Выборочная установка Azure Active Directory Connect

Если вам потребовался какой-то особый вариант установки Azure Active Directory (Azure AD) Connect, задайте параметры выборочной установки. Их можно использовать, например, если у вас несколько лесов, если требуется настроить дополнительные функции, а также во всех случаях, когда экспресс-установка не удовлетворяет вашим требованиям к развертыванию или топологии.

Предварительные требования.

Параметры выборочной установки

Чтобы настроить выборочную установку Azure AD Connect, последовательно переходите по страницам мастера, описанным в следующих разделах.

Стандартные параметры

На странице Стандартные параметры выберите Настройка, чтобы перейти к выборочной установке. В оставшейся части этой статьи описывается процесс выборочной установки. Используйте следующие ссылки для быстрого перехода к сведениям о конкретной странице:

Установка необходимых компонентов

При установке служб синхронизации можно не выбирать раздел с необязательными параметрами. Тогда Azure AD Connect настроит все автоматически, а именно настроит экземпляр SQL Server 2019 Express LocalDB, создаст соответствующие группы и назначит им разрешения. Если вы хотите изменить значения по умолчанию, снимите соответствующие флажки. В следующей таблице представлены необязательные параметры установки и даны ссылки на дополнительные сведения.

Снимок экрана с необязательными параметрами установки необходимых компонентов Azure AD Connect.

Дополнительные настройки Описание
Укажите пользовательское расположение установки Позволяет изменить заданный по умолчанию путь установки для Azure AD Connect.
Использование существующего SQL Server Позволяет указать имя сервера и экземпляра SQL Server. Выберите этот параметр, если у вас уже есть сервер базы данных, который вы хотите использовать. В поле Имя экземпляра введите имя экземпляра, а за ним через запятую номер порта, если для этого экземпляра SQL Server не включен режим просмотра. Затем укажите имя базы данных Azure AD Connect. От ваших разрешений SQL зависит, можно ли будет при этом создать базу данных или же администратор SQL должен будет создать ее заранее. Если у вас есть разрешения администратора SQL Server (SA), см. статью "Установка Azure AD Connect с помощью имеющейся базы данных ADSync". Если у вас делегированные разрешения (DBO), см. статью "Установка Azure AD Connect с использованием делегированных разрешений администратора SQL".
Использование существующей учетной записи службы По умолчанию Azure AD Connect предоставляет учетную запись виртуальной службы для служб синхронизации. Если работать предстоит с удаленным экземпляром SQL Server или с прокси-сервером, требующим проверки подлинности, вы можете использовать управляемую учетную запись службы или защищенную паролем учетную запись службы в том же домене. В этих случаях выберите учетную запись, которую требуется использовать. Для запуска установки необходимы разрешения SA в SQL, чтобы можно было создать учетные данные для входа в учетную запись службы. Дополнительные сведения см. в разделе Учетная запись службы синхронизации Azure AD Connect.

Если используется последняя сборка, то администратор SQL может подготовить базу данных к работе с помощью аппаратного контроллера управления, а администратор Azure AD Connect может затем установить ее с правами владельца базы данных. Дополнительные сведения см. в статье Установка Azure AD Connect с использованием делегированных разрешений администратора SQL.
Указание пользовательских групп синхронизации По умолчанию при установке служб синхронизации Azure AD Connect создает на сервере четыре локальные группы: "Администраторы", "Операторы", "Просмотр" и "Сброс пароля". Здесь также можно указать собственные группы. Группы должны быть локальными для этого сервера и не могут располагаться в домене.
Импорт параметров синхронизации (предварительная версия) Позволяет импортировать параметры из других версий Azure AD Connect. Дополнительные сведения см. в статье "Импорт и экспорт параметров конфигурации Azure AD Connect".

Вход пользователя

После установки необходимых компонентов выберите метод единого входа для пользователей. В следующей таблице дано краткое описание доступных параметров. Полное описание способов входа см. в статье Параметры входа в Azure AD Connect.

Снимок экрана со страницей "Вход пользователей". Выбран параметр "Синхронизация хэша паролей".

Метод единого входа Описание
Синхронизация хэша паролей Пользователи могут входить в облачные службы Майкрософт, например в Microsoft 365, используя тот же пароль, что и в локальной сети. Пароли пользователей синхронизируются с Azure AD в виде хэша. Проверка подлинности выполняется в облаке. Дополнительные сведения см. в статье "Реализация синхронизации хэшированных паролей в службе синхронизации Azure AD Connect".
Сквозная аутентификация Пользователи могут входить в облачные службы Майкрософт, например в Microsoft 365, используя тот же пароль, что и в локальной сети. Пароли пользователей передаются для проверки на локальный контроллер домена Active Directory.
Федерация с AD FS Пользователи могут входить в облачные службы Майкрософт, например в Microsoft 365, используя тот же пароль, что и в локальной сети. Для входа пользователи перенаправляются на локальный экземпляр служб федерации Azure Active Directory (AD FS). Проверка подлинности выполняется локально.
Федерация с PingFederate Пользователи могут входить в облачные службы Майкрософт, например в Microsoft 365, используя тот же пароль, что и в локальной сети. Для входа пользователи перенаправляются в свой локальный экземпляр PingFederate. Проверка подлинности выполняется локально.
Не настраивать Ни один компонент для входа пользователей не устанавливается и не настраивается. Выберите этот параметр, если у вас уже есть сервер федерации стороннего производителя или другое решение.
Доступ с единым входом Этот параметр доступен при использовании как синхронизации хэша паролей, так и сквозной проверки подлинности. Он обеспечивает единый вход для пользователей настольных компьютеров в корпоративных сетях. См. сведения о едином входе.

