Integrowanie lokalnych domen usługi AD z usługą Azure AD

Azure
SQL Server
Visual Studio
Windows

Azure Active Directory (Azure AD) to oparta na chmurze usługa do obsługi tożsamości i wielu dzierżawców.Azure Active Directory (Azure AD) is a cloud-based multi-tenant directory and identity service. Ta architektura referencyjna zawiera najlepsze rozwiązania dotyczące integracji lokalnych domen Active Directory z usługą Azure AD w celu zapewnienia uwierzytelniania tożsamości opartego na chmurze.This reference architecture shows best practices for integrating on-premises Active Directory domains with Azure AD to provide cloud-based identity authentication. Wdróż to rozwiązanie.Deploy this solution.

Architektura tożsamości w chmurze przy użyciu Azure Active Directory

Pobierz plik programu Visio z tą architekturą.Download a Visio file of this architecture.

Uwaga

Dla uproszczenia poniższy diagram pokazuje tylko połączenia bezpośrednio dotyczące usługi Azure AD, a nie ruch związany z protokołem, który może występować jako część uwierzytelniania i federacji tożsamości.For simplicity, this diagram only shows the connections directly related to Azure AD, and not protocol-related traffic that may occur as part of authentication and identity federation. Na przykład aplikacja internetowa może przekierować przeglądarkę internetową w celu uwierzytelnienia żądania za pośrednictwem usługi Azure AD.For example, a web application may redirect the web browser to authenticate the request through Azure AD. Po uwierzytelnieniu żądanie może zostać przekazane z powrotem do aplikacji internetowej wraz z odpowiednimi informacjami o tożsamości.Once authenticated, the request can be passed back to the web application, with the appropriate identity information.

Typowe zastosowania tej architektury referencyjnej obejmują:Typical uses for this reference architecture include:

  • Aplikacje internetowe wdrożone na platformie Azure, które zapewniają dostęp do zdalnych użytkowników należących do Twojej organizacji.Web applications deployed in Azure that provide access to remote users who belong to your organization.
  • Wdrażanie samoobsługowych funkcji dla użytkowników końcowych, takich jak resetowanie haseł i delegowanie zarządzania grupami.Implementing self-service capabilities for end-users, such as resetting their passwords, and delegating group management. Wymaga to Azure AD — wersja Premium Edition.This requires Azure AD Premium edition.
  • Architektury, w przypadku których sieć lokalna i sieć wirtualna Azure aplikacji nie są połączone przy użyciu tunelu VPN ani obwodu ExpressRoute.Architectures in which the on-premises network and the application's Azure VNet are not connected using a VPN tunnel or ExpressRoute circuit.

Uwaga

Usługa Azure AD może uwierzytelniać tożsamość użytkowników i aplikacji znajdujących się w katalogu organizacji.Azure AD can authenticate the identity of users and applications that exist in an organization's directory. Niektóre aplikacje i usługi, takie jak SQL Server, mogą wymagać uwierzytelniania komputera, więc w takim przypadku to rozwiązanie nie jest odpowiednie.Some applications and services, such as SQL Server, may require computer authentication, in which case this solution is not appropriate.

Aby uzyskać dodatkowe informacje, zobacz Choose a solution for integrating on-premises Active Directory with Azure (Wybieranie rozwiązania do integracji lokalnej usługi Active Directory z platformą Azure).For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArchitekturaArchitecture

Architektura ma następujące składniki.The architecture has the following components.

  • Dzierżawa usługi Azure AD.Azure AD tenant. Wystąpienie usługi Azure AD utworzone przez organizację.An instance of Azure AD created by your organization. Pełni rolę usługi katalogowej dla aplikacji w chmurze, przechowując obiekty skopiowane z lokalnej usługi Active Directory i zapewnia usługi zarządzania tożsamościami.It acts as a directory service for cloud applications by storing objects copied from the on-premises Active Directory and provides identity services.

  • Podsieć warstwy internetowej.Web tier subnet. Ta podsieć przechowuje maszyny wirtualne, które obsługują aplikacje internetowe.This subnet holds VMs that run a web application. Usługa Azure AD może w takiej aplikacji pełnić rolę brokera tożsamości.Azure AD can act as an identity broker for this application.

  • Lokalny serwer AD DS.On-premises AD DS server. Lokalna usługa katalogowa i tożsamość.An on-premises directory and identity service. Katalog AD DS można synchronizować z usługą Azure AD, aby umożliwić mu uwierzytelnianie użytkowników lokalnych.The AD DS directory can be synchronized with Azure AD to enable it to authenticate on-premises users.

  • Serwer synchronizacji programu Azure AD Connect.Azure AD Connect sync server. To komputer lokalny obsługujący usługę synchronizacji Azure AD Connect.An on-premises computer that runs the Azure AD Connect sync service. Ta usługa synchronizuje informacje przechowywane w lokalnej usłudze Active Directory z usługą Azure AD.This service synchronizes information held in the on-premises Active Directory to Azure AD. Jeśli na przykład grupy i użytkownicy podlegają lokalnie aprowizacji bądź anulowaniu aprowizacji, zmiany te będą przenoszone do usługi Azure AD.For example, if you provision or deprovision groups and users on-premises, these changes propagate to Azure AD.

