Интеграция локальных каталогов с Azure Active DirectoryIntegrate your on-premises directories with Azure Active Directory

Azure AD Connect интегрирует локальные каталоги с Azure Active Directory.Azure AD Connect will integrate your on-premises directories with Azure Active Directory. Таким образом вы сможете предоставить пользователям возможность получать доступ с использованием одного удостоверения для приложений Office 365, Azure и программного обеспечения как услуги (SaaS), интегрированных с Azure AD.This allows you to provide a common identity for your users for Office 365, Azure, and SaaS applications integrated with Azure AD. В этом разделе описаны шаги планирования, развертывания и использования.This topic will guide you through the planning, deployment, and operation steps. Здесь представлена коллекция ссылок на статьи, относящиеся к этой области.It is a collection of links to the topics related to this area.

Что такое Azure AD Connect?

Почему Azure AD Connect?Why use Azure AD Connect

Интеграция локальных каталогов с Azure AD помогает повысить продуктивность пользователей, так как используется единая идентификация для доступа к облачным и локальным ресурсам.Integrating your on-premises directories with Azure AD makes your users more productive by providing a common identity for accessing both cloud and on-premises resources. Пользователи и организации получат следующие преимущества:Users and organizations can take advantage of the following:

  • Пользователи могут использовать единое удостоверение для доступа к локальным приложениям и облачным службам, например Office 365.Users can use a single identity to access on-premises applications and cloud services such as Office 365.
  • Единое средство, обеспечивающее удобное развертывание для синхронизации и входа в систему.Single tool to provide an easy deployment experience for synchronization and sign-in.
  • Предоставляет новые возможности для ваших сценариев.Provides the newest capabilities for your scenarios. Azure AD Connect заменяет старые версии средств интеграции удостоверений, такие как DirSync и Azure AD Sync. Дополнительные сведения см. в статье Сравнение инструментов интеграции каталогов гибридной идентификации.Azure AD Connect replaces older versions of identity integration tools such as DirSync and Azure AD Sync. For more information, see Hybrid Identity directory integration tools comparison.

Принципы работы Azure AD ConnectHow Azure AD Connect works

Azure Active Directory Connect состоит из трех основных компонентов: службы синхронизации, необязательного компонента служб федерации Active Directory и компонента для мониторинга, который называется Azure AD Connect Health.Azure Active Directory Connect is made up of three primary components: the synchronization services, the optional Active Directory Federation Services component, and the monitoring component named Azure AD Connect Health.

Стек Azure AD Connect
Azure AD Connect Stack

  • Синхронизация. Cлужбы синхронизации отвечают за создание пользователей, групп и других объектов.Synchronization - This component is responsible for creating users, groups, and other objects. Они также отвечают за согласованность сведений о пользователях и группах в локальной среде и в облаке.It is also responsible for making sure identity information for your on-premises users and groups is matching the cloud.
  • AD FS. Это необязательная часть Azure AD Connect, которую можно использовать для настройки гибридной среды с помощью локальной инфраструктуры AD FS.AD FS - Federation is an optional part of Azure AD Connect and can be used to configure a hybrid environment using an on-premises AD FS infrastructure. Ее можно применять при сложном развертывании, например если нужно обеспечить единый вход с присоединением к домену, принудительное применение политик входа AD и использование смарт-карты или сторонней MFA.This can be used by organizations to address complex deployments, such as domain join SSO, enforcement of AD sign-in policy, and smart card or 3rd party MFA.
  • Мониторинг работоспособности — компонент Azure AD Connect Health реализует надежный мониторинг и предоставляет центральное расположение на портале Azure для просмотра связанных действий.Health Monitoring - Azure AD Connect Health can provide robust monitoring and provide a central location in the Azure portal to view this activity. Дополнительные сведения см. в статье Мониторинг локальной инфраструктуры идентификации и служб синхронизации в облаке.For additional information, see Azure Active Directory Connect Health.

Установка Azure AD ConnectInstall Azure AD Connect

Вы можете загрузить Azure AD Connect из Центра загрузки Майкрософт.You can find the download for Azure AD Connect on Microsoft Download Center.