Примечание. Этот параметр недоступен для клиентов AD FS. AD FS уже обеспечивает единый вход на том же уровне.

Подключение к Azure AD

На странице Подключение к Azure AD введите учетную запись и пароль глобального администратора. Если на предыдущей странице вы выбрали параметр Федерация с AD FS, не используйте для входа учетную запись домена, который планируется включить в федерацию.

Возможно, вам будет целесообразно использовать учетную запись в домене по умолчанию (onmicrosoft.com), которая предоставляется вместе с клиентом Azure AD. Она предназначена только для создания учетной записи службы в Azure AD и не используется после завершения установки.

Снимок экрана со страницей "Подключение к Azure AD".

Если в вашей учетной записи глобального администратора включена многофакторная проверка подлинности, необходимо будет снова ввести пароль в окне входа и выполнить запрос многофакторной проверки подлинности, введя код проверки или совершив телефонный звонок.

Снимок экрана со страницей "Подключение к Azure AD". Выполняется многофакторная проверка подлинности, в ходе которой у пользователя запрашивается код.

Для учетной записи глобального администратора также может быть включено управление привилегированными пользователями.

Если вы получили сообщение об ошибке или испытываете проблемы с подключением, см. статью "Устранение неполадок подключения к Azure Active Directory".

Страницы синхронизации

В следующих разделах описываются страницы раздела Синхронизация.

Подключение к каталогам

Чтобы подключиться к доменным службам Active Directory (Azure AD DS), Azure AD Connect потребуются имя леса и учетные данные, принадлежащие учетной записи с достаточными разрешениями.

Снимок экрана со страницей "Подключить каталоги".

После ввода имени леса и нажатия кнопки Добавить каталог появится окно. Варианты выбора в этом окне описаны в следующей таблице.

Параметр Описание
Создать учетную запись Создание учетной записи Azure AD DS, которая требуется Azure AD Connect для подключения к лесу Active Directory в ходе синхронизации службы каталогов. Выбрав этот вариант, введите имя пользователя и пароль учетной записи администратора предприятия. Используя эту учетную запись, Azure AD Connect создаст необходимую учетную записи Azure AD DS. Доменную часть можно ввести в формате NetBIOS или полного доменного имени, т. е. FABRIKAM\administrator или fabrikam.com\administrator.
Использовать существующую учетную запись Указание существующей учетной записи Azure AD DS, посредством которой Azure AD Connect сможет подключиться к лесу Active Directory в ходе синхронизации службы каталогов. Доменную часть можно ввести в формате NetBIOS или полного доменного имени, т. е. FABRIKAM\syncuser или fabrikam.com\syncuser. Эта учетная запись может принадлежать обычному пользователю, так как стандартных разрешений для чтения вполне достаточно. Для некоторых сценариев могут, однако, потребоваться дополнительные разрешения. Дополнительные сведения см. в разделе Учетная запись службы синхронизации Azure AD Connect.

Снимок экрана со страницей "Подключение каталога" и окном учетной записи леса AD, в котором можно выбрать вариант с созданием новой учетной записи или использованием существующей.

Примечание

Начиная со сборки 1.4.18.0, учетная запись администратора предприятия или администратора домена не может использоваться в качестве учетной записи соединителя Azure AD DS. Если выбран вариант Использовать существующую учетную запись, при попытке ввести учетную запись администратора предприятия или учетную запись администратора домена появляется следующее сообщение об ошибке: "Использование учетной записи администратора предприятия или домена для учетной записи леса AD не допускается. Создайте учетную запись с помощью Azure AD Connect или укажите учетную запись синхронизации с соответствующими разрешениями".

Конфигурация входа в Azure AD

На странице Настройка входа в Azure AD проверьте домены имени участника-пользователя (UPN) в локальном Azure AD DS. Эти домены UPN были проверены в Azure AD. На этой странице настраивается атрибут, который будет использоваться в качестве параметра userPrincipalName.

Снимок экрана с непроверенными доменами на странице "Настройка входа в Azure AD".

Проверьте каждый домен, напротив которого стоит отметка Не добавлено или Не проверено. Убедитесь, что используемые вами домены прошли проверку в Azure AD. Проверив домены, щелкните значок обновления со стрелками по кругу. Дополнительные сведения см. в статье "Добавление имени личного домена с помощью портала Azure Active Directory".

