Wdrażanie synchronizacji katalogów platformy Microsoft 365 na platformie Microsoft Azure

  • Artykuł

Microsoft Entra Connect (wcześniej nazywane narzędziem do synchronizacji katalogów, narzędziem do synchronizacji katalogów lub narzędziem DirSync.exe) jest aplikacją instalowaną na serwerze przyłączonym do domeny w celu synchronizowania użytkowników lokalna usługa Active Directory Domain Services (AD DS) z Microsoft Entra dzierżawy subskrypcji platformy Microsoft 365. Platforma Microsoft 365 używa Tożsamość Microsoft Entra dla swojej usługi katalogowej. Twoja subskrypcja platformy Microsoft 365 obejmuje dzierżawę Microsoft Entra. Ta dzierżawa może być również używana do zarządzania tożsamościami organizacji przy użyciu innych obciążeń w chmurze, w tym innych aplikacji i aplikacji SaaS na platformie Azure.

Program Microsoft Entra Connect można zainstalować na serwerze lokalnym, ale można go również zainstalować na maszynie wirtualnej na platformie Azure z następujących powodów:

  • Serwery oparte na chmurze można aprowizować i konfigurować szybciej, dzięki czemu usługi będą wcześniej dostępne dla użytkowników.
  • Platforma Azure oferuje lepszą dostępność witryny przy mniejszym nakładie pracy.
  • Możesz zmniejszyć liczbę serwerów lokalnych w organizacji.

To rozwiązanie wymaga łączności między siecią lokalną a siecią wirtualną platformy Azure. Aby uzyskać więcej informacji, zobacz Łączenie sieci lokalnej z siecią wirtualną platformy Microsoft Azure.

Uwaga

W tym artykule opisano synchronizację pojedynczej domeny w jednym lesie. Microsoft Entra Connect synchronizuje wszystkie domeny usług AD DS w lesie usługi Active Directory z platformą Microsoft 365. Jeśli masz wiele lasów usługi Active Directory do zsynchronizowania z platformą Microsoft 365, zobacz Multi-forest Directory Sync with Single Sign-On Scenario (Synchronizacja katalogów z wieloma lasami z pojedynczym scenariuszem Sign-On).

Omówienie wdrażania synchronizacji katalogów platformy Microsoft 365 na platformie Azure

Na poniższym diagramie przedstawiono Microsoft Entra Connect uruchomionej na maszynie wirtualnej na platformie Azure (serwerze synchronizacji katalogów), która synchronizuje lokalny las usług AD DS z subskrypcją platformy Microsoft 365.

narzędzie Microsoft Entra Connect na maszynie wirtualnej na platformie Azure synchronizujące konta lokalne z dzierżawą Microsoft Entra subskrypcji platformy Microsoft 365 z przepływem ruchu.

Na diagramie istnieją dwie sieci połączone przez połączenie sieci VPN typu lokacja-lokacja lub połączenie usługi ExpressRoute. Istnieje sieć lokalna, w której znajdują się kontrolery domeny usług AD DS, oraz sieć wirtualna platformy Azure z serwerem synchronizacji katalogów, która jest maszyną wirtualną z systemem Microsoft Entra Connect. Istnieją dwa główne przepływy ruchu pochodzące z serwera synchronizacji katalogów:

  • Microsoft Entra Connect wysyła zapytanie do kontrolera domeny w sieci lokalnej w celu wprowadzenia zmian w kontach i hasłach.
  • Microsoft Entra Connect wysyła zmiany do kont i haseł do wystąpienia Microsoft Entra subskrypcji platformy Microsoft 365. Ponieważ serwer synchronizacji katalogów znajduje się w rozszerzonej części sieci lokalnej, te zmiany są wysyłane za pośrednictwem serwera proxy sieci lokalnej.