РешениеSolution СценарийScenario
Перед началом работы: оборудование и предварительные требованияBefore you start - Hardware and prerequisites
  • Шаги, которые нужно выполнить до установки Azure AD Connect.Steps to complete before you start to install Azure AD Connect.
  • Стандартные параметрыExpress settings
  • Рекомендуемый вариант при наличии AD с одним лесом.If you have a single forest AD then this is the recommended option to use.
  • Пользователи входят в систему с одним и тем же паролем, используя синхронизацию паролей.User sign in with the same password using password synchronization.
  • Настраиваемые параметрыCustomized settings
  • Используется при наличии нескольких лесов.Used when you have multiple forests. Поддерживает многие локальные топологии.Supports many on-premises topologies.
  • Настройка режима входа, например AD FS для федерации или использования стороннего поставщика удостоверений.Customize your sign-in option, such as ADFS for federation or use a 3rd party identity provider.
  • Настройка функций синхронизации, таких как фильтрация и обратная запись.Customize synchronization features, such as filtering and writeback.
  • Обновление из DirSyncUpgrade from DirSync
  • Используется при наличии уже работающего сервера DirSync.Used when you have an existing DirSync server already running.
  • Переход с Azure AD Sync на Azure AD ConnectUpgrade from Azure AD Sync or Azure AD Connect
  • Есть несколько разных способов на выбор.There are several different methods depending on your preference.
  • После установки следует проверить правильность работы системы и назначить пользователям лицензии.After installation you should verify it is working as expected and assign licenses to the users.

    Следующие шаги по установке Azure AD ConnectNext steps to Install Azure AD Connect

    РазделTopic СсылкаLink
    Загрузка Azure AD ConnectDownload Azure AD Connect Загрузка Azure AD ConnectDownload Azure AD Connect
    Установка с помощью стандартных параметровInstall using Express settings Экспресс-установка Azure AD ConnectExpress installation of Azure AD Connect
    Установка с помощью настроенных параметровInstall using Customized settings Выборочная установка Azure AD ConnectCustom installation of Azure AD Connect
    Обновление из DirSyncUpgrade from DirSync Azure AD Connect: обновление DirSyncUpgrade from Azure AD sync tool (DirSync)
    После установкиAfter installation Проверка установки и назначение лицензий Verify the installation and assign licenses

    Дополнительные сведения об установке Azure AD ConnectLearn more about Install Azure AD Connect

    Также требуется подготовиться к рабочим вопросам.You also want to prepare for operational concerns. Может потребоваться наличие резервного сервера, на который можно будет легко перейти в случае аварии.You might want to have a stand-by server so you easily can fall over if there is a disaster. Если планируется часто изменять конфигурацию, следует предусмотреть сервер для промежуточного режима .If you plan to make frequent configuration changes, you should plan for a staging mode server.

    РазделTopic СсылкаLink
    Поддерживаемые топологииSupported topologies Топологии Azure AD Connect.Topologies for Azure AD Connect
    Принципы проектированияDesign concepts Принципы проектирования Azure AD ConnectAzure AD Connect design concepts
    Учетные записи, используемые для установкиAccounts used for installation Azure AD Connect: учетные записи и разрешенияMore about Azure AD Connect credentials and permissions
    Операционное планированиеOperational planning Службы синхронизации Azure AD Connect: рабочие задачи и рекомендацииAzure AD Connect sync: Operational tasks and considerations
    Параметры входа пользователяUser sign-in options Параметры входа в Azure AD ConnectAzure AD Connect User sign-in options

    Настройка функций синхронизацииConfigure sync features

    Azure AD Connect поставляется с несколькими функциями, которые можно при необходимости включить или они включены по умолчанию.Azure AD Connect comes with several features you can optionally turn on or are enabled by default. В некоторых сценариях и топологиях может потребоваться дополнительная конфигурация некоторых функций.Some features might sometimes require more configuration in certain scenarios and topologies.

    Фильтрация используется, если требуется ограничить количество объектов, синхронизируемых с Azure AD.Filtering is used when you want to limit which objects are synchronized to Azure AD. По умолчанию все пользователи, контакты, группы и компьютеры с ОС Windows 10 синхронизируются.By default all users, contacts, groups, and Windows 10 computers are synchronized. Фильтрацию можно изменить в зависимости от доменов, подразделений и атрибутов.You can change the filtering based on domains, OUs, or attributes.

    синхронизации паролей хэш пароля синхронизируется в Active Directory и Azure AD.Password synchronization synchronizes the password hash in Active Directory to Azure AD. Пользователи могут использовать один и тот же пароль локально и в облаке, но управление им осуществляется только из одного расположения.The end-user can use the same password on-premises and in the cloud but only manage it in one location. Так как при синхронизации паролей в качестве главного источника используется локальная служба Active Directory, вы также можете применить собственную политику паролей.Since it uses your on-premises Active Directory as the authority, you can also use your own password policy.

    Компонент обратной записи паролей позволит вашим пользователям изменять и сбрасывать пароли в облаке, а также применять вашу локальную политику паролей.Password writeback will allow your users to change and reset their passwords in the cloud and have your on-premises password policy applied.