    Uwaga

    Ze względów bezpieczeństwa usługa Azure AD przechowuje hasła użytkowników w postaci skrótów.For security reasons, Azure AD stores user's passwords as a hash. Jeśli użytkownik wymaga zresetowania hasła, musi to zostać przeprowadzone lokalnie, a nowy skrót musi zostać wysłany do usługi Azure AD.If a user requires a password reset, this must be performed on-premises and the new hash must be sent to Azure AD. Wersje Premium usługi Azure AD zawierają funkcje, które mogą zautomatyzować to zadanie, aby umożliwić użytkownikom resetowanie ich własnych haseł.Azure AD Premium editions include features that can automate this task to enable users to reset their own passwords.

  • Maszyny wirtualne dotyczące aplikacji n-warstwowej.VMs for N-tier application. Wdrożenie obejmuje infrastrukturę dotyczącą aplikacji n-warstwowej.The deployment includes infrastructure for an N-tier application. Aby uzyskać więcej informacji na temat tych zasobów, zobacz Run VMs for an N-tier architecture (Uruchamianie maszyn wirtualnych dla architektury n-warstwowej).For more information about these resources, see Run VMs for an N-tier architecture.

ZaleceniaRecommendations

Poniższe zalecenia dotyczą większości scenariuszy.The following recommendations apply for most scenarios. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.Follow these recommendations unless you have a specific requirement that overrides them.

Usługa synchronizacji programu Azure AD ConnectAzure AD Connect sync service

Usługa synchronizacji programu Azure AD Connect zapewnia, że informacje o tożsamości przechowywane w chmurze odpowiadają tym przechowywanym lokalnie.The Azure AD Connect sync service ensures that identity information stored in the cloud is consistent with that held on-premises. Aby zainstalować tę usługę, należy użyć oprogramowania Azure AD Connect.You install this service using the Azure AD Connect software.

Przed wdrożeniem synchronizacji programu Azure AD Connect należy określić wymagania dotyczące synchronizacji obowiązujące w organizacji.Before implementing Azure AD Connect sync, determine the synchronization requirements of your organization. Na przykład: co synchronizować, z których domen i jak często.For example, what to synchronize, from which domains, and how frequently. Aby uzyskać więcej informacji, zobacz Determine directory synchronization requirements (Określanie wymagań dotyczących synchronizacji katalogu).For more information, see Determine directory synchronization requirements.

Usługę synchronizacji programu Azure AD Connect można uruchomić na maszynie wirtualnej lub komputerze hostowanym lokalnie.You can run the Azure AD Connect sync service on a VM or a computer hosted on-premises. W zależności od zmienności informacji zawartych w katalogu Active Directory obciążenie usługi synchronizacji programu Azure AD Connect po początkowej synchronizacji z usługą Azure AD najprawdopodobniej nie będzie wysokie.Depending on the volatility of the information in your Active Directory directory, the load on the Azure AD Connect sync service is unlikely to be high after the initial synchronization with Azure AD. Uruchamianie usługi na maszynie wirtualnej ułatwia skalowanie serwera, gdy zajdzie taka potrzeba.Running the service on a VM makes it easier to scale the server if needed. Aby ustalić, czy skalowanie jest konieczne, należy monitorować aktywność na maszynie wirtualnej, zgodnie z opisem w sekcji Zagadnienia dotyczące monitorowania.Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.

W przypadku wielu domen lokalnych w lesie zaleca się przechowywanie i synchronizowanie informacji dla całego lasu z jedną dzierżawą usługi Azure AD.If you have multiple on-premises domains in a forest, we recommend storing and synchronizing information for the entire forest to a single Azure AD tenant. Należy filtrować informacje o tożsamościach, które występują w więcej niż jednej domenie, tak aby każda tożsamość pojawiała się tylko raz w usłudze Azure AD, a nie była duplikowana.Filter information for identities that occur in more than one domain, so that each identity appears only once in Azure AD, rather than being duplicated. Duplikowanie może doprowadzić do niespójności podczas synchronizacji danych.Duplication can lead to inconsistencies when data is synchronized. Aby uzyskać więcej informacji, zobacz sekcję opisującą topologię.For more information, see the Topology section below.

Aby tylko niezbędne dane były przechowywane w usłudze Azure AD, należy używać filtrowania.Use filtering so that only necessary data is stored in Azure AD. Organizacja może na przykład nie chcieć przechowywać informacji o nieaktywnych kontach w usłudze Azure AD.For example, your organization might not want to store information about inactive accounts in Azure AD. Filtrowanie może być oparte na grupie, domenie, jednostce organizacyjnej (OU) lub atrybucie.Filtering can be group-based, domain-based, organization unit (OU)-based, or attribute-based. W celu wygenerowania bardziej złożonych zasad możliwe jest łączenie ze sobą kilku filtrów.You can combine filters to generate more complex rules. Można na przykład zsynchronizować obiekty przechowywane w domenie, które mają określoną wartość w wybranym atrybucie.For example, you could synchronize objects held in a domain that have a specific value in a selected attribute. Aby uzyskać szczegółowe informacje, zobacz Azure AD Connect sync: Configure Filtering (Synchronizacja programu Azure AD Connect: konfigurowanie filtrowania).For detailed information, see Azure AD Connect sync: Configure Filtering.

Aby zaimplementować wysoką dostępność usługi synchronizacji programu AD Connect, należy uruchomić dodatkowy serwer przejściowy.To implement high availability for the AD Connect sync service, run a secondary staging server. Aby uzyskać więcej informacji, zobacz sekcję opisującą zalecenia dotyczące topologii.For more information, see the Topology recommendations section.