Пользователи используют атрибут userPrincipalName при входе в Azure AD и Microsoft 365. Прежде чем синхронизировать пользователей, служба Azure AD должна проверить домены, называемые также суффиксом UPN. Майкрософт рекомендует оставить атрибут userPrincipalName, заданный по умолчанию.

Если атрибут userPrincipalName не поддерживает маршрутизацию и не может быть проверен, можно выбрать другой атрибут. Например, в качестве атрибута, содержащего идентификатор для входа, можно выбрать адрес электронной почты. Если используется атрибут, отличный от userPrincipalName, то он называется альтернативным идентификатором.

Значение альтернативного идентификатора должно соответствовать стандарту RFC 822. Альтернативный идентификатор может использоваться для синхронизации хэша паролей, сквозной проверки подлинности и федерации. В Active Directory атрибут нельзя определить как многозначный, даже если он содержит только одно значение. Дополнительные сведения об альтернативных идентификаторах см. в статье "Сквозная проверка подлинности Azure Active Directory: ответы на часто задаваемые вопросы".

Примечание

Если выбрана сквозная проверка подлинности, для продолжения выборочной установки необходимо будет иметь по крайней мере один проверенный домен.

Предупреждение

Альтернативный идентификаторы совместимы не со всеми рабочими нагрузками Microsoft 365. Дополнительные сведения см. в статье "Настройка альтернативного идентификатора для входа".

Фильтрация домена и подразделения

По умолчанию синхронизируются все домены и подразделения (OU). Если вы не хотите синхронизировать некоторые домены или подразделения с Azure AD, можно снять соответствующие флажки.

Снимок экрана со страницей "Фильтрация доменов и подразделений".

На этой странице настраивается фильтрация по доменам и подразделениям. Если вы собираетесь внести какие-то изменения, сначала ознакомьтесь с разделами о фильтрации по доменам и фильтрации по подразделениям статьи "Синхронизация Azure AD Connect: настройка фильтрации". Некоторые подразделения обязательны для работы тех или иных функций, поэтому их следует оставить выбранными.

В Azure AD Connect 1.1.524.0 и более ранних версий при использовании фильтрации по подразделениям новые подразделения синхронизируются по умолчанию. Если вы не хотите синхронизировать новые подразделения, то сможете изменить поведение по умолчанию после настройки фильтрации по подразделениям. В Azure AD Connect 1.1.524.0 и более поздних версий можно указать, следует ли синхронизировать новые подразделения.

Если вы собираетесь использовать фильтрацию по группам, проследите за тем, чтобы подразделение, содержащее группу, было включено и не отфильтровывалось по подразделениям. Фильтрация по подразделениям выполняется до фильтрации по группам.

Некоторые домены могут также быть недоступны из-за ограничений на брандмауэре. Такие домены исключены по умолчанию, и для них отображается предупреждение.

Снимок экрана с недоступными доменами.

Если вы видите такое предупреждение, убедитесь, что эти домены действительно недоступны и это предупреждение не является ошибкой.

Уникальная идентификация пользователей

На странице Идентификация пользователей выберите, как следует идентифицировать пользователей в локальных каталогах и по атрибуту sourceAnchor.

Выбор способа идентификации пользователей в локальных каталогах

Функция Сопоставление между лесами позволяет указать, как пользователи из лесов Azure AD DS будут представляться в Azure AD. Пользователь может иметь как одно представление на всем множестве лесов, так и комбинацию включенных и отключенных учетных записей. В некоторых лесах пользователь также может быть представлен как контакт.

Снимок экрана со страницей, на которой можно однозначно идентифицировать пользователей.

Параметр Описание
Пользователи представлены только один раз во всех каталогах В Azure AD все пользователи создаются как отдельные объекты. Объекты не соединены в метавселенной.
Атрибут почты Этот параметр соединяет пользователей и контакты, если атрибут почты имеет то же значение в разных лесах. Используйте этот параметр, если ваши контакты создавались с помощью GALSync. В этом случае объекты-пользователи с незаполненным атрибутом почты не синхронизируются с Azure AD.
Атрибуты ObjectSID и msExchangeMasterAccountSID Этот параметр соединяет включенного пользователя в лесу учетной записи с отключенным пользователем в лесу ресурсов. В Exchange такая конфигурация называется связанным почтовым ящиком. Этот параметр можно использовать, если вы используете только Lync и если Exchange нет в лесу ресурсов.
Атрибутов SAMAccountName и MailNickName Это параметр предписывает соединять атрибуты, в которых, как ожидается, будет указан идентификатор пользователя для входа.
Выбрать атрибут Этот параметр позволяет выбрать собственный атрибут. В этом случае объекты-пользователи с выбранным, но не заполненным атрибутом не синхронизируются с Azure AD. Ограничение: для использования с этим параметром доступны только те атрибуты, которые уже есть в метавселенной.

