Anpassad installation av Azure Active Directory Anslut

  • Artikel
  • 24 minuter för att läsa

Använd anpassade inställningar i Azure Active Directory (Azure AD) Anslut du vill ha fler alternativ för installationen. Använd de här inställningarna, till exempel om du har flera skogar eller om du vill konfigurera valfria funktioner. Använd anpassade inställningar i alla fall där expressinstallationen inte uppfyller dina distributions- eller topologibehov.

Krav:

Anpassade installationsinställningar

Om du vill konfigurera en anpassad installation för Azure AD Anslut går du igenom de guidesidor som beskrivs i följande avsnitt.

Standardinställningar

På sidan Express Inställningar väljer du Anpassa för att starta en installation med anpassade inställningar. Resten av den här artikeln vägleder dig genom den anpassade installationsprocessen. Använd följande länkar för att snabbt gå till informationen för en viss sida:

Installera nödvändiga komponenter

När du installerar synkroniseringstjänsterna kan du lämna det valfria konfigurationsavsnittet omarkerat. Azure AD Anslut uppsättningar allt automatiskt. Den uppsättningar en SQL Server 2019 Express LocalDB-instans, skapar lämpliga grupper och tilldelar behörigheter. Om du vill ändra standardvärdena avmarkerar du lämpliga rutor. I följande tabell sammanfattas dessa alternativ och innehåller länkar till ytterligare information.

Skärmbild som visar valfria val för de nödvändiga installationskomponenterna i Azure AD Anslut.

Valfri konfiguration Beskrivning
Ange en anpassad installationsplats Gör att du kan ändra standardinstallationssökvägen för Azure AD-Anslut.
Använda en befintlig SQL-server Gör att du kan SQL Server namn och instansnamn. Välj det här alternativet om du redan har en databasserver som du vill använda. För Instansnamn anger du instansnamnet, ett kommatecken och portnumret om SQL Server-instansen inte har surfning aktiverat. Ange sedan namnet på Azure AD Anslut databasen. Dina SQL bestämma om en ny databas kan skapas eller SQL måste skapa databasen i förväg. Om du har SQL Server administratörsbehörighet (SA) kan du läsa Installera Azure AD Anslut med hjälp av en befintlig databas. Om du har delegerade behörigheter (DBO) kan du läsa Installera Azure AD Anslut med hjälp SQL delegerade administratörsbehörigheter.
Använda ett befintligt tjänstkonto Som standard tillhandahåller Azure AD Anslut ett virtuellt tjänstkonto för synkroniseringstjänsterna. Om du använder en fjärrinstans av SQL Server eller använder en proxyserver som kräver autentisering kan du använda ett hanterat tjänstkonto eller ett lösenordsskyddat tjänstkonto i domänen. I dessa fall anger du det konto som du vill använda. Om du vill köra installationen måste du vara en SA SQL så att du kan skapa inloggningsuppgifter för tjänstkontot. Mer information finns i Azure AD Anslut och behörigheter.

Med hjälp av den senaste versionen SQL administratören nu etablera databasen out-of-band. Sedan kan Azure AD Anslut administratören installera den med behörighet som databasägare. Mer information finns i Installera Azure AD-Anslut med hjälp av SQL delegerade administratörsbehörigheter.
Ange anpassade synkroniseringsgrupper När synkroniseringstjänsterna installeras skapar Azure AD som Anslut fyra grupper som är lokala för servern. Dessa grupper är Administratörer, Operatörer, Bläddra och Återställning av lösenord. Du kan ange dina egna grupper här. Grupperna måste vara lokala på servern. De kan inte finnas i domänen.
Importera synkroniseringsinställningar (förhandsversion) Gör att du kan importera inställningar från andra versioner av Azure AD Anslut. Mer information finns i Importera och exportera Azure AD Anslut konfigurationsinställningar.

Användarinloggning

När du har installerat de nödvändiga komponenterna väljer du användarnas metod för enkel inloggning. I följande tabell beskrivs kortfattat de tillgängliga alternativen. En fullständig beskrivning av inloggningsmetoderna finns i Användarinloggning.

Skärmbild som visar sidan "Användarin logga in". Alternativet "Synkronisering av lösenordshashar" är markerat.

