Интеграция локальных доменов Active Directory с Azure Active DirectoryIntegrate on-premises Active Directory domains with Azure Active Directory

Azure Active Directory (Azure AD) — это облачный каталог с несколькими клиентами и служба удостоверений.Azure Active Directory (Azure AD) is a cloud-based multi-tenant directory and identity service. На схеме этой эталонной архитектуры представлены рекомендации по интеграции локальных доменов Active Directory с Azure AD для облачной проверки подлинности удостоверений.This reference architecture shows best practices for integrating on-premises Active Directory domains with Azure AD to provide cloud-based identity authentication. Разверните это решение.Deploy this solution.

Архитектура идентификации в облаке с помощью Azure Active Directory

Скачайте файл Visio этой архитектуры.Download a Visio file of this architecture.

Примечание

Для простоты на этой схеме показаны только соединения, непосредственно связанные с Azure AD, а также не связанный с протоколом трафик, который может передаваться при проверке подлинности и федерации удостоверений.For simplicity, this diagram only shows the connections directly related to Azure AD, and not protocol-related traffic that may occur as part of authentication and identity federation. Например, веб-приложение может перенаправить веб-браузер для проверки подлинности запроса с помощью Azure AD.For example, a web application may redirect the web browser to authenticate the request through Azure AD. После проверки подлинности запрос может передаваться в веб-приложение с соответствующей информацией об удостоверениях.Once authenticated, the request can be passed back to the web application, with the appropriate identity information.

Типичные способы использования этой эталонной архитектуры:Typical uses for this reference architecture include:

  • Веб-приложения, развернутые в Azure, которые обеспечивают доступ к удаленным пользователям, принадлежащим вашей организации.Web applications deployed in Azure that provide access to remote users who belong to your organization.
  • Реализация возможности самообслуживания для пользователей, например сброс паролей и делегирование управления группой.Implementing self-service capabilities for end-users, such as resetting their passwords, and delegating group management. Для этого требуется Azure AD Premium Edition.This requires Azure AD Premium edition.
  • Архитектуры, в которых локальная и виртуальная сети приложения Azure не подключены с использованием VPN-туннеля или канала ExpressRoute.Architectures in which the on-premises network and the application's Azure VNet are not connected using a VPN tunnel or ExpressRoute circuit.

Примечание

Azure AD может проверять подлинность удостоверений пользователей и приложений, которые существуют в каталоге Организации.Azure AD can authenticate the identity of users and applications that exist in an organization's directory. Для некоторых приложений и служб, таких как SQL Server, может потребоваться проверка подлинности компьютера. В этом случае это решение не подходит.Some applications and services, such as SQL Server, may require computer authentication, in which case this solution is not appropriate.

Дополнительные сведения см. в статье Выбор решения для интеграции локальных Active Directory с Azure.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

АрхитектураArchitecture

Архитектура состоит из следующих компонентов.The architecture has the following components.

  • Клиент Azure AD.Azure AD tenant. Экземпляр Azure AD, созданный вашей организацией.An instance of Azure AD created by your organization. Он выполняет функции службы каталогов для облачных приложений, сохраняя объекты, скопированные из локального экземпляра Active Directory, и предоставляет службы удостоверений.It acts as a directory service for cloud applications by storing objects copied from the on-premises Active Directory and provides identity services.

  • Подсети веб-уровня.Web tier subnet. Эта подсеть содержит виртуальные машины, выполняющиеся в веб-приложении.This subnet holds VMs that run a web application. Azure AD может действовать как брокер удостоверений для этого приложения.Azure AD can act as an identity broker for this application.

  • Локальный сервер AD DS.On-premises AD DS server. Локальный каталог и служба удостоверений.An on-premises directory and identity service. Каталог AD DS можно синхронизировать с Azure AD, чтобы разрешить ему проходить проверку подлинности локальных пользователей.The AD DS directory can be synchronized with Azure AD to enable it to authenticate on-premises users.

  • Сервер синхронизации Azure AD Connect.Azure AD Connect sync server. Локальный компьютер, на котором выполняется служба синхронизации Azure AD Connect.An on-premises computer that runs the Azure AD Connect sync service. Эта служба синхронизирует информацию, хранящуюся в локальном каталоге Active Directory, в Azure AD.This service synchronizes information held in the on-premises Active Directory to Azure AD. Например, при подготовке или отзыве пользователей и групп в локальной среде эти изменения распространяются в Azure AD.For example, if you provision or deprovision groups and users on-premises, these changes propagate to Azure AD.