Выбор способа идентификации пользователей по привязке к источнику

Атрибут sourceAnchor остается неизменным в течение всего времени существования объекта-пользователя. Это первичный ключ, который связывает локального пользователя с пользователем в Azure AD.

Параметр Описание
Позволить Azure управлять привязкой к источнику Выберите этот параметр, если вы хотите, чтобы среда Azure AD выбирала этот атрибут автоматически. Если вы выберете этот параметр, то мастер Azure AD Connect применит логику выбора атрибута sourceAnchor, описанную в разделе "Использование msDS-ConsistencyGuid в качестве sourceAnchor" статьи "Azure AD Connect: принципы проектирования". После завершения выборочной установки вы увидите, какой атрибут был выбран в качестве sourceAnchor.
Выбрать атрибут Выберите этот параметр, если хотите в качестве sourceAnchor указать имеющийся атрибут AD.

Так как изменить атрибут sourceAnchor нельзя, необходимо правильно выбрать атрибут для этой цели. Хорошим кандидатом является objectGUID. Этот атрибут не меняется, если только учетная запись пользователя не перемещается между лесами и доменами. Не выбирайте атрибуты, которые могут меняться при вступлении в брак или новом назначении пользователя.

Нельзя использовать атрибуты, включающие символ @, поэтому не годятся такие атрибуты, как адрес электронной почты и userPrincipalName. Этот атрибут также чувствителен к регистру символов, поэтому при перемещении объекта между лесами обязательно сохраняйте верхний и нижний регистры. Двоичные атрибуты представляются в кодировке Base64, а прочие типы атрибутов остаются в исходном виде.

В сценариях федерации и некоторых интерфейсах Azure AD этот атрибут известен также под именем immutableID.

Дополнительные сведения о привязке к источнику см. в разделе "sourceAnchor" статьи "Azure AD Connect: принципы проектирования".

Фильтрация синхронизации на основе групп

Фильтрация по группам позволяет синхронизировать только небольшое подмножество объектов для пилотного развертывания. Чтобы использовать эту функцию, создайте группу в локальном экземпляре службы Active Directory. Затем добавьте пользователей и группы, которые должны синхронизироваться с Azure AD как прямые участники. Впоследствии вы сможете добавлять пользователей в эту группу и удалять их, ведя таким образом список объектов, которые должны присутствовать в Azure AD.

Все объекты, которые вы хотите синхронизировать, должны быть непосредственными членами группы. Это, в частности, относится к пользователям, группам, контактам и компьютерам или устройствам. Разрешение членства во вложенных группах не производится. При добавлении группы в другую группу добавляется только она сама, но не ее члены.

Снимок экрана со страницей, на которой можно выбрать способ фильтрации пользователей и устройств.

Предупреждение

Эта функция предназначена для использования только в пилотном развертывании. Не используйте ее для развертывания в полноценной рабочей среде.

В полноценной рабочей среде трудно будет поддерживать единую группу со всеми объектами, предназначенными для синхронизации. Вместо фильтрации по группам используйте один из методов, описанных в статье "Синхронизация Azure AD Connect: настройка фильтрации".

Дополнительные функции

На следующей странице можно выбрать дополнительные функции и компоненты для своего сценария.

Предупреждение

В Azure AD Connect 1.0.8641.0 и более ранних версий компонент обратной записи паролей реализуется на базе службы контроля доступа Azure. Использование этой службы было прекращено с 7 ноября 2018 г. Если вы используете какую-либо из этих версий Azure AD Connect и включили компонент обратной записи паролей, возможно, пользователи не смогут более изменить или сбросить свои пароли после прекращения использования этой службы. Эти версии Azure AD Connect не поддерживают компонент обратной записи паролей.

Дополнительные сведения см. в статье "Руководство. Перенос из службы контроля доступа Azure".

Если вы хотите использовать компонент обратной записи паролей, скачайте последнюю версию Azure AD Connect.

Снимок экрана со страницей "Дополнительные компоненты".

Предупреждение

Если активны Azure AD Sync или прямая синхронизация (DirSync), не включайте никакие функции обратной записи в Azure AD Connect.

Дополнительные функции Описание
Гибридное развертывание Exchange Функция гибридного развертывания Exchange обеспечивает сосуществование почтовых ящиков Exchange в локальной среде и в службе Microsoft 365. Azure AD Connect синхронизирует определенный набор атрибутов в направлении от Azure AD к вашему локальному каталогу.
Общедоступные папки почты Exchange Функция "Общедоступные папки почты Exchange" позволяет синхронизировать объекты общедоступных папок с поддержкой электронной почты в направлении от вашего локального экземпляра Active Directory к Azure AD.
Фильтрации приложений и атрибутов Azure AD Включив фильтрацию по приложениям и атрибутам Azure AD, можно задать уточненный набор синхронизируемых атрибутов. При установке этого параметра в мастер добавляется две дополнительные страницы конфигурации. Дополнительные сведения см. в разделе Фильтрации приложений и атрибутов Azure AD.
Синхронизация хэша паролей Синхронизацию хэша паролей можно включить, если в качестве метода входа вы выбрали федерацию. Ее можно затем использовать как резервный вариант.

