איך להשתמש בתוכנת סנכרון ענן ההתאמה ההיברידית של Azure AD Connect של Microsoft

מדריכים

רבים מכם השתמשו ב־Azure Active Directory Connect לניהול הזהויות היברידיות שלכם וסנכרון משתמשים מ־Active Directory אל Azure Active Directory (ששונתה לאחרונה ל־Microsoft Entra ID). הטכנולוגיה המודרנית הזו נקראת Azure AD Connect cloud sync. במאמר זה, אני אדרוש אתכם דרך ההתקנה והתצורה הבסיסית של Azure AD Connect cloud sync ואסביר כיצד ליישם אותה בתשתיות של ה־Active Directory/Azure AD שלכם.

מהו Azure Active Directory Connect cloud sync?

הרבה מקצוענים בטכנולוגיית המידע מכירים את מקשר Azure AD – התוכנה לסנכרון שבה אתה משתמש כדי לסנכרן את הזהויות שלך מה-Active Directory שלך באתר ל-Active Directory ב-Azure ולספק כניסה יחידה וחלקה. התפתחות הבאה היא להביא הכל לענן.

לכן, Microsoft העבירה מיישום תוכנה המותקן על שרת המצורף לדומיין בסביבת ה-On-Premises שלך לסוכן קיום פשוט. עקבות הרבה יותר קלות כיוון שכל העבודה הכבדה נעשית כעת ב-Azure. כבר אין צורך במסד נתונים ב-On-Premises – הכל נעשה בענן.

סוכנים קלים נהיו הדרך המועדפת לפעמים האחרונות. זה יתרון אם עברתם תיקול או רכישה לאחרונה או אתם מתכננים אחת.

סנכרון ענן של Azure AD מיועד לפגוש ולהשיג את מטרות הזהות ההיברידיות שלך על ידי סנכרון המשתמשים, אנשי קשר, קבוצות, מכשירים ועוד ל-Azure AD. נקודה חשובה – אפשר להשתמש ב-Azure AD Connect בצד לצד עם סוכן הספקות לסנכרון בענן!

מה ההבדלים בין סנכרון Azure AD Connect וסנכרון ענן Azure AD Connect?

שאלה נהדרת! הנה טבלה מאת Microsoft שמראה את השוואת התכונות בין שני המוצרים.

Feature Azure AD Connect sync Azure AD Connect cloud sync
Connect to a single on-premises AD forest
Connect to multiple on-premises AD forests
Connect to multiple disconnected on-premises AD forests
Lightweight agent installation model
Multiple active agents for high availability
Connect to LDAP directories
Support for user objects
Support for group objects
Support for contact objects
Support for device objects
Allow basic customization for attribute flows
Synchronize Exchange online attributes
Synchronize extension attributes 1-15
Synchronize customer-defined AD attributes (directory extensions)
Support for Password Hash Sync
Support for Pass-Through Authentication
Support for federation
Seamless Single Sign-on
Supports installation on a Domain Controller
Support for Windows Server 2016
Filter on Domains/OUs/groups
Filter on objects’ attribute values
Allow a minimal set of attributes to be synchronized (MinSync)
Allow removing attributes from flowing from AD to Azure AD
Allow advanced customization for attribute flows
Support for password writeback
Support for device writeback Customers should use Cloud Kerberos trust for this moving forward
Support for group writeback
Support for merging user attributes from multiple domains
Azure AD Domain Services support
Exchange hybrid writeback
Unlimited number of objects per AD domain
Support for up to 150,000 objects per AD domain
Groups with up to 50,000 members
Large groups with up to 250,000 members
Cross-domain references
On-demand provisioning
Support for US Government
Azure AD Connect sync vs. Azure AD Connect cloud sync (source: Microsoft)

קיימת תרחיש עיקרי ונפוץ שכרגע לא נתמך בתכונת סנכרון ענן החדשה של Azure AD Connect, וזהו היברידי Exchange. הנה התשובה הנוכחית מתיעוד של Microsoft:

תכונת ההצבה היברידית של Exchange מאפשרת לקיים את המיילים של Exchange גם באתר וגם ב-Microsoft 365. Azure AD Connect מסנכרן סט מסוים של מאפיינים מ-Azure AD חזרה לספריית הכתובות שלך באתר. הסוכן להצבה בענן כרגע לא מסנכרן את המאפיינים הללו חזרה לספריית הכתובות שלך באתר ולכן אינו נתמך כפתרון ל-Azure AD Connect.