    Примечание

    По соображениям безопасности Azure AD хранит пароли пользователей в виде хэша.For security reasons, Azure AD stores user's passwords as a hash. Если пользователю требуется сброс пароля, это нужно сделать локально и отправить новый хэш в Azure AD.If a user requires a password reset, this must be performed on-premises and the new hash must be sent to Azure AD. Выпуски Azure AD Premium включают функции, которые могут автоматизировать эту задачу, чтобы разрешить пользователям сбрасывать свои пароли.Azure AD Premium editions include features that can automate this task to enable users to reset their own passwords.

  • Виртуальные машины для N-уровневого приложения.VMs for N-tier application. Развертывание включает инфраструктуру для N-уровневого приложения.The deployment includes infrastructure for an N-tier application. Дополнительные сведения об этих ресурсах см. в статье Запуск виртуальных машин Windows для n-уровневого приложения.For more information about these resources, see Run VMs for an N-tier architecture.

РекомендацииRecommendations

Следующие рекомендации применимы для большинства ситуаций.The following recommendations apply for most scenarios. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.Follow these recommendations unless you have a specific requirement that overrides them.

Служба синхронизации Azure AD ConnectAzure AD Connect sync service

Служба синхронизации Azure AD Connect гарантирует согласованность сведений об удостоверениях, хранящихся в облаке, со сведениями, хранящимися в локальной среде.The Azure AD Connect sync service ensures that identity information stored in the cloud is consistent with that held on-premises. Для установки этой службы требуется программное обеспечение Azure AD Connect.You install this service using the Azure AD Connect software.

Перед реализацией синхронизации Azure AD Connect определите требования к синхронизации вашей организации.Before implementing Azure AD Connect sync, determine the synchronization requirements of your organization. Например, что нужно синхронизировать, с каких доменов и как часто.For example, what to synchronize, from which domains, and how frequently. Дополнительные сведения см. в статье Определение требований к синхронизации каталога.For more information, see Determine directory synchronization requirements.

Службу синхронизации Azure AD Connect можно запустить на виртуальной машине или локальном компьютере.You can run the Azure AD Connect sync service on a VM or a computer hosted on-premises. В зависимости от изменчивости сведений в каталоге Active Directory нагрузка на службу синхронизации Azure AD Connect вряд ли повысится после первоначальной синхронизации с Azure AD.Depending on the volatility of the information in your Active Directory directory, the load on the Azure AD Connect sync service is unlikely to be high after the initial synchronization with Azure AD. При выполнении службы на виртуальной машине масштабирование сервера (если оно требуется) упрощается.Running the service on a VM makes it easier to scale the server if needed. Наблюдайте за действиями на виртуальной машине, как описано в разделе рекомендаций по мониторингу, чтобы определить, нужно ли выполнить масштабирование.Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.

Если имеется несколько локальных доменов в лесу, мы рекомендуем хранить и синхронизировать данные всего леса в одном клиенте Azure AD.If you have multiple on-premises domains in a forest, we recommend storing and synchronizing information for the entire forest to a single Azure AD tenant. Отфильтруйте данные для удостоверений, хранящихся в нескольких доменах, чтобы в Azure AD было по одному экземпляру каждого удостоверения, а не по несколько.Filter information for identities that occur in more than one domain, so that each identity appears only once in Azure AD, rather than being duplicated. Дублирование может привести к несогласованности при синхронизации данных.Duplication can lead to inconsistencies when data is synchronized. Дополнительные сведения см. в разделе о топологии ниже.For more information, see the Topology section below.

Используйте фильтры, чтобы в Azure AD хранились только необходимые данные.Use filtering so that only necessary data is stored in Azure AD. Например, организации может не потребоваться хранить информацию о неактивных учетных записях в Azure AD.For example, your organization might not want to store information about inactive accounts in Azure AD. Данные можно фильтровать по группам, доменам, подразделениям или атрибутам.Filtering can be group-based, domain-based, organization unit (OU)-based, or attribute-based. Фильтры можно комбинировать для создания более сложных правил.You can combine filters to generate more complex rules. Например, можно синхронизировать объекты в домене с определенным значением для выбранного атрибута.For example, you could synchronize objects held in a domain that have a specific value in a selected attribute. Дополнительные сведения см. в статье Синхронизация Azure AD Connect: настройка фильтрации.For detailed information, see Azure AD Connect sync: Configure Filtering.

Чтобы реализовать высокий уровень доступности для службы синхронизации AD Connect, запустите промежуточный сервер-получатель.To implement high availability for the AD Connect sync service, run a secondary staging server. Дополнительные сведения см. в разделе с рекомендациями по топологии.For more information, see the Topology recommendations section.

