你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure AD Connect 和 Azure AD Connect Health 安装路线图

安装 Azure AD Connect

重要

Microsoft 不支持在正式记录的这些操作之外修改或操作 Azure AD Connect 同步。 其中的任何操作都可能会导致 Azure AD Connect 同步出现不一致或不受支持状态。因此,Microsoft 无法提供这种部署的技术支持。

可以在 Microsoft 下载中心找到 Azure AD Connect 的下载文件。

解决方案 方案
开始之前 - 硬件和先决条件
  • 开始安装 Azure AD Connect 之前所要完成的步骤。
  • 快速设置
  • 如果只有一个林 AD,我们建议使用此选项。
  • 使用密码同步以同一密码进行用户登录。
  • 自定义设置
  • 有多个林时使用。 支持许多本地拓扑
  • 自定义登录选项,例如直通身份验证、用于联合身份验证的 ADFS,或使用第三方标识提供者。
  • 自定义同步功能,例如筛选和写回。
  • 从 DirSync 升级
  • 在已有 DirSync 服务器运行的情况下使用。
  • 从 Azure AD Sync 或 Azure AD Connect 升级
  • 可以根据偏好选择多种不同的方法。
  • 安装后,应该验证程序是否按预期工作,并将许可证分配给用户。

    Azure AD Connect 安装后续步骤

    主题 链接
    下载 Azure AD Connect 下载 Azure AD Connect
    使用快速设置安装 Azure AD Connect 的快速安装
    使用自定义设置安装 Azure AD Connect 的自定义安装
    从 DirSync 升级 从 Azure AD 同步工具 (DirSync) 升级
    安装后 验证安装并分配许可证

    了解有关安装 Azure AD Connect 的详细信息

    还要预先了解 操作 注意事项。 可能要部署一台待机服务器,以便在发生灾难时轻松进行故障转移。 如果要频繁进行配置更改,应该计划部署一台暂存模式服务器。

    主题 链接
    支持的拓扑 Azure AD Connect 的拓扑
    设计概念 Azure AD Connect 设计概念
    用于安装的帐户 有关 Azure AD Connect 凭据和权限的详细信息
    操作规划 Azure AD Connect 同步:操作任务和注意事项
    用户登录选项 Azure AD Connect 用户登录选项

    配置同步功能

    Azure AD Connect 随附了多个可以选择启用或已按默认启用的功能。 在某些方案和拓扑中,有些功能可能需要进行其他配置。

    如果要限制同步到 Azure AD 的对象,可以使用筛选。 默认同步所有用户、联系人、组和 Windows 10 计算机。 可以根据域、OU 或属性更改筛选设置。

    密码哈希同步 可将 Active Directory 中的密码哈希同步到 Azure AD。 最终用户可以在本地与云中使用相同的密码,且只需在一个位置管理此密码。 由于它使用本地 Active Directory,因此用户还可以使用自己的密码策略。

    密码写回 可让用户在云中更改和重置其密码,及应用本地密码策略。

    设备写回可将 Azure AD 中注册的设备写回到本地 Active Directory,以便可以使用该设备进行条件访问。

    防止意外删除功能默认处于打开状态,它可以保护云目录,避免同时进行多次删除。 默认情况下,每运行一次可以进行 500 次删除。 可以根据组织大小更改此设置。

    使用快速设置安装时,将默认启用自动升级,确保 Azure AD Connect 始终保持最新版本。

    同步功能配置后续步骤

    主题 链接
    配置筛选 Azure AD Connect 同步:配置筛选
    密码哈希同步 密码哈希同步
    直通身份验证 直通身份验证
    密码写回 密码管理入门
    设备写回 在 Azure AD Connect 中启用设备写回
    防止意外删除 Azure AD Connect 同步:防止意外删除
    自动升级 Azure AD Connect:自动升级

    自定义 Azure AD Connect 同步

    Azure AD Connect 同步随附一个适用于大部分客户和拓扑的默认配置。 但总存在默认配置不适用的情况,因此必须进行调整。 可以根据本部分和链接主题中所述进行更改。

    如果以前没有用过同步拓扑,请先了解技术概念中所述的基本概念和术语。 Azure AD Connect 是在 MIIS2003、ILM2007 和 FIM2010 基础上演进而来的。 即使有些功能相同,但改变的部分也有很多。

    默认配置假设配置中可能存在多个林。 在这些拓扑中,用户对象可能表示为另一个林中的联系人。 用户还可能具有另一个资源林中的链接邮箱。 用户和联系人中介绍了默认配置的行为。

    同步的配置模型称为声明性预配。 高级属性流程使用函数来表示属性转换。 可以使用 Azure AD Connect 随附的工具来检查整个配置。 如果需要进行配置更改,请确保遵循最佳做法,以便可以更轻松地采用新版本。

    自定义 Azure AD Connect 同步的后续步骤

    主题 链接
    所有 Azure AD Connect 同步文章 Azure AD Connect 同步
    技术概念 Azure AD Connect 同步:技术概念
    了解默认配置 Azure AD Connect 同步:了解默认配置
    了解用户和联系人 Azure AD Connect 同步:了解用户和联系人
    声明性预配 Azure AD Connect 同步:了解声明性预配表达式
    更改默认配置 更改默认配置的最佳做法

    配置联合身份验证功能

    Azure AD Connect 提供多项功能,简化了使用 AD FS 通过 Azure AD 进行联合身份验证以及管理联合身份验证信任的过程。 Azure AD Connect 支持 Windows Server 2012R2 或更高版本上的 AD FS。

    更新 AD FS 场的 TLS/SSL 证书,即使你不使用 Azure AD Connect 管理联合身份验证信任。

    向场添加 AD FS 服务器,以便根据需要扩展场。

    修复信任(针对 Azure AD),只需单击数下即可。

    可将 ADFS 配置为支持多个域。 例如,在联合身份验证功能中可能需要使用多个顶级域。

    如果 ADFS 服务器未配置为自动更新 Azure AD 中的证书,或者如果使用非 ADFS 解决方案,则在需要更新证书时会通知你。

    配置联合身份验证功能的后续步骤

    主题 链接
    所有 AD FS 文章 Azure AD Connect 和联合身份验证
    配置带有子域的 ADFS 与 Azure AD 联合的多域支持
    管理 AD FS 场 使用 Azure AD Connect 管理和自定义 AD FS
    手动更新联合身份验证证书 续签 Microsoft 365 和 Azure AD 的联合身份验证证书

    Azure AD Connect Health 入门

    若要开始使用 Azure AD Connect Health,请执行以下步骤:

    1. 获取 Azure AD Premium开始试用
    2. 在标识服务器上下载并安装 Azure AD Connect Health 代理
    3. 查看 https://aka.ms/aadconnecthealth 处的 Azure AD Connect Health 仪表板。

    注意

    请记住,在查看 Azure AD Connect Health 仪表板中的数据之前,需要在目标服务器上安装 Azure AD Connect Health 代理。

    下载并安装 Azure AD Connect Health 代理

    Azure AD Connect Health 门户

    Azure AD Connect Health 门户显示警报、性能监视和使用情况分析的视图。 单击 https://aka.ms/aadconnecthealth URL 可转到 Azure AD Connect Health 的主边栏选项卡。 可以将边栏选项卡视为窗口。 在主边栏选项卡上,可以看到“快速启动”、Azure AD Connect Health 中的服务和其他配置选项。 请参阅下面的屏幕截图及其后面的简要说明。 部署代理后,运行状况服务会自动标识 Azure AD Connect Health 正在监视的服务。

    注意

    有关许可信息,请参阅 Azure AD Connect Health 常见问题解答Azure AD 定价页

    Azure AD Connect Health Portal

    • 快速启动:选择此选项会打开“快速启动”边栏选项卡。 可以选择“获取工具”来下载 Azure AD Connect Health 代理。 还可以访问文档并提供反馈。

    • Azure Active Directory Connect (同步):此选项显示 Azure AD Connect Health 当前正在监视的 Azure AD Connect 服务器。 “同步错误”条目将按类别显示第一个已载入的同步服务的基本同步错误。 选择“同步错误”条目时,打开的边栏选项卡会显示有关 Azure AD Connect 服务器的信息。 通过使用用于同步的 Azure AD Connect Health 详细了解相关功能。

    • Active Directory 联合身份验证服务:此选项显示 Azure AD Connect Health 当前正在监视的所有 AD FS 服务。 选择某个实例时,打开的边栏选项卡会显示有关该服务实例的信息。 该信息包括概述、属性、警报、监视情况,以及使用情况分析。 通过在 AD FS 中使用 Azure AD Connect Health 详细了解相关功能。

    • Active Directory 域服务:此选项显示 Azure AD Connect Health 当前正在监视的所有 AD DS 林。 选择某个林时,打开的边栏选项卡会显示有关该林的信息。 这些信息包括基本信息、域控制器仪表板、复制状态仪表板、警报和监视的概述。 通过在 AD DS 中使用 Azure AD Connect Health 详细了解相关功能。

    • 配置:此部分包含用于打开或关闭以下功能的选项:

      • Azure AD Connect Health 代理“自动更新”到最新版本:只要有新版本可用,就会自动更新 Azure AD Connect Health 代理。 默认情况下会启用此选项。
      • 仅出于故障排除目的,由 Microsoft 从 Azure AD 目录完整性“访问数据”:如果启用此选项,则 Microsoft 可以访问用户查看的相同数据。 此信息可用于故障排除,并提供必要的帮助。 默认情况下该选项处于禁用状态
    • 在“基于角色的访问控制(IAM)”部分中,可以管理基于角色对 Connect Health 数据的访问。

    后续步骤