Если вы выбрали сквозную проверку подлинности, то можете включить этот параметр, чтобы обеспечить поддержку старых клиентов, а также в качестве резервного варианта.

Дополнительные сведения см. в статье "Реализация синхронизации хэшированных паролей в службе синхронизации Azure AD Connect".
Компонент обратной записи паролей Используйте этот параметр, чтобы гарантировать обратную запись в локальный каталог измененных паролей, поступающих из Azure AD. Дополнительные сведения см. в статье Приступая к работе с компонентами управления паролями.
Обратная запись групп Если вы используете Группы Microsoft 365, то можете представлять группы в своем локальном экземпляре Active Directory. Этот параметр доступен, только если в локальном экземпляре Active Directory имеется Exchange. Дополнительные сведения см. в статье "Обратная запись групп в Azure AD Connect".
Обратная запись устройств Этот параметр можно использовать для обратной записи объектов-устройств из Azure AD в локальный экземпляр Active Directory в сценариях условного доступа. Дополнительные сведения см. в статье Azure AD Connect: включение обратной записи устройств.
Синхронизация атрибутов расширения каталога Выберите этот параметр, чтобы синхронизировать с Azure AD указанные атрибуты. Дополнительные сведения см. в статье о расширениях каталогов.

Фильтрации приложений и атрибутов Azure AD

Если вы хотите ограничить перечень атрибутов, синхронизируемых с Azure AD, начните с выбора используемых служб. При изменении параметров на этой странице необходимо будет явно выбрать новую службу, заново запустив мастер установки.

Снимок экрана с дополнительными компонентами приложений Azure AD.

С учетом служб, выбранных на предыдущем этапе, на этой странице отображаются все синхронизируемые атрибуты. Этот список объединяет в себе все типы объектов, для которых выполняется синхронизация. Если требуется, чтобы какие-то атрибуты оставались несинхронизированными, можно снять флажки этих атрибутов.

Снимок экрана с выбором дополнительных атрибутов Azure AD.

Предупреждение

Удаление атрибутов может повлиять на функциональность. Рекомендации см. в разделе "Атрибуты для синхронизации" статьи "Службы синхронизации Azure AD Connect: атрибуты, синхронизируемые с Azure Active Directory".

Синхронизация атрибутов расширения каталога

Схему Azure AD можно расширить, используя настраиваемые атрибуты, добавленные в вашей организации, или другие атрибуты из Active Directory. Чтобы использовать эту функцию, на странице Дополнительные компоненты установите флажок Синхронизация атрибутов расширений каталога. Затем на странице Расширения каталогов можно будет выбрать дополнительные атрибуты для синхронизации.

Примечание

Значения в поле Доступные атрибуты следует вводить с учетом регистра.

Снимок экрана со страницей "Расширения каталогов".

Дополнительные сведения см. в статье о расширениях каталогов.

Включение единого входа

На странице Единый вход настройте единый вход для использования с синхронизацией паролей или сквозной проверкой подлинности. Этот шаг выполняется однократно для каждого леса, который синхронизируется с Azure AD. Настройка состоит из двух этапов:

  1. Создание необходимой учетной записи компьютера в локальном экземпляре Active Directory.
  2. Настройка зоны интрасети клиентских компьютеров для поддержки единого входа.

Создание учетной записи компьютера в Active Directory

Для каждого леса, добавленного с помощью Azure AD Connect, необходимо указать учетные данные администратора домена, чтобы в каждом из них была создана учетная запись компьютера. Эти учетные данные используются только для создания учетной записи — они не хранятся и не используются в каких-либо других операциях. Добавьте учетные данные на странице Включить единый вход, как показано на следующем рисунке.

Снимок экрана со страницей "Включить единый вход". Добавляются учетные данные леса.

Примечание

Вы можете пропустить леса, в которых не собираетесь использовать единый вход.

Настройка зоны интрасети для клиентских компьютеров

Чтобы клиент автоматически подключался к зоне интрасети, обеспечьте, чтобы его URL-адрес входил в эту зону. В этом случае присоединенный к домену компьютер будет автоматически отправлять билет Kerberos в Azure AD при подключении к корпоративной сети.

На компьютере с инструментами управления групповыми политиками сделайте следующее:

  1. Откройте средства управления групповыми политиками.

  2. Откройте для изменения групповую политику, которая будет применяться ко всем пользователям — например, политику домена по умолчанию.

  3. Выберите Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Internet Explorer > Панель управления браузером > Вкладка "Безопасность" . Выберите Список назначений зоны для веб-сайтов.

  4. Включите политику. После этого в диалоговом окне введите имя значения https://autologon.microsoftazuread-sso.com и значение 1. Настройки должны выглядеть так, как показано на следующем рисунке.

    Снимок экрана с зонами интрасети.

  5. Нажмите дважды кнопку ОК.