Uwaga

To rozwiązanie opisuje synchronizację pojedynczej domeny usługi Active Directory w jednym lesie usługi Active Directory. Microsoft Entra Connect synchronizuje wszystkie domeny usługi Active Directory w lesie usługi Active Directory z usługą Microsoft 365. Jeśli masz wiele lasów usługi Active Directory do zsynchronizowania z platformą Microsoft 365, zobacz Multi-forest Directory Sync with Single Sign-On Scenario (Synchronizacja katalogów z wieloma lasami z pojedynczym scenariuszem Sign-On).

Podczas wdrażania tego rozwiązania istnieją dwa główne kroki:

  1. Utwórz sieć wirtualną platformy Azure i nawiąż połączenie sieci VPN typu lokacja-lokacja z siecią lokalną. Aby uzyskać więcej informacji, zobacz Łączenie sieci lokalnej z siecią wirtualną platformy Microsoft Azure.

  2. Zainstaluj program Microsoft Entra Connect na maszynie wirtualnej przyłączonych do domeny na platformie Azure, a następnie zsynchronizuj lokalne usługi AD DS z usługą Microsoft 365. Obejmuje to:

    • Tworzenie maszyny wirtualnej platformy Azure do uruchamiania programu Microsoft Entra Connect.

    • Instalowanie i konfigurowanie programu Microsoft Entra Connect.

    Konfigurowanie Microsoft Entra Connect wymaga poświadczeń (nazwy użytkownika i hasła) konta administratora Microsoft Entra i konta administratora przedsiębiorstwa usług AD DS. Microsoft Entra Connect jest uruchamiany natychmiast i na bieżąco w celu synchronizacji lokalnego lasu usług AD DS z usługą Microsoft 365.

Przed wdrożeniem tego rozwiązania w środowisku produkcyjnym można użyć instrukcji w temacie Symulowana konfiguracja podstawowa przedsiębiorstwa , aby skonfigurować tę konfigurację jako dowód koncepcji, pokazów lub eksperymentów.

Ważna

Po zakończeniu konfiguracji programu Microsoft Entra Connect nie są zapisywane poświadczenia konta administratora przedsiębiorstwa usług AD DS.

Uwaga

W tym rozwiązaniu opisano synchronizowanie pojedynczego lasu usług AD DS z platformą Microsoft 365. Topologia omówiona w tym artykule reprezentuje tylko jeden sposób implementacji tego rozwiązania. Topologia organizacji może się różnić w zależności od unikatowych wymagań sieciowych i zagadnień dotyczących zabezpieczeń.

Planowanie hostowania serwera synchronizacji katalogów dla platformy Microsoft 365 na platformie Azure

Wymagania wstępne

Przed rozpoczęciem zapoznaj się z następującymi wymaganiami wstępnymi dotyczącymi tego rozwiązania:

  • Przejrzyj powiązaną zawartość planowania w temacie Planowanie sieci wirtualnej platformy Azure.

  • Upewnij się, że spełniasz wszystkie wymagania wstępne dotyczące konfigurowania sieci wirtualnej platformy Azure.

  • Masz subskrypcję platformy Microsoft 365, która obejmuje funkcję integracji z usługą Active Directory. Aby uzyskać informacje o subskrypcjach platformy Microsoft 365, przejdź do strony subskrypcji platformy Microsoft 365.

  • Aprowizuj jedną maszynę wirtualną platformy Azure z systemem Microsoft Entra Connect, aby zsynchronizować lokalny las usług AD DS z usługą Microsoft 365.

    Musisz mieć poświadczenia (nazwy i hasła) dla konta administratora przedsiębiorstwa usług AD DS i konta administratora Microsoft Entra.

Założenia dotyczące projektowania architektury rozwiązania

Poniższa lista zawiera opis wyborów projektowych dokonanych dla tego rozwiązania.

  • To rozwiązanie używa pojedynczej sieci wirtualnej platformy Azure z połączeniem sieci VPN typu lokacja-lokacja. Sieć wirtualna platformy Azure hostuje pojedynczą podsieć z jednym serwerem, serwerem synchronizacji katalogów z uruchomionym programem Microsoft Entra Connect.