Zalecenia dotyczące zabezpieczeńSecurity recommendations

Zarządzanie hasłami użytkowników.User password management. Wersje Premium usługi Azure AD obsługują funkcję zapisywania zwrotnego haseł, dzięki czemu użytkownicy lokalni mogą sami resetować hasła z poziomu witryny Azure Portal.The Azure AD Premium editions support password writeback, enabling your on-premises users to perform self-service password resets from within the Azure portal. Ta funkcja powinna być włączona tylko po przejrzeniu zasad zabezpieczeń haseł w organizacji.This feature should be enabled only after reviewing your organization's password security policy. Można na przykład ograniczyć liczbę użytkowników, którzy mogą zmieniać hasła, oraz dostosować sposób zarządzania hasłami.For example, you can restrict which users can change their passwords, and you can tailor the password management experience. Aby uzyskać więcej informacji, zobacz Customizing Password Management to fit your organization's needs (Dostosowanie zarządzania hasłami zgodnie z potrzebami organizacji).For more information, see Customizing Password Management to fit your organization's needs.

Zabezpieczanie lokalnych aplikacji, do których można uzyskać dostęp z zewnętrz.Protect on-premises applications that can be accessed externally. Aby zapewnić kontrolowany dostęp do lokalnych aplikacji internetowych użytkownikom zewnętrznym za pośrednictwem usługi Azure AD, należy użyć serwera proxy aplikacji usługi Azure AD.Use the Azure AD Application Proxy to provide controlled access to on-premises web applications for external users through Azure AD. Tylko użytkownicy, którzy mają prawidłowe poświadczenia w katalogu platformy Azure, są uprawnieni do korzystania z aplikacji.Only users that have valid credentials in your Azure directory have permission to use the application. Aby uzyskać więcej informacji, zobacz artykuł Enable Application Proxy in the Azure portal (Włączanie serwera proxy aplikacji w witrynie Azure Portal).For more information, see the article Enable Application Proxy in the Azure portal.

Aktywne monitorowanie usługi Azure AD pod kątem podejrzanej aktywności.Actively monitor Azure AD for signs of suspicious activity. Należy rozważyć użycie wersji Premium P2 usługi Azure AD, która obejmuje usługę Azure AD Identity Protection.Consider using Azure AD Premium P2 edition, which includes Azure AD Identity Protection. Usługa Identity Protection używa adaptacyjnych algorytmów uczenia maszynowego i algorytmów heurystycznych na potrzeby wykrywania anomalii i podejrzanych zdarzeń, które mogą wskazywać na naruszenia tożsamości.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that may indicate that an identity has been compromised. Może na przykład wykryć potencjalnie nietypową aktywność, w tym nieregularne działania związane z logowaniem, logowania z nieznanych źródeł lub adresów IP o podejrzanej aktywności lub logowania z urządzeń, które mogą być zainfekowane.For example, it can detect potentially unusual activity such as irregular sign-in activities, sign-ins from unknown sources or from IP addresses with suspicious activity, or sign-ins from devices that may be infected. Korzystając z tych danych usługa Identity Protection generuje raporty i alerty, które zapewniają możliwość zbadania tych zdarzeń ryzyka i podjęcia odpowiednich działań.Using this data, Identity Protection generates reports and alerts that enables you to investigate these risk events and take appropriate action. Aby uzyskać więcej informacji, zobacz Azure Active Directory Identity Protection (Ochrona tożsamości w usłudze Azure Active Directory).For more information, see Azure Active Directory Identity Protection.

Funkcja raportowania usługi Azure AD w witrynie Azure Portal umożliwia monitorowanie aktywności związanej z zabezpieczeniami występującymi w danym systemie.You can use the reporting feature of Azure AD in the Azure portal to monitor security-related activities occurring in your system. Aby uzyskać więcej informacji dotyczących używania tych raportów, zobacz Azure Active Directory Reporting Guide (Przewodnik po raportowaniu w usłudze Azure Active Directory).For more information about using these reports, see Azure Active Directory Reporting Guide.

Zalecenia dotyczące topologiiTopology recommendations

Skonfiguruj program Azure AD Connect w celu zaimplementowania topologii, która najlepiej odpowiada wymaganiom Twojej organizacji.Configure Azure AD Connect to implement a topology that most closely matches the requirements of your organization. Topologie obsługiwane przez Azure AD Connect obejmują:Topologies that Azure AD Connect supports include:

  • Pojedynczy las, pojedynczy katalog usługi Azure AD.Single forest, single Azure AD directory. W tej topologii program Azure AD Connect synchronizuje obiekty i informacje o tożsamościach z jednej lub wielu domen w jednym lesie lokalnym z jedną dzierżawą usługi Azure AD.In this topology, Azure AD Connect synchronizes objects and identity information from one or more domains in a single on-premises forest into a single Azure AD tenant. Jest to domyślna topologia zaimplementowana przez ekspresową instalację programu Azure AD Connect.This is the default topology implemented by the express installation of Azure AD Connect.

    Uwaga

    Nie należy używać wielu serwerów synchronizacji programu Azure AD Connect do łączenia różnych domen w tym samym lesie lokalnym z tą samą dzierżawą usługi Azure AD, chyba że używany jest serwer w trybie przejściowym, co opisano poniżej.Don't use multiple Azure AD Connect sync servers to connect different domains in the same on-premises forest to the same Azure AD tenant, unless you are running a server in staging mode, described below.