    Обратная запись устройств позволит записать устройство, зарегистрированное в Azure AD, в локальную службу Active Directory, чтобы его можно было использовать для условного доступа.Device writeback will allow a device registered in Azure AD to be written back to on-premises Active Directory so it can be used for conditional access.

    Функция предотвращения случайного удаления включена по умолчанию и защищает облачный каталог от множества одновременных удалений.The prevent accidental deletes feature is turned on by default and protects your cloud directory from numerous deletes at the same time. По умолчанию она позволяет сделать 500 удалений за сеанс.By default it allows 500 deletes per run. Этот параметр можно изменить в зависимости от размера вашей организации.You can change this setting depending on your organization size.

    Автоматическое обновление , которое включено по умолчанию для установок со стандартными параметрами, гарантирует использование последней версии Azure AD Connect.Automatic upgrade is enabled by default for express settings installations and ensures your Azure AD Connect is always up to date with the latest release.

    Дальнейшие действия по настройке функций синхронизацииNext steps to configure sync features

    РазделTopic СсылкаLink
    Настройка фильтрацииConfigure filtering Синхронизация Azure AD Connect: настройка фильтрацииAzure AD Connect sync: Configure filtering
    синхронизации паролейPassword synchronization Службы синхронизации Azure AD Connect: реализация синхронизации паролейAzure AD Connect sync: Implement password synchronization
    Компонент обратной записи паролейPassword writeback Приступая к работе с компонентами управления паролямиGetting started with password management
    Обратная запись устройствDevice writeback Включение обратной записи устройств в службе Azure AD ConnectEnabling device writeback in Azure AD Connect
    предотвращения случайного удаленияPrevent accidental deletes Синхронизация Azure AD Connect: предотвращение случайного удаленияAzure AD Connect sync: Prevent accidental deletes
    Автоматическое обновлениеAutomatic upgrade Azure AD Connect: автоматическое обновлениеAzure AD Connect: Automatic upgrade

    Настройка синхронизации Azure AD ConnectCustomize Azure AD Connect sync

    Синхронизация Azure AD Connect поставляется с конфигурацией по умолчанию, ориентированной на работу с большинством заказчиков и топологий.Azure AD Connect sync comes with a default configuration that is intended to work for most customers and topologies. Тем не менее, возникают ситуации, когда конфигурация по умолчанию не будет работать и ее необходимо скорректировать.But there are always situations where the default configuration does not work and must be adjusted. Поддерживается внесение изменений, документированных в этом разделе и связанных статьях.It is supported to make changes as documented in this section and linked topics.

    Если вы не работали ранее с топологией синхронизации, вам необходимо ознакомиться с основными сведениями и используемыми терминами, описанными в технических концепциях.If you have not worked with a synchronization topology before you want to start to understand the basics and the terms used as described in the technical concepts. Azure AD Connect является следующим этапом развития MIIS2003, ILM2007 и FIM2010.Azure AD Connect is the evolution of MIIS2003, ILM2007, and FIM2010. Даже если некоторые элементы идентичны, многое также изменилось.Even if some things are identical, a lot has changed as well.

    Конфигурация, используемая по умолчанию , может включать несколько лесов.The default configuration assumes there might be more than one forest in the configuration. В таких топологиях объект пользователя может быть представлен как контакт в другом лесу.In those topologies a user object might be represented as a contact in another forest. У пользователя также может быть связанный почтовый ящик в другом лесу ресурсов.The user might also have a linked mailbox in another resource forest. Поведение конфигурации по умолчанию описано в разделе пользователей и контактов.The behavior of the default configuration is described in users and contacts.

    Модель конфигурации в синхронизации называется декларативной подготовкой.The configuration model in sync is called declarative provisioning. Потоки дополнительных атрибутов используют функции для выражения преобразований атрибутов.The advanced attribute flows are using functions to express attribute transformations. Всю конфигурацию можно просмотреть и изучить с помощью средств, поставляемых вместе с Azure AD Connect.You can see and examine the entire configuration using tools which comes with Azure AD Connect. Если в конфигурацию необходимо внести изменения, убедитесь, что вы придерживаетесь рекомендаций , упрощающих переход на новые выпуски.If you need to make configuration changes, make sure you follow the best practices so it is easier to adopt new releases.