Alternativet enkel inloggning Beskrivning
Synkronisering av lösenordshash Användare kan logga in på Microsofts molntjänster, till exempel Microsoft 365, med samma lösenord som de använder i sitt lokala nätverk. Användarlösenord synkroniseras till Azure AD som en lösenordshashar. Autentisering sker i molnet. Mer information finns i Synkronisering av lösenordshashar.
Direktautentisering Användare kan logga in på Microsofts molntjänster, till exempel Microsoft 365, med samma lösenord som de använder i sitt lokala nätverk. Användarlösenord verifieras genom att skickas till lokal Active Directory domänkontrollanten.
Federation med AD FS Användare kan logga in på Microsofts molntjänster, till exempel Microsoft 365, med samma lösenord som de använder i sitt lokala nätverk. Användarna omdirigeras till sin lokala Azure Directory Federation Services-instans (AD FS) för att logga in. Autentisering sker lokalt.
Federation med PingFederate Användare kan logga in på Microsofts molntjänster, till exempel Microsoft 365, med samma lösenord som de använder i sitt lokala nätverk. Användare omdirigeras till sin lokala PingFederate-instans för att logga in. Autentisering sker lokalt.
Konfigurera inte Ingen användar inloggningsfunktion installeras eller konfigureras. Välj det här alternativet om du redan har en federationsserver från tredje part eller en annan lösning på plats.
Aktivera enkel inloggning Det här alternativet är tillgängligt med både synkronisering av lösenordshashar och direktautentisering. Det ger en enkel inloggningsupplevelse för skrivbordsanvändare i företagsnätverk. Mer information finns i Enkel inloggning.

Obs! För AD FS kunder är det här alternativet inte tillgängligt. AD FS erbjuder redan samma nivå av enkel inloggning.

Anslut till Azure AD

På sidan Anslut Azure AD anger du ett globalt administratörskonto och lösenord. Om du valde Federation AD FS på föregående sida ska du inte logga in med ett konto som finns i en domän som du planerar att aktivera för federation.

Du kanske vill använda ett konto i standarddomänen onmicrosoft.com, som medföljer din Azure AD-klientorganisation. Det här kontot används endast för att skapa ett tjänstkonto i Azure AD. Den används inte när installationen är klar.

Skärmbild som visar sidan "Anslut till Azure AD".

Om multifaktorautentisering är aktiverat för ditt globala administratörskonto anger du lösenordet igen i inloggningsfönstret och du måste slutföra multifaktorautentiseringsutmaningen. Utmaningen kan vara en verifieringskod eller ett telefonsamtal.

Skärmbild som visar sidan "Anslut till Azure AD". Ett fält för multifaktorautentisering uppmanar användaren att ange en kod.

Det globala administratörskontot kan också ha privilegierad identitetshantering aktiverat.

Om du ser ett fel eller har problem med anslutningen kan du gå till Felsöka anslutningsproblem.

Synkronisera sidor

I följande avsnitt beskrivs sidorna i avsnittet Synkronisera.

Anslut dina kataloger

För att kunna Active Directory Domain Services (Azure AD DS) behöver Azure AD Anslut skogsnamn och autentiseringsuppgifter för ett konto som har tillräcklig behörighet.

Skärmbild som visar sidan "Anslut dina kataloger".

När du har lagt till skogsnamnet och valt Lägg till katalog visas ett fönster. I följande tabell beskrivs dina alternativ.

Alternativ Beskrivning
Skapa ett nytt konto Skapa det Azure AD DS-konto som Azure AD Anslut måste ansluta till Active Directory-skogen under katalogsynkroniseringen. När du har valt det här alternativet anger du användarnamnet och lösenordet för ett företagsadministratörskonto. Azure AD Anslut använder det angivna företagsadministratörskontot för att skapa det Azure AD DS kontot. Du kan ange domändelen i NetBIOS-format eller FQDN-format. Det innebär att ange FABRIKAM\administrator eller fabrikam.com\administrator.
Använda befintligt konto Ange ett befintligt Azure AD DS som Azure AD Anslut kan använda för att ansluta till Active Directory-skogen under katalogsynkronisering. Du kan ange domändelen i NetBIOS-format eller FQDN-format. Det innebär att ange FABRIKAM\syncuser eller fabrikam.com\syncuser. Det här kontot kan vara ett vanligt användarkonto eftersom det bara behöver standardbehörigheterna för läsning. Men beroende på ditt scenario kan du behöva fler behörigheter. Mer information finns i Azure AD Anslut och behörigheter.

Skärmbild som visar sidan "Anslut Directory" och fönstret A D-skogskonto där du kan välja att skapa ett nytt konto eller använda ett befintligt konto.

Anteckning

Från och med version 1.4.18.0 kan du inte använda ett företagsadministratörs- eller domänadministratörskonto som Azure AD DS anslutningskonto. Om du försöker ange ett företagsadministratörskonto eller ett domänadministratörskonto när du väljer Använd befintligt konto visas följande felmeddelande: "Det är inte tillåtet att använda ett företags- eller domänadministratörskonto för ditt AD-skogskonto. Låt Azure AD Anslut skapa kontot åt dig eller ange ett synkroniseringskonto med rätt behörigheter."

Inloggningskonfiguration för Azure AD

På sidan för Azure AD-inloggningskonfiguration granskar du UPN-domänerna (användarens huvudnamn) i lokala Azure AD DS. Dessa UPN-domäner har verifierats i Azure AD. På den här sidan konfigurerar du attributet som ska användas för userPrincipalName.