Рекомендации по обеспечению безопасностиSecurity recommendations

Управление паролями пользователя.User password management. Выпуски Azure AD Premium поддерживают обратную запись паролей, что позволяет локальным пользователям самостоятельно сбрасывать пароли с портала Azure.The Azure AD Premium editions support password writeback, enabling your on-premises users to perform self-service password resets from within the Azure portal. Эта функция должна быть включена только после проверки политики безопасности паролей вашей организации.This feature should be enabled only after reviewing your organization's password security policy. Например, можно ограничить пользователей, которые могут изменять свои пароли, а также настроить управление паролями.For example, you can restrict which users can change their passwords, and you can tailor the password management experience. Дополнительные сведения см. в статье Настройка функции самостоятельного сброса пароля в Azure AD.For more information, see Customizing Password Management to fit your organization's needs.

Защита локальных приложений с возможностью внешнего доступа.Protect on-premises applications that can be accessed externally. Используйте прокси приложения Azure AD, чтобы обеспечить управляемый доступ к локальным веб-приложениям для внешних пользователей через Azure AD.Use the Azure AD Application Proxy to provide controlled access to on-premises web applications for external users through Azure AD. Только пользователи с допустимыми учетными данными в каталоге Azure имеют разрешение на использование приложения.Only users that have valid credentials in your Azure directory have permission to use the application. Дополнительные сведения см. в статье Начало работы с прокси приложения и установка соединителя.For more information, see the article Enable Application Proxy in the Azure portal.

Активный мониторинг Azure AD на предмет подозрительных действий.Actively monitor Azure AD for signs of suspicious activity. Рассмотрите возможность использования выпуска Azure AD Premium P2, который включает в себя службу "Защита идентификации Azure Active Directory".Consider using Azure AD Premium P2 edition, which includes Azure AD Identity Protection. Она использует адаптивные алгоритмы машинного обучения и эвристические методы, чтобы обнаруживать аномалии и события риска, которые могут указывать на компрометацию удостоверения.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that may indicate that an identity has been compromised. Например, он может определить потенциально необычные действия, такие как нестандартный вход, вход из неизвестных источников или с использованием IP-адресов с подозрительной активностью, а также вход с устройств, которые могут быть заражены.For example, it can detect potentially unusual activity such as irregular sign-in activities, sign-ins from unknown sources or from IP addresses with suspicious activity, or sign-ins from devices that may be infected. На основе этих данных служба защиты идентификации создает отчеты и оповещения, с помощью которых можно исследовать события риска, чтобы предпринять соответствующие действия.Using this data, Identity Protection generates reports and alerts that enables you to investigate these risk events and take appropriate action. Дополнительные сведения см. в статье Защита идентификации Azure Active Directory.For more information, see Azure Active Directory Identity Protection.

Для отслеживания действий, связанных с безопасностью, произошедших в системе, можно использовать функцию отчетности Azure AD на портале Azure.You can use the reporting feature of Azure AD in the Azure portal to monitor security-related activities occurring in your system. Дополнительные сведения об использовании этих отчетов см. в статье Отчеты Azure Active Directory.For more information about using these reports, see Azure Active Directory Reporting Guide.

Рекомендации по топологииTopology recommendations

Настройте Azure AD Connect для реализации самой подходящей топологии в соответствии с требованиями вашей организации.Configure Azure AD Connect to implement a topology that most closely matches the requirements of your organization. В число топологий, которые Azure AD Connect поддерживает:Topologies that Azure AD Connect supports include:

  • Один лес, один каталог Azure AD.Single forest, single Azure AD directory. В этой топологии Azure AD Connect синхронизирует данные об объектах и удостоверениях из одного или нескольких доменов в одном локальном лесу в один клиент Azure AD.In this topology, Azure AD Connect synchronizes objects and identity information from one or more domains in a single on-premises forest into a single Azure AD tenant. Это топология по умолчанию, реализуемая при экспресс-установке Azure AD Connect.This is the default topology implemented by the express installation of Azure AD Connect.

    Примечание

    Не используйте несколько серверов синхронизации Azure AD Connect для подключения нескольких доменов в одном локальном лесу к одному клиенту Azure AD, если сервер не работает в промежуточном режиме, описанном ниже.Don't use multiple Azure AD Connect sync servers to connect different domains in the same on-premises forest to the same Azure AD tenant, unless you are running a server in staging mode, described below.

  • Несколько лесов, один каталог Azure AD.Multiple forests, single Azure AD directory. В этой топологии Azure AD Connect синхронизирует данные об объектах и удостоверениях из нескольких лесов в один клиент Azure AD.In this topology, Azure AD Connect synchronizes objects and identity information from multiple forests into a single Azure AD tenant. Используйте эту топологию, если в вашей организации имеется несколько локальных лесов.Use this topology if your organization has more than one on-premises forest. Данные об удостоверениях можно консолидировать, чтобы каждый уникальный пользователь был представлен в каталоге Azure AD один раз, даже если он существует в нескольких лесах.You can consolidate identity information so that each unique user is represented once in the Azure AD directory, even if the same user exists in more than one forest. Все леса используют один сервер синхронизации Azure AD Connect.All forests use the same Azure AD Connect sync server. Сервер синхронизации Azure AD Connect не обязательно должен быть присоединен к домену, но он должен быть доступен из всех лесов.The Azure AD Connect sync server does not have to be part of any domain, but it must be reachable from all forests.

