Многие из вас уже используют Azure Active Directory Connect для управления гибридными идентификаторами и синхронизации пользователей из Active Directory в Azure Active Directory (недавно переименован в Microsoft Entra ID). Эта современная технология называется Azure AD Connect cloud sync. В этой статье я расскажу вам о установке и базовой конфигурации синхронизации облака Azure AD Connect и объясню, как ее реализовать в вашей инфраструктуре Active Directory/Azure AD.
Что такое синхронизация облака Azure Active Directory Connect?
Многие ИТ-специалисты знакомы с Azure AD Connect – программным обеспечением синхронизации, которое вы используете для синхронизации ваших идентификаторов из вашего локального каталога Active Directory с Azure Active Directory и предоставления бесшовной единой аутентификации. Следующим этапом развития является перенос всего в облако.
Поэтому Microsoft перешла от программного приложения, установленного на сервере, присоединенном к домену, в вашей локальной среде, к простому агенту предоставления. Гораздо более легкая версия, так как вся «тяжелая работа» теперь выполняется в Azure. Больше нет необходимости в базе данных на месте – все это делается в облаке.
Легковесные агенты стали последним трендом. Это великолепно, если вы недавно прошли через слияние или приобретение или планируете его.
Azure AD Connect cloud sync предназначен для достижения ваших гибридных идентификационных целей путем синхронизации ваших пользователей, контактов, групп, устройств и многого другого с Azure AD. Важно отметить, что вы можете использовать Azure AD Connect параллельно с агентом предоставления облачной синхронизации!
В чем разница между синхронизацией Azure AD Connect и облачной синхронизацией Azure AD Connect?
Отличный вопрос! Вот таблица от Microsoft, показывающая сравнение функций между этими двумя продуктами.
| Feature | Azure AD Connect sync | Azure AD Connect cloud sync |
|---|---|---|
| Connect to a single on-premises AD forest | ● | ● |
| Connect to multiple on-premises AD forests | ● | ● |
| Connect to multiple disconnected on-premises AD forests | ● | |
| Lightweight agent installation model | ● | |
| Multiple active agents for high availability | ● | |
| Connect to LDAP directories | ● | |
| Support for user objects | ● | ● |
| Support for group objects | ● | ● |
| Support for contact objects | ● | ● |
| Support for device objects | ● | |
| Allow basic customization for attribute flows | ● | ● |
| Synchronize Exchange online attributes | ● | ● |
| Synchronize extension attributes 1-15 | ● | ● |
| Synchronize customer-defined AD attributes (directory extensions) | ● | ● |
| Support for Password Hash Sync | ● | ● |
| Support for Pass-Through Authentication | ● | |
| Support for federation | ● | ● |
| Seamless Single Sign-on | ● | ● |
| Supports installation on a Domain Controller | ● | ● |
| Support for Windows Server 2016 | ● | ● |
| Filter on Domains/OUs/groups | ● | ● |
| Filter on objects’ attribute values | ● | |
| Allow a minimal set of attributes to be synchronized (MinSync) | ● | ● |
| Allow removing attributes from flowing from AD to Azure AD | ● | ● |
| Allow advanced customization for attribute flows | ● | |
| Support for password writeback | ● | ● |
| Support for device writeback | ● | Customers should use Cloud Kerberos trust for this moving forward |
| Support for group writeback | ● | |
| Support for merging user attributes from multiple domains | ● | |
| Azure AD Domain Services support | ● | |
| Exchange hybrid writeback | ● | |
| Unlimited number of objects per AD domain | ● | |
| Support for up to 150,000 objects per AD domain | ● | ● |
| Groups with up to 50,000 members | ● | ● |
| Large groups with up to 250,000 members | ● | |
| Cross-domain references | ● | ● |
| On-demand provisioning | ● | |
| Support for US Government | ● | ● |
Существует один основной и распространенный сценарий, который в настоящее время не поддерживается с новой функцией облачной синхронизации Azure AD Connect, и это гибрид Exchange. Вот текущий ответ из документации Microsoft:
Функция гибридного развертывания Exchange позволяет сосуществовать почтовым ящикам Exchange как в локальной среде, так и в Microsoft 365. Azure AD Connect синхронизирует определенный набор атрибутов из Azure AD обратно в ваш каталог в локальной среде. Облачный агент предоставления в настоящее время не синхронизирует эти атрибуты обратно в ваш каталог в локальной среде, и поэтому он не поддерживается в качестве замены Azure AD Connect.
Предварительные требования для установки облачной синхронизации Azure Active Directory Connect
Microsoft упоминает несколько предварительных требований, на которые следует обратить внимание перед началом установки. Давайте рассмотрим их здесь.