  • W sieci lokalnej istnieje kontroler domeny i serwery DNS.

  • Microsoft Entra Connect wykonuje synchronizację skrótów haseł zamiast logowania jednokrotnego. Nie trzeba wdrażać infrastruktury Active Directory Federation Services (AD FS). Aby dowiedzieć się więcej na temat synchronizacji skrótów haseł i opcji logowania jednokrotnego, zobacz Wybieranie odpowiedniej metody uwierzytelniania dla rozwiązania do obsługi tożsamości hybrydowej Microsoft Entra.

Istnieją inne opcje projektowania, które można wziąć pod uwagę podczas wdrażania tego rozwiązania w środowisku. Są to następujące funkcje:

  • Jeśli istnieją serwery DNS w istniejącej sieci wirtualnej platformy Azure, określ, czy serwer synchronizacji katalogów ma używać ich do rozpoznawania nazw zamiast serwerów DNS w sieci lokalnej.

  • Jeśli w istniejącej sieci wirtualnej platformy Azure istnieją kontrolery domeny, ustal, czy skonfigurowanie lokacji i usług Active Directory może być lepszym rozwiązaniem. Serwer synchronizacji katalogów może wysyłać zapytania do kontrolerów domeny w sieci wirtualnej platformy Azure o zmiany kont i haseł zamiast kontrolerów domeny w sieci lokalnej.

Plan wdrożenia

Wdrażanie Microsoft Entra Connect na maszynie wirtualnej na platformie Azure składa się z trzech faz:

  • Faza 1. Tworzenie i konfigurowanie sieci wirtualnej platformy Azure

  • Faza 2. Tworzenie i konfigurowanie maszyny wirtualnej platformy Azure

  • Faza 3. Instalowanie i konfigurowanie programu Microsoft Entra Connect

Po wdrożeniu należy również przypisać lokalizacje i licencje dla nowych kont użytkowników na platformie Microsoft 365.

Faza 1. Tworzenie i konfigurowanie sieci wirtualnej platformy Azure

Aby utworzyć i skonfigurować sieć wirtualną platformy Azure, ukończ fazę 1: przygotowanie sieci lokalnej i fazę 2. Tworzenie sieci wirtualnej między środowiskami na platformie Azure w harmonogramie wdrażania programu Connect an on-premises network to a Microsoft Azure virtual network (Łączenie sieci lokalnej z siecią wirtualną platformy Microsoft Azure).

Jest to konfiguracja wyniku.

Faza 1 serwera synchronizacji katalogów dla platformy Microsoft 365 hostowanego na platformie Azure.

Na tym rysunku przedstawiono sieć lokalną połączoną z siecią wirtualną platformy Azure za pośrednictwem sieci VPN typu lokacja-lokacja lub połączenia usługi ExpressRoute.

Faza 2. Tworzenie i konfigurowanie maszyny wirtualnej platformy Azure

Utwórz maszynę wirtualną na platformie Azure, korzystając z instrukcji Tworzenie pierwszej maszyny wirtualnej z systemem Windows w Azure Portal. Użyj następujących ustawień:

  1. W okienku Podstawy wybierz tę samą subskrypcję, lokalizację i grupę zasobów co sieć wirtualna. Zarejestruj nazwę użytkownika i hasło w bezpiecznej lokalizacji. Będą one potrzebne później, aby nawiązać połączenie z maszyną wirtualną.

  2. W okienku Wybierz rozmiar wybierz rozmiar A2 Standard .

  3. W okienku Ustawienia w sekcji Magazyn wybierz typ magazynu w warstwie Standardowa . W sekcji Sieć wybierz nazwę sieci wirtualnej i podsieci do hostowania serwera synchronizacji katalogów (a nie podsieci GatewaySubnet). Pozostaw wszystkie inne ustawienia na wartościach domyślnych.

Sprawdź, czy serwer synchronizacji katalogów prawidłowo używa systemu DNS, sprawdzając wewnętrzny system DNS, aby upewnić się, że do maszyny wirtualnej został dodany rekord adresu (A) z jej adresem IP.

Skorzystaj z instrukcji w temacie Połącz z maszyną wirtualną i zaloguj się, aby nawiązać połączenie z serwerem synchronizacji katalogów przy użyciu połączenia pulpitu zdalnego. Po zalogowaniu dołącz maszynę wirtualną do lokalnej domeny usług AD DS.

Aby Microsoft Entra Connect w celu uzyskania dostępu do zasobów internetowych, należy skonfigurować serwer synchronizacji katalogów do korzystania z serwera proxy sieci lokalnej. W celu wykonania dodatkowych czynności konfiguracyjnych należy skontaktować się z administratorem sieci.

Jest to konfiguracja wyniku.

Faza 2 serwera synchronizacji katalogów dla platformy Microsoft 365 hostowanego na platformie Azure.

Na tym rysunku przedstawiono maszynę wirtualną serwera synchronizacji katalogów w sieci wirtualnej platformy Azure między środowiskami lokalnymi.

Faza 3. Instalowanie i konfigurowanie programu Microsoft Entra Connect

Wykonaj następującą procedurę:

  1. Połącz się z serwerem synchronizacji katalogów przy użyciu połączenia pulpitu zdalnego z kontem domeny usług AD DS, które ma uprawnienia administratora lokalnego. Zobacz Nawiązywanie połączenia z maszyną wirtualną i logowanie.

  2. Na serwerze synchronizacji katalogów otwórz artykuł Konfigurowanie synchronizacji katalogów dla platformy Microsoft 365 i postępuj zgodnie z instrukcjami synchronizacji katalogów z synchronizacją skrótów haseł.

Uwaga

Instalator tworzy konto AAD_xxxxxxxxxxxx w jednostce organizacyjnej użytkownicy lokalni . Nie należy przenosić ani usuwać tego konta, a synchronizacja zakończy się niepowodzeniem.

Jest to konfiguracja wyniku.

Faza 3 serwera synchronizacji katalogów dla platformy Microsoft 365 hostowanego na platformie Azure.

Na tym rysunku przedstawiono serwer synchronizacji katalogów z programem Microsoft Entra Connect w sieci wirtualnej platformy Azure między środowiskami lokalnymi.

Przypisywanie lokalizacji i licencji użytkownikom na platformie Microsoft 365

Microsoft Entra Connect dodaje konta do subskrypcji platformy Microsoft 365 z lokalnych usług AD DS, ale aby użytkownicy mogli logować się do platformy Microsoft 365 i korzystać z jej usług, konta muszą być skonfigurowane przy użyciu lokalizacji i licencji. Wykonaj następujące kroki, aby dodać lokalizację i aktywować licencje dla odpowiednich kont użytkowników:

  1. Zaloguj się do Centrum administracyjne platformy Microsoft 365, a następnie kliknij pozycję Administracja.

  2. W obszarze nawigacji po lewej stronie kliknij pozycję Użytkownicy>aktywni użytkownicy.

  3. Na liście kont użytkowników zaznacz pole wyboru obok użytkownika, który chcesz aktywować.

  4. Na stronie użytkownika kliknij pozycję Edytujdla pozycji Licencje produktów.

  5. Na stronie Licencje produktów wybierz lokalizację dla użytkownika dla pozycji Lokalizacja, a następnie włącz odpowiednie licencje dla użytkownika.

  6. Po zakończeniu kliknij przycisk Zapisz, a następnie kliknij dwukrotnie przycisk Zamknij .

  7. Wstecz do kroku 3 dla dodatkowych użytkowników.

Zobacz też

Centrum rozwiązań i architektury platformy Microsoft 365

Łączenie sieci lokalnej z siecią wirtualną platformy Microsoft Azure

Pobierz Microsoft Entra Connect

Konfigurowanie synchronizacji katalogów dla platformy Microsoft 365