Azure AD Connect 和 Azure AD Connect Health 安裝藍圖

安裝 Azure AD Connect。

重要

Microsoft 不支援在正式記載的動作以外修改和操作 Azure AD Connect 同步處理。 任何這些動作可能會導致 Azure AD Connect 同步的狀態不一致或不受支援。因此,Microsoft 無法針對這類部署提供技術支援。

您可以在 Microsoft 下載中心下載 Azure AD Connect。

解決方法 狀況
開始之前 - 硬體和必要條件
  • 開始安裝 Azure AD Connect 之前所應完成的步驟。
  • 快速設定
  • 如果您有單一樹系 AD,則這是建議使用的選項。
  • 使用密碼同步處理以相同的密碼進行使用者登入。
  • 自訂設定
  • 有多個樹系時使用。 支援許多內部部署拓撲
  • 自訂您登入的選項,例如傳遞驗證、同盟的 ADFS 或使用第三方識別提供者。
  • 自訂同步處理功能,例如篩選和回寫。
  • 從 DirSync 升級
  • 在您有已在執行中的現有 DirSync 伺服器時使用。
  • 從 Azure AD Sync 或 Azure AD Connect 升級
  • 視您的偏好而定會有數種不同的方法。
  • 安裝後 ,您應該確認它是依照預期方式運作,並將授權指派給使用者。

    安裝 Azure AD Connect 的後續步驟

    主題 連結
    下載 Azure AD Connect 下載 Azure AD Connect
    使用快速設定進行安裝 快速安裝 Azure AD Connect
    使用自訂設定進行安裝 自訂 Azure AD Connect 安裝
    從 DirSync 升級 從 Azure AD 同步作業工具 (DirSync) 升級
    安裝後 驗證安裝和指派授權

    深入了解安裝 Azure AD Connect

    您也想要準備 操作 考量。 您可以準備一個待命伺服器,以便在災害發生時輕鬆地進行容錯移轉。 如果您打算進行頻繁的組態變更,則應該規劃 預備模式 伺服器。

    主題 連結
    支援的拓撲 Azure AD Connect 的拓撲
    設計概念 Azure AD Connect 的設計概念
    用於安裝的帳戶 進一步了解 Azure AD Connect 認證和權限
    作業規劃 Azure AD Connect 同步處理:作業工作和考量
    使用者登入選項 Azure AD Connect 使用者登入選項

    設定同步處理功能

    Azure AD Connect 隨附數個您可以選擇性地開啟或預設為啟用的功能。 在特定案例與拓撲中,有些功能有時可能需要進行其他設定。

    篩選 是在您想要限制 Azure AD 可同步處理哪些物件時使用。 預設會同步處理所有使用者、連絡人、群組和 Windows 10 電腦。 您可以根據網域、OU 或屬性變更篩選。

    密碼雜湊同步處理會將 Active Directory 中的密碼雜湊同步處理至 Azure AD。 使用者可在內部部署與雲端中使用相同的密碼,但只能在一個地方管理此密碼。 因為它使用您的內部部署 Active Directory 做為授權單位,所以您也可以使用自己的密碼原則。

    密碼回寫 將可讓您的使用者在雲端中變更和重設其密碼,並套用您的內部部署密碼原則。

    裝置回寫 可讓 Azure AD 中註冊的裝置回寫至內部部署 Active Directory,因此可用於條件式存取。

    防止意外刪除 功能預設為開啟,它會保護您的雲端目錄,避免同時進行多次刪除。 根據預設,它每回允許 500 次刪除。 您可以根據您組織的大小來變更此設定。

    自動升級 ,而且會確保您的 Azure AD Connect 永遠保持最新版本。

    設定同步處理功能的後續步驟

    主題 連結
    設定篩選 Azure AD Connect 同步處理:設定篩選
    密碼雜湊同步處理 密碼雜湊同步處理
    傳遞驗證 傳遞驗證
    密碼回寫 開始使用密碼管理
    裝置回寫 在 Azure AD Connect 中啟用裝置回寫
    防止意外刪除 Azure AD Connect 同步處理:防止意外刪除
    自動升級 Azure AD Connect:自動升級

    自訂 Azure AD Connect 同步處理

    Azure AD Connect 同步處理隨附一個適用於大部分客戶和拓撲的預設組態。 但總是會有一些情況,預設組態並不適用,因而必須進行調整。 支援依照本節和連結主題所述進行變更。

    如果您之前沒有使用過同步處理拓撲,建議您從 技術概念中了解拓撲的基本概念和術語。 Azure AD Connect 是 MIIS2003、ILM2007 和 FIM2010 的進化。 即使有些東西相同,但改變的卻更多。

    預設組態 會假設組態中可能有多個樹系。 在那些拓撲中,使用者物件可能會表示為另一個樹系中的連絡人。 使用者也可能在另一個資源樹系中具有連結的信箱。 預設組態的行為已載明於 使用者和連絡人中。

    同步處理中的組態模型稱為 宣告式佈建。 進階屬性流程會使用 函式 來表示屬性轉換。 您可以使用 Azure AD Connect 隨附的工具來查看整個組態。 如果您需要進行組態變更,請務必遵循 最佳作法 ,以便更輕鬆地採用新版本。

    自訂 Azure AD Connect 同步處理的後續步驟。

    主題 連結
    所有 Azure AD Connect 同步處理文章 Azure AD Connect 同步處理
    技術概念 Azure AD Connect 同步處理:技術概念
    了解預設組態 Azure AD Connect 同步處理:了解預設組態
    了解使用者和連絡人 Azure AD Connect 同步處理:了解使用者和連絡人
    宣告式佈建 Azure AD Connect 同步:瞭解宣告式布建運算式
    變更預設組態 變更預設組態的最佳做法

    設定同盟功能

    Azure AD Connect 提供數種功能,可簡化使用 AD FS 與 Azure AD 的同盟,以及管理您的同盟信任。 Azure AD Connect 在 Windows Server 2012R2 或更新版本上支援 AD FS。

    即使您未使用 Azure AD Connect 來管理同盟信任,也請更新 AD FS 伺服器陣列的 TLS/SSL 憑證

    新增 AD FS 伺服器至伺服器陣列,以視需要擴大伺服器陣列。

    輕鬆按幾下即可使用 Azure AD 修復信任

    ADFS 可以設定為支援 多個網域。 例如,您可以有多個必須用於同盟的最上層網域。

    如果您的 ADFS 伺服器尚未設定為自動從 Azure AD 更新憑證,或您使用非 ADFS 解決方案,則當您必須 更新憑證時,系統會通知您。

    設定同盟功能的後續步驟

    主題 連結
    AD FS 的所有發行項 Azure AD Connect 和同盟
    設定 ADFS 與子網域 與 Azure AD 同盟的多網域支援
    管理 AD FS 伺服器陣列 使用 Azure AD Connect 管理和自訂 AD FS
    手動更新同盟憑證 更新 Microsoft 365 和 Azure AD 的同盟憑證

    開始使用 Azure AD Connect Health

    若要開始使用 Azure AD Connect Health,請使用下列步驟:

    1. 取得 Azure AD Premium開始試用
    2. 在您的身分識別伺服器上下載並安裝 Azure AD Connect Health 代理程式。
    3. 查看 Azure AD Connect Health 儀表板 https://aka.ms/aadconnecthealth

    注意

    請記住,您必須先在目標伺服器上安裝 Azure AD Connect Health 代理程式,Azure AD Connect Health 儀表板中才會出現資料。

    下載和安裝 Azure AD Connect Health 代理程式

    Azure AD Connect Health 入口網站

    Azure AD Connect Health 入口網站會顯示警示、效能監視和使用情況分析。 https://aka.ms/aadconnecthealth URL 會帶您前往 Azure AD Connect Health 的主要刀鋒視窗。 您可以將刀鋒視窗視為視窗。 在主分頁上,您會看到 快速入門、Azure AD Connect Health 內的服務,以及其他設定選項。 請參閱下列螢幕擷取畫面,以及螢幕擷取畫面後面的簡短說明。 部署代理程式之後,健康狀態服務會自動識別 Azure AD Connect Health 所監視的服務。

    注意

    如需授權資訊,請參閱 Azure AD Connect Health 常見問題集Azure AD 定價頁面

    Azure AD Connect Health 入口網站

    • 快速入門︰當您選取此選項時,[快速入門] 刀鋒視窗隨即開啟。 您可以選取 [取得工具] 下載 Azure AD Connect Health 代理程式。 您也可以存取文件,並提供意見反應。

    • Azure Active Directory Connect (同步處理):此選項會顯示 Azure AD Connect Health 目前正在監視的 Azure AD Connect 伺服器。 [同步錯誤] 項目會依照類別顯示第一個上線同步處理服務的基本同步錯誤。 當您選取 [同步處理服務] 時,開啟的刀鋒視窗會顯示 Azure AD Connect 伺服器的相關資訊。 如需深入了解這些功能,請參閱使用 Azure AD Connect Health 進行同步處理

    • Active Directory Federation Services:此選項會顯示 Azure AD Connect Health 目前正在監視的所有 AD FS 服務。 當您選取執行個體時,開啟的刀鋒視窗會顯示該服務執行個體的相關資訊。 這項資訊包括概觀、屬性、警示、監視和使用情況分析。 如需深入了解這些功能,請參閱搭配 AD FS 使用 Azure AD Connect Health

    • Active Directory Domain Services:此選項會顯示 Azure AD Connect Health 目前正在監視的所有 AD DS 樹系。 當您選取樹系時,開啟的刀鋒視窗會顯示該樹系的相關資訊。 這項資訊包括基本資訊概觀、網域控制站儀表板、複寫狀態儀表板、警示和監視。 如需深入了解這些功能,請參閱在 AD DS 使用 Azure AD Connect Health

    • 設定︰本節包含開啟或關閉下列功能的選項︰

      • Azure AD Connect Health 代理程式 自動更新 為最新版本:當有新版本可用時,Azure AD Connect Health 代理程式會自動更新。 這個選項預設為啟用。
      • 由 Microsoft 的 Azure AD 目錄完整性 存取資料,僅供疑難排解之用:如果啟用此選項,microsoft 可以存取使用者所查看的相同資料。 此資訊有助於進行疑難排解和提供必要的協助。 預設會停用此選項
    • 角色型存取控制 (IAM) 是用來管理角色基底中 Connect Health 資料存取權的區段。

    後續步驟