  • Wiele lasów, jeden katalog usługi Azure AD.Multiple forests, single Azure AD directory. W tej topologii program Azure AD Connect synchronizuje obiekty i informacje o tożsamościach z wielu lasów z jedną dzierżawą usługi Azure AD.In this topology, Azure AD Connect synchronizes objects and identity information from multiple forests into a single Azure AD tenant. Z tej topologii należy korzystać, gdy organizacja ma więcej niż jeden lokalny las.Use this topology if your organization has more than one on-premises forest. Informacje o tożsamościach można skonsolidować tak, aby każdy unikatowy użytkownik był reprezentowany w katalogu usługi Azure AD jednokrotnie, nawet jeśli ten sam użytkownik istnieje w więcej niż jednym lesie.You can consolidate identity information so that each unique user is represented once in the Azure AD directory, even if the same user exists in more than one forest. Wszystkie lasy używają tego samego serwera synchronizacji programu Azure AD Connect.All forests use the same Azure AD Connect sync server. Serwer synchronizacji programu Azure AD Connect nie musi należeć do żadnej domeny, ale musi być dostępny z poziomu wszystkich lasów.The Azure AD Connect sync server does not have to be part of any domain, but it must be reachable from all forests.

    Uwaga

    W tej topologii nie należy używać oddzielnych serwerów synchronizacji programu Azure AD Connect w celu połączenia wszystkich lokalnych lasów z jedną dzierżawą usługi Azure AD.In this topology, don't use separate Azure AD Connect sync servers to connect each on-premises forest to a single Azure AD tenant. Może to spowodować zduplikowanie informacji o tożsamościach w usłudze Azure AD, jeśli użytkownicy znajdują się w więcej niż jednym lesie.This can result in duplicated identity information in Azure AD if users are present in more than one forest.

  • Wiele lasów, oddzielne topologie.Multiple forests, separate topologies. Ta topologia scala informacje o tożsamościach z oddzielnych lasów do pojedynczej dzierżawy usługi Azure AD, traktując wszystkie lasy jako osobne jednostki.This topology merges identity information from separate forests into a single Azure AD tenant, treating all forests as separate entities. Ta topologia jest przydatna, gdy łączone są lasy z różnych organizacji, a informacje o tożsamościach dotyczące poszczególnych użytkowników są przechowywane wyłącznie w jednym lesie.This topology is useful if you are combining forests from different organizations and the identity information for each user is held in only one forest.

    Uwaga

    Jeśli synchronizowane są globalne listy adresowe w każdym lesie, użytkownik z jednego lasu może być obecny w innym jako kontakt.If the global address lists (GAL) in each forest are synchronized, a user in one forest may be present in another as a contact. Może się to zdarzyć, jeśli organizacja wdrożyła rozwiązanie GALSync za pomocą programu Forefront Identity Manager 2010 lub Microsoft Identity Manager 2016.This can occur if your organization has implemented GALSync with Forefront Identity manager 2010 or Microsoft Identity Manager 2016. W tym scenariuszu można sprecyzować, aby użytkownicy byli definiowani przez atrybut Mail.In this scenario, you can specify that users should be identified by their Mail attribute. Można także dopasować tożsamości za pomocą atrybutów ObjectSID i msExchMasterAccountSID.You can also match identities using the ObjectSID and msExchMasterAccountSID attributes. Jest to przydatne w przypadku co najmniej jednego lasu zasobów z wyłączonymi kontami.This is useful if you have one or more resource forests with disabled accounts.

  • Serwer przejściowy.Staging server. W tej konfiguracji drugie wystąpienie serwera synchronizacji programu Azure AD Connect jest uruchamiane równolegle z pierwszym.In this configuration, you run a second instance of the Azure AD Connect sync server in parallel with the first. Ta struktura obsługuje scenariusze, takie jak:This structure supports scenarios such as:

    • Wysoka dostępność.High availability.

    • Testowanie i wdrażanie nowej konfiguracji serwera synchronizacji programu Azure AD Connect.Testing and deploying a new configuration of the Azure AD Connect sync server.

    • Wprowadzenie nowego serwera i likwidowanie starej konfiguracji.Introducing a new server and decommissioning an old configuration.

      W tych scenariuszach drugie wystąpienie jest uruchamiane w trybie przejściowym.In these scenarios, the second instance runs in staging mode. Serwer zapisuje zaimportowane obiekty i dane synchronizacji w swojej bazie danych, ale nie przekazuje danych do usługi Azure AD.The server records imported objects and synchronization data in its database, but does not pass the data to Azure AD. Po wyłączeniu trybu przejściowego serwer rozpoczyna zapisywanie danych w usłudze Azure AD, a także zapisywanie zwrotne haseł w katalogach lokalnych, jeśli jest to konieczne.If you disable staging mode, the server starts writing data to Azure AD, and also starts performing password write-backs into the on-premises directories where appropriate. Aby uzyskać więcej informacji, zobacz Synchronizacja programu Azure AD Connect: zagadnienia i zadania operacyjne.For more information, see Azure AD Connect sync: Operational tasks and considerations.

