Självstudie: Integrera en enskild skog med en enda Azure AD-klientorganisation

  • Artikel
  • 4 minuter för att läsa

Den här självstudien visar dig hur du skapar en hybrididentitetsmiljö med hjälp Azure Active Directory (Azure AD) Connect-molnsynkronisering.

Skapa

Du kan använda miljön som du skapar i den här självstudien för testning eller för att bekanta dig med molnsynkronisering.

Förutsättningar

I Azure Active Directory administrationscenter

  1. Skapa ett globalt administratörskonto endast för molnet i din Azure AD-klientorganisation. På så sätt kan du hantera konfigurationen av din klientorganisation om dina lokala tjänster misslyckas eller blir otillgängliga. Lär dig mer om att lägga till ett globalt administratörskonto för endast molnet. Det är viktigt att slutföra det här steget för att se till att du inte blir utelåst från din klientorganisation.
  2. Lägg till ett eller flera anpassade domännamn i din Azure AD-klientorganisation. Användarna kan logga in med något av dessa domännamn.

I din lokala miljö

  1. Identifiera en domän-ansluten värdserver som kör Windows Server 2016 eller senare med minst 4 GB RAM-minne och .NET 4.7.1+ körning

  2. Om det finns en brandvägg mellan dina servrar och Azure AD konfigurerar du följande objekt:

    • Kontrollera att agenter kan göra utgående begäranden till Azure AD via följande portar:

      Portnummer Hur den används
      80 Laddar ned listor över återkallade certifikat (CRL) vid validering av TLS/SSL-certifikatet
      443 Hanterar all utgående kommunikation med tjänsten
      8080 (valfritt) Agenter rapporterar sin status var 10:e minut via port 8080 om port 443 inte är tillgänglig. Den här statusen visas i Azure AD-portalen.

      Om brandväggen framtvingar regler baserat på de användare som genererar den öppnar du dessa portar för trafik från Windows-tjänster som körs som en nätverkstjänst.

    • Om brandväggen eller proxyservern tillåter att du anger säkra suffix lägger du till anslutningar t till * .msappproxy.net * och .servicebus.windows.net. Om inte, tillåt åtkomst till AZURE-datacentrets IP-intervall, som uppdateras varje vecka.

    • Dina agenter behöver åtkomst till login.windows.net och login.microsoftonline.com för den första registreringen. Öppna även brandväggen för dessa URL:er.

    • För certifikatverifiering avblockerar du följande WEBBADRESSer: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 och www . microsoft.com:80. Eftersom dessa URL:er används för certifikatverifiering med andra Microsoft-produkter kan dessa URL:er redan vara avblockerade.

Installera Azure AD Connect etableringsagenten

  1. Logga in på den domän-ansluten-servern. Om du använder självstudien Grundläggande A D och Azure-miljö skulle det vara DC1.

  2. Logga in på Azure Portal med endast molnbaserade autentiseringsuppgifter för global administratör.

  3. Till vänster väljer du Azure Active Directory, klickar Azure AD Connect och i mitten väljer du Hantera molnsynkronisering.

    Azure Portal

  4. Klicka på Ladda ned agent.

  5. Kör Azure AD Connect etableringsagenten.

  6. På välkomstskärmen godkänner du licensvillkoren och klickar på Installera.

    Skärmbild som visar välkomstskärmen "Microsoft Azure A D Connect Provisioning Agent Package".

  7. När den här åtgärden har slutförts startas konfigurationsguiden. Logga in med ditt globala administratörskonto för Azure AD. Observera att om du har förbättrad säkerhet i IE aktiverat blockeras inloggningen. Om så är fallet stänger du installationen, inaktiverar förbättrad IE-säkerhet i Serverhanteraren och klickar på guiden AAD Connect Provisioning Agent för att starta om installationen.

