health Agent, wybierając pozycję Pobierz narzędzia. Można również uzyskać dostęp do dokumentacji i przekazać swoją opinię.
    • Microsoft Entra Połączenie (sync): Ta opcja pokazuje serwery firmy Microsoft Entra Połączenie, które obecnie monitoruje program Microsoft Entra Połączenie Health. Pozycja Błędy synchronizacji umożliwia wyświetlenie podstawowych błędów synchronizacji Twojej pierwszej dołączonej usługi synchronizacji według kategorii. Po wybraniu wpisu Usługi synchronizacji zostanie otwarty blok zawierający informacje o serwerach microsoft Entra Połączenie. Dowiedz się więcej na temat możliwości w sekcji Using Microsoft Entra Połączenie Health for sync (Korzystanie z usługi Microsoft Entra Połączenie Health na potrzeby synchronizacji).
    • Usługi federacyjne Active Directory: ta opcja pokazuje wszystkie usługi AD FS, które firma Microsoft Entra Połączenie Health jest obecnie monitorowana. Po wybraniu wystąpienia zostaje otwarty blok z informacjami dotyczącymi tego wystąpienia usługi. Informacje te obejmują przegląd, właściwości, alerty, wyniki monitorowania i analizy użycia. Dowiedz się więcej o możliwościach w artykule Using Microsoft Entra Połączenie Health with AD FS (Korzystanie z usługi Microsoft Entra Połączenie Health z usługami AD FS).
    • domena usługi Active Directory Services: ta opcja pokazuje wszystkie lasy usług AD DS, które obecnie monitoruje firma Microsoft Entra Połączenie Health. Po wybraniu lasu zostaje otwarty blok z informacjami dotyczącymi tego lasu. Te informacje obejmują przegląd najważniejszych danych, pulpit nawigacyjny Kontrolery domeny, pulpit nawigacyjny Stan replikacji, alerty i monitorowanie. Dowiedz się więcej o możliwościach w tematach Using Microsoft Entra Połączenie Health with AD DS (Korzystanie z usługi Microsoft Entra Połączenie Health z usługami AD DS).
    • Konfigurowanie: Ta sekcja zawiera opcje włączania lub wyłączania następujących opcji:
      • Dostęp do danych z integralności katalogów firmy Microsoft firmy Microsoft tylko w celu rozwiązywania problemów: jeśli ta opcja jest włączona, firma Microsoft może uzyskać dostęp do tych samych danych wyświetlanych przez użytkownika. Te informacje mogą być przydatne w przypadku rozwiązywania problemów i zapewnienia niezbędnej pomocy. Ta opcja jest domyślnie wyłączona
    • W sekcji Kontrola dostępu oparta na rolach (IAM) można zarządzać dostępem do danych programu Connect Health na podstawie ról.

    Następne kroki