  • Wiele katalogów usługi Azure AD.Multiple Azure AD directories. Zaleca się utworzenie pojedynczego katalogu usługi Azure AD dla organizacji, ale mogą wystąpić sytuacje, w których konieczne będzie podzielenie informacji na oddzielne katalogi usługi Azure AD.It is recommended that you create a single Azure AD directory for an organization, but there may be situations where you need to partition information across separate Azure AD directories. W takim przypadku należy unikać problemów z synchronizacją i zapisywaniem zwrotnym haseł, upewniając się, że każdy obiekt z lasu lokalnego występuje w tylko jednym katalogu usługi Azure AD.In this case, avoid synchronization and password write-back issues by ensuring that each object from the on-premises forest appears in only one Azure AD directory. Aby zrealizować ten scenariusz, należy skonfigurować oddzielne serwery synchronizacji programu Azure AD Connect dla każdego katalogu usługi Azure AD i użyć filtrowania, aby każdy serwer synchronizacji programu Azure AD Connect działał na wzajemnie wykluczającym się zestawie obiektów.To implement this scenario, configure separate Azure AD Connect sync servers for each Azure AD directory, and use filtering so that each Azure AD Connect sync server operates on a mutually exclusive set of objects.

Aby uzyskać więcej informacji o tych topologiach, zobacz Topologies for Azure AD Connect (Topologie dotyczące programu Azure AD Connect).For more information about these topologies, see Topologies for Azure AD Connect.

Uwierzytelnianie użytkownikówUser authentication

Domyślnie serwer synchronizacji Azure AD Connect konfiguruje synchronizację skrótów haseł między domeną lokalną i usługą Azure AD, a usługa Azure AD zakłada, że użytkownicy są uwierzytelniani przez podanie tego samego hasła, które są używane lokalnie.By default, the Azure AD Connect sync server configures password hash synchronization between the on-premises domain and Azure AD, and the Azure AD service assumes that users authenticate by providing the same password that they use on-premises. W przypadku wielu organizacji jest to odpowiednie rozwiązanie, ale należy wziąć pod uwagę istniejące zasady i infrastrukturę danej organizacji.For many organizations, this is appropriate, but you should consider your organization's existing policies and infrastructure. Na przykład:For example:

  • Zasady zabezpieczeń organizacji mogą uniemożliwić synchronizowanie skrótów haseł z chmurą.The security policy of your organization may prohibit synchronizing password hashes to the cloud. W takim przypadku organizacja powinna rozważyć uwierzytelnianie przekazywane.In this case, your organization should consider pass-through authentication.
  • Podczas uzyskiwania dostępu do zasobów w chmurze z komputerów przyłączonych do domeny w sieci korporacyjnej użytkownik może być zmuszony do użycia funkcji bezproblemowego logowania jednokrotnego.You might require that users experience seamless single sign-on (SSO) when accessing cloud resources from domain-joined machines on the corporate network.
  • Organizacja może już mieć wdrożony Active Directory Federation Services (AD FS) lub dostawcę Federacji innej firmy.Your organization might already have Active Directory Federation Services (AD FS) or a third-party federation provider deployed. Usługę Azure AD można skonfigurować tak, aby korzystała z tej infrastruktury w celu implementacji uwierzytelniania i logowania jednokrotnego, a nie używała informacji o hasłach przechowywanych w chmurze.You can configure Azure AD to use this infrastructure to implement authentication and SSO rather than by using password information held in the cloud.

Aby uzyskać więcej informacji, zobacz Azure AD Connect opcje logowania użytkownika.For more information, see Azure AD Connect User Sign-on options.

Serwer proxy aplikacji usługi Azure ADAzure AD application proxy

Użyj usługi Azure AD w celu zapewnienia dostępu do aplikacji lokalnych.Use Azure AD to provide access to on-premises applications.

Aby udostępnić lokalne aplikacje internetowe, należy użyć łączników serwera proxy aplikacji zarządzanych przez składnik serwera proxy aplikacji usługi Azure AD.Expose your on-premises web applications using application proxy connectors managed by the Azure AD application proxy component. Łącznik serwera proxy aplikacji otwiera wychodzące połączenie sieciowe z serwerem proxy aplikacji usługi Azure AD, a żądania użytkowników zdalnych są ponownie kierowane za pomocą tego połączenia z usługi Azure AD do aplikacji internetowych.The application proxy connector opens an outbound network connection to the Azure AD application proxy, and remote users' requests are routed back from Azure AD through this connection to the web apps. Eliminuje to potrzebę otwierania portów przychodzących w lokalnej zaporze i zmniejsza obszar ataków, na które narażona jest organizacja.This removes the need to open inbound ports in the on-premises firewall and reduces the attack surface exposed by your organization.

Aby uzyskać więcej informacji, zobacz Publish applications using Azure AD Application proxy (Publikowanie aplikacji przy użyciu serwera proxy aplikacji usługi Azure AD).For more information, see Publish applications using Azure AD Application proxy.

Synchronizacja obiektówObject synchronization

Konfiguracja domyślna Azure AD Connect synchronizuje obiekty z lokalnego katalogu Active Directory na podstawie reguł określonych w artykule Azure AD Connect Sync: Omówienie konfiguracji domyślnej.The default configuration for Azure AD Connect synchronizes objects from your local Active Directory directory based on the rules specified in the article Azure AD Connect sync: Understanding the default configuration. Obiekty spełniające te reguły są synchronizowane, a wszystkie pozostałe są ignorowane.Objects that satisfy these rules are synchronized while all other objects are ignored. Oto kilka przykładowych reguł:Some example rules:

  • Obiekty użytkownika muszą mieć unikatowy atrybut sourceAnchor, natomiast atrybut accountEnabled musi być wypełniony.User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.
  • Obiekty użytkownika muszą mieć atrybut sAMAccountName i nie mogą zaczynać się od Azure AD_ lub MSOL_.User objects must have a sAMAccountName attribute and cannot start with the text Azure AD_ or MSOL_.

Program Azure AD Connect stosuje kilka reguł do obiektów User, Contact, Group, ForeignSecurityPrincipal i Computer.Azure AD Connect applies several rules to User, Contact, Group, ForeignSecurityPrincipal, and Computer objects. Jeśli konieczne jest zmodyfikowanie domyślnego zestawu reguł, należy użyć narzędzia Synchronization Rules Editor zainstalowanego razem z programem Azure AD Connect.Use the Synchronization Rules Editor installed with Azure AD Connect if you need to modify the default set of rules. Aby uzyskać więcej informacji, zobacz Azure AD Connect sync: Understanding the default configuration (Synchronizacja programu Azure AD Connect: opis konfiguracji domyślnej).For more information, see Azure AD Connect sync: Understanding the default configuration).

Istnieje również możliwość definiowania własnych filtrów w celu ograniczenia liczby obiektów, które mają być synchronizowane przez domenę lub jednostkę organizacyjną.You can also define your own filters to limit the objects to be synchronized by domain or OU. Można też zaimplementować bardziej złożone niestandardowe filtry, co zostało opisane w artykule Azure AD Connect sync: Configure Filtering (Synchronizacja programu Azure AD Connect: konfigurowanie filtrowania).Alternatively, you can implement more complex custom filtering such as that described in Azure AD Connect sync: Configure Filtering.

MonitorowanieMonitoring

Monitorowanie kondycji jest wykonywane przez następujących agentów zainstalowanych lokalnie:Health monitoring is performed by the following agents installed on-premises:

Aby uzyskać więcej informacji na temat instalowania agentów programu AD Connect Health i ich wymagań, zobacz Instalowanie agenta programu Azure AD Connect Health.For more information on installing the AD Connect Health agents and their requirements, see Azure AD Connect Health Agent Installation.

Zagadnienia dotyczące skalowalnościScalability considerations

Usługa Azure AD obsługuje skalowalności opartą na replikach, gdzie pojedyncza replika podstawowa obsługuje operacje zapisu, a liczne repliki pomocnicze obsługują operacje odczytu.The Azure AD service supports scalability based on replicas, with a single primary replica that handles write operations plus multiple read-only secondary replicas. Usługa Azure AD w sposób niewidoczny przekierowuje próby zapisu wykonane w stosunku do replik pomocniczych do repliki podstawowej i zapewnia spójność.Azure AD transparently redirects attempted writes made against secondary replicas to the primary replica and provides eventual consistency. Wszystkie zmiany wprowadzone w replice podstawowej są przekazywane do replik pomocniczych.All changes made to the primary replica are propagated to the secondary replicas. Ta architektura umożliwia efektywne skalowanie, ponieważ większość operacji w usłudze Azure AD jest operacjami odczytu, a nie zapisu.This architecture scales well because most operations against Azure AD are reads rather than writes. Aby uzyskać więcej informacji, zobacz Azure AD: Under the hood of our geo-redundant, highly available, distributed cloud directory (Usługa Azure AD: poznaj geograficznie nadmiarowy, rozproszony katalog w chmurze o wysokiej dostępności).For more information, see Azure AD: Under the hood of our geo-redundant, highly available, distributed cloud directory.

W przypadku serwera synchronizacji programu Azure AD Connect należy określić prawdopodobną liczbę obiektów synchronizowanych z poziomu katalogu lokalnego.For the Azure AD Connect sync server, determine how many objects you are likely to synchronize from your local directory. Jeśli obiektów jest mniej niż 100 000, można użyć domyślnego oprogramowania SQL Server Express LocalDB dostarczonego razem z programem Azure AD Connect.If you have less than 100,000 objects, you can use the default SQL Server Express LocalDB software provided with Azure AD Connect. Jeśli obiektów jest więcej, należy zainstalować produkcyjną wersję programu SQL Server i wykonać niestandardową instalację programu Azure AD Connect, zaznaczając, że ma zostać użyte istniejące wystąpienie programu SQL Server.If you have a larger number of objects, you should install a production version of SQL Server and perform a custom installation of Azure AD Connect, specifying that it should use an existing instance of SQL Server.

Zagadnienia dotyczące dostępnościAvailability considerations

Usługa Azure AD jest dystrybuowana geograficznie i jest uruchamiana w wielu centrach danych na całym świecie z automatycznym trybem failover.The Azure AD service is geo-distributed and runs in multiple datacenters spread around the world with automated failover. Jeśli centrum danych staną się niedostępne, usługa Azure AD zapewnia, że dane katalogu będą dostępne na potrzeby dostępu do wystąpień w co najmniej dwóch innych regionach rozproszonych w regionie.If a datacenter becomes unavailable, Azure AD ensures that your directory data is available for instance access in at least two more regionally dispersed datacenters.

Uwaga

Umowa dotycząca poziomu usług (SLA) dla usługi AD Microsoft 365 aplikacje i usług premium gwarantuje dostępność co najmniej 99,9% czasu.The service level agreement (SLA) for the Microsoft 365 Apps AD tier and Premium services guarantees at least 99.9% availability. Warstwy Bezpłatna usługi Azure AD nie obowiązuje umowa dotycząca poziomu usług.There is no SLA for the Free tier of Azure AD. Aby uzyskać więcej informacji, zobacz Usługa Active Directory systemu Azure — umowa SLA.For more information, see SLA for Azure Active Directory.

Należy wziąć pod uwagę ustanowienie drugiego wystąpienia serwera synchronizacji programu Azure AD Connect w trybie przejściowym w celu zwiększenia dostępności, zgodnie z sekcją opisującą zalecenia dotyczące topologii.Consider provisioning a second instance of Azure AD Connect sync server in staging mode to increase availability, as discussed in the topology recommendations section.

Jeśli wystąpienie narzędzia SQL Server Express LocalDB udostępnianego wraz z programem Azure AD Connect nie jest używane, należy wziąć pod uwagę skorzystanie z klastrów programu SQL w celu zapewnienia wysokiej dostępności.If you are not using the SQL Server Express LocalDB instance that comes with Azure AD Connect, consider using SQL clustering to achieve high availability. Rozwiązania, takie jak dublowanie i Zawsze włączone nie są obsługiwane przez program Azure AD Connect.Solutions such as mirroring and Always On are not supported by Azure AD Connect.

Dodatkowe zagadnienia dotyczące osiągania wysokiej dostępności serwera synchronizacji programu Azure AD Connect, a także sposób odzyskiwania po awarii, zostały opisane w artykule Azure AD Connect sync: Operational tasks and considerations - Disaster Recovery (Synchronizacja programu Azure AD Connect: zagadnienia i zadania operacyjne — odzyskiwanie po awarii).For additional considerations about achieving high availability of the Azure AD Connect sync server and also how to recover after a failure, see Azure AD Connect sync: Operational tasks and considerations - Disaster Recovery.

Zagadnienia dotyczące możliwości zarządzaniaManageability considerations

Istnieją dwa aspekty zarządzania usługą Azure AD:There are two aspects to managing Azure AD:

  • Administrowanie usługą Azure AD w chmurze.Administering Azure AD in the cloud.
  • Obsługa serwerów synchronizacji programu Azure AD Connect.Maintaining the Azure AD Connect sync servers.

Usługa Azure AD zapewnia następujące opcje dotyczące zarządzania domenami i katalogami w chmurze:Azure AD provides the following options for managing domains and directories in the cloud:

  • Moduł usługi Azure Active Directory dla programu PowerShell.Azure Active Directory PowerShell Module. Tego modułu należy używać w razie konieczności obsługi skryptów przez typowe zadania administracyjne usługi Azure AD, takie jak zarządzanie użytkownikami, zarządzanie domeną i konfigurowanie pojedynczego logowania.Use this module if you need to script common Azure AD administrative tasks such as user management, domain management, and configuring single sign-on.
  • Blok zarządzania usługi Azure AD w witrynie Azure Portal.Azure AD management blade in the Azure portal. Ten blok zawiera widok zarządzania interakcyjnego katalogu i pozwala na kontrolowanie oraz konfigurowanie większości ustawień dotyczących usługi Azure AD.This blade provides an interactive management view of the directory, and enables you to control and configure most aspects of Azure AD.

Program Azure AD Connect instaluje następujące narzędzia w celu obsługi usług synchronizacji programu Azure AD Connect i maszyn lokalnych:Azure AD Connect installs the following tools to maintain Azure AD Connect sync services from your on-premises machines:

  • Konsola programu Microsoft Azure Active Directory Connect.Microsoft Azure Active Directory Connect console. To narzędzie pozwala modyfikować konfigurację serwera usługi Azure AD Sync, dostosowywać sposób synchronizacji, włączać lub wyłączać tryb przejściowy i przełączać tryb logowania użytkownika.This tool enables you to modify the configuration of the Azure AD Sync server, customize how synchronization occurs, enable or disable staging mode, and switch the user sign-in mode. Możesz włączyć logowanie do Active Directory FS przy użyciu infrastruktury lokalnej.You can enable Active Directory FS sign-in using your on-premises infrastructure.
  • Synchronization Service Manager.Synchronization Service Manager. Karta Operacje w tym narzędziu służy do zarządzania procesem synchronizacji i wykrywania ewentualnych niepowodzeń na poszczególnych etapach procesu.Use the Operations tab in this tool to manage the synchronization process and detect whether any parts of the process have failed. To narzędzie pozwala na ręczne uruchomienie synchronizacji.You can trigger synchronizations manually using this tool. Karta Łączniki umożliwia sterowanie połączeniami dla domen z dołączonym aparatem synchronizacji.The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.
  • Synchronization Rules Editor.Synchronization Rules Editor. To narzędzie pozwala dostosować sposób, w jaki obiekty są przekształcane w przypadku kopiowania ich między katalogiem lokalnym i usługą Azure AD.Use this tool to customize the way objects are transformed when they are copied between an on-premises directory and Azure AD. Dzięki temu narzędziu można określić dodatkowe atrybuty i obiekty podlegające synchronizacji, a także wykonać filtry, aby ustalić, które obiekty należy synchronizować.This tool enables you to specify additional attributes and objects for synchronization, then executes filters to determine which objects should or should not be synchronized. Aby uzyskać więcej informacji, zobacz sekcję Synchronization Rule Editor w dokumencie Azure AD Connect sync: Understanding the default configuration (Synchronizacja programu Azure AD Connect: opis konfiguracji domyślnej).For more information, see the Synchronization Rule Editor section in the document Azure AD Connect sync: Understanding the default configuration.

Aby uzyskać więcej informacji i wskazówek dotyczących zarządzania programem Azure AD Connect, zobacz Azure AD Connect sync: Best practices for changing the default configuration (Synchronizacja programu Azure AD Connect: najlepsze rozwiązania dotyczące zmieniania konfiguracji domyślnej).For more information and tips for managing Azure AD Connect, see Azure AD Connect sync: Best practices for changing the default configuration.

Zagadnienia dotyczące bezpieczeństwaSecurity considerations

Użyj kontroli dostępu warunkowego, aby odmówić realizacji żądań uwierzytelniania z nieoczekiwanych źródeł:Use conditional access control to deny authentication requests from unexpected sources:

  • Wyzwól usługę Azure Multi-Factor Authentication (MFA) , jeśli użytkownik próbuje nawiązać połączenie z niezaufanej lokalizacji, takiej jak przez Internet, a nie z zaufanej sieci.Trigger Azure Multi-Factor Authentication (MFA) if a user attempts to connect from a untrusted location such as across the Internet instead of a trusted network.

  • Użyj typu platformy urządzeń użytkownika (iOS, Android, Windows Mobile, Windows), aby określić zasady dostępu do aplikacji i funkcji.Use the device platform type of the user (iOS, Android, Windows Mobile, Windows) to determine access policy to applications and features.

  • Zapisz stan włączenia/wyłączenia urządzeń użytkowników i zastosuj te informacje do zasad kontroli dostępu.Record the enabled/disabled state of users' devices, and incorporate this information into the access policy checks. Na przykład ewentualna utrata lub kradzież telefonu użytkownika powinna być zarejestrowana jako stan wyłączenia, aby uniemożliwić uzyskanie do niego dostępu.For example, if a user's phone is lost or stolen it should be recorded as disabled to prevent it from being used to gain access.

  • Kontroluj dostęp użytkowników do zasobów w oparciu o członkostwo w grupach.Control user access to resources based on group membership. Użyj reguł członkostwa dynamicznego usługi Azure AD, aby uprościć administrowanie grupami.Use Azure AD dynamic membership rules to simplify group administration. Aby uzyskać krótki opis sposobu działania, zobacz Introduction to Dynamic Memberships for Groups (Wprowadzenie do członkostwa dynamicznego w grupach).For a brief overview of how this works, see Introduction to Dynamic Memberships for Groups.

  • Użyj zasad ryzyka dostępu warunkowego w ramach usługi Azure AD Identity Protection w celu zapewnienia zaawansowanej ochrony w oparciu o nietypową aktywność logowania lub inne zdarzenia.Use conditional access risk policies with Azure AD Identity Protection to provide advanced protection based on unusual sign-in activities or other events.

Aby uzyskać więcej informacji, zobacz Dostęp warunkowy do usługi Azure Active Directory.For more information, see Azure Active Directory conditional access.

Kwestie do rozważenia dotyczące metodyki DevOpsDevOps considerations

Aby uzyskać informacje dotyczące DevOps, zobacz DevOps: rozszerzanie Active Directory Domain Services (AD DS) na platformę Azure.For DevOps considerations, see DevOps: Extending Active Directory Domain Services (AD DS) to Azure.

Kwestie związane z kosztamiCost considerations

Koszty możesz szacować za pomocą kalkulatora cen platformy Azure.Use the Azure pricing calculator to estimate costs. Inne zagadnienia są opisane w sekcji koszt w Microsoft Azure Well-Architected Framework.Other considerations are described in the Cost section in Microsoft Azure Well-Architected Framework.

Poniżej przedstawiono koszty związane z usługami używanymi w tej architekturze.Here are cost considerations for the services used in this architecture.

Azure AD ConnectAzure AD Connect

Aby uzyskać informacje o wersjach oferowanych przez Azure Active Directory, zobacz Cennik usługi Azure AD.For information about the editions offered by Azure Active Directory, see Azure AD pricing. Funkcja synchronizacji programu AD Connect jest dostępna we wszystkich wersjach.The AD Connect sync feature is available in all editions.

Maszyny wirtualne dla aplikacji N-warstwowejVMs for N-Tier application

Wdrożenie obejmuje infrastrukturę dotyczącą aplikacji n-warstwowej.The deployment includes infrastructure for an N-tier application. Aby uzyskać informacje o kosztach tych zasobów, Uruchom maszyny wirtualne dla architektury N-warstwowej.For cost information about these resources, Run VMs for an N-tier architecture.

Wdrażanie rozwiązaniaDeploy the solution

Wdrożenie architektury referencyjnej, która implementuje te zalecenia i zagadnienia, jest dostępne w witrynie GitHub.A deployment for a reference architecture that implements these recommendations and considerations is available on GitHub. Ta architektura referencyjna wdraża symulowaną sieć lokalną na platformie Azure, której można użyć do testowania i eksperymentowania.This reference architecture deploys a simulated on-premises network in Azure that you can use to test and experiment. Aby wdrożyć rozwiązanie, zobacz plik Readme w witrynie GitHub.To deploy the solution, see the readme on GitHub.