  8. På skärmen Anslut Active Directory klickar du på Lägg till katalog och loggar sedan in med ditt Active Directory-domänadministratörskonto. Obs! Domänadministratörskontot bör inte ha krav på lösenordsändring. Om lösenordet upphör att gälla eller ändras måste du konfigurera om agenten med de nya autentiseringsuppgifterna. Den här åtgärden lägger till din lokala katalog. Klicka på Nästa.

    Skärmbild av skärmen "Anslut Active Directory".

  9. Klicka på Bekräfta på skärmen Konfigurationen är klar. Den här åtgärden registrerar och startar om agenten.

    Skärmbild som visar skärmen "Konfigurationen är klar".

  10. När den här åtgärden har slutförts bör du se ett meddelande: Agentkonfigurationen har verifierats. Du kan klicka på Avsluta.
    Välkomstskärmen

  11. Om du fortfarande ser den första välkomstskärmen klickar du på Stäng.

Verifiera agentinstallationen

Agentverifiering sker i Azure Portal och på den lokala server som kör agenten.

Azure Portal agentverifiering

Så här kontrollerar du att agenten visas i Azure:

  1. Logga in på Azure-portalen.

  2. Till vänster väljer du Azure Active Directory , klickar Azure AD Connect och i mitten väljer du Hantera molnsynkronisering.
    Azure-portalen

  3. På skärmen Azure AD Connect molnsynkronisering klickar du på Granska alla agenter. Azure A D-etablering

  4. På skärmen Lokala etableringsagenter visas de agenter som du har installerat. Kontrollera att agenten i fråga finns där och är markerad som aktiv. Etableringsagenter

På den lokala servern

Så här kontrollerar du att agenten körs:

  1. Logga in på servern med ett administratörskonto
  2. Öppna Tjänster genom att antingen navigera till den eller genom att gå till Start/Run/Services.msc.
  3. Under Tjänster kontrollerar du Microsoft Azure AD Connect Agent Updater och Microsoft Azure AD Connect Provisioning Agent finns och att statusen är Kör. Tjänster

Konfigurera Azure AD Connect molnsynkronisering

Använd följande steg för att konfigurera etablering

  1. Logga in på Azure AD-portalen.
  2. Klicka på Azure Active Directory
  3. Klicka på Azure AD Connect
  4. Välj Hantera molnsynkronisering Skärmbild som visar länken "Hantera molnsynkronisering".
  5. Klicka på Ny konfiguration Skärmbild av Azure A D Connect-molnsynkroniseringsskärmen med länken "Ny konfiguration" markerad.
  6. På konfigurationsskärmen anger du ett e-postmeddelande, flyttar väljaren till Aktivera och klickar på Spara. Skärmbild av skärmen Konfigurera med e-postmeddelandet ifyllt och Aktivera valt.
  7. Konfigurationsstatusen bör nu vara Felfri. Skärmbild av molnsynkroniseringsskärmen i Azure A D Connect med statusen Felfri.

Verifiera att användare skapas och att synkronisering sker

Nu ska du kontrollera att de användare som du hade i din lokala katalog har synkroniserats och nu finns i din Azure AD-klientorganisation. Observera att det kan ta några timmar att slutföra. För att verifiera att användarna synkroniseras gör du följande.

  1. Bläddra till Azure-portalen och logga in med ett konto som har en Azure-prenumeration.
  2. Välj Azure Active Directory till vänster
  3. Under Hantera väljer du Användare.
  4. Kontrollera att du ser de nya användarna i din klientorganisation

Testa att logga in med en av dina användare

  1. Gå till https://myapps.microsoft.com
  2. Logga in med ett användarkonto som har skapats i din klientorganisation. Du måste logga in med följande format: (user@domain.onmicrosoft.com). Använd samma lösenord som användaren använder för att logga in lokalt.
    Verifiera

Nu har du konfigurerat en hybrididentitetsmiljö med hjälp Azure AD Connect molnsynkronisering.

Nästa steg