    Примечание

    В этой топологии не используйте отдельные серверы синхронизации Azure AD Connect для подключения каждого локального леса к одному клиенту Azure AD.In this topology, don't use separate Azure AD Connect sync servers to connect each on-premises forest to a single Azure AD tenant. Это может привести к повторяющимся учетным записям в Azure AD, если пользователи находятся в нескольких лесах.This can result in duplicated identity information in Azure AD if users are present in more than one forest.

  • Несколько лесов, отдельные топологии.Multiple forests, separate topologies. В этой топологии сведения об удостоверениях из отдельных лесов объединяются в один клиент Azure AD. При этом все леса рассматриваются как отдельные сущности.This topology merges identity information from separate forests into a single Azure AD tenant, treating all forests as separate entities. Эта топология полезна, если необходимо скомбинировать леса из разных организаций и сведения каждого пользователя хранятся только в одном лесу.This topology is useful if you are combining forests from different organizations and the identity information for each user is held in only one forest.

    Примечание

    Если глобальные списки адресов (GAL) в каждом лесу синхронизированы, пользователи в одном лесу могут находиться в другом лесу в качестве контактов.If the global address lists (GAL) in each forest are synchronized, a user in one forest may be present in another as a contact. Это может произойти, если ваша организация реализовала GALSync с Forefront Identity Manager 2010 или Microsoft Identity Manager 2016.This can occur if your organization has implemented GALSync with Forefront Identity manager 2010 or Microsoft Identity Manager 2016. В этом случае можно указать, что пользователи должны идентифицироваться по атрибуту Mail.In this scenario, you can specify that users should be identified by their Mail attribute. Удостоверения также можно сопоставить по атрибутам ObjectSID и msExchMasterAccountSID.You can also match identities using the ObjectSID and msExchMasterAccountSID attributes. Это удобно, если есть один или несколько лесов ресурсов с отключенными учетными записями.This is useful if you have one or more resource forests with disabled accounts.

  • Промежуточный сервер.Staging server. В этой конфигурации запустите второй экземпляр сервера синхронизации Azure AD Connect параллельно с первым.In this configuration, you run a second instance of the Azure AD Connect sync server in parallel with the first. Эта структура поддерживает такие сценарии:This structure supports scenarios such as:

    • обеспечение высокой доступности; Каждый набор масштабирования помещает свои виртуальные машины в группу доступности с 5 доменами сбоя (FD) и 5 доменами обновления (UD) для обеспечения доступности (дополнительные сведения о доменах сбоя и обновления см.High availability.

    • Тестирование и развертывание новой конфигурации сервера синхронизации Azure AD Connect.Testing and deploying a new configuration of the Azure AD Connect sync server.

    • Внедрение нового сервера и списание старой конфигурации.Introducing a new server and decommissioning an old configuration.

      В этих сценариях второй экземпляр работает в промежуточном режиме.In these scenarios, the second instance runs in staging mode. Сервер записывает импортируемые объекты и данные синхронизации в базу данных, но не передает данные в Azure AD.The server records imported objects and synchronization data in its database, but does not pass the data to Azure AD. Если отключить промежуточный режим, сервер начнет записывать данные в Azure AD и также при необходимости начнет выполнять обратную запись пароля в локальных каталогах.If you disable staging mode, the server starts writing data to Azure AD, and also starts performing password write-backs into the on-premises directories where appropriate. Дополнительные сведения см. в статье Службы синхронизации Azure AD Connect: рабочие задачи и рекомендации.For more information, see Azure AD Connect sync: Operational tasks and considerations.

  • Несколько каталогов Azure AD.Multiple Azure AD directories. Мы рекомендуем создать один каталог Azure AD для организации, но в некоторых ситуациях может потребоваться разбить сведения по отдельным каталогам Azure AD.It is recommended that you create a single Azure AD directory for an organization, but there may be situations where you need to partition information across separate Azure AD directories. В этом случае обеспечьте правильную работу синхронизации и обратной записи паролей. Для этого в одном каталоге Azure AD должен находиться только один экземпляр объекта из локального леса.In this case, avoid synchronization and password write-back issues by ensuring that each object from the on-premises forest appears in only one Azure AD directory. Чтобы реализовать этот сценарий, настройте отдельные серверы синхронизации Azure AD Connect для каждого каталога Azure AD и воспользуйтесь фильтрацией, чтобы каждый сервер синхронизации Azure AD Connect работал с взаимно исключающим набором объектов.To implement this scenario, configure separate Azure AD Connect sync servers for each Azure AD directory, and use filtering so that each Azure AD Connect sync server operates on a mutually exclusive set of objects.