Настройка федерации с AD FS

Чтобы настроить AD FS для работы с Azure AD Connect, потребуется всего несколько щелчков мышью. Прежде всего потребуется следующее:

  • Сервер Windows Server 2012 R2 или более поздней версии в качестве сервера федерации. Удаленное управление должно быть включено.
  • Сервер Windows Server 2012 R2 или более поздней версии в качестве прокси-сервера веб-приложения. Удаленное управление должно быть включено.
  • Сертификат TLS/SSL на имя службы федерации, которое предполагается использовать (например, sts.contoso.com).

Примечание

Обновить TLS/SSL-сертификат своей фермы AD FS можно с помощью службы Azure AD Connect, даже если вы не используете эту службу для управления доверием федерации.

Предварительные требования для настройки AD FS

Чтобы настроить ферму AD FS с помощью Azure AD Connect, обязательно включите WinRM на удаленных серверах. Выполните остальные пункты из списка необходимого для федерации. Проследите также за тем, чтобы соблюсти требования к портам, перечисленным в таблице 3, "Azure AD Connect и серверы федерации AD FS и WAP".

Создание новой фермы AD FS или использование существующей фермы AD FS

Вы можете использовать существующую ферму AD FS или создать другую. Если вы решите создать ферму, необходимо будет предоставить TLS/SSL-сертификат. Если TLS/SSL-сертификат защищен паролем, появится запрос на ввод пароля.

Снимок экрана со страницей "Ферма AD FS"

Если же вы решите использовать существующую ферму AD FS, то сразу окажетесь в диалоговом окне настройки отношений доверия между AD FS и Azure AD.

Примечание

Azure AD Connect можно использовать для управления только одной фермой AD FS. Если у вас уже имеется доверие федерации, в рамках которого служба Azure AD уже настроена на выбранной ферме AD FS, доверие будет воссоздано с нуля с помощью Azure AD Connect.

Указание серверов AD FS

Укажите серверы, на которых требуется установить AD FS. Можно добавить один или несколько серверов в зависимости от запланированной загрузки. Перед настройкой этой конфигурации присоедините все AD FS серверы к Active Directory. Для прокси-серверов веб-приложений этот шаг не обязателен.

Мы рекомендуем установить одиночный сервер AD FS для тестовых и пилотных развертываний. После первоначальной настройки можно будет добавлять и развертывать дополнительные серверы по мере необходимого масштабирования, повторно запуская Azure AD Connect.

Примечание

Перед настройкой этой конфигурации убедитесь, что все серверы присоединены к домену Azure AD.

Снимок экрана со страницей "Серверы федерации".

Указание прокси-серверов веб-приложений

Укажите прокси-серверы веб-приложений. Прокси-сервер веб-приложения развертывается в промежуточной подсети и обращен к экстрасети. Он поддерживает запросы на проверку подлинности из экстрасети. Можно добавить один или несколько серверов в зависимости от запланированной загрузки.

Мы рекомендуем установить одиночный прокси-сервер веб-приложений для тестовых и пилотных развертываний. После первоначальной настройки можно будет добавлять и развертывать дополнительные серверы по мере необходимого масштабирования, повторно запуская Azure AD Connect. Для проверки подлинности из интрасети рекомендуется предусмотреть адекватное число прокси-серверов.

Примечание

  • Если используемая учетная запись не имеет прав локального администратора на прокси-серверах веб-приложений, появится запрос на ввод учетных данных администратора.
  • Прежде чем указывать прокси-серверы веб-приложений, убедитесь в наличии HTTP/HTTPS-подключения между сервером Azure AD Connect и этими прокси-серверами.
  • Убедитесь в наличии HTTP/HTTPS-подключения между сервером веб-приложений и сервером AD FS, чтобы между ними проходили запросы на проверку подлинности.

Снимок экрана со страницей "Прокси-серверы веб-приложений".

Вам будет предложено ввести учетные данные, чтобы сервер веб-приложений мог установить защищенное подключение к серверу AD FS. Эти учетные данные должны принадлежать учетной записи локального администратора на сервере AD FS.

Снимок экрана со страницей "Учетные данные". Учетные данные администратора вводятся в поля "Имя пользователя" и "Пароль".

Укажите учетную запись службы для службы AD FS

Службе AD FS требуется учетная запись службы домена, чтобы выполнять проверку подлинности пользователей и искать информацию о них в Active Directory. Поддерживаются два типа учетных записей службы.

  • Групповая управляемая учетная запись службы. Этот тип учетной записи был введен в AD DS начиная с Windows Server 2012. Он предоставляет такие службы, как AD FS. Это одиночная учетная запись, в которой не требуется регулярно обновлять пароль. Используйте этот параметр, если у вас уже есть контроллеры домена Windows Server 2012 в домене, к которому принадлежат серверы AD FS.
  • Учетная запись пользователя домена. Для учетной записи этого типа необходимо указать пароль, который нужно будет регулярно обновлять по истечении срока действия. Используйте этот тип, только если у вас нет контроллеров домена Windows Server 2012 в домене, к которому принадлежат серверы AD FS.