- В портале Azure:
- Вам нужно иметь доступ к учетной записи глобального администратора, доступной только в облаке.
- Вам потребуется настраиваемое доменное имя в Azure, совпадающее с доменным именем UPN в вашем каталоге Active Directory. Если вы переносите данные с Azure AD Connect, это уже должно быть настроено, но стоит убедиться.
- В вашей среде на месте
- Вам понадобится машина, присоединенная к домену, работающая под управлением Windows Server 2016 или более новой версии. Вам потребуется как минимум 4 ГБ оперативной памяти и .NET Framework 4.7.1 или более поздней версии. Серверу просто нужен доступ к сети хотя бы к одному контроллеру домена в вашем лесу AD на месте.
- Ваш брандмауэр на границе должен разрешить исходящий трафик через порты 80 и 443 с вашего сервера в Azure AD.
Единственный другой (необязательный) шаг – сначала удалить Azure AD Connect, если он у вас установлен. Это не обязательно, но для целей этой статьи я проведу простые шаги далее.
О, и очень легко обеспечить отказоустойчивость с этой настройкой. Просто установите агент предоставления на более чем один сервер в вашей сети. Ниже вы увидите шаги.
Удаление Azure AD Connect (необязательно)
- Войдите на сервер Azure AD Connect и откройте Панель управления.
- Откройте меню “Удаление программы“.
- Выберите запись Microsoft Azure AD Connect и нажмите кнопку панели инструментов Удалить.
Мой совет здесь – убедитесь, что флажок установлен, чтобы удалить все. Я всегда стараюсь удалять программное обеспечение максимально чисто, стараясь не оставлять вокруг себя никаких остатков.
- Щелкните Удалить и дайте ему завершиться.
Вот и все, ушло. Теперь мы можем перейти к новым шагам установки.
Как реализовать синхронизацию облака Azure AD Connect в вашу инфраструктуру AD / AAD
Как я уже сказал, вы можете установить агент синхронизации облака Azure AD Connect с или без существующей установки Azure AD Connect в вашей среде. В данном случае я только что удалил свое существующее программное обеспечение Azure AD Connect, поэтому у нас есть чистый лист. Давайте начнем!
Установка
Мы начнем на моем сервере с присоединенным к домену Windows Server 2022, WS22-FS02.
- Сначала войдите в Портал Azure и перейдите на сайт Azure Active Directory (Azure AD).
- На меню навигации слева прокрутите вниз и щелкните Azure AD Connect. Затем снова слева щелкните Синхронизация облака.
- Нет сюрприза, у нас есть чистый лист. Щелкните на Меню агентов, затем щелкните Загрузить агент для работы в локальной сети.
- После загрузки агента, дважды щелкните по файлу MSI. Установка начнется.
- Отметьте галочку и нажмите Установить!
Затем переходим к Настройке.
Настройка службы каталогов Active Directory
После установки начального агента начнется мастер настройки Агента предоставления Azure Active Directory Connect. Скажите это 5 раз подряд. Ой, Майкрософт. Всегда удивляет названиями продуктов!
- На экране приветствия нажмите Далее.
- На экране «Выбор расширения» выберите Синхронизацию, управляемую HR (Workday и SuccessFactors) / Облако синхронизации Azure AD Connect. Это наиболее вероятный сценарий. Только если вы планируете предоставлять приложения на месте в Azure, выберите второй вариант.
- Нажмите Далее.
- Затем появляется экран Подключение к Azure AD, запрашивающий учетные данные для вашего глобального администратора Azure AD. Введите их и будьте готовы к MFA!
- Далее на экране Настройка учетной записи службы. Здесь мы примем значение по умолчанию, Создать учетную запись gMSA. Поскольку мы просим его создать учетную запись gMSA для управления синхронизацией из AD в Azure AD, нам нужно ввести учетную запись с привилегиями администратора домена. Введите ее и нажмите Далее.
- Продолжая, мы переходим к экрану «Подключение к Active Directory». Да, вы правы. Это довольно похоже на мастер установки для установки Azure AD Connect.
- В любом случае, убедитесь, что установлен правильный домен Active Directory. Если вы заметите какие-либо ошибки, возможно, вы неправильно ввели учетные данные. Продолжайте и исправьте, если необходимо, и нажмите Далее.
- Мы подошли к окончательному экрану подтверждения. Проверьте, все ли выглядит хорошо, и нажмите кнопку Подтвердить.
Настройка Azure AD
Теперь мы переходим к Azure Active Directory. Чтобы управлять синхронизацией облака Azure AD, снова перейдите на Портал Azure.
- Нажмите на Синхронизация Azure AD и кликните Синхронизация облака.
- Нажмите кнопку «Новая конфигурация» сверху, чтобы начать процесс настройки в облаке.