Дополнительные сведения об этих топологиях см. в статье Топологии Azure AD Connect.For more information about these topologies, see Topologies for Azure AD Connect.

Аутентификация пользователейUser authentication

По умолчанию сервер синхронизации Azure AD Connect настраивает синхронизацию хэша паролей между локальным доменом и Azure AD, а служба Azure AD предполагает, что пользователи проходят проверку подлинности с использованием пароля локальной среды.By default, the Azure AD Connect sync server configures password hash synchronization between the on-premises domain and Azure AD, and the Azure AD service assumes that users authenticate by providing the same password that they use on-premises. Для многих организаций это допустимо, но следует учитывать имеющиеся политики и инфраструктуры вашей организации.For many organizations, this is appropriate, but you should consider your organization's existing policies and infrastructure. Пример:For example:

  • Политикой безопасности организации может быть запрещена синхронизация хэшей паролей в облако.The security policy of your organization may prohibit synchronizing password hashes to the cloud. В этом случае Организация должна учитывать сквозную аутентификацию.In this case, your organization should consider pass-through authentication.
  • Вам может потребоваться надежный единый вход для пользователей для доступа к облачным ресурсам с компьютеров, входящих в домен, в корпоративной сети.You might require that users experience seamless single sign-on (SSO) when accessing cloud resources from domain-joined machines on the corporate network.
  • Возможно, в Организации уже развернут службы федерации Active Directory (AD FS) (AD FS) или сторонний поставщик Федерации.Your organization might already have Active Directory Federation Services (AD FS) or a third-party federation provider deployed. Вы можете настроить Azure AD использовать эту инфраструктуру для реализации проверки подлинности и единого входа, а не использовать информацию о пароле, хранимую в облаке.You can configure Azure AD to use this infrastructure to implement authentication and SSO rather than by using password information held in the cloud.

Дополнительные сведения см. в разделе Azure AD Connect параметры входа пользователя.For more information, see Azure AD Connect User Sign-on options.

Прокси приложения Azure ADAzure AD application proxy

Используйте Azure AD для предоставления доступа к локальным приложениям.Use Azure AD to provide access to on-premises applications.

Предоставляйте доступ к локальным веб-приложениям с помощью соединителей прокси приложения под управлением компонента прокси приложения Azure AD.Expose your on-premises web applications using application proxy connectors managed by the Azure AD application proxy component. Соединитель прокси приложения открывает исходящее сетевое подключение к прокси приложения Azure AD, а удаленные запросы пользователей через это соединение направляются обратно из Azure AD в веб-приложения.The application proxy connector opens an outbound network connection to the Azure AD application proxy, and remote users' requests are routed back from Azure AD through this connection to the web apps. Благодаря этому не нужно открывать входящие порты в локальном брандмауэре. Кроме того, снижается площадь уязвимости вашей организации.This removes the need to open inbound ports in the on-premises firewall and reduces the attack surface exposed by your organization.

Дополнительные сведения см. в статье Начало работы с прокси приложения и установка соединителя.For more information, see Publish applications using Azure AD Application proxy.

Синхронизация объектовObject synchronization

Конфигурация по умолчанию для Azure AD Connect синхронизирует объекты из локального каталога Active Directory в соответствии с правилами, указанными в статье Azure AD Connect синхронизации: Общие сведения о конфигурации по умолчанию.The default configuration for Azure AD Connect synchronizes objects from your local Active Directory directory based on the rules specified in the article Azure AD Connect sync: Understanding the default configuration. Объекты, соответствующие этим правилам, синхронизируются, а остальные игнорируются.Objects that satisfy these rules are synchronized while all other objects are ignored. Некоторые примеры правил:Some example rules:

  • Объекты пользователя должны иметь уникальный атрибут sourceAnchor, а также должен быть указан атрибут accountEnabled.User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.
  • Объекты пользователя должны иметь атрибут sAMAccountName и не могут начинаться с текста Azure AD_ или MSOL_.User objects must have a sAMAccountName attribute and cannot start with the text Azure AD_ or MSOL_.

В Azure AD Connect применяется несколько правил к объектам User, Contact, Group, ForeignSecurityPrincipal и Computer.Azure AD Connect applies several rules to User, Contact, Group, ForeignSecurityPrincipal, and Computer objects. Если необходимо изменить набор правил по умолчанию, воспользуйтесь редактором правил синхронизации, установленным с Azure AD Connect.Use the Synchronization Rules Editor installed with Azure AD Connect if you need to modify the default set of rules. Дополнительные сведения см. в статье Службы синхронизации Azure AD Connect: рекомендации по изменению конфигурации по умолчанию.For more information, see Azure AD Connect sync: Understanding the default configuration).