דרישות מוקדמות להתקנת סנכרון ענן של Azure Active Directory Connect

Microsoft מציינת מספר דרישות מוקדמות שחשוב לשים לב אליהן לפני התחלת ההתקנה. בואו נעבור עליהן כאן.

  • בפורטל Azure:
    • עליך לקבל גישה לחשבון מנהל גלובלי בענן בלבד.
    • תצטרך שם דומיין מותאם אישית ב-Azure כדי להתאים לשם ה-UPN במאגר הנתונים הפעיל שלך. אם אתה מעביר מ-Azure AD Connect אז זה כבר צריך להיות במקום, אך כדאי לשים לב.
  • בסביבת המקומית שלך
    • תצטרך מכונה מצורפת לדומיין הרץ Windows Server 2016 או גרסה חדשה יותר. עליך לקבל לפחות 4 ג'יגה-בייט זיכרון RAM ו-NET Framework 4.7.1 או גרסה גדולה יותר. השרת פשוט צריך גישה רשת לפחות אחד שלט בדומיין ביער ה-AD שלך באופן מקומי.
    • צריך לאפשר לחומת האש הקיצונית שלך לאפשר יציאה דרך יציאות ה-80 וה-443 מהשרת שלך כאן ל-Azure AD.

השלב היחיד האחר (אופציונלי) הוא להסיר תחילה את Azure AD Connect אם יש לך אותו מותקן. זה אינו דרוש, אך לצורך מאמר זה, אני אתן הוראות פשוטות לשלב הבא.

אה, וזה מאוד קל להשתמש בגישת זמינות גבוהה עם ההגדרה הזו. פשוט התקן את הסוכן לספק עליון על יותר משרת אחד ברשת שלך. תראה את השלבים למטה.

הסרת Azure AD Connect (אופציונלי)

  • התחבר לשרת המחובר ל-Azure AD שלך ופתח את לוח הבקרה.
  • פתח את תפריט 'הסרת תוכנית' Uninstall a program.
Using Control Panel – Programs and Features to uninstall the older Azure AD Connect software (Image credit: Petri/Michael Reinders)
  • לחץ על הרשומה של Microsoft Azure AD Connect ולחץ על לחצן סרגל הכלים Uninstall.
Uninstalling Azure AD Connect (Image credit: Petri/Michael Reinders)

הפידבר הזה הוא לוודא שהסריקה מסומנת כדי להסיר הכול. אני תמיד אוהב לתקן תוכנה בצורה נקיה ככל האפשר, עושה את המיטב שלי לא להשאיר שום שאריות שם.

  • לחץ הסר ותנו לזה לסיים.
It is gone. Out with the old, in with the new… (Image credit: Petri/Michael Reinders)

הנה, הכול נמחק. עכשיו, אנו יכולים להתקדם לצעדים המיושםים החדשים.

איך ליישם סינכרון ענן Azure AD Connect בתשתית AD / AAD שלך

כפי שאמרתי, אתה יכול להתקין סוכן סינכרון ענן Azure AD Connect עם או בלי תוכנה Azure AD Connect קיימת בסביבתך. במקרה זה, פשוט הסרתי את תוכנת Azure AD Connect הקיימת שלי, אז יש לנו קיר טיפוס נקי. בואו נתחיל!

התקנה

נתחיל בשרת המודד שלי של Windows Server 2022 שנמצא בשרת, WS22-FS02.

  • ראשית, התחבר ל- פורטל Azure וגישה לאתר Azure Active Directory (Azure AD).
The Azure Active Directory portal (Image credit: Petri/Michael Reinders)
  • בתפריט הניווט בצד שמאל, גלול למטה ולחץ על Azure AD Connect. לאחר מכן, לחץ שוב על סינכרון ענן בצד שמאל.
The Azure AD Connect Cloud Sync overview (Image credit: Petri/Michael Reinders)
  • זה לא מפתיע שיש לנו קיר טיפוס נקי. לחץ על תפריט סוכנים בצד שמאל, ואז לחץ על הורדת סוכן מקומי.
Downloading the agent to install on our on-premises server (Image credit: Petri/Michael Reinders)
  • לאחר שהורדת את הסוכן, קדימה ולחץ פעמיים על קובץ MSI. ההתקנה תתחיל.
Installing the bits for the provisioning agent (Image credit: Petri/Michael Reinders)
  • סמן את התיבה ולחץ התקן!
Installing…and waiting… (Image credit: Petri/Michael Reinders)

לאחר מכן, נמשיך אל הגדרה.