Skärmbild som visar overifierade domäner på sidan "Azure A D-inloggningskonfiguration".

Granska varje domän som har markerats som Inte tillagd eller Inte verifierad. Kontrollera att de domäner som du använder har verifierats i Azure AD. När du har verifierat dina domäner väljer du ikonen för cirkulär uppdatering. Mer information finns i Lägga till och verifiera domänen.

Användare använder attributet userPrincipalName när de loggar in på Azure AD och Microsoft 365. Azure AD bör verifiera domänerna, även kallade UPN-suffix, innan användarna synkroniseras. Microsoft rekommenderar att du behåller standardattributet userPrincipalName.

Om attributet userPrincipalName inte kan verifieras kan du välja ett annat attribut. Du kan till exempel välja e-post som det attribut som innehåller inloggnings-ID:t. När du använder ett annat attribut än userPrincipalName kallas det för ett alternativt ID.

Attributvärdet för ett alternativt ID måste följa standarden RFC 822. Du kan använda ett alternativt ID med synkronisering av lösenordshash, direktautentisering och federation. I Active Directory kan attributet inte definieras som ett flervärdesattribut, även om det bara har ett värde. Mer information om det alternativa ID:t finns i Direktautentisering: Vanliga frågor och svar.

Anteckning

När du aktiverar direktautentisering måste du ha minst en verifierad domän för att fortsätta med den anpassade installationsprocessen.

Varning

Alternativa ID:er är inte kompatibla med alla Microsoft 365 arbetsbelastningar. Mer information finns i Konfigurera alternativa inloggnings-ID:er.

Domän- och organisationsenhetsfiltrering

Som standard synkroniseras alla domäner och organisationsenheter (ORGANISATIONSENHETER). Om du inte vill synkronisera vissa domäner eller OUs till Azure AD kan du avmarkera lämpliga val.

Skärmbild som visar filtreringssidan domän och O U.

Den här sidan konfigurerar domänbaserad och OU-baserad filtrering. Om du planerar att göra ändringar kan du se Domänbaserad filtrering och OU-baserad filtrering. Vissa OUs är viktiga för funktionalitet, så du bör lämna dem markerade.

Om du använder OU-baserad filtrering med en Azure AD Anslut version som är äldre än 1.1.524.0 synkroniseras nya organisationsenheten som standard. Om du inte vill att nya organisationsenheten ska synkroniseras kan du justera standardbeteendet efter det OU-baserade filtreringssteget. För Azure AD Anslut 1.1.524.0 eller senare kan du ange om du vill att nya OUs ska synkroniseras.

Om du planerar att använda gruppbaseradfiltrering kontrollerar du att organisationsenheten med gruppen ingår och inte filtreras med ou-filtrering. OU-filtrering utvärderas innan gruppbaserad filtrering utvärderas.

Det är också möjligt att vissa domäner inte kan nås på grund av brandväggsbegränsningar. Dessa domäner är avmarkerade som standard och visar en varning.

Skärmbild som visar domäner som inte kan nås.

Om du ser den här varningen kontrollerar du att dessa domäner verkligen inte kan nås och att varningen är förväntad.

Identifiera användarna unikt

På sidan Identifiera användare väljer du hur du identifierar användare i dina lokala kataloger och hur du identifierar dem med hjälp av attributet sourceAnchor.

Välj hur användare ska identifieras i dina lokala kataloger

Med funktionen Matchande mellan skogar kan du definiera hur användare från dina Azure AD DS representeras i Azure AD. En användare kan endast representeras en gång i alla skogar eller ha en kombination av aktiverade och inaktiverade konton. Användaren kan också vara representerad som en kontakt i vissa skogar.

Skärmbild som visar sidan där du kan identifiera dina användare unikt.

Inställning Beskrivning
Användare representeras bara en gång i alla skogar Alla användare skapas som enskilda objekt i Azure AD. Objekten är inte sammanfogade i metaversum.
E-postattribut Det här alternativet kopplar ihop användare och kontakter om e-postattributet har samma värde i olika skogar. Använd det här alternativet när dina kontakter skapades med hjälp av GALSync. Om du väljer det här alternativet synkroniseras inte användarobjekt vars e-postattribut är inlästa i Azure AD.
ObjectSID- och msExchangeMasterAccountSID/msRTCSIP-OriginatorSID-attribut Det här alternativet kopplar ihop en aktiverad användare i en kontoskog med en inaktiverad användare i en resursskog. I Exchange kallas den här konfigurationen för en länkad postlåda. Du kan använda det här alternativet om du bara använder Lync och Exchange inte finns i resursskogen.
SAMAccountName- och MailNickName-attribut Det här alternativet ansluter till attribut där inloggnings-ID:t för användaren förväntas hittas.
Välj ett specifikt attribut Med det här alternativet kan du välja ett eget attribut. Om du väljer det här alternativet synkroniseras inte användarobjekt vars (valda) attribut är inlästa i Azure AD. Begränsning: Endast attribut som redan finns i metaversum är tillgängliga för det här alternativet.