Вы также можете определить собственные фильтры, чтобы ограничить объекты, которые будут синхронизироваться в домене или подразделении.You can also define your own filters to limit the objects to be synchronized by domain or OU. Кроме того, можно реализовать сложную настраиваемую фильтрацию, как описано в статье Синхронизация Azure AD Connect: настройка фильтрации.Alternatively, you can implement more complex custom filtering such as that described in Azure AD Connect sync: Configure Filtering.

НаблюдениеMonitoring

Наблюдение за работоспособностью выполняется с помощью следующих локальных агентов:Health monitoring is performed by the following agents installed on-premises:

  • Azure AD Connect устанавливает агент, который собирает сведения об операциях синхронизации.Azure AD Connect installs an agent that captures information about synchronization operations. Колонку Azure AD Connect Health на портале Azure можно использовать для мониторинга его работоспособности и производительности.Use the Azure AD Connect Health blade in the Azure portal to monitor its health and performance. Дополнительные сведения см. в статье Мониторинг синхронизации Azure AD Connect с помощью Azure AD Connect Health.For more information, see Using Azure AD Connect Health for sync.
  • Для наблюдения за работоспособностью доменов и каталогов AD DS из Azure установите Azure AD Connect Health для агента AD DS на компьютере в локальном домене.To monitor the health of the AD DS domains and directories from Azure, install the Azure AD Connect Health for AD DS agent on a machine within the on-premises domain. Колонку Azure Active Directory Connect Health на портале Azure можно использовать для наблюдения за работоспособностью.Use the Azure Active Directory Connect Health blade in the Azure portal for health monitoring. Дополнительные сведения см. в статье Использование Azure AD Connect Health с AD DS.For more information, see Using Azure AD Connect Health with AD DS
  • Установите Azure AD Connect Health для агента AD FS для наблюдения за работоспособностью служб, запущенных локально, и используйте колонку Azure Active Directory Connect Health на портале Azure для мониторинга AD FS.Install the Azure AD Connect Health for AD FS agent to monitor the health of services running on on-premises, and use the Azure Active Directory Connect Health blade in the Azure portal to monitor AD FS. Дополнительные сведения см. в статье Мониторинг AD FS с помощью Azure AD Connect Health.For more information, see Using Azure AD Connect Health with AD FS

Дополнительные сведения об установке агентов AD Connect Health и их требованиях см. в статье Установка агента Azure AD Connect Health.For more information on installing the AD Connect Health agents and their requirements, see Azure AD Connect Health Agent Installation.

Вопросы масштабируемостиScalability considerations

Служба Azure AD поддерживает масштабируемость на основе реплик с одной первичной репликой, обрабатывающей операции записи, и несколькими вторичными репликами, предназначенными только для чтения.The Azure AD service supports scalability based on replicas, with a single primary replica that handles write operations plus multiple read-only secondary replicas. Azure AD прозрачно перенаправляет попытки операций записи во вторичных репликах в первичную реплику и обеспечивает итоговую согласованность.Azure AD transparently redirects attempted writes made against secondary replicas to the primary replica and provides eventual consistency. Все изменения в основной реплике распространяются на вторичные.All changes made to the primary replica are propagated to the secondary replicas. Эта архитектура хорошо масштабируется, так как большинство операций Azure AD — это операции чтения, а не записи.This architecture scales well because most operations against Azure AD are reads rather than writes. Дополнительные сведения см. в статье Azure AD: Under the hood of our geo-redundant, highly available, distributed cloud directory (Azure AD: как работает геоизбыточный высокодоступный распределенный облачный каталог).For more information, see Azure AD: Under the hood of our geo-redundant, highly available, distributed cloud directory.

Для сервера синхронизации Azure AD Connect определите, сколько объектов скорее всего синхронизируются из локального каталога.For the Azure AD Connect sync server, determine how many objects you are likely to synchronize from your local directory. Если имеется менее 100 000 объектов, можно использовать стандартное программное обеспечение SQL Server Express LocalDB, поставляемое с Azure AD Connect.If you have less than 100,000 objects, you can use the default SQL Server Express LocalDB software provided with Azure AD Connect. Если имеется больше объектов, необходимо установить рабочую версию SQL Server и выполнить выборочную установку Azure AD Connect, указав, что следует использовать имеющийся экземпляр SQL Server.If you have a larger number of objects, you should install a production version of SQL Server and perform a custom installation of Azure AD Connect, specifying that it should use an existing instance of SQL Server.