הגדרות של Active Directory

לאחר התקנת הסוכן הראשוני, אשף ההגדרה של Microsoft Azure Active Directory Connect Provisioning Agent Configuration יתחיל. נסה לומר את זה חמישה פעמים במהירות. אוי ואבוי, מיקרוסופט. תמיד מתעלה עם שמות המוצרים!

  • על מסך הברכה, לחץ על הבא.
Starting the very-long-titled wizard (Image credit: Petri/Michael Reinders)
  • במסך ‘בחר הרחבה‘, בחר פרוביזיונינג מוביל (Workday ו-SuccessFactors) / סנכרון Cloud של Azure AD Connect. זו הסצנה הכי סבירה. רק אם אתה מתכנן להפעיל אפליקציות במקום למקום ל-Azure תבחר באפשרות השנייה.
  • לחץ על הבא.
On the ‘Select Extension’ screen (Image credit: Petri/Michael Reinders)
  • בהמשך, מסך התחברות ל-Azure AD מופיע, מבקש את פרטי הכניסה של מנהל הגלובלי שלך ב-Azure AD. הזן אותם והתכונן ל-MFA!
  • באיזור הבא, מסך הגדרת חשבון שירות. כאן, נקבל את ברירת המחדל, צור חשבון gMSA. מכיוון שאנו מבקשים ממנו ליצור חשבון gMSA כדי לנהל את הסנכרון מ-AD ל-Azure AD, עלינו להזין חשבון עם הרשאות מנהל התחום. הזן זאת ולחץ הבא.
Configuring the Service Account (Image credit: Petri/Michael Reinders)
  • ממשיכים, נגיע למסך ‘התחברות ל-Active Directory‘. כן, אתה צודק. זה די דומה לאשף ההתקנה להתקנת Azure AD Connect.
Connecting to Active Directory (Image credit: Petri/Michael Reinders)
  • בכל מקרה, ודא שהדומיין הפעיל של ספריית הכתובות מוגדר נכות. אם אתה רואה שגיאות, ייתכן שטעית בשם המשתמש או הסיסמה שלך. תקדם לתקן אם נדרש ולחץ על הבא.
We are done. We’re on the Confirm screen (Image credit: Petri/Michael Reinders)
  • הגענו למסך אישור סופי. וודא שהכל נראה טוב ולחץ על הכפתור אישור.
We’re done! (Image credit: Petri/Michael Reinders)

הגדרות Azure AD

עכשיו אנו עוברים ל- Azure Active Directory. כדי לנהל את הסנכרון הענן של Azure AD, נא לעיין שוב ב- פורטל Azure.

  • לחץ על קישור Azure AD Connect, ולחץ על סנכרון ענן.
  • לחץ על הכפתור 'הגדרה חדשה' בחלק העליון כדי להתחיל בתהליך ההגדרה בענן.
Back at the Cloud Sync configuration page (Image credit: Petri/Michael Reinders)
  • כאן יש לנו את הגדרת סנכרון ענן חדשה. הברירות המחדל צריכות להיות תקינות בהנחה שאתה סונכרן רק את הדומיין האחד של Active Directory – במקרה שלי 'reinders.local'. נשמור על ' אפשר סנכרון גיליון סיסמה' מסומן כדי לאפשר ניהול סיסמה אוטומטי.
Our new configuration is all ready and verified. (Image credit: Petri/Michael Reinders)
  • לחץ צור בתחתית המסך.

כן, בדוק זאת! אנחנו סיימנו. אני לא יודע עליך, אבל אני תמיד מעדיף הגדרות מבוססות ענן בניגוד לתוכנה 'כבדה' מסוגים אחרים. זה נקי. בנוסף, הם יכולים לעדכן את הממשק המשתמש ולהוסיף תכונות הרבה יותר מהר. ומכיוון שהוא מבוסס על ענן, אין צורך לדאוג לשדרוגים של התוכנה, שרתים שמתרסקים, וכו '. זה פשוט עובד. הענן, 100% מהזמן, נכון?

בדיקה – אימות

בוא נעבור ונפעיל את ההגדרה בצורה פשוטה. נוכל לטפל בסינון התחום, המיפוי של המאפיינים, וכו ' במועט מאוחר יותר.