- Здесь у нас есть Новая конфигурация синхронизации облака. По умолчанию все должно быть в порядке, если вы синхронизируете только один домен AD – в моем случае ‘reinders.local’. Мы оставим отмеченным «Включить синхронизацию хэшей паролей», чтобы разрешить автоматическое управление паролями.
- Нажмите Создать внизу.
Ну вот, посмотрите! Мы закончили. Я не знаю, как насчет вас, но я почти ВСЕГДА предпочитаю облачные конфигурации по сравнению с традиционным программным обеспечением ‘толстого’ клиента. Это более чисто. Плюс, они могут быстрее внедрять изменения в пользовательский интерфейс и добавлять функции. И, поскольку это облачное решение, вам не нужно беспокоиться о обновлениях программного обеспечения, падении серверов и т. д. Это просто работает. Облако, 100% времени, верно?
Тестирование – Проверка
Пойдемте и просто включите конфигурацию. Мы можем обсудить фильтры области применения, сопоставление атрибутов и т. д. немного позже.
- Нажмите кнопку Просмотр и включение конфигурации вверху, затем нажмите Включить конфигурацию.
- После завершения этого, подождите около 2 минут, затем обновите свой браузер и нажмите вкладку Обзор вверху.
- Прежде всего, вам нужно ввести адрес электронной почты для уведомлений. Нажмите вкладку Свойства и нажмите на иконку карандаша (Редактировать) рядом с Основным.
- Введите адрес электронной почты администратора, чтобы получать уведомления о синхронизации инфраструктуры. Нажмите Применить внизу.
Теперь, что касается проверки и расширенной настройки, вернитесь к виду Пользователи в портале Azure AD, чтобы просмотреть всех ваших пользователей. Я заметил, что количество пользователей увеличилось с 31 до 32. Так что я знаю, ЧТО-ТО произошло. И, если вы действительно внимательны, вы, возможно, помните, что я отфильтровал одного пользователя в конкретном OU при настройке Azure AD Connect. Итак, поскольку я еще не выполнил никакой фильтрации, новый пользователь был синхронизирован – Джон Рейндерс.
Позвольте мне пройти через три основных экрана конфигурации, которые вы будете использовать для поддержания и настройки ваших параметров синхронизации. Первый – Фильтры области применения.
По умолчанию синхронизируются все пользователи в вашем каталоге Active Directory. Вы можете выбрать синхронизацию только определенных групп безопасности ИЛИ выбрать организационные единицы (ОЕ). И да, это один из примеров облачного программного обеспечения, которое на данный момент менее настраиваемо, чем программное обеспечение на месте установки. Но все меняется. В конечном итоге все функции и параметры будут включены в облачную синхронизацию Azure AD Connect.
Теперь давайте посмотрим на Отображение атрибутов. Здесь мы можем выбрать редактировать список атрибутов по умолчанию и их синхронизацию из каталога Active Directory в Azure AD, а также добавлять дополнительные элементы, щелкнув “Добавить отображение атрибутов”.
Будьте уверены, здесь много опций. Как я уже сказал, Microsoft постоянно добавляет новые функции в эту функциональность. Так что не удивляйтесь, если вы заметите, что некоторые из этих экранов изменятся или добавятся/удалатся фрагменты. Это облачные технологии, друзья!
Наконец, давайте посмотрим на Построитель выражений. Здесь вы можете действительно добавить некоторые настройки к тому, как определенные атрибуты синхронизируются, и использовать выражения для сопоставления конкретных пользовательских атрибутов из одного домена Active Directory и других атрибутов из другого домена AD для создания лучшего единого объекта в Azure AD. Опять же, здесь есть много возможностей, и вы будете знакомы с общей установкой, если использовали пользовательские функции, такие как правила синхронизации в программном обеспечении Azure AD Connect.
Заключение
Что ж, это много информации. И я хочу отметить самый большой недостаток облачной синхронизации Azure AD Connect: она имеет меньше функций и может поддерживать меньше сценариев, чем Azure AD Connect.
Это нормально и предусмотрено дизайном. Azure AD Connect существует уже много лет, а Azure AD Connect cloud sync был выпущен примерно год назад. Поэтому неудивительно, что в старом программном обеспечении больше функциональности.
Мой совет: Как только поддерживаемые сценарии совпадут с вашим окружением, приступите к миграции. После использования Azure AD Connect на протяжении нескольких лет в моей “рабочей жизни”, облачная функциональность выглядит очень хорошо – и намного проще в управлении и контроле.
Не стесняйтесь оставить комментарий или вопрос ниже, и спасибо за чтение!
Source:
https://petri.com/install-azure-ad-connect-cloud-sync/