Вопросы доступностиAvailability considerations

Служба Azure AD геораспределена и выполняется в нескольких центрах обработки данных, распределенных по всему миру с помощью автоматической отработки отказа.The Azure AD service is geo-distributed and runs in multiple datacenters spread around the world with automated failover. Если центр обработки данных становится недоступным, Azure AD гарантирует, что данные каталога станут доступными для доступа к экземпляру по крайней мере в двух регионах, распределенных по регионам.If a datacenter becomes unavailable, Azure AD ensures that your directory data is available for instance access in at least two more regionally dispersed datacenters.

Примечание

Соглашение об уровне обслуживания (SLA) для Azure AD Basic и Premium гарантирует уровень доступности не менее 99,9 %.The service level agreement (SLA) for Azure AD Basic and Premium services guarantees at least 99.9% availability. Для уровня "Бесплатный" Azure AD соглашение об уровне обслуживания не предусмотрено.There is no SLA for the Free tier of Azure AD. Дополнительные сведения см. в статье Соглашение об уровне обслуживания для Azure Active Directory.For more information, see SLA for Azure Active Directory.

Рассмотрите возможность подготовки второго экземпляра сервера синхронизации Azure AD Connect в промежуточном режиме для повышения уровня доступности, как описано в разделе с рекомендациями по топологии.Consider provisioning a second instance of Azure AD Connect sync server in staging mode to increase availability, as discussed in the topology recommendations section.

Если вы не используете экземпляр SQL Server Express LocalDB, который поставляется с Azure AD Connect, рассмотрите возможность использования кластеризации SQL для обеспечения высокой доступности.If you are not using the SQL Server Express LocalDB instance that comes with Azure AD Connect, consider using SQL clustering to achieve high availability. Решения, например зеркальное отображение и Always On, не поддерживаются в Azure AD Connect.Solutions such as mirroring and Always On are not supported by Azure AD Connect.

Дополнительные рекомендации по обеспечению высокого уровня доступности на сервере синхронизации Azure AD Connect, а также данные о способах восстановления после сбоя см. в разделе "Аварийное восстановление" статьи Службы синхронизации Azure AD Connect: рабочие задачи и рекомендации.For additional considerations about achieving high availability of the Azure AD Connect sync server and also how to recover after a failure, see Azure AD Connect sync: Operational tasks and considerations - Disaster Recovery.

Вопросы управляемостиManageability considerations

Существует два аспекта управления Azure AD:There are two aspects to managing Azure AD:

  • Администрирование Azure AD в облаке.Administering Azure AD in the cloud.
  • Обслуживание серверов синхронизации Azure AD Connect.Maintaining the Azure AD Connect sync servers.

Azure AD предоставляет следующие возможности для управления доменами и каталогами в облаке:Azure AD provides the following options for managing domains and directories in the cloud:

  • Модуль PowerShell Azure Active Directory.Azure Active Directory PowerShell Module. Используйте этот модуль, если нужно создать скрипты для общих задач администрирования Azure AD, таких как управление пользователями, управление доменами и настройка единого входа.Use this module if you need to script common Azure AD administrative tasks such as user management, domain management, and configuring single sign-on.
  • Колонка управления Azure AD на портале Azure.Azure AD management blade in the Azure portal. Здесь представлено интерактивное представление управления каталога, которое позволяет контролировать и настраивать большинство аспектов Azure AD.This blade provides an interactive management view of the directory, and enables you to control and configure most aspects of Azure AD.

Azure AD Connect устанавливает следующие средства для поддержки служб синхронизации Azure AD Connect из локального компьютера:Azure AD Connect installs the following tools to maintain Azure AD Connect sync services from your on-premises machines:

  • Консоль Microsoft Azure Active Directory Connect.Microsoft Azure Active Directory Connect console. Это средство позволяет изменить конфигурацию сервера Azure AD Sync, настроить синхронизацию, включить или отключить промежуточный режим и переключить режим входа пользователя.This tool enables you to modify the configuration of the Azure AD Sync server, customize how synchronization occurs, enable or disable staging mode, and switch the user sign-in mode. Вы можете включить вход Active Directory FS с помощью локальной инфраструктуры.You can enable Active Directory FS sign-in using your on-premises infrastructure.
  • Synchronization Service Manager.Synchronization Service Manager. Используйте вкладку Операции в этом средстве для управления процессом синхронизации и обнаружения сбоев любой части процесса.Use the Operations tab in this tool to manage the synchronization process and detect whether any parts of the process have failed. Вы можете активировать синхронизацию вручную с помощью этого средства.You can trigger synchronizations manually using this tool. Вкладка Соединители позволяет управлять подключениями для доменов, к которым присоединен обработчик синхронизации.The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.
  • Редактор правил синхронизации.Synchronization Rules Editor. Это средство можно использовать для настройки способа преобразования объектов при копировании между локальным каталогом и Azure AD.Use this tool to customize the way objects are transformed when they are copied between an on-premises directory and Azure AD. Оно позволяет указать дополнительные атрибуты и объекты для синхронизации, а затем выполняет фильтры, чтобы определить, какие объекты следует синхронизировать.This tool enables you to specify additional attributes and objects for synchronization, then executes filters to determine which objects should or should not be synchronized. Дополнительные сведения см. в разделе о редакторе правил синхронизации в документе Службы синхронизации Azure AD Connect: рекомендации по изменению конфигурации по умолчанию.For more information, see the Synchronization Rule Editor section in the document Azure AD Connect sync: Understanding the default configuration.