Если вы выбрали вариант Создать групповую управляемую учетную запись службы, а эта учетная запись никогда не использовалась в Active Directory, введите учетные данные администратора предприятия. Эти учетные данные необходимы, чтобы инициировать хранилище ключей и включить эту учетную запись в Active Directory.

Примечание

Azure AD Connect проверяет, зарегистрирована ли служба AD FS в домене как имя субъекта-службы (SPN). Azure AD DS не позволяет одновременно регистрировать одинаковые имена участников-служб. Если будет обнаружено дублирующееся имя субъекта-службы, вы не сможете продолжить, пока это имя не будет удалено.

Снимок экрана со страницей "Учетная запись службы AD FS".

Выбор домена Azure AD, который требуется включить в федерацию

Страница Домен Azure AD служит для настройки отношения федерации между AD FS и Azure AD. Здесь AD FS настраивается для предоставления маркеров безопасности службе Azure AD, а Azure AD настраивается так, чтобы доверять маркерам, полученным от этого экземпляра AD FS.

Во время первоначальной установки на этой странице можно настроить только один домен. Позже можно настроить дополнительные домены, запустив Azure AD Connect еще раз.

Снимок экрана со страницей "Домен Azure AD".

Проверка домена Azure AD, выбранного для включения в федерацию

При выборе домена, который необходимо включить в федерацию, Azure AD Connect предоставляет сведения, которые можно использовать для проверки непроверенного домена. Дополнительные сведения см. в статье "Добавление имени личного домена с помощью портала Azure Active Directory".

Снимок экрана со страницей "Домен Azure AD", в том числе со сведениями, которые можно использовать для проверки домена.

Примечание

Azure AD Connect предпринимает попытку проверки домена на этапе настройки. Если не добавить необходимые записи службы доменных имен (DNS), настройка завершена не будет.

Настройка федерации с PingFederate

Чтобы настроить PingFederate для работы с Azure AD Connect, потребуется всего несколько щелчков мышью. Ниже перечислены необходимые компоненты.

  • PingFederate 8.4 или более поздней версии. Дополнительные сведения см. на странице документации, посвященной интеграции PingFederate с Azure Active Directory и Microsoft 365.
  • Сертификат TLS/SSL на имя службы федерации, которое предполагается использовать (например, sts.contoso.com).

Проверка домена

После того как вы решите настроить федерацию с помощью PingFederate, вам будет предложено проверить домен, который требуется включить в федерацию. Выберите нужный домен из раскрывающегося меню.

Снимок экрана со страницей "Домен Azure AD". Здесь выбран домена "contoso.com", используемый в качестве примера.

Экспорт параметров PingFederate

Назначьте службу PingFederate сервером федерации для каждого федеративного домена Azure. Нажмите кнопку Экспортировать параметры и передайте полученные сведения своему администратору PingFederate. Администратор сервера федерации обновит конфигурацию и предоставит вам URL-адрес сервера PingFederate и номер порта, по которым Azure AD Connect сможет проверить параметры метаданных.

Снимок экрана со страницей "Параметры PingFederate". Вверху страницы отображается кнопка "Экспортировать параметры".

Если при проверке возникнут проблемы, обратитесь к администратору PingFederate для их устранения. На следующем рисунке показаны сведения о сервере PingFederate, у которого нет действующего отношения доверия с Azure.

Снимок экрана со сведениями о сервере PingFederate, у которого отсутствует или отключено подключение к поставщику услуг для Azure.

Проверка подключения федерации

Azure AD Connect предпримет попытку проверить конечные точки проверки подлинности, полученные на предыдущем шаге из метаданных PingFederate. Сначала Azure AD Connect попытается разрешить эти конечные точки через локальные DNS-серверы, а затем через внешнего поставщика услуг DNS. Если при проверке возникнут проблемы, обратитесь к администратору PingFederate для их устранения.

Снимок экрана со страницей "Проверка подключения".

Проверка федеративного входа

Теперь вы можете проверить процесс входа в настроенной федерации, выполнив вход в федеративный домен. Если он завершится успешно, значит федерация с PingFederate настроена правильно.

Снимок экрана, показывающий страницу "Проверка федеративного входа". Сообщение внизу уведомляет об успешном входе.

Страницы настройки и проверки

Параметры настраиваются на странице Настройка.

Примечание

Если вы настроили федерацию, то необходимо также настроить разрешение имен для серверов федерации, прежде чем продолжать установку.

Снимок экрана со страницей "Готово к настройке".

Использование промежуточного режима

Промежуточный режим позволяет установить новый сервер синхронизации для параллельной работы. Если вы хотите использовать такую конфигурацию, то экспорт в один облачный каталог возможен будет только с одного сервера синхронизации. Но если требуется переместить данные с другого сервера, на котором работает, например, DirSync, можно включить Azure AD Connect в промежуточном режиме.

При включенной промежуточной конфигурации модуль синхронизации импортирует и синхронизирует данные как обычно, но не экспортирует данные в Azure AD или Active Directory. В промежуточном режиме функция синхронизации паролей и компонент обратной записи паролей отключены.

