Microsoft Entra Connect 的自訂安裝
當您想要安裝更多選項時,請在 Microsoft Entra 連線 中使用自定義設定。 例如,如果您有多個樹系,或想要設定選擇性功能,請使用這些設定。 在所有快速安裝不符合部署或拓撲需求的情況下,使用自定義設定。
先決條件:
- 下載 Microsoft Entra 連線。
- 完成 Microsoft Entra 連線:硬體和必要條件中的先決條件步驟。
- 請確定您有 Microsoft Entra 中所述的帳戶 連線 帳戶和許可權。
自訂安裝設定
若要設定 Microsoft Entra 連線 的自定義安裝,請流覽下列各節所述的精靈頁面。
快速設定
在 [Express 設定] 頁面上,選取 [自定義] 以啟動自定義設定安裝。 本文的其餘部分會引導您完成自定義安裝程式。 使用下列連結快速移至特定頁面的資訊:
安裝必要的元件
當您安裝同步處理服務時,您可以將選擇性組態區段保留為未選取狀態。 Microsoft Entra 連線 自動設定所有專案。 它會設定 SQL Server 2019 Express LocalDB 實例、建立適當的群組,以及指派許可權。 如果您想要變更預設值,請選取適當的方塊。 下表摘要說明這些選項,並提供其他信息的連結。
| 選擇性設定 | 描述 |
|---|---|
| 指定自訂安裝位置 | 可讓您變更 Microsoft Entra 連線 的預設安裝路徑。 |
| 使用現有的 SQL Server | 可讓您指定 SQL Server 名稱和實例名稱。 如果您已經有要使用的資料庫伺服器,請選擇此選項。 針對 [ 實例名稱],如果 SQL Server 實例未啟用流覽,請輸入實例名稱、逗號和埠號碼。 然後指定 Microsoft Entra 連線 資料庫的名稱。 您的 SQL 許可權會判斷是否可以建立新的資料庫,或 SQL 系統管理員必須事先建立資料庫。 如果您有 SQL Server 系統管理員 (SA) 許可權,請參閱使用現有的資料庫安裝 Microsoft Entra 連線。 如果您有委派的許可權 (DBO),請參閱使用 SQL 委派的系統管理員許可權安裝 Microsoft Entra 連線。 |
| 使用現有的服務帳戶 | 根據預設,Microsoft Entra 連線 會提供同步處理服務的虛擬服務帳戶。 如果您使用 SQL Server 的遠端實例或使用需要驗證的 Proxy,您可以使用 受控服務帳戶 或網域中受密碼保護的服務帳戶。 在這些情況下,請輸入您想要使用的帳戶。 若要執行安裝,您必須是 SQL 中的 SA,才能建立服務帳戶的登入認證。 如需詳細資訊,請參閱 Microsoft Entra 連線 帳戶和許可權。 藉由使用最新的組建,SQL 系統管理員現在可以在頻外布建資料庫。 然後,Microsoft Entra 連線 系統管理員可以使用資料庫擁有者許可權加以安裝。 如需詳細資訊,請參閱使用 SQL 委派的系統管理員許可權安裝 Microsoft Entra 連線。 |
| 指定自訂同步群組 | 根據預設,安裝同步處理服務時,Microsoft Entra 連線 會建立四個本機伺服器群組。 這些群組 管理員 istrators、運算符、瀏覽和密碼重設。 您可以在這裡指定自己的群組。 群組必須是伺服器上的本機群組。 它們無法位於網域中。 |
| 匯入同步處理設定 | 可讓您匯入其他版本的 Microsoft Entra Connect 設定。 如需詳細資訊,請參閱匯入和導出 Microsoft Entra 連線 組態設定。 |
使用者登入
安裝必要的元件之後,請選取使用者的單一登錄方法。 下表簡短說明可用的選項。 如需登入方法的完整描述,請參閱 使用者登入。
| 單一登錄選項 | 描述 |
|---|---|
| 密碼雜湊同步處理 | 用戶可以使用他們在內部部署網路中所使用的相同密碼,登入 Microsoft 雲端服務,例如 Microsoft 365。 用戶密碼會同步處理至 Microsoft Entra ID 做為密碼哈希。 驗證會在雲端中發生。 如需詳細資訊,請參閱 密碼哈希同步處理。 |
| 傳遞驗證 | 用戶可以使用他們在內部部署網路中所使用的相同密碼,登入 Microsoft 雲端服務,例如 Microsoft 365。 用戶密碼會透過傳遞至 內部部署的 Active Directory域控制器來進行驗證。 |
| 與 AD FS 同盟 | 用戶可以使用他們在內部部署網路中所使用的相同密碼,登入 Microsoft 雲端服務,例如 Microsoft 365。 系統會將使用者重新導向至其內部部署 Azure 目錄同盟服務 (AD FS) 實例以登入。 驗證會在內部部署進行。 |
| 與 PingFederate 同盟 | 用戶可以使用他們在內部部署網路中所使用的相同密碼,登入 Microsoft 雲端服務,例如 Microsoft 365。 系統會將使用者重新導向至其內部部署 PingFederate 實例以登入。 驗證會在內部部署進行。 |
| 不要設定 | 未安裝或設定使用者登入功能。 如果您已經有第三方同盟伺服器或其他解決方案,請選擇此選項。 |
| 啟用單一登入 | 此選項同時提供密碼哈希同步和傳遞驗證。 它為公司網路上的桌面使用者提供單一登錄體驗。 如需詳細資訊,請參閱 單一登錄。 注意: 針對 AD FS 客戶,無法使用此選項。 AD FS 已提供相同層級的單一登錄。 |
連線至 Microsoft Entra ID
在 [連線 至 Microsoft Entra 標識符] 頁面上,輸入混合式身分識別 管理員 istrator 帳戶和密碼。 如果您在上一頁選取 [與 AD FS 同盟],請勿使用您打算啟用同盟的網域中的帳戶登入。
您可能想要在預設 onmicrosoft.com 網域中使用帳戶,此網域隨附於您的 Microsoft Entra 租使用者。 此帳戶僅用於在 Microsoft Entra ID 中建立服務帳戶。 安裝完成之後不會使用它。
注意
最佳做法是避免針對 Microsoft Entra 角色指派使用內部部署同步帳戶。 如果內部部署帳戶遭到入侵,也可以用來危害您的 Microsoft Entra 資源。 如需最佳做法的完整清單, 請參閱 Microsoft Entra 角色的最佳做法
如果您的全域 管理員 istrator 帳戶已啟用多重要素驗證,您可以在登入視窗中再次提供密碼,而且您必須完成多重要素驗證挑戰。 該挑戰可能是驗證碼或撥打電話。
全域 管理員 istrator 帳戶也可以啟用特殊許可權身分識別管理。
若要使用非密碼案例的驗證支援,例如同盟帳戶、智慧卡和 MFA 案例,您可以在啟動精靈時提供 /InteractiveAuth 參數。 使用此參數會略過精靈的驗證使用者介面,並使用 MSAL 連結庫的 UI 來處理驗證。
如果您看到錯誤或連線問題,請參閱 針對連線問題進行疑難解答。
同步處理頁面
下列各節說明 [同步處理] 區段中的頁面。
連線 目錄
若要連線到 Active Directory 網域服務 (AD DS),Microsoft Entra 連線 需要具有足夠許可權的帳戶樹系名稱和認證。
輸入樹系名稱並選取 [新增目錄] 之後,就會顯示視窗。 下表描述您的選項。
| 選項 | 描述 |
|---|---|
| 建立新帳戶 | 建立 Microsoft Entra 連線 在目錄同步處理期間必須連線到 Active Directory 樹系的 AD DS 帳戶。 選取此選項之後,請輸入企業系統管理員帳戶的使用者名稱和密碼。 Microsoft Entra 連線 使用提供的企業系統管理員帳戶來建立必要的 AD DS 帳戶。 您可以輸入 NetBIOS 格式或 FQDN 格式的網域元件。 也就是說,輸入 FABRIKAM\administrator 或 fabrikam.com\administrator。 |
| 使用現有帳戶 | 提供 Microsoft Entra 連線 可用來在目錄同步處理期間連線到 Active Directory 樹系的現有 AD DS 帳戶。 您可以輸入 NetBIOS 格式或 FQDN 格式的網域元件。 也就是說,輸入 FABRIKAM\syncuser 或 fabrikam.com\syncuser。 此帳戶可以是一般用戶帳戶,因為它只需要預設讀取許可權。 但視您的案例而定,您可能需要更多許可權。 如需詳細資訊,請參閱 Microsoft Entra 連線 帳戶和許可權。 |
注意
自組建 1.4.18.0 起,您無法使用企業系統管理員或網域系統管理員帳戶作為 AD DS 連接器帳戶。 當您選取 [使用現有的帳戶] 時,如果您嘗試輸入企業系統管理員帳戶或網域系統管理員帳戶,您會看到下列錯誤:「不允許針對 AD 樹系帳戶使用企業或網域系統管理員帳戶。 請讓 Microsoft Entra Connect 為您建立帳戶,或指定具有正確權限的同步處理帳戶。」
Microsoft Entra 登入設定
在 [ Microsoft Entra 登入組態 ] 頁面上,檢閱內部部署 AD DS 中的用戶主體名稱 (UPN) 網域。 這些 UPN 網域已在 Microsoft Entra ID 中驗證。 在此頁面上,您會將 屬性設定為用於userPrincipalName。
檢閱標示為 [未新增 ] 或 [未驗證] 的每個網域。 請確定您使用的網域已在 Microsoft Entra ID 中驗證。 確認網域之後,請選取迴圈重新整理圖示。 如需詳細資訊,請參閱 新增和驗證網域。
使用者在登入 Microsoft Entra ID 和 Microsoft 365 時,會使用 userPrincipalName 屬性。 在同步處理使用者之前,Microsoft Entra 識別碼應該先確認網域,也稱為 UPN 後綴。 Microsoft 建議您保留預設屬性 userPrincipalName。
如果userPrincipalName屬性不可路由且無法驗證,則您可以選取另一個屬性。 例如,您可以選取電子郵件作為保存登入標識碼的屬性。 當您使用userPrincipalName以外的屬性時,其稱為 替代標識符。
替代標識碼屬性值必須遵循 RFC 822 標準。 您可以使用替代識別碼搭配密碼哈希同步、傳遞驗證和同盟。 在 Active Directory 中,屬性不能定義為多重值,即使它只有單一值也一樣。 如需替代標識碼的詳細資訊,請參閱 傳遞驗證:常見問題。
注意
當您啟用傳遞驗證時,必須至少有一個已驗證的網域才能繼續執行自定義安裝程式。
警告
替代標識碼與所有 Microsoft 365 工作負載不相容。 如需詳細資訊,請參閱 設定替代登入標識符。
網域及 OU 篩選
根據預設,所有網域和組織單位 (OU) 都會同步處理。 如果您不想將某些網域或 OU 同步處理至 Microsoft Entra ID,您可以清除適當的選取專案。
此頁面會設定網域型和 OU 型篩選。 如果您打算進行變更,請參閱 網域型篩選 和 OU 型篩選。 某些 OU 對於功能而言很重要,因此您應該將其保留為選取狀態。
如果您使用 OU 型篩選搭配 1.1.524.0 之前的 Microsoft Entra 連線 版本,預設會同步處理新的 OU。 如果您不想要同步處理新的 OU,您可以在 OU 型篩選步驟之後調整預設行為。 針對 Microsoft Entra 連線 1.1.524.0 或更新版本,您可以指出是否要同步處理新的 OU。
如果您打算使用 群組型篩選,請確定包含群組的 OU,且不會使用 OU 篩選來篩選。 評估群組型篩選之前,會先評估 OU 篩選。
某些網域也可能因為防火牆限制而無法連線。 這些網域預設為未選取,而且會顯示警告。
如果您看到這個警告,請確定這些網域確實無法連線,而且預期會有警告。
唯一識別您的使用者
在 [ 識別使用者 ] 頁面上,選擇如何識別內部部署目錄中的使用者,以及如何使用sourceAnchor屬性來識別使用者。
選取應該如何在內部部署目錄中識別使用者
藉由使用跨 樹系比對 功能,您可以定義AD DS樹系中的使用者如何以 Microsoft Entra ID 表示。 使用者只能在所有樹系中表示一次,或可能具有已啟用和停用帳戶的組合。 使用者也可能以某些樹系中的聯繫人表示。
| 設定 | 描述 |
|---|---|
| 使用者只會在所有樹系中表示一次 | 所有用戶都會在 Microsoft Entra ID 中建立為個別物件。 物件不會聯結在Metaverse中。 |
| 郵件屬性 | 如果電子郵件屬性在不同的樹系中具有相同的值,則此選項將連接使用者和連絡人。 當您的連絡人是使用 GALSync 建立時,請使用此選項。 如果您選擇此選項,郵件屬性未填入的用戶物件不會同步處理至 Microsoft Entra ID。 |
| ObjectSID 和 msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID 屬性 | 此選項會將帳戶樹系中已啟用的使用者加入資源樹系中已停用的使用者。 在 Exchange 中,此設定稱為連結信箱。 如果您只使用 Lync,而且 Exchange 不存在於資源樹系中,則可以使用此選項。 |
| SAMAccountName 和 MailNickName 屬性 | 此選項會在預期找到使用者登入標識碼的屬性上聯結。 |
| 選擇特定屬性 | 此選項可讓您選擇自己的屬性。 如果您選擇此選項,未填入其 (selected) 屬性的用戶物件不會同步處理至 Microsoft Entra ID。 限制: 只有 Metaverse 中已有的屬性可供此選項使用。 |
選取應該如何使用來源錨點來識別使用者
sourceAnchor 屬性在用戶物件的存留期內是不可變的。 這是鏈接內部部署使用者與 Microsoft Entra 識別碼中使用者的主要密鑰。
| 設定 | 描述 |
|---|---|
| 讓 Azure 管理來源錨點 | 如果您想要 Microsoft Entra ID 為您挑選屬性,請選取此選項。 如果您選取此選項,Microsoft Entra 連線 會套用使用 ms-DS-ConsistencyGuid 作為 sourceAnchor 中所述的 sourceAnchor 属性選取邏輯。 自定義安裝完成之後,您會看到哪一個屬性已挑選為sourceAnchor屬性。 |
| 選擇特定屬性 | 如果您想要將現有的AD屬性指定為sourceAnchor屬性,請選取此選項。 |
因為 sourceAnchor 屬性無法變更,因此您必須選擇適當的屬性。 理想的候選專案是 objectGUID。 除非用戶帳戶在樹系或網域之間移動,否則不會變更此屬性。 請勿選擇可在人員結婚或變更工作分派時變更的屬性。
您無法使用包含 sign (@) 的屬性,因此您無法使用電子郵件和 userPrincipalName。 屬性也會區分大小寫,因此當您在樹系之間移動物件時,請務必保留大寫和小寫。 二進位屬性是Base64編碼,但其他屬性類型會維持其未編碼的狀態。
在同盟案例和一些 Microsoft Entra ID 介面中,sourceAnchor 屬性也稱為 immutableID。
如需來源錨點的詳細資訊,請參閱 設計概念。
根據群組同步篩選
篩選群組功能可讓您只同步試驗的一小部分物件。 若要使用這項功能,請在 Active Directory 的內部部署實例中為此目的建立群組。 然後,新增應該同步處理至 Microsoft Entra ID 作為直接成員的使用者和群組。 您稍後可以新增使用者或從此群組移除使用者,以維護應該出現在 Microsoft Entra ID 中的物件清單。
您想要同步處理的所有物件都必須是群組的直接成員。 使用者、群組、聯繫人和計算機或裝置都必須是直接成員。 無法解析巢狀群組成員資格。 當您將群組新增為成員時,只會新增群組本身。 不會新增其成員。
警告
這項功能只支持試驗部署。 請勿在完整生產部署中使用。
在完整的生產部署中,很難維護單一群組及其所有要同步處理的物件。 使用設定篩選中所述 的其中一個方法,而不是篩選群組上的篩選功能。
選用功能
在下一個頁面上,您可以選取案例的選擇性功能。
警告
Microsoft Entra 連線 1.0.8641.0 版和更早版本依賴 Azure 存取控制 服務進行密碼回寫。 此服務於 2018 年 11 月 7 日淘汰。 如果您使用上述任一版本的 Microsoft Entra 連線 並啟用密碼回寫,使用者可能會在服務淘汰時失去變更或重設其密碼的能力。 這些版本的 Microsoft Entra 連線 不支援密碼回寫。
如果您想要使用密碼回寫,請下載最新版本的 Microsoft Entra 連線。
警告
如果 Azure AD 同步 或直接同步處理 (DirSync) 為使用中,請勿在 Microsoft Entra 連線 中啟用任何回寫功能。
| 選用功能 | 描述 |
|---|---|
| Exchange 混合式部署 | Exchange 混合式部署功能允許在內部部署和 Microsoft 365 中共存 Exchange 信箱。 Microsoft Entra 連線 會將一組特定的屬性從 Microsoft Entra 同步處理回您的內部部署目錄。 |
| Exchange 郵件公用資料夾 | Exchange 郵件公用資料夾功能可讓您將已啟用郵件功能的公用資料夾物件從 Active Directory 的內部部署實例同步處理至 Microsoft Entra ID。 請注意,不支援將包含公用資料夾的群組同步為成員,而且嘗試這樣做會導致同步處理錯誤。 |
| Microsoft Entra 應用程式和屬性篩選 | 藉由啟用 Microsoft Entra 應用程式和屬性篩選,您可以量身打造一組同步處理的屬性。 此選項會將另外兩個組態頁面新增至精靈。 如需詳細資訊,請參閱 Microsoft Entra 應用程式和屬性篩選。 |
| 密碼雜湊同步處理 | 如果您選取同盟作為登入解決方案,您可以啟用密碼哈希同步處理。 然後,您可以使用它作為備份選項。 如果您選取傳遞驗證,您可以啟用此選項,以確保支援舊版用戶端並提供備份。 如需詳細資訊,請參閱 密碼哈希同步處理。 |
| 密碼回寫 | 使用此選項可確保源自 Microsoft Entra ID 的密碼變更會寫回您的內部部署目錄。 如需詳細資訊,請參閱 開始使用密碼管理。 |
| 群組回寫 | 如果您使用 Microsoft 365 群組,則可以在 Active Directory 的內部部署實例中代表群組。 只有在內部部署 Active Directory 實例中有 Exchange 時,才能使用此選項。 如需詳細資訊,請參閱 Microsoft Entra 連線 群組回寫。 |
| 裝置回寫 | 針對條件式存取案例,請使用此選項,將 Microsoft Entra ID 中的裝置物件寫回 Active Directory 的內部部署實例。 如需詳細資訊,請參閱在 Microsoft Entra 中啟用裝置回寫 連線。 |
| 目錄延伸模組屬性同步處理 | 選取此選項可將指定的屬性同步至 Microsoft Entra ID。 如需詳細資訊,請參閱 目錄延伸模組。 |
Microsoft Entra 應用程式和屬性篩選
如果您想要限制同步處理至 Microsoft Entra ID 的屬性,請從選取您使用的服務開始。 如果您變更此頁面上的選取專案,您必須重新執行安裝精靈來明確選取新的服務。
根據您在上一個步驟中選取的服務,此頁面會顯示已同步處理的所有屬性。 此清單是正在同步處理的所有物件類型組合。 如果您需要某些屬性保持未同步處理,您可以從這些屬性清除選取範圍。
警告
拿掉屬性可能會影響功能。 如需最佳做法和建議,請參閱 要同步處理的屬性。
目錄延伸模組屬性同步處理
您可以使用組織新增的自定義屬性,或使用 Active Directory 中的其他屬性,來擴充 Microsoft Entra ID 中的架構。 若要使用此功能,請在 [ 選擇性功能] 頁面上,選取 [目錄擴充功能屬性同步]。在 [ 目錄延伸模組 ] 頁面上,您可以選取更多要同步的屬性。
注意
[ 可用的屬性] 欄位會區分大小寫。
如需詳細資訊,請參閱 目錄延伸模組。
啟用單一登錄
在 [ 單一登錄] 頁面上,您可以設定單一登錄 以搭配密碼同步處理或傳遞驗證使用。 針對要同步處理至 Microsoft Entra ID 的每個樹系,執行此步驟一次。 設定牽涉到兩個步驟:
- 在 Active Directory 的內部部署實例中建立必要的電腦帳戶。
- 設定用戶端電腦的內部網路區域以支援單一登錄。
在 Active Directory 中建立電腦帳戶
針對 Microsoft Entra 連線 中新增的每個樹系,您需要提供網域系統管理員認證,以便在每個樹系中建立電腦帳戶。 認證只會用來建立帳戶。 它們不會儲存或用於任何其他作業。 在 [ 啟用單一登錄 ] 頁面上新增認證,如下圖所示。
注意
您可以略過不想使用單一登錄的樹系。
設定用戶端電腦的內部網路區域
若要確保客戶端在內部網路區域中自動登入,請確定URL是內部網路區域的一部分。 此步驟可確保已加入網域的計算機在連線到公司網路時,會自動將 Kerberos 票證傳送至 Microsoft Entra ID。
在具有群組策略管理工具的電腦上:
開啟組策略管理工具。
編輯將套用至所有使用者的組策略。 例如,預設網域原則。
移至用戶設定> 管理員 Windows>元件>Internet Explorer>Internet 控制台> Security 頁面。 然後選取 [ 站對區域指派清單]。
啟用原則。 然後,在對話框中,輸入的值名稱
https://autologon.microsoftazuread-sso.com,並https://aadg.windows.net.nsatc.net針對這兩個URL輸入的值1。 您的設定看起來應該如下所示。
選取 [確定 ] 兩次。
設定與 AD FS 的同盟
只要按幾下滑鼠,您就可以使用 Microsoft Entra 連線 來設定 AD FS。 開始之前,您需要:
- 同盟伺服器的 Windows Server 2012 R2 或更新版本。 應啟用遠端管理。
- Web 應用程式 Proxy 伺服器的 Windows Server 2012 R2 或更新版本。 應啟用遠端管理。
- 您想要使用之同盟服務名稱 (例如 sts.contoso.com) 的 TLS/SSL 憑證。
注意
您可以使用 Microsoft Entra 連線 更新 AD FS 伺服器陣列的 TLS/SSL 憑證,即使您未使用它來管理同盟信任也一樣。
AD FS 設定必要條件
若要使用 Microsoft Entra 連線 設定 AD FS 伺服器陣列,請確定遠端伺服器上已啟用 WinRM。 請確定您已完成同盟必要條件中的其他 工作。 此外,請確定您遵循 Microsoft Entra 連線 和 Federation/WAP 伺服器數據表中列出的埠需求。
建立新的AD FS 伺服器陣列或使用現有的AD FS 伺服器陣列
您可以使用現有的 AD FS 伺服器陣列,或建立新的伺服器數位。 如果您選擇建立新的憑證,則必須提供 TLS/SSL 憑證。 如果 TLS/SSL 憑證受到密碼保護,系統會提示您提供密碼。
如果您選擇使用現有的 AD FS 伺服器陣列,您會看到頁面,您可以在其中設定 AD FS 與 Microsoft Entra ID 之間的信任關係。
注意
您可以使用 Microsoft Entra 連線 來管理一個 AD FS 伺服器陣列。 如果您有在所選 AD FS 伺服器陣列上設定 Microsoft Entra ID 的現有同盟信任,Microsoft Entra 連線 從頭重新建立信任。
指定AD FS 伺服器
指定您要安裝 AD FS 的伺服器。 您可以根據容量規劃需求,加入一個或多部伺服器。 設定此組態之前,請先將所有 AD FS 伺服器加入 Active Directory。 Web 應用程式 Proxy 伺服器不需要此步驟。
Microsoft 建議安裝單一 AD FS 伺服器以進行測試和試驗部署。 完成初始設定之後,您可以透過再次執行 Microsoft Entra Connect,新增及部署更多伺服器以符合您的規模調整需求。
注意
設定此設定之前,請確定所有伺服器都已加入 Microsoft Entra 網域。
指定 Web 應用程式 Proxy 伺服器
指定您的 Web 應用程式 Proxy 伺服器。 Web 應用程式 Proxy 伺服器會部署在周邊網路中,並且向外部網路開放。 其支援來自外部網路的驗證要求。 您可以根據容量規劃需求,加入一個或多部伺服器。
Microsoft 建議安裝單一 Web 應用程式 Proxy 伺服器以進行測試和試驗部署。 完成初始設定之後,您可以透過再次執行 Microsoft Entra Connect,新增及部署更多伺服器以符合您的規模調整需求。 我們建議您有對等數目的 Proxy 伺服器,以滿足來自內部網路的驗證。
注意
- 如果您使用的帳戶不是 Web 應用程式 Proxy 伺服器上的本機系統管理員,系統會提示您輸入系統管理員認證。
- 在指定 Web 應用程式 Proxy 伺服器之前,請確定 Microsoft Entra 連線 伺服器與 Web 應用程式 Proxy 伺服器之間有 HTTP/HTTPS 連線。
- 確定 Web 應用程式伺服器與 AD FS 伺服器之間有 HTTP/HTTPS 連線,以允許驗證要求流經。
系統會提示您輸入認證,讓 Web 應用程式伺服器可以建立與 AD FS 伺服器的安全連線。 這些認證必須是AD FS 伺服器上的本機系統管理員帳戶。
指定AD FS服務的服務帳戶
AD FS 服務需要網域服務帳戶來驗證使用者,以及在 Active Directory 中查閱使用者資訊。 其可支援兩種類型的服務帳戶:
- 群組受管理的服務帳戶:此帳戶類型已由 Windows Server 2012 導入 AD DS。 這種類型的帳戶提供服務,例如 AD FS。 這是您不需要定期更新密碼的單一帳戶。 如果您的 AD FS 伺服器所屬網域中已經有 Windows Server 2012 域控制器,請使用此選項。
- 網域用戶帳戶:這種類型的帳戶要求您提供密碼,並在到期時定期更新密碼。 只有在您的 AD FS 伺服器所屬網域中沒有 Windows Server 2012 域控制器時,才使用此選項。
如果您選取 [ 建立群組受管理的服務帳戶 ],且此功能從未用於 Active Directory,請輸入您的企業系統管理員認證。 這些認證可用來起始金鑰存放區,並在 Active Directory 中啟用此功能。
注意
Microsoft Entra 連線 會檢查 AD FS 服務是否已在網域中註冊為服務主體名稱 (SPN)。 AD DS 不允許同時註冊重複的SPN。 如果找到重複的SPN,您就無法繼續進行,直到移除SPN為止。
選取您要同盟的 Microsoft Entra 網域
使用 [ Microsoft Entra 網域 ] 頁面來設定 AD FS 與 Microsoft Entra 標識符之間的同盟關聯性。 在這裡,您會設定 AD FS 來對 Microsoft Entra ID 提供安全性權杖。 您也會設定 Microsoft Entra ID,以信任此 AD FS 執行個體中的權杖。
在此頁面上,您只能在初始安裝中設定單一網域。 您可以稍後再次執行 Microsoft Entra Connect 來設定更多網域。
確認針對同盟選取的 Microsoft Entra 網域
當您選取想要同盟的網域時,Microsoft Entra 連線 會提供可用來驗證未驗證網域的資訊。 如需詳細資訊,請參閱 新增和驗證網域。
注意
Microsoft Entra 連線 嘗試在設定階段期間驗證網域。 如果您未新增必要的功能變數名稱系統 (DNS) 記錄,則無法完成設定。
設定與 PingFederate 的同盟
只要按幾下滑鼠,您就可以使用 Microsoft Entra 連線 來設定 PingFederate。 需要下列必要條件:
- PingFederate 8.4 或更新版本。 如需詳細資訊,請參閱 Ping 身分識別檔中的 PingFederate 與 Microsoft Entra ID 和 Microsoft 365 整合。
- 您想要使用之同盟服務名稱 (例如 sts.contoso.com) 的 TLS/SSL 憑證。
確認網域
選擇使用 PingFederate 設定同盟之後,系統會要求您確認您想要同盟的網域。 從下拉式功能表中選取網域。
匯出 PingFederate 設定
將 PingFederate 設為每個同盟 Azure 網域的同盟伺服器。 選取 [匯出 設定,與您的 PingFederate 系統管理員共用此資訊。 同盟伺服器管理員會更新設定,然後提供 PingFederate 伺服器 URL 和埠號碼,讓 Microsoft Entra 連線 可以驗證元數據設定。
請連絡 PingFederate 系統管理員以解決任何驗證問題。 下圖顯示與 Azure 沒有有效信任關係之 PingFederate 伺服器的相關信息。
確認同盟連線能力
Microsoft Entra 連線 嘗試驗證在上一個步驟中從 PingFederate 元數據擷取的驗證端點。 Microsoft Entra 連線 第一次嘗試使用本機 DNS 伺服器解析端點。 接下來,它會嘗試使用外部 DNS 提供者解析端點。 請連絡 PingFederate 系統管理員以解決任何驗證問題。
確認同盟登入
最後,您可以登入同盟網域來驗證新設定的同盟登入流程。 如果您的登入成功,則已成功設定與 PingFederate 的同盟。
設定和驗證頁面
組態會在 [ 設定 ] 頁面上發生。
注意
如果您已設定同盟,請確定您也 已設定同盟伺服器 的名稱解析,再繼續安裝。
使用預備模式
可以與預備模式平行設定新的同步伺服器。 如果您想要使用此設定,則只有一部同步伺服器可以匯出至雲端中的一個目錄。 但是,如果您想要從另一部伺服器移動,例如執行 DirSync 的伺服器,則可以在預備模式中啟用 Microsoft Entra 連線。
當您啟用預備設定時,同步處理引擎會如常匯入和同步處理數據。 但它不會將數據導出至 Microsoft Entra ID 或 Active Directory。 在預備模式中,會停用密碼同步處理功能和密碼回寫功能。
在預備模式中,您可以對同步處理引擎進行必要的變更,並檢閱將匯出的內容。 當組態看起來不錯時,請再次執行安裝精靈並停用預備模式。
數據現在會從伺服器導出至 Microsoft Entra ID。 請務必同時停用另一部伺服器,因此只有一部伺服器正在主動導出。
如需詳細資訊,請參閱 預備模式。
確認您的同盟設定
當您選取 [驗證] 按鈕時,Microsoft Entra 連線 會驗證 DNS 設定。 它會檢查下列設定:
- 內部網路連線能力
- 解決同盟 FQDN:Microsoft Entra 連線 會檢查 DNS 是否可以解析同盟 FQDN 以確保連線能力。 如果 Microsoft Entra 連線 無法解析 FQDN,則驗證會失敗。 若要完成驗證,請確定同盟服務 FQDN 有 DNS 記錄存在。
- DNS A 記錄:Microsoft Entra 連線 會檢查您的同盟服務是否有 A 記錄。 如果沒有 A 記錄,驗證就會失敗。 若要完成驗證,請為您的同盟 FQDN 建立 A 記錄(而非 CNAME 記錄)。
- 外部網路連線能力
解決同盟 FQDN:Microsoft Entra 連線 檢查 DNS 是否可以解析同盟 FQDN 以確保連線。
若要驗證端對端驗證,請手動執行下列一或多個測試:
- 同步處理完成時,在 Microsoft Entra 連線 中,使用 [驗證同盟登入] 其他工作來驗證您選擇的內部部署使用者帳戶驗證。
- 從內部網路上加入網域的計算機,確定您可以從瀏覽器登入。 連接到 https://myapps.microsoft.com。 然後使用登入的帳戶來驗證登入。 內建 AD DS 系統管理員帳戶不會同步處理,而且您無法將其用於驗證。
- 請確定您可以從外部網路上的裝置登入。 在主電腦或行動裝置上,連線到 https://myapps.microsoft.com。 然後提供您的認證。
- 驗證豐富的用戶端登入。 連接到 https://testconnectivity.microsoft.com。 然後選取 [Office 365>Office 365 單一登錄測試]。
疑難排解
本節包含安裝 Microsoft Entra 連線 時發生問題時可以使用的疑難解答資訊。
當您自定義 Microsoft Entra 連線 安裝時,您可以在 [安裝必要元件] 頁面上,選取 [使用現有的 SQL Server]。 您可能會看到下列錯誤:「ADSync 資料庫已經包含數據,而且無法覆寫。 請移除現有的資料庫,然後再試一次。
您會看到此錯誤,因為名為 ADSync 的資料庫已存在於您指定的 SQL Server SQL 實例上。
您通常會在卸載 Microsoft Entra 連線 之後看到此錯誤。 當您卸載 Microsoft Entra 連線 時,不會從執行 SQL Server 的計算機中刪除資料庫。
若要修正這個問題:
在卸載之前,請檢查 Microsoft Entra 連線 使用的 ADSync 資料庫。 請確定不再使用資料庫。
備份 資料庫。
移除資料庫:
- 使用 Microsoft SQL Server Management Studio 連線到 SQL 實例。
- 尋找ADSync資料庫,並以滑鼠右鍵按兩下它。
- 在操作功能表上,選取 [ 刪除]。
- 選取 [ 確定 ] 以移除資料庫。
刪除 ADSync 資料庫之後,請選取 [ 安裝 ] 以重試安裝。
下一步
安裝完成之後,註銷 Windows。 然後在您使用 Synchronization Service Manager 或同步處理規則編輯器之前再次登入。
現在您已安裝 Microsoft Entra 連線,您可以確認安裝並指派授權。
如需您在安裝期間啟用之功能的詳細資訊,請參閱防止意外刪除和 Microsoft Entra 連線 Health。
如需其他常見主題的詳細資訊,請參閱 Microsoft Entra 連線 Sync:Scheduler 和整合內部部署身分識別與 Microsoft Entra ID。