Дополнительные сведения и советы по управлению Azure AD Connect см. в статье Службы синхронизации Azure AD Connect: рекомендации по изменению конфигурации по умолчанию.For more information and tips for managing Azure AD Connect, see Azure AD Connect sync: Best practices for changing the default configuration.

Замечания по безопасностиSecurity considerations

Используйте управление условным доступом, чтобы отклонять запросы на проверку подлинности из неизвестного источника:Use conditional access control to deny authentication requests from unexpected sources:

  • Активируйте многофакторную идентификацию Azure (MFA) , если пользователь пытается подключиться из ненадежного расположения, например, через Интернет, а не из доверенной сети.Trigger Azure Multi-Factor Authentication (MFA) if a user attempts to connect from a untrusted location such as across the Internet instead of a trusted network.

  • Используйте тип платформы устройств пользователя (iOS, Android, Windows Mobile, Windows), чтобы определить политику доступа к приложениям и функциям.Use the device platform type of the user (iOS, Android, Windows Mobile, Windows) to determine access policy to applications and features.

  • Записывайте сведения о состоянии устройств пользователей (выключено или включено) и добавляйте их в проверку политики доступа.Record the enabled/disabled state of users' devices, and incorporate this information into the access policy checks. Например, в случае утери или кражи телефона пользователя его нужно записать как отключенный, чтобы он не использовался для получения доступа.For example, if a user's phone is lost or stolen it should be recorded as disabled to prevent it from being used to gain access.

  • Управляйте доступом пользователя к ресурсам на основе членства в группе.Control user access to resources based on group membership. Используйте правила динамического членства Azure AD для упрощения администрирования группы.Use Azure AD dynamic membership rules to simplify group administration. Общие сведения о том, как это работает, см. в видео Azure AD: Introduction to Dynamic Memberships for Groups (Azure AD: введение в динамическое членство для групп).For a brief overview of how this works, see Introduction to Dynamic Memberships for Groups.

  • Используйте политики рисков условного доступа с Azure AD Identity Protection для обеспечения надежной защиты на основе необычных действий при входе или других событий.Use conditional access risk policies with Azure AD Identity Protection to provide advanced protection based on unusual sign-in activities or other events.

Дополнительные сведения см. в статье Условный доступ в Azure Active Directory.For more information, see Azure Active Directory conditional access.

Рекомендации для DevOpsDevOps considerations

Рекомендации по DevOps см. в разделе DevOps. расширение домен Active Directory Services (AD DS) в Azure.For DevOps considerations, see DevOps: Extending Active Directory Domain Services (AD DS) to Azure.

Рекомендации по стоимостиCost considerations

Для оценки затрат используйте калькулятор цен Azure.Use the Azure pricing calculator to estimate costs. Другие рекомендации описаны в разделе "затраты" в Microsoft Azure хорошо спроектированной инфраструктурой.Other considerations are described in the Cost section in Microsoft Azure Well-Architected Framework.

Ниже приведены рекомендации по затратам для служб, используемых в этой архитектуре.Here are cost considerations for the services used in this architecture.

Azure AD ConnectAzure AD Connect

Сведения о выпусках, предлагаемых Azure Active Directory, см. в разделе цены на Azure AD.For information about the editions offered by Azure Active Directory, see Azure AD pricing. Функция синхронизации AD Connect доступна во всех выпусках.The AD Connect sync feature is available in all editions.

Виртуальные машины для N-уровневого приложенияVMs for N-Tier application

Развертывание включает инфраструктуру для N-уровневого приложения.The deployment includes infrastructure for an N-tier application. Для получения сведений о затратах на эти ресурсы запустите виртуальные машины для N-уровневой архитектуры.For cost information about these resources, Run VMs for an N-tier architecture.

Развертывание решенияDeploy the solution

В репозитории GitHub доступен шаблон развертывания эталонной архитектуры, реализующей эти рекомендации.A deployment for a reference architecture that implements these recommendations and considerations is available on GitHub. В этой эталонной архитектуре развертывается смоделированная локальная сеть в Azure, в которой можно выполнять проверки и экспериментировать.This reference architecture deploys a simulated on-premises network in Azure that you can use to test and experiment. Сведения о развертывании решения см. в файле сведений на сайте GitHub.To deploy the solution, see the readme on GitHub.