В этом руководстве я предоставлю информацию о том, где скачать Azure Active Directory (недавно переименованный Microsoft Entra ID) Connect V2 и расскажу вам, как установить и настроить его.
Microsoft утверждает, что наиболее распространенная топология – это один лес в офисе с одним или несколькими доменами и одним Azure AD арендатором. Мое руководство будет следовать этой топологии, используя новый лес и домен Windows Server 2019, арендатор Azure AD с пробной лицензией Premium P2 и проверенный пользовательский домен.
Скачайте Azure AD Connect и настройте его
Прежде чем мы углубимся в детали, вот 6 высокоуровневых шагов, необходимых для установки и настройки Azure AD Connect V2:
- Скачайте Azure AD Connect
- Запустите установщик
- Настройте вход пользователейсерверный
- Подключите ваши каталоги
- Настройте расширенные опции
- Начните синхронизацию каталога
Что такое Azure AD Connect?
Проще говоря, Azure AD Connect позволяет вам синхронизировать ваш Active Directory (AD) с Azure AD. Это расширяет ваш устаревший, но все еще чрезвычайно важный Windows Server Active Directory до облачной службы Microsoft Azure AD, и помогает достичь вашей цели создания гибридной идентичности.
Если вы не знакомы с этими терминами или нуждаетесь в напоминании, это нормально. Мы рекомендуем уделить время просмотру нашего сравнения Active Directory и Azure Active Directory перед тем, как двигаться дальше.
Azure AD Connect включает в себя такие функции, как синхронизация хэшей паролей (PHS), прозрачная аутентификация (PTA) и интеграция с Active Directory Federation Services (AD FS). Эти и другие функции объясняются на странице поддержки Microsoft Что такое Azure AD Connect.
Также, обратите внимание, что Службы доменных служб Azure Active Directory (Azure AD DS) – это другое предложение от Microsoft, и его здесь не рассматривают.
Что нового в Azure AD Connect V2
Azure AD Connect 2 вносит некоторые значительные изменения:
- SQL Server 2019 LocalDB
- Библиотека аутентификации MSAL
- Visual C++ Redist 14
- Протокол TLS 1.2 (поддержка протоколов 1.0 и 1.1 больше не предоставляется)
- Все бинарные файлы подписаны с использованием SHA2
- Windows Server 2012 и Windows Server 2012 R2 больше не поддерживаются
- PowerShell 5.0
Компания Microsoft уже объявила, что все версии Azure AD Connect V1 будут сняты с обслуживания 31 августа 2022 года. Этого вполне достаточно для того, чтобы обновиться до Azure AD Connect V2.
Пожалуйста, ознакомьтесь с статьей Петри Рассела Смита о нововведениях в Azure AD Connect V2 для получения более подробной информации о крупнейших изменениях в Azure AD Connect V2. Кроме того, на странице поддержки истории выпусков версий Azure AD Connect от Microsoft содержатся более важные детали о новых функциях и возможностях.
Предварительные требования для Azure AD Connect V2
Прежде чем мы сможем установить Azure AD Connect V2, нам понадобится несколько вещей:
- Облако Azure AD, которое может быть бесплатным или премиум (платным)
- На местном или облачном (на виртуальной машине Infrastructure as a Service) сервере с Windows Server, работающем как контроллер домена AD (старые версии Windows Server поддерживаются, но некоторые функции, например, обратная запись пароля, требуют 2016 или более позднюю версию)
- Ваш контроллер домена должен быть доступен для записи, контроллеры только для чтения (RODC) не поддерживаются.
- Идеально, Azure AD Connect должен быть установлен на выделенном сервере, присоединенном к домену, но вы также можете установить его на контроллер домена (требуется Windows Server 2016 или более поздняя версия с Desktop Experience для Azure AD Connect V2)
- для учётных записей AD и AAD для вашего сервера Azure AD Connect. Microsoft отличает учётные записи, используемые для работы Azure AD Connect, и те, которые используются для его установки и настройки.
Для этого руководства мы будем использовать учетную запись Глобального администратора для тенанта Azure AD и участника группы AD Enterprise Admins для подключения AD. В ваших производственных средах убедитесь, что вы используете выделенные учетные записи, которые обеспечивают только минимальные необходимые разрешения для вашей ситуации, и держите свой пароль в безопасности. См. страницу поддержки Microsoft Azure AD Connect: Учетные записи и разрешения для полной информации.
Установка и настройка Azure AD Connect V2
Сначала нам нужно будет загрузить установщик Azure AD Connect. Вот как это сделать.
Загрузите Azure AD Connect
- Войдите в свою Портал Azure
- Перейдите в раздел Azure Active Directory
- В разделе Управление выберите Azure AD Connect и нажмите Скачать Azure AD Connect.
Запустите установщик Azure AD Connect
После загрузки выполните этот установщик (AzureADConnect.msi) на вашем сервере Azure AD Connect (контроллере домена или выделенном сервере). Для этого требуются повышенные привилегии, поэтому убедитесь, что выбрали Да, когда вас попросят.
Как только установщик загрузится, вы увидите экран Добро пожаловать в Azure AD Connect. После принятия лицензионных условий и уведомления о конфиденциальности нажмите Продолжить.
Выберите настройки по своему усмотрению
На экране Настройки по умолчанию вