Planowanie, projektowanie i wdrażanie Azure Active Directory Connect (AADC)

Ukończone

Azure AD Connect to rozwiązanie, które stanowi most między organizacjami lokalna usługa Active Directory z chmurowym Azure Active Directory. Dzięki temu it może synchronizować tożsamości ze środowisk lokalnych na platformę Azure i zapewnia spójną tożsamość na obu platformach. To połączenie umożliwia korzystanie z usług, takich jak synchronizacja skrótów haseł, uwierzytelnianie pass-through i bezproblemowe logowanie się.

Azure AD Connect to narzędzie firmy Microsoft, które umożliwia spełnienie wymagań związanych z tożsamością hybrydową. Zapewnia następujące możliwości:

  • Synchronizacja — odpowiada za tworzenie użytkowników, grup i innych obiektów. Odpowiada też za zapewnienie zgodności informacji o tożsamości lokalnych użytkowników i grup z informacjami w chmurze. Synchronizacja dotyczy również skrótów haseł.

  • Synchronizacja skrótów haseł — metoda logowania, która synchronizuje skrót lokalnego hasła użytkownika usługi AD z usługą Azure AD.

  • Uwierzytelnianie przekazywane — metoda logowania, która pozwala użytkownikom używać tego samego hasła w infrastrukturze lokalnej i w chmurze, ale nie wymaga dodatkowej infrastruktury w środowisku federacyjnym.

  • Integracja federacyjna — usługi federacyjne to opcjonalny składnik programu Azure AD Connect, za pomocą którego można skonfigurować środowisko hybrydowe przy użyciu lokalnej infrastruktury usług AD FS. Składnik ten udostępnia również funkcje zarządzania usługami AD FS, takie jak odnawianie certyfikatów i dodatkowe wdrożenia serwera usług AD FS.

  • Monitorowanie kondycji — Azure AD Connect Health niezawodne monitorowanie.

    Co to jest Azure AD Connect

Dlaczego warto korzystać z programu Azure AD Connect?

Zintegrowanie katalogów lokalnych z usługą Azure AD zwiększa produktywność użytkowników, zapewniając wspólną tożsamość na potrzeby dostępu do zasobów, zarówno lokalnych, jak i w chmurze. Dzięki Azure AD Connect użytkownicy mogą używać jednej tożsamości do uzyskiwania dostępu do aplikacji lokalnych i usług w chmurze, takich jak Microsoft 365. Ponadto organizacje mogą zapewnić łatwe wdrażanie synchronizacji i logowania przy użyciu jednego narzędzia. Azure AD Connect zastępuje starsze wersje narzędzi do integracji tożsamości, takie jak DirSync i Azure AD Sync; i jest uwzględniony w twojej subskrypcji usługi Azure AD.

Wybierz metodę uwierzytelniania

Tożsamość jest nową płaszczyzną kontroli zabezpieczeń IT, dlatego uwierzytelnianie jest ochronę dostępu organizacji do nowego świata chmury. Organizacje potrzebują płaszczyzny kontroli tożsamości, która wzmacnia zabezpieczenia i chroni aplikacje w chmurze przed intruzami. Gdy rozwiązanie tożsamości hybrydowej usługi Azure AD jest twoją nową płaszczyzną kontroli, uwierzytelnianie jest podstawą dostępu do chmury. Wybór właściwej metody uwierzytelniania jest kluczową pierwszą decyzją podczas konfigurowania rozwiązania tożsamości hybrydowej usługi Azure AD. Aby wybrać metodę uwierzytelniania, należy wziąć pod uwagę czas, istniejącą infrastrukturę, złożoność i koszt wdrożenia. Te czynniki są różne dla każdej organizacji i mogą zmieniać się z czasem.

Uwierzytelnianie w chmurze

Po wybraniu tej metody uwierzytelniania usługa Azure AD obsługuje proces logowania użytkowników. W połączeniu z bezproblemowym logowaniem jednokrotnym użytkownicy mogą logować się do aplikacji w chmurze bez konieczności ponownego poświadczeń. W przypadku uwierzytelniania w chmurze można wybrać jedną z dwóch opcji:

Synchronizacja skrótów haseł w usłudze Azure AD. Najprostszy sposób włączania uwierzytelniania dla lokalnych obiektów katalogu w usłudze Azure AD. Użytkownicy mogą używać tej samej nazwy użytkownika i hasła, których używają lokalnie, bez konieczności wdrażania dodatkowej infrastruktury.

  • Nakład pracy. Synchronizacja skrótów haseł wymaga najmniej wysiłku związanego z wdrażaniem, konserwacją i infrastrukturą. Ten poziom nakładu pracy zwykle dotyczy organizacji, które potrzebują tylko swoich użytkowników do logowania się do Microsoft 365, aplikacji SaaS i innych zasobów opartych na usłudze Azure AD. Po włączeniu synchronizacja skrótów haseł jest częścią procesu Azure AD Connect i jest uruchamiana co dwie minuty.

  • Środowisko użytkownika. Aby ulepszyć środowisko logowania użytkowników, wd wdrażaj bezproblemowe logowanie jednokrotne z synchronizacją skrótów haseł. Bezproblemowe logowanie jednokrotne eliminuje niepotrzebne monity, gdy użytkownicy są zalogowani.

  • Zaawansowane scenariusze. Jeśli organizacja wybierze tę opcję, możliwe jest korzystanie ze szczegółowych informacji z tożsamości w Azure AD Identity Protection z Azure AD — wersja Premium P2. Przykładem jest raport wycieku poświadczeń. Windows Hello dla firm ma określone wymagania w przypadku korzystania z synchronizacji skrótów haseł. Azure AD Domain Services wymaga synchronizacji skrótów haseł, aby aprowizować użytkownikom poświadczenia firmowe w domenie zarządzanej.

  • Ciągłość działalności biznesowej. Synchronizacja skrótów haseł z uwierzytelnianiem w chmurze jest wysoce dostępna jako usługa w chmurze, która jest skalowana do wszystkich centrów danych firmy Microsoft. Aby upewnić się, że synchronizacja skrótów haseł nie będzie nie działała przez dłuższy czas, wd wdrażaj drugi serwer Azure AD Connect w trybie przejściowym w konfiguracji rezerwowej.

  • Zagadnienia do rozważenia. Obecnie synchronizacja skrótów haseł nie wymusza natychmiast zmian w stanach konta lokalnego. W takiej sytuacji użytkownik ma dostęp do aplikacji w chmurze, dopóki stan konta użytkownika nie zostanie zsynchronizowany z usługą Azure AD. Organizacje mogą chcieć rozwiązać ten limit, uruchamiając nowy cykl synchronizacji po zbiorczych aktualizacjach stanów kont użytkowników lokalnych przez administratorów. Przykładem jest wyłączenie kont.

Uwierzytelnianie pass-through (PTA) w usłudze Azure AD. Zapewnia prostą weryfikację hasła dla usług uwierzytelniania usługi Azure AD przy użyciu agenta oprogramowania uruchamianego na co najmniej jednym serwerze lokalnym. Serwery weryfikują użytkowników bezpośrednio lokalna usługa Active Directory, co gwarantuje, że weryfikacja hasła nie odbywa się w chmurze. Firmy z wymaganiem bezpieczeństwa, aby natychmiast wymusić lokalne stany kont użytkowników, zasady haseł i godziny logowania, mogą używać tej metody uwierzytelniania.

  • Nakład pracy. W przypadku uwierzytelniania pass-through na istniejących serwerach musi być zainstalowany co najmniej jeden (zalecane jest użycie trzech) lekkich agentów. Ci agenci muszą mieć dostęp do usługi lokalna usługa Active Directory Domain Services, w tym lokalnych kontrolerów domeny usługi AD. Potrzebują dostępu wychodzącego do Internetu i dostępu do kontrolerów domeny. Z tego powodu wdrażanie agentów w sieci obwodowej nie jest obsługiwane.

  • Środowisko użytkownika. Aby ulepszyć środowisko logowania użytkowników, wd wdrażaj bezproblemowe logowanie jednokrotne z uwierzytelnianiem pass-through. Bezproblemowe logowanie jednokrotne eliminuje niepotrzebne monity po zalogowaniu się użytkowników.

  • Zaawansowane scenariusze. Uwierzytelnianie pass-through wymusza zasady konta lokalnego podczas logowania. Na przykład odmowa dostępu jest blokowana, gdy stan konta użytkownika lokalnego jest wyłączony, zablokowany lub jego hasło wygasa lub próba logowania przypada poza godzinami, w których użytkownik może się zalogować.

  • Ciągłość działalności biznesowej. Zalecamy wdrożenie dwóch dodatkowych agentów uwierzytelniania pass-through. Te dodatki są dodatkiem do pierwszego agenta na Azure AD Connect serwera. To dodatkowe wdrożenie zapewnia wysoką dostępność żądań uwierzytelniania. W przypadku wdrożenia trzech agentów jeden agent może nadal nie powieść się, gdy inny agent nie jest w razie konserwacji.

  • Zagadnienia do rozważenia. Synchronizacji skrótów haseł można użyć jako metody uwierzytelniania kopii zapasowej do uwierzytelniania pass-through, gdy agenci nie mogą zweryfikować poświadczeń użytkownika z powodu znacznego błędu lokalnego. Przełączanie w tryb fail over w celu synchronizacji skrótów haseł nie odbywa się automatycznie i należy użyć Azure AD Connect, aby ręcznie przełączyć metodę logowania.

Uwierzytelnianie federacyjne

Po wybraniu tej metody uwierzytelniania usługa Azure AD przekieruje proces uwierzytelniania do oddzielnego zaufanego systemu uwierzytelniania, takiego jak lokalna usługa Active Directory Federation Services (AD FS), aby zweryfikować hasło użytkownika. System uwierzytelniania może zapewnić dodatkowe zaawansowane wymagania dotyczące uwierzytelniania. Przykłady to uwierzytelnianie oparte na kartach inteligentnych lub uwierzytelnianie wieloskładnikowe innych firm.

  • Nakład pracy. Federowany system uwierzytelniania korzysta z zewnętrznego zaufanego systemu do uwierzytelniania użytkowników. Niektóre firmy chcą ponownie wykorzystać swoje istniejące inwestycje w system federowany za pomocą rozwiązania do tożsamości hybrydowej usługi Azure AD. Konserwacja systemu federacyjnego i zarządzanie nim znajduje się poza kontrolą usługi Azure AD. Do organizacji należy użycie systemu federacji, aby upewnić się, że jest on wdrożony bezpiecznie i może obsłużyć obciążenie uwierzytelniania.

  • Środowisko użytkownika. Środowisko użytkownika uwierzytelniania federacyjnych zależy od implementacji funkcji, topologii i konfiguracji farmy federacyjnych. Niektóre organizacje potrzebują tej elastyczności, aby dostosować i skonfigurować dostęp do farmy federowania do swoich wymagań dotyczących zabezpieczeń. Na przykład można skonfigurować wewnętrznie połączonych użytkowników i urządzenia w celu automatycznego logowania użytkowników bez monitowania ich o poświadczenia. Ta konfiguracja działa, ponieważ zalogowała się już na swoich urządzeniach. W razie potrzeby niektóre zaawansowane funkcje zabezpieczeń sprawiają, że proces logowania użytkowników jest trudniejszy.

  • Zaawansowane scenariusze. Rozwiązanie uwierzytelniania federtywnego jest wymagane, gdy klienci mają wymaganie uwierzytelniania, które usługa Azure AD nie obsługuje natywnie.

    • Uwierzytelnianie wymagające kart inteligentnych lub certyfikatów.

    • Lokalne serwery MFA lub dostawcy wieloskładnikowi innych firm, którzy wymagają dostawcy tożsamości federacji.

    • Uwierzytelnianie przy użyciu rozwiązań uwierzytelniania innych firm.

    • Zaloguj się, który wymaga nazwy sAMAccountName, na przykład DOMENA\nazwa_użytkownika, zamiast głównej nazwy użytkownika (UPN), na przykład user@domain.com .

  • Ciągłość działalności biznesowej. Systemy federacyjnych zwykle wymagają tablicy serwerów o zrównoważonym obciążeniu, znanej jako farma. Ta farma jest skonfigurowana w topologii sieci wewnętrznej i obwodowej w celu zapewnienia wysokiej dostępności żądań uwierzytelniania.

  • Zagadnienia do rozważenia. Systemy federacyjnych zwykle wymagają bardziej znaczących inwestycji w infrastrukturę lokalną. Większość organizacji wybiera tę opcję, jeśli ma już inwestycję w federację lokalną. A jeśli używanie dostawcy z jedną tożsamością jest wymaganiem biznesowym. Federacja jest bardziej złożona w obsłudze i rozwiązywaniu problemów w porównaniu z rozwiązaniami do uwierzytelniania w chmurze.

Diagramy architektury

Na poniższych diagramach przedstawiono składniki architektury wysokiego poziomu wymagane dla każdej metody uwierzytelniania, których można używać z rozwiązaniem tożsamości hybrydowej usługi Azure AD. Zawierają one omówienie, które pomoże Ci porównać różnice między rozwiązaniami.

  • Prostota rozwiązania do synchronizacji skrótów haseł:

    Tożsamość hybrydowa usługi Azure AD z synchronizacją skrótów haseł

  • Wymagania agenta dotyczące uwierzytelniania pass-through przy użyciu dwóch agentów w celu zapewnienia nadmiarowości:

    Tożsamość hybrydowa usługi Azure AD z uwierzytelnianiem pass-through

  • Składniki wymagane do federacji w sieci obwodowej i wewnętrznej organizacji:

    Tożsamość hybrydowa usługi Azure AD z uwierzytelnianiem federacyjną

Zalecenia

System tożsamości zapewnia użytkownikom dostęp do aplikacji w chmurze i aplikacji biznesowych, które są migrowane i udostępniane w chmurze. Aby zapewnić produktywność autoryzowanych użytkowników i złych aktorów poza poufnymi danymi organizacji, uwierzytelnianie kontroluje dostęp do aplikacji.

Użyj lub włącz synchronizację skrótów haseł w zależności od metody uwierzytelniania, z następujących powodów:

  1. Wysoka dostępność i odzyskiwanie po awarii. Uwierzytelnianie pass-through i federacja polegają na infrastrukturze lokalnej. W przypadku uwierzytelniania pass-through środowisko lokalne obejmuje sprzęt serwera i sieć, których wymagają agenci uwierzytelniania pass-through. W przypadku federacji rozmiar środowiska lokalnego jest jeszcze większy. Wymaga serwerów w sieci obwodowej do żądania uwierzytelniania serwera proxy i wewnętrzne serwery federacyjna.

    Aby uniknąć pojedynczych punktów awarii, należy wdrożyć serwery nadmiarowe. Następnie żądania uwierzytelniania będą zawsze serwisowane w przypadku awarii dowolnego składnika. Zarówno uwierzytelnianie pass-through, jak i federacja polegają również na kontrolerach domeny, które odpowiadają na żądania uwierzytelniania, co również może się nie powieść. Wiele z tych składników wymaga konserwacji, aby zachować dobrej kondycję. Dzieje się tak najprawdopodobniej wtedy, gdy konserwacja nie jest prawidłowo zaplanowana i zaimplementowana. Unikaj outages by using password hash synchronization because the Microsoft Azure AD cloud authentication service scales globally and is always available (Usługa uwierzytelniania w chmurze jest skalowana globalnie i jest zawsze dostępna).

  2. Lokalna erudycyjna erudycyjna erudy Konsekwencje awarii w środowisku lokalnym spowodowane cyberatakami lub awariami mogą być znaczne— od uszkodzenia marki reputacji po sparaliżowane organizacje, które nie są w stanie poradzić sobie z atakiem. Niedawno wiele organizacji padło ofiarą ataków złośliwego oprogramowania, w tym ukierunkowanego oprogramowania wymuszającego okup, które spowodowały, że serwery lokalne nie są już w stanie. Gdy firma Microsoft pomaga klientom w radzeniu sobie z tego rodzaju atakami, widzi dwie kategorie organizacji:

    • Organizacje, które wcześniej włączały synchronizację skrótów haseł na podstawie uwierzytelniania federowego lub pass-through, zmieniły swoją podstawową metodę uwierzytelniania, aby następnie użyć synchronizacji skrótów haseł. Po kilku godzinach wrócili do trybu online. Korzystając z dostępu do poczty e-mail za pośrednictwem Microsoft 365, pracowali nad rozwiązywaniem problemów i uzyskiwaniem dostępu do innych obciążeń opartych na chmurze.

    • Organizacje, które wcześniej nie włączyły synchronizacji skrótów haseł, musiała sięgają do niezaufanych systemów poczty e-mail klientów zewnętrznych w celu rozwiązywania problemów. W takich przypadkach przywracanie lokalnej infrastruktury tożsamości zajęło im tygodnie, zanim użytkownicy mogli ponownie zalogować się do aplikacji opartych na chmurze.

  3. Ochrona tożsamości. Jednym z najlepszych sposobów ochrony użytkowników w chmurze jest Azure AD Identity Protection z Azure AD — wersja Premium P2. Firma Microsoft stale skanuje Internet pod poszukiwaniu list użytkowników i haseł, które są przez nie sprzedawane i udostępniane w ciemnej sieci. Usługa Azure AD może użyć tych informacji, aby sprawdzić, czy nazwy użytkowników i hasła w organizacji zostały naruszone. Dlatego kluczowe znaczenie ma włączenie synchronizacji skrótów haseł niezależnie od tego, której metody uwierzytelniania używasz, niezależnie od tego, czy jest to uwierzytelnianie federowane, czy pass-through. Ujawnione poświadczenia są prezentowane jako raport. Użyj tych informacji, aby zablokować lub wymusić na użytkownikach zmianę haseł podczas próby zalogowania się przy użyciu ujawnionych haseł.

Zagadnienia dotyczące projektowania przy korzystaniu z programu Azure AD Connect

W tej sekcji opisano obszary, które należy przemyśleć podczas projektowania implementacji Azure AD Connect. Jest to dokładnie opis niektórych obszarów, a te koncepcje zostały krótko opisane również w innych dokumentach.

sourceAnchor

Atrybut sourceAnchor jest definiowany jako atrybut niezmienny w okresie istnienia obiektu. Jednoznacznie identyfikuje obiekt jako ten sam obiekt lokalnie i w usłudze Azure AD. Atrybut jest również nazywany immutableId, a dwie nazwy są używane zamiennie. Atrybut jest używany w następujących scenariuszach:

  • Podczas budowania nowego serwera aparatu synchronizacji lub jego przebudowy po scenariuszu odzyskiwania po awarii ten atrybut łączy istniejące obiekty w usłudze Azure AD z obiektami lokalnymi.

  • Jeśli przeniesiesz się z tożsamości tylko w chmurze do zsynchronizowanego modelu tożsamości, ten atrybut umożliwia obiektom "twarde dopasowanie" istniejących obiektów w usłudze Azure AD do obiektów lokalnych.

  • Jeśli używasz federacji, ten atrybut wraz z userPrincipalName jest używany w oświadczenie do unikatowej identyfikacji użytkownika.

Wartość atrybutu musi być następująca:

  • Mniej niż 60 znaków

    • Znaki, które nie są znakami a–z, A–Z lub 0–9, są kodowane i liczone jako 3 znaki
  • Nie zawiera znaku specjalnego: \ ! # $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _

  • Musi być globalnie unikatowa

  • Musi być ciągiem, liczbą całkowitą lub plikiem binarnym

  • Nie powinna być oparta na nazwie użytkownika, ponieważ mogą one ulec zmianie

  • Nie należy wrażliwie na wielkość liter i unikać wartości, które mogą się różnić w zależności od wielkości liter

  • Należy przypisać podczas tworzenia obiektu

Jeśli masz jeden las w środowisku lokalnym, atrybutem, który należy użyć, jest ms-DS-ConsistencyGuid. Jest to również atrybut używany podczas używania ustawień ekspresowych w Azure AD Connect, a także atrybut używany przez narzędzie DirSync. Jeśli masz wiele lasów i nie przenosisz użytkowników między lasami i domenami, to atrybut ms-DS-ConsistencyGUID jest dobrym atrybutem. Innym rozwiązaniem jest wybór istniejącego atrybutu, który nie zmienia się. Często używane atrybuty obejmują employeeID. Jeśli rozważysz atrybut zawierający litery, upewnij się, że nie ma prawdopodobieństwo, że dla wartości atrybutu można zmienić wielkie i małe litery. Złe atrybuty, których nie należy używać, obejmują te atrybuty z nazwą użytkownika. Po decyzji atrybutu sourceAnchor kreator przechowuje informacje w dzierżawie usługi Azure AD. Informacje te będą używane w przyszłej instalacji Azure AD Connect.

Logowanie do usługi Azure AD

Podczas integrowania katalogu lokalnego z usługą Azure AD ustawienia synchronizacji mogą mieć wpływ na sposób uwierzytelniania użytkownika. Usługa Azure AD używa nazwy userPrincipalName (UPN) do uwierzytelniania użytkownika. Jednak podczas synchronizacji użytkowników należy starannie wybrać atrybut, który ma być używany dla wartości userPrincipalName. Podczas wybierania atrybutu w celu zapewnienia wartości upn do użyciu na platformie Azure należy upewnić się, że

  • Wartości atrybutów są zgodne ze składnią upn (RFC 822), czyli powinny mieć format username@domain

  • Sufiks w wartościach jest dopasowuje do jednej ze zweryfikowanych domen niestandardowych w usłudze Azure AD

W ustawieniach ekspresowych zakładany wybór atrybutu to userPrincipalName. Jeśli atrybut userPrincipalName nie zawiera wartości, którą użytkownicy mają logować do platformy Azure, należy wybrać pozycję Instalacja niestandardowa.

Niestandardowy stan domeny i główna nazwa użytkownika

Upewnij się, że istnieje zweryfikowana domena dla sufiksu głównej nazwy użytkownika (UPN). Jan jest użytkownikiem w contoso.com. Chcesz, aby Jan logował się do platformy Azure przy użyciu lokalnej sieci UPN po zsynchronizowaniu użytkowników z katalogiem john@contoso.com usługi Azure AD contoso.onmicrosoft.com. W tym celu należy dodać i zweryfikować contoso.com jako domenę niestandardową w usłudze Azure AD, zanim będzie można rozpocząć synchronizowanie użytkowników. Jeśli sufiks nazwy UPN Jan, na przykład contoso.com, nie jest zgodne ze zweryfikowaną domeną w usłudze Azure AD, usługa Azure AD zastąpi sufiks nazwy UPN nazwą contoso.onmicrosoft.com.

Niektóre organizacje mają domeny bez routowania, takie jak contoso.local, lub proste domeny o pojedynczej etykiecie, takie jak contoso. W usłudze Azure AD nie można zweryfikować domeny bez możliwości routowalnej. Azure AD Connect można synchronizować tylko ze zweryfikowaną domeną w usłudze Azure AD. Utworzenie katalogu usługi Azure AD powoduje utworzenie domeny z możliwością routowalnej, która staje się domeną domyślną dla usługi Azure AD, na przykład contoso.onmicrosoft.com. W związku z tym w takim scenariuszu należy zweryfikować każdą inną domenę z routowalnym dostępem, jeśli nie chcesz synchronizować się z domyślną domeną onmicrosoft.com routable.

Azure AD Connect wykrywa, czy działasz w środowisku domeny bez routowalnego środowiska, i odpowiednio ostrzega przed działaniem ustawień ekspresowych. Jeśli działasz w domenie bez obsługi obsługi routowalnej, istnieje prawdopodobieństwo, że nazwa UPN użytkowników również ma sufiksy bez obsługi routowalnej. Jeśli na przykład korzystasz z domeny contoso.local, Azure AD Connect użycie ustawień niestandardowych zamiast ustawień ekspresowych. Za pomocą ustawień niestandardowych można określić atrybut, który powinien być używany jako upn do logowania się do platformy Azure po zsynchronizowaniu użytkowników z usługą Azure AD.

Topologie obsługiwane w programie Azure AD Connect

W tej sekcji opisano różne topologie lokalne i Azure Active Directory (Azure AD), które używają synchronizacji Azure AD Connect jako kluczowego rozwiązania integracji. Zawiera on zarówno obsługiwane, jak i nieobsługiwane konfiguracje.

Topologia wspólna Opis
Pojedynczy las, pojedyncza dzierżawa usługi Azure AD Najpopularniejszą topologią jest pojedynczy las lokalnie z jedną lub wieloma domenami oraz pojedynczą dzierżawą usługi Azure AD. W przypadku uwierzytelniania usługi Azure AD jest używana synchronizacja skrótów haseł. Ekspresowa instalacja Azure AD Connect obsługuje tylko tę topologię.
Wiele lasów, pojedyncza dzierżawa usługi Azure AD Wiele organizacji ma środowiska z wieloma lasami lokalna usługa Active Directory lasami. Istnieją różne przyczyny, dla których istnieje więcej niż jeden lokalna usługa Active Directory lasu. Typowe przykłady to projekty z lasami zasobów kont oraz wynik koncentracji lub przejęcia. Jeśli istnieje wiele lasów, wszystkie lasy muszą być dostępne dla jednego Azure AD Connect synchronizacji. Serwer musi być przyłączony do domeny. Jeśli to konieczne, aby uzyskać dostęp do wszystkich lasów, można umieścić serwer w sieci obwodowej (znanej także jako STREFA DMZ, strefa zdemilitaryzowana i podsieć ekranowana).
Wiele lasów, jeden serwer synchronizacji, użytkownicy są reprezentowani tylko w jednym katalogu W tym środowisku wszystkie lasy lokalne są traktowane jako osobne jednostki. Żaden użytkownik nie jest obecny w żadnym innym lesie. Każdy las ma własną organizację programu Exchange i nie ma żadnej synchronizacji GALSync między lasami. Ta topologia może mieć miejsce po scaleniu/przejęciu lub w organizacji, w której każda jednostka biznesowa działa niezależnie. Te lasy znajdują się w tej samej organizacji w usłudze Azure AD i są wyświetlane z ujednoliconą usługą GAL. Na poprzedniej ilustracji każdy obiekt w każdym lesie jest reprezentowany raz w obiekcie Metaverse i agregowany w docelowej dzierżawie usługi Azure AD.
Wiele lasów: pełna siatka z opcjonalną galsync Topologia pełnej siatki umożliwia użytkownikom i zasobom zlokalizowanie ich w dowolnym lesie. Zazwyczaj między lasami istnieją zaufanie dwukierunkowe. Jeśli program Exchange znajduje się w więcej niż jednym lesie, może być (opcjonalnie) lokalne rozwiązanie GALSync. Każdy użytkownik jest następnie reprezentowany jako kontakt we wszystkich innych lasach. GalSync jest często implementowana za pośrednictwem programu FIM 2010 lub MIM 2016. Azure AD Connect nie można używać w przypadku lokalnej usługi GALSync.
Wiele lasów: account-resource forest W tym scenariuszu co najmniej jeden las zasobów ufa wszystkim lasom kont. Las zasobów zwykle ma rozszerzony schemat usługi Active Directory z programem Exchange i Lync. Wszystkie usługi programu Exchange i Lync oraz inne usługi udostępnione znajdują się w tym lesie. Użytkownicy mają wyłączone konto użytkownika w tym lesie, a skrzynka pocztowa jest połączona z lasem kont.
Serwer przejściowy Azure AD Connect obsługuje instalowanie drugiego serwera w trybie przejściowym. Serwer w tym trybie odczytuje dane ze wszystkich połączonych katalogów, ale nie zapisuje niczego w połączonych katalogach. Używa normalnego cyklu synchronizacji i dlatego ma zaktualizowaną kopię danych tożsamości.
Wiele dzierżaw usługi Azure AD Istnieje relacja 1:1 między serwerem synchronizacji Azure AD Connect dzierżawą usługi Azure AD. Dla każdej dzierżawy usługi Azure AD potrzebna jest jedna Azure AD Connect instalacji serwera synchronizacji. Wystąpienia dzierżawy usługi Azure AD są projektowane odizolowane. Oznacza to, że użytkownicy w jednej dzierżawie nie widzą użytkowników w drugiej dzierżawie. Jeśli chcesz, aby ta separacja była obsługiwana, jest to obsługiwana konfiguracja. W przeciwnym razie należy użyć jednego modelu dzierżawy usługi Azure AD.
Każdy obiekt tylko raz w dzierżawie usługi Azure AD W tej topologii jeden Azure AD Connect synchronizacji jest połączony z każdą dzierżawą usługi Azure AD. Serwery Azure AD Connect synchronizacji muszą być skonfigurowane do filtrowania, tak aby każdy z nich był wzajemnie wykluczający się zestaw obiektów do obsługi. Na przykład można określić zakres każdego serwera dla określonej domeny lub jednostki organizacyjnej.

Azure AD Connect składników

Na poniższym diagramie przedstawiono architekturę wysokiego poziomu aparatu aprowizowania łączącego się z jednym lasem, chociaż obsługiwanych jest wiele lasów. Ta architektura pokazuje, jak różne składniki współdziałają ze sobą.

Diagram przedstawiający sposób interakcji połączonych katalogów i Azure AD Connect aprowizowania, w tym obszaru łącznika i składników Metaverse w SQL Database

Aparat aprowizowania łączy się z każdym lasem usługi Active Directory i z usługą Azure AD. Proces odczytywania informacji z każdego katalogu jest nazywany importem. Eksportowanie odnosi się do aktualizowania katalogów z aparatu aprowizowania. Synchronizacja ocenia reguły przepływu obiektów w aprowizowania aparatu.

Azure AD Connect używa następujących obszarów przejściowych, reguł i procesów w celu umożliwienia synchronizacji z usługi Active Directory do usługi Azure AD:

  • Miejsce łącznika (CS) — obiekty z każdego połączonego katalogu (CD), rzeczywistych katalogów, są najpierw przetwarzane przez aparat aprowizowania. Usługa Azure AD ma własny cs, a każdy las, z który się łączysz, ma własny cs.

  • Metaverse (MV) — obiekty, które muszą być synchronizowane, są tworzone w tym miejscu na podstawie reguł synchronizacji. Obiekty muszą istnieć w MV, aby można było wypełnić obiekty i atrybuty do innych połączonych katalogów. Istnieje tylko jeden MV.

  • Reguły synchronizacji — decydują, które obiekty zostaną utworzone (prognozowane) lub połączone (połączone) z obiektami w MV. Reguły synchronizacji decydują również, które wartości atrybutów zostaną skopiowane lub przekształcone do i z katalogów.

  • Profile uruchamiania — łączy kroki procesu kopiowania obiektów i ich wartości atrybutów zgodnie z regułami synchronizacji między obszarami przejściowymi i połączonymi katalogami.