Снимок экрана с флажком "Включить промежуточный режим".

В промежуточном режиме можно внести необходимые изменения в подсистему синхронизации и проверить, что будет экспортировано. Если вы довольны конфигурацией, снова запустите мастер установки и отключите промежуточный режим.

Теперь данные будут экспортированы с этого сервера в Azure AD. Обязательно отключите другой сервер, чтобы только один сервер активно экспортировал данные.

Дополнительные сведения см. в разделе Промежуточный режим.

Проверьте конфигурации федерации

Если нажать кнопку Проверить, Azure AD Connect проверит параметры DNS. В частности, будет проверено следующее:

  • Возможность подключения к интрасети
    • Разрешение полного доменного имени федерации. Azure AD Connect проверяет, разрешается ли полное доменное имя федерации с помощью DNS, чтобы обеспечить возможность подключения. Если разрешить полное доменное имя не удается, проверка не пройдена. Для успешного прохождения проверки убедитесь, что для полного доменного имени службы федерации имеется соответствующая запись DNS.
    • Запись DNS типа A. Azure AD Connect проверяет, имеется ли запись типа А для службы федерации. Если запись типа А отсутствует, проверка не пройдена. Чтобы эта проверка была пройдена успешно, создайте для полного доменного имени федерации запись типа A, а не запись CNAME.
  • Возможность подключения к экстрасети
    • Разрешение полного доменного имени федерации. Azure AD Connect проверяет, разрешается ли полное доменное имя федерации с помощью DNS, чтобы обеспечить возможность подключения.

      Снимок экрана, показывающий страницу "Установка завершена".

      Снимок экрана, показывающий страницу "Установка завершена". Сообщение уведомляет о том, что конфигурация интрасети проверена.

Чтобы убедиться, что сквозная проверка подлинности работает, вручную проведите один или несколько из следующих тестов.

  • Когда завершится синхронизация, выполните дополнительную задачу Azure AD Connect Проверка федеративного входа, чтобы протестировать проверку подлинности для выбранной локальной учетной записи.
  • Проверьте возможность входа с помощью браузера, запущенного на присоединенном к домену компьютере в интрасети. соединение с https://myapps.microsoft.com; Затем проверьте вход, используя учетную запись для входа. Встроенная учетная запись администратора Azure AD DS не синхронизируется, и ее нельзя использовать для проверки.
  • Проверьте возможность входа с устройства из экстрасети. На домашнем компьютере или мобильном устройстве перейдите по адресу https://myapps.microsoft.com и укажите свои учетные данные.
  • Проверьте возможность входа клиента с расширенными возможностями. соединение с https://testconnectivity.microsoft.com; Затем выберите Office 365 > Тест единого входа в Office 365.

Устранение неполадок

В этом разделе содержатся сведения об устранении неполадок при установке Azure AD Connect.

При настройке установки Azure AD Connect на странице Установка необходимых компонентов можно выбрать параметр Использовать существующий SQL Server. При этом может появиться следующая ошибка: "База данных ADSync уже содержит данные и не может быть перезаписана. Удалите существующую базу данных и повторите попытку".

Снимок экрана со страницей "Установка обязательных компонентов". Внизу страницы отображается сообщение об ошибке.

Эта ошибка возникает, так как база данных с именем ADSync уже существует в указанном экземпляре SQL Server.

Обычно она появляется после удаления Azure AD Connect. Эта база данных не удаляется с компьютера, на котором выполняется SQL Server, при удалении Azure AD Connect.

Для устранения этой проблемы:

  1. Проверьте базу данных ADSync, которая использовалась с Azure AD Connect перед удалением. Убедитесь, что она больше не используется.

  2. Архивируйте базу данных.

  3. Удалите базу данных:

    1. Откройте среду Microsoft SQL Server Management Studio и подключитесь к соответствующему экземпляру SQL Server.
    2. Найдите базу данных ADSync и щелкните ее правой кнопкой мыши.
    3. В контекстном меню выберите пункт Удалить.
    4. Нажмите кнопку ОК, чтобы удалить базу данных.

Снимок экрана со средой Microsoft SQL Server Management Studio. Выбрана база данных ADSync.

После удаления базы данных ADSync нажмите кнопку Установить, чтобы повторить установку.

Дальнейшие действия

По завершении установки выйдите из Windows, а затем снова войдите, прежде чем начинать использовать Synchronization Service Manager или редактор правил синхронизации.

После установки Azure AD Connect можно проверить установку и назначить лицензии.

Дополнительные сведения о функциях, включенных во время установки, см. в статьях "Синхронизация Azure AD Connect: предотвращение случайного удаления" и "Мониторинг синхронизации Azure AD Connect с помощью Azure AD Connect Health".

Дополнительные сведения по другим распространенным темам см. в статьях "Синхронизация Azure AD Connect: планировщик" и "Что собой представляет гибридная идентификация с использованием Azure Active Directory.