Välj hur användare ska identifieras med hjälp av en källankare

Attributet sourceAnchor kan inte ändras under livslängden för ett användarobjekt. Det är den primära nyckeln som länkar den lokala användaren till användaren i Azure AD.

Inställning Beskrivning
Låt Azure hantera källankaren Välj det här alternativet om du vill att Azure AD ska hämta attributet. Om du väljer det här alternativet använder Azure AD Anslut sourceAnchor-attributvalslogiken som beskrivs i Använda ms-DS-ConsistencyGuid som sourceAnchor. När den anpassade installationen är klar ser du vilket attribut som har valts som sourceAnchor-attribut.
Välj ett specifikt attribut Välj det här alternativet om du vill ange ett befintligt AD-attribut som sourceAnchor-attribut.

Eftersom attributet sourceAnchor inte kan ändras måste du välja ett lämpligt attribut. En bra kandidat är objectGUID. Det här attributet ändras inte om inte användarkontot flyttas mellan skogar eller domäner. Välj inte attribut som kan ändras när en person byter namn.

Du kan inte använda attribut som innehåller ett @-tecken, så du kan inte använda e-post och userPrincipalName. Attributet är också fallkänsligt, så när du flyttar ett objekt mellan skogar ser du till att bevara versaler och gemener. Binära attribut är Base64-kodade, men andra attributtyper är kvar i sitt okodade tillstånd.

I federationsscenarier och vissa Azure AD-gränssnitt kallas attributet sourceAnchor även immutableID.

Mer information om källankaren finns i Designbegrepp.

Synkroniseringsfiltrering baserat på grupper

Med funktionen filtrering på grupper kan du bara synkronisera en liten delmängd objekt för ett pilotprojekt. Om du vill använda den här funktionen skapar du en grupp för detta ändamål i din lokala instans av Active Directory. Lägg sedan till användare och grupper som ska synkroniseras till Azure AD som direkta medlemmar. Du kan senare lägga till användare eller ta bort användare från den här gruppen för att behålla listan över objekt som ska finnas i Azure AD.

Alla objekt som du vill synkronisera måste vara direkta medlemmar i gruppen. Användare, grupper, kontakter och datorer eller enheter måste alla vara direkta medlemmar. Kapslat gruppmedlemskap är inte löst. När du lägger till en grupp som en medlem läggs bara själva gruppen till. Dess medlemmar läggs inte till.

Skärmbild som visar sidan där du kan välja hur du vill filtrera användare och enheter.

Varning

Den här funktionen är endast avsedd att stödja en pilotdistribution. Använd den inte i en fullständig produktionsdistribution.

I en fullständig produktionsdistribution skulle det vara svårt att underhålla en enda grupp och alla dess objekt att synkronisera. I stället för funktionen filtrering på grupper använder du någon av metoderna som beskrivs i Konfigurera filtrering.

Valfria funktioner

På nästa sida kan du välja valfria funktioner för ditt scenario.

Varning

Azure AD Anslut version 1.0.8641.0 och tidigare använder Azure Access Control Service för tillbakaskrivning av lösenord. Den här tjänsten togs ur bruk den 7 november 2018. Om du använder någon av dessa versioner av Azure AD Anslut och har aktiverat tillbakaskrivning av lösenord kan användarna förlora möjligheten att ändra eller återställa sina lösenord när tjänsten dras tillbaka. De här versionerna av Azure AD Anslut stöder inte tillbakaskrivning av lösenord.

Mer information finns i Migrera från Azure Access Control Service.

Om du vill använda tillbakaskrivning av lösenord laddar du ned den senaste versionen av Azure AD Anslut.

Skärmbild som visar sidan Valfria funktioner.

Varning

Om Azure AD Sync eller direktsynkronisering (DirSync) är aktiva ska du inte aktivera några tillbakaskrivningsfunktioner i Azure AD Anslut.

Valfria funktioner Beskrivning
Exchange hybriddistribution Funktionen Exchange hybriddistribution möjliggör samexistens mellan Exchange postlådor både lokalt och i Microsoft 365. Azure AD Anslut synkroniserar en specifik uppsättning attribut från Azure AD tillbaka till din lokala katalog.
Exchange gemensamma mappar för e-post Funktionen Exchange gemensamma mappar för e-post gör att du kan synkronisera e-postaktiverade offentliga mappobjekt från din lokala instans av Active Directory till Azure AD.
Filtrering av Azure AD-appar och -attribut Genom att aktivera filtrering av Azure AD-appar och -attribut kan du skräddarsy uppsättningen med synkroniserade attribut. Det här alternativet lägger till ytterligare två konfigurationssidor i guiden. Mer information finns i Filtrering av Azure AD-appar och -attribut.
Synkronisering av lösenordshash Om du valde federation som inloggningslösning kan du aktivera synkronisering av lösenordshashar. Sedan kan du använda det som ett säkerhetskopieringsalternativ.

Om du har valt direktautentisering kan du aktivera det här alternativet för att säkerställa stöd för äldre klienter och för att tillhandahålla en säkerhetskopia.

Mer information finns i Synkronisering av lösenordshashar.
Tillbakaskrivning av lösenord Använd det här alternativet för att säkerställa att lösenordsändringar som kommer från Azure AD skrivs tillbaka till din lokala katalog. Mer information finns i Komma igång med lösenordshantering.
Tillbakaskrivning av grupp Om du använder Microsoft 365-grupper kan du representera grupper i din lokala instans av Active Directory. Det här alternativet är bara tillgängligt om Exchange har aktiverats i din lokala instans av Active Directory. Mer information finns i Azure AD Anslut tillbakaskrivning av grupper.
Tillbakaskrivning av enheter I scenarier med villkorlig åtkomst använder du det här alternativet för att skriva tillbaka enhetsobjekt i Azure AD till din lokala instans av Active Directory. Mer information finns i Aktivera tillbakaskrivning av enheter i Azure AD Connect.
Synkronisering av katalogtilläggsattribut Välj det här alternativet om du vill synkronisera angivna attribut till Azure AD. Mer information finns i Katalogtillägg.

Filtrering av Azure AD-appar och -attribut

Om du vill begränsa vilka attribut som ska synkroniseras med Azure AD börjar du med att välja de tjänster som du använder. Om du ändrar valen på den här sidan måste du uttryckligen välja en ny tjänst genom att köra installationsguiden igen.

Skärmbild som visar valfria funktioner i Azure A D-appar.

Den här sidan visar alla attribut som synkroniseras baserat på de tjänster som du valde i föregående steg. Den här listan är en kombination av alla objekttyper som synkroniseras. Om du vill att vissa attribut ska förbli osynkroniserade kan du avmarkera valet från dessa attribut.

Skärmbild som visar valfria attributfunktioner i Azure A D.

Varning

Att ta bort attribut kan påverka funktionaliteten. Metodtips och rekommendationer finns i Attribut som ska synkroniseras.

Synkronisering av katalogtilläggsattribut

Du kan utöka schemat i Azure AD med hjälp av anpassade attribut som din organisation har lagt till eller med hjälp av andra attribut i Active Directory. Om du vill använda den här funktionen går du till sidan Valfria funktioner och väljer Katalogtilläggsattributsynkronisering. På sidan Katalogtillägg kan du välja fler attribut att synkronisera.

Anteckning

Fältet Tillgängliga attribut är fallkänsligt.

Skärmbild som visar sidan "Katalogtillägg".

Mer information finns i Katalogtillägg.

Aktivera enkel inloggning

På sidan Enkel inloggning konfigurerar du enkel inloggning för användning med lösenordssynkronisering eller direktautentisering. Du gör det här steget en gång för varje skog som synkroniseras med Azure AD. Konfigurationen omfattar två steg:

  1. Skapa det nödvändiga datorkontot i din lokala instans av Active Directory.
  2. Konfigurera zonen Intranät för klientdatorerna så att den stöder enkel inloggning.

Skapa datorkontot i Active Directory

För varje skog som har lagts till i Azure AD Anslut måste du ange autentiseringsuppgifter för domänadministratören så att datorkontot kan skapas i varje skog. Autentiseringsuppgifterna används bara för att skapa kontot. De lagras inte eller används inte för någon annan åtgärd. Lägg till autentiseringsuppgifterna på sidan Aktivera enkel inloggning, som du ser i följande bild.

Skärmbild som visar sidan "Aktivera enkel inloggning". Skogsautentiseringsuppgifter läggs till.

Anteckning

Du kan hoppa över skogar där du inte vill använda enkel inloggning.

Konfigurera zonen Intranät för klientdatorer

Kontrollera att URL:en är en del av zonen Intranät för att säkerställa att klienten loggar in automatiskt i zonen Intranät. Det här steget säkerställer att den domänanslutna datorn automatiskt skickar en Kerberos-biljett till Azure AD när den är ansluten till företagsnätverket.

På en dator som har grupprincip hanteringsverktyg:

  1. Öppna grupprincip hanteringsverktyg.

  2. Redigera den grupprincip som ska tillämpas på alla användare. Till exempel standarddomänprincipen.

  3. Gå till Sidan Administrativa mallar > > Windows Internet Explorer > > Internet Kontrollpanelen > Security. Välj sedan Tilldelningslista för plats till zon.

  4. Aktivera principen. I dialogrutan anger du sedan värdenamnet och https://autologon.microsoftazuread-sso.com värdet 1 för . Konfigurationen bör se ut som på följande bild.

    Skärmbild som visar intranätzoner.

  5. Välj OK två gånger.

Konfigurera federation med AD FS

Du kan konfigurera AD FS med Azure AD Anslut med bara några klick. Innan du börjar behöver du:

  • Windows Server 2012 R2 eller senare för federationsservern. Fjärrhantering ska vara aktiverat.
  • Windows Server 2012 R2 eller senare för webbaserade Programproxy servern. Fjärrhantering ska vara aktiverat.
  • Ett TLS/SSL-certifikat för federationstjänstens namn som du tänker använda (till exempel sts.contoso.com).

Anteckning

Du kan uppdatera ett TLS/SSL-certifikat för din AD FS-servergrupp med hjälp av Azure AD Anslut även om du inte använder det för att hantera federationsförtroende.

AD FS för konfiguration

Om du vill konfigurera AD FS servergrupp med hjälp av Azure AD Anslut se till att WinRM är aktiverat på fjärrservrarna. Kontrollera att du har slutfört de andra uppgifterna i Federationsförutsättningar. Se också till att du följer portkraven som anges i tabellen azure AD-Anslut-servrar och federations-/WAP-servrar.

Skapa en ny AD FS-servergrupp eller använd en befintlig AD FS-servergrupp

Du kan använda en befintlig AD FS servergrupp eller skapa en ny. Om du väljer att skapa ett nytt måste du ange TLS/SSL-certifikatet. Om TLS/SSL-certifikatet skyddas av ett lösenord uppmanas du att ange lösenordet.

Skärmbild som visar sidan "A D F S Farm"

Om du väljer att använda en AD FS servergrupp visas sidan där du kan konfigurera förtroenderelationen mellan AD FS och Azure AD.

Anteckning

Du kan använda Azure AD Anslut att endast hantera en AD FS servergrupp. Om du har ett befintligt federationsförtroende där Azure AD har konfigurerats på den valda AD FS-servergruppen, skapar Azure AD Anslut om förtroendet från grunden.

Ange AD FS-servrarna

Ange de servrar där du vill installera AD FS. Du kan lägga till en eller flera servrar, beroende på dina kapacitetsbehov. Innan du ställer in den här konfigurationen ansluter du alla AD FS till Active Directory. Det här steget krävs inte för webbaserade Programproxy servrar.

Microsoft rekommenderar att du installerar en enskild AD FS-server för test- och pilotdistributioner. Efter den inledande konfigurationen kan du lägga till och distribuera fler servrar för att uppfylla dina skalningsbehov genom att köra Azure AD Anslut igen.

Anteckning

Innan du ställer in den här konfigurationen måste du se till att alla dina servrar är ansluten till en Azure AD-domän.

Skärmbild som visar sidan "Federationsservrar".

Ange webbprogramproxyservrarna

Ange Programproxy webbservrar. Webbservern Programproxy distribueras i perimeternätverket mot extranätet. Den stöder autentiseringsbegäranden från extranätet. Du kan lägga till en eller flera servrar, beroende på dina kapacitetsbehov.

Microsoft rekommenderar att du installerar en enda webbserver Programproxy för test- och pilotdistributioner. Efter den inledande konfigurationen kan du lägga till och distribuera fler servrar för att uppfylla dina skalningsbehov genom att köra Azure AD Anslut igen. Vi rekommenderar att du har ett motsvarande antal proxyservrar för att uppfylla autentiseringen från intranätet.

Anteckning

  • Om det konto som du använder inte är en lokal administratör på Programproxy-servrarna uppmanas du att ange autentiseringsuppgifter som administratör.
  • Innan du anger Programproxy-servrar måste du kontrollera att det finns en HTTP/HTTPS-anslutning mellan Azure AD-Anslut-servern och Programproxy servern.
  • Kontrollera att det finns en HTTP/HTTPS-anslutning mellan webbprogramservern och AD FS att tillåta att autentiseringsbegäranden flödar igenom.

Skärmbild som visar sidan Programproxy webbservrar.

Du uppmanas att ange autentiseringsuppgifter så att webbprogramservern kan upprätta en säker anslutning till AD FS servern. Dessa autentiseringsuppgifter måste vara för ett lokalt administratörskonto på AD FS servern.

Skärmbild som visar sidan "Autentiseringsuppgifter". Administratörsautentiseringsuppgifter anges i fältet användarnamn och lösenord.

Ange tjänstkontot för AD FS-tjänsten

Tjänsten AD FS kräver ett domäntjänstkonto för att autentisera användare och för att söka efter användarinformation i Active Directory. Två typer av tjänstkonton stöds:

  • Grupp hanterat tjänstkonto: Den här kontotypen introducerades i AD DS av Windows Server 2012. Den här typen av konto tillhandahåller tjänster som AD FS. Det är ett enda konto där du inte behöver uppdatera lösenordet regelbundet. Använd det här alternativet om du redan har Windows Server 2012-domänkontrollanter i den domän som AD FS-servrarna tillhör.
  • Domänanvändarkonto: Den här typen av konto kräver att du anger ett lösenord och regelbundet uppdaterar det när det upphör att gälla. Använd bara det här alternativet om du inte Windows Server 2012 domänkontrollanter i den domän som AD FS-servrarna tillhör.

Om du har valt Skapa ett gruppkonto för hanterad tjänst och den här funktionen aldrig har använts i Active Directory anger du autentiseringsuppgifterna för företagsadministratören. Dessa autentiseringsuppgifter används för att initiera nyckelarkivet och aktivera funktionen i Active Directory.

Anteckning

Azure AD Anslut kontrollerar om AD FS-tjänsten redan har registrerats som ett tjänsthuvudnamn (SPN) i domänen. Azure AD DS tillåter inte att duplicerade SPN registreras samtidigt. Om ett duplicerat SPN hittas kan du inte fortsätta förrän SPN har tagits bort.

Skärmbild som visar sidan "A D F S-tjänstkonto".

Välj den Azure AD-domän som du vill federera

Använd sidan Azure AD-domän för att konfigurera federationsrelationen mellan AD FS och Azure AD. Här konfigurerar du AD FS att tillhandahålla säkerhetstoken till Azure AD. Du konfigurerar även Azure AD att lita på token från den här AD FS instansen.

På den här sidan kan du bara konfigurera en enda domän i den första installationen. Du kan konfigurera flera domäner senare genom att köra Azure AD Connect igen.

Skärmbild som visar sidan "Azure A D-domän".

Verifiera Azure AD-domänen som valts för federation

När du väljer den domän som du vill federera tillhandahåller Azure AD Anslut information som du kan använda för att verifiera en overifierad domän. Mer information finns i Lägga till och verifiera domänen.

Skärmbild som visar sidan "Azure A D-domän", inklusive information som du kan använda för att verifiera domänen.

Anteckning

Azure AD Anslut försöker verifiera domänen under konfigurationsfasen. Om du inte lägger till de Domain Name System posterna (DNS) kan konfigurationen inte slutföras.

Konfigurera federation med PingFederate

Du kan konfigurera PingFederate med Azure AD Anslut med bara några klick. Följande krav är uppfyllda:

Verifiera domänen

När du har valt att konfigurera federation med hjälp av PingFederate uppmanas du att verifiera domänen som du vill federera. Välj domänen i den nedrullningsna menyn.

Skärmbild som visar sidan "Azure A D-domän". Exempeldomänen "contoso.com" har valts.

Exportera PingFederate-inställningar

Konfigurera PingFederate som federationsserver för varje federerad Azure-domän. Välj Exportera Inställningar att dela den här informationen med din PingFederate-administratör. Federationsserveradministratören uppdaterar konfigurationen och tillhandahåller sedan PingFederate-serverns URL och portnummer så att Azure AD Anslut kan verifiera inställningarna för metadata.

Skärmbild som visar sidan PingFederate settings (PingFederate-inställningar). Knappen "Exportera Inställningar" visas längst upp på sidan.

Kontakta PingFederate-administratören för att lösa eventuella verifieringsproblem. Följande bild visar information om en PingFederate-server som inte har någon giltig förtroenderelation med Azure.

Skärmbild som visar serverinformation: PingFederate-servern hittades, men tjänstleverantörsanslutningen för Azure saknas eller är inaktiverad.

Verifiera federationsanslutning

Azure AD Anslut försöker verifiera autentiseringsslutpunkterna som hämtas från PingFederate-metadata i föregående steg. Azure AD Anslut försöker först matcha slutpunkterna med hjälp av dina lokala DNS-servrar. Därefter försöker den matcha slutpunkterna med hjälp av en extern DNS-provider. Kontakta PingFederate-administratören för att lösa eventuella verifieringsproblem.

Skärmbild som visar sidan Verifiera anslutning.

Verifiera federations inloggning

Slutligen kan du kontrollera det nyligen konfigurerade federerade inloggningsflödet genom att logga in på den federerade domänen. Om inloggningen lyckas konfigureras federation med PingFederate.

Skärmbild som visar sidan "Verifiera federerad inloggning". Ett meddelande längst ned anger att inloggningen lyckades.

Konfigurera och verifiera sidor

Konfigurationen sker på sidan Konfigurera.

Anteckning

Om du har konfigurerat federation kontrollerar du att du också har konfigurerat Namnmatchning för federationsservrar innan du fortsätter installationen.

Skärmbild som visar sidan "Klar att konfigurera".

Använda mellanlagringsläge

Det går att konfigurera en ny synkroniseringsserver parallellt med mellanlagringsläget. Om du vill använda den här konfigurationen kan endast en synkroniseringsserver exportera till en katalog i molnet. Men om du vill flytta från en annan server, till exempel en server som kör DirSync, kan du aktivera Azure AD-Anslut i mellanlagringsläge.