  • לחץ על הכפתור בדיקה והפעלת ההגדרה בחלק העליון, ואז לחץ על הפעל הגדרה.
  • לאחר שתסיים, חכה כשתי דקות, רענן את הדפדפן שלך, ולחץ על הלשונית סקירה כללית בחלק העליון.
  • לפני הכל, תרצה להזין כתובת דוא"ל להתראה. לחץ על הלשונית מאפיינים ולחץ על סמל העריכה (עריכה) ליד היסודות.
  • הזן כתובת דוא"ל למנהל לקבל התראות על תשתית הסנכרון. לחץ על החל בתחתית המסך.
Setting up a notification email address (Image credit: Petri/Michael Reinders)

עכשיו, לגבי אימות והתאמה מתקדמים, חזור אל מבט על המשתמשים בפורטל Azure AD כדי להציג את כל המשתמשים שלך. שמתי לב שמספר המשתמשים עלה מ-31 ל-32. אז, אני יודע שמשהו קרה. ואם אתה ממש מתכוון, אולי זכרת שסיננתי משתמש מתוך יחידת ארגון מסוימת כאשר הגדרתי את הסנכרון של Azure AD. אז, מכיוון שלא עשיתי סינון עדיין, משתמש חדש סונכרן – ג'ון ריינדרס.

אשמח לעבור דרך שלושת מסכי ההגדרה העיקריים שתשתמש בהם כדי לשמור ולהתאים את הגדרות הסנכרון שלך. הראשון הוא סינוני התחום.

Scoping Filters (Image credit: Petri/Michael Reinders)

הברירת מחדל היא לסנכרן את כל המשתמשים ב-Directive הפעיל שלך. ניתן לבחור לסנכרן רק קבוצות אבטחה נבחרות או לבחור יחידות ארגון (OUs) נבחרות. וכן, זהו דוגמה אחת לתוכנה בענן שכרגע פחות ניתנת להגדרה מאשר תוכנה במקום. אך, זה משתנה באופן קבוע. בסופו של דבר, הם ישתלבו את כל התכונות והאפשרויות ל Denture AD Connect סנכרון בענן.

Attribute Mapping Screen (Image credit: Petri/Michael Reinders)

באיזור ה- מיפוי תכונות. כאן ניתן לבחור לערוך את רשימת התכונות הברירת מחדל ואיך הן מסונכרנות מ-Directive הפעיל ל-Azure AD, ואף להוסיף פריטים נוספים על ידי לחיצה על 'הוספת מיפוי תכונות'.

Adding a new attribute mapping (Image credit: Petri/Michael Reinders)

הייתכן שתרגישו בטוחים יש הרבה אפשרויות כאן. כפי שאמרתי, מיקרוסופט מוסיפה באופן קבוע יותר תכונות לפונקציונליות זו. אז, אל תתפלאו אם תגלו שמסכים אלה משתנים או מוסיפים/מסירים פרטים. זהו ענן, חברים!

לבסוף, בואו נסתכל על בונה ביטויים. זהו המקום שבו ניתן באמת להוסיף קצת התאמה אישית לאופן בו תכונות מסוימות מסונכרנות, ואיך להשתמש בביטויים כדי להתאים תכונות משתמש מסוימות מדומיין Directive אחד ותכונות אחרות מדומיין AD אחר ליצירת האובייקט היחיד הטוב ביותר ב-Azure AD. שוב, יש כאן המון כוח, ותהיו מוכרים עם ההגדרה הכללית אם השתמשתם בתכונות מותאמות כמו כללי סנכרון בתוכנה Azure AD Connect.

מסקנה

כן, זו המון מידע. ואני רוצה לציין את החסרון הגדול ביותר של סנכרון הענן של Azure AD Connect – יש לו פחות תכונות ויכול לתמוך בפחות תרחישים מאשר Azure AD Connect.

זה נורמלי ובפיתוח. Azure AD Connect קיים כבר שנים ו-Azure AD Connect סינכרון ענן שוחרר לפני כמה חודשים. אז, באופן טבעי, יש יותר פונקציונליות בתוכנה הוותיקה.

העצה שלי: ברגע שהתרחישים המתומשכים עם Azure AD Connect סינכרון ענן יתאימו לסביבתך, קח את הצעדים לעבור להם. לאחר שהשתמשתי ב-Azure AD Connect במשך מספר שנים בעבודות יום שלי, הפונקציונליות של הענן נראית מאוד נחמדה – והרבה פחות לנהל ולשמור על שיא.

אנא הרשה לעצמך להשאיר תגובה או שאלה למטה ותודה שקראת!

Source:
https://petri.com/install-azure-ad-connect-cloud-sync/