    Следующие действия по настройке синхронизации Azure AD ConnectNext steps to customize Azure AD Connect sync

    РазделTopic СсылкаLink
    Все статьи о синхронизации Azure AD ConnectAll Azure AD Connect sync articles Службы синхронизации Azure AD ConnectAzure AD Connect sync
    технических концепцияхTechnical concepts Синхронизация Azure AD Connect: технические концепцииAzure AD Connect sync: Technical Concepts
    Общие сведения о конфигурации по умолчаниюUnderstanding the default configuration Службы синхронизации Azure AD Connect: общие сведения о конфигурации по умолчаниюAzure AD Connect sync: Understanding the default configuration
    Общее представление о пользователях и контактахUnderstanding users and contacts Синхронизация Azure AD Connect: общее представление о пользователях и контактахAzure AD Connect sync: Understanding Users and Contacts
    декларативной подготовкойDeclarative provisioning Azure AD Connect Sync: общие сведения о выражениях декларативной подготовкиAzure AD Connect Sync: Understanding Declarative Provisioning Expressions
    Изменение конфигурации по умолчаниюChange the default configuration Рекомендации по изменению конфигурации по умолчаниюBest practices for changing the default configuration

    Настройка функций федерацииConfigure federation features

    Служба Azure AD Connect предоставляет несколько функций, которые упрощают федерацию с Azure AD с помощью AD FS и управление доверием федерации.Azure AD Connect provides several features that simplify federating with Azure AD using AD FS and managing your federation trust. Она поддерживает AD FS в Windows Server 2012 R2 или более поздней версии.Azure AD Connect supports AD FS on Windows Server 2012R2 or later.

    Обновите SSL-сертификат фермы AD FS, даже если вы не используете Azure AD Connect для управления доверием федерации.Update SSL certificate of AD FS farm even if you are not using Azure AD Connect to manage your federation trust.

    Добавьте сервер AD FS в ферму, чтобы расширить ее в соответствии с потребностями.Add an AD FS server to your farm to expand the farm as required.

    Восстановите отношение доверия с Azure AD несколькими щелчками мыши.Repair the trust with Azure AD in a few simple clicks.

    В AD FS можно настроить поддержку нескольких доменов.ADFS can be configured to support multiple domains. Например, у вас может быть несколько доменов верхнего уровня, которые необходимо использовать для федерации.For example you might have multiple top domains you need to use for federation.

    Если на сервере AD FS не настроено автоматическое обновление сертификатов из Azure AD или используется решение, отличное от AD FS, при необходимости обновления сертификатовпоявится соответствующее уведомление.if your ADFS server has not been configured to automatically update certificates from Azure AD or if you use a non-ADFS solution, then you will be notified when you have to update certificates.

    Дальнейшие действия по настройке функций федерацииNext steps to configure federation features

    РазделTopic СсылкаLink
    Все статьи, посвященные AD FSAll AD FS articles Azure AD Connect и федерацияAzure AD Connect and federation
    Настройка служб AD FS с поддоменамиConfigure ADFS with subdomains Поддержка нескольких доменов для федерации с Azure ADMultiple Domain Support for Federating with Azure AD
    Управление фермой AD FSManage AD FS farm AD FS management and customizaton with Azure AD ConnectAD FS management and customizaton with Azure AD Connect
    Обновление сертификатов федерации вручнуюManually updating federation certificates Обновление сертификатов федерации для Office 365 и Azure ADRenewing Federation Certificates for Office 365 and Azure AD

    Дополнительные сведения и ссылкиMore information and references

    РазделTopic СсылкаLink
    Журнал версийVersion history Журнал версийVersion history
    Сравнение DirSync, Azure ADSync и Azure AD ConnectCompare DirSync, Azure ADSync, and Azure AD Connect Сравнение инструментов интеграции каталоговDirectory integration tools comparison
    Список совместимости решений, отличных от AD FS, для Azure ADNon-ADFS compatibility list for Azure AD Список совместимости с федерацией Azure ADAzure AD federation compatibility list
    Настройка IdP SAML 2.0Configuring a SAML 2.0 Idp Использование поставщика удостоверений (IdP) SAML 2.0 для единого входаUsing a SAML 2.0 Identity Provider (IdP) for Single Sign On
    Синхронизированные атрибутыAttributes synchronized Синхронизированные атрибутыAttributes synchronized
    Мониторинг с помощью Azure AD Connect HealthMonitoring using Azure AD Connect Health Azure AD Connect HealthAzure AD Connect Health
    Часто задаваемые вопросыFrequently Asked Questions Azure AD Connect: вопросы и ответыAzure AD Connect FAQ

    Дополнительные ресурсыAdditional Resources

    Презентация по интеграции локальных и облачных каталогов с конференции Ignite 2015.Ignite 2015 presentation on extending your on-premises directories to the cloud.