När du aktiverar mellanlagringsinstallationen importerar och synkroniserar synkroniseringsmotorn data som vanligt. Men den exporterar inga data till Azure AD eller Active Directory. I mellanlagringsläge inaktiveras funktionen för lösenordssynkronisering och tillbakaskrivning av lösenord.

Skärmbild som visar alternativet "Aktivera mellanlagringsläge".

I mellanlagringsläge kan du göra nödvändiga ändringar i synkroniseringsmotorn och granska vad som kommer att exporteras. När konfigurationen ser bra ut kör du installationsguiden igen och inaktiverar mellanlagringsläge.

Data exporteras nu till Azure AD från servern. Se till att inaktivera den andra servern på samma gång så att endast en server exporterar aktivt.

Mer information finns i Mellanlagringsläge.

Verifiera federationkonfigurationen

Azure AD Anslut verifierar DNS-inställningarna när du väljer knappen Verifiera. Den kontrollerar följande inställningar:

  • Intranätanslutning
    • Lös FQDN för federation: Azure AD Anslut kontrollerar om DNS kan matcha federations-FQDN för att säkerställa anslutningen. Om Azure AD Anslut kan lösa FQDN misslyckas verifieringen. Kontrollera att det finns en DNS-post för federationstjänstens FQDN för att slutföra verifieringen.
    • DNS A-post: Azure AD Anslut kontrollerar om federationstjänsten har en A-post. Om det inte finns någon A-post misslyckas verifieringen. Slutför verifieringen genom att skapa en A-post (inte en CNAME-post) för federations-FQDN.
  • Extranätsanslutning

    • Lös FQDN för federation: Azure AD Anslut kontrollerar om DNS kan matcha federations-FQDN för att säkerställa anslutningen.

      Skärmbild som visar sidan "Installationen är klar".

      Skärmbild som visar sidan "Installationen är klar". Ett meddelande anger att intranätskonfigurationen har verifierats.

Utför ett eller flera av följande tester manuellt för att verifiera autentisering från end-to-end:

  • När synkroniseringen är klar i Azure AD Anslut du ytterligare uppgiften Verifiera federerad inloggning för att verifiera autentiseringen för ett lokalt användarkonto som du väljer.
  • Kontrollera att du kan logga in från en webbläsare från en domän-ansluten dator på intranätet. Anslut till https://myapps.microsoft.com . Använd sedan ditt inloggade konto för att verifiera inloggningen. Det inbyggda Azure AD DS administratörskontot synkroniseras inte och du kan inte använda det för verifiering.
  • Se till att du kan logga in från en enhet i extranätet. Anslut till på en hemdator eller en mobil https://myapps.microsoft.com enhet. Ange sedan dina autentiseringsuppgifter.
  • Verifiera inloggningen på en rich-klient. Anslut till https://testconnectivity.microsoft.com . Välj sedan Office 365 > Office 365 Single Sign-On Test.

Felsöka

Det här avsnittet innehåller felsökningsinformation som du kan använda om du har problem när du installerar Azure AD Anslut.

När du anpassar en Azure AD Anslut-installation går du till sidan Installera nödvändiga komponenter och väljer Använd en befintlig SQL Server. Du kan se följande fel: "ADSync databasen innehåller redan data och kan inte skrivas över. Ta bort den befintliga databasen och försök igen."

Skärmbild som visar sidan "Installera nödvändiga komponenter". Ett fel visas längst ned på sidan.

Det här felet visas eftersom en databas med ADSync redan finns på den SQL instans av SQL Server som du har angett.

Det här felet visas vanligtvis när du har avinstallerat Azure AD Anslut. Databasen tas inte bort från den dator som kör SQL Server när du avinstallerar Azure AD Anslut.

Så här åtgärdar du det här problemet:

  1. Kontrollera den ADSync som Azure AD Anslut använde innan den avinstallerades. Kontrollera att databasen inte längre används.

  2. Back up the database ( 3 000 000

  3. Ta bort databasen:

    1. Använd Microsoft SQL Server Management Studio för att ansluta till SQL instansen.
    2. Leta upp ADSync databasen och högerklicka på den.
    3. Välj Ta bort på snabbmenyn.
    4. Välj OK för att ta bort databasen.

Skärmbild som visar Microsoft SQL Server Management Studio. En D-synkronisering har valts.

När du har tagit ADSync databasen väljer du Installera för att försöka installera igen.

Nästa steg

När installationen är klar loggar du ut från Windows. Logga sedan in igen innan du använder Synchronization Service Manager eller Synchronization Rule Editor.

Nu när du har installerat Azure AD Anslut kan du verifiera installationen och tilldela licenser.

Mer information om de funktioner som du aktiverade under installationen finns i Förhindra oavsiktliga borttagningar och Azure AD Anslut Health.

Mer information om andra vanliga ämnen finns i Azure AD Anslut sync: Scheduler och Integrate your on-premises identities with Azure AD(Azure AD-synkronisering: Scheduler och Integrera dina lokala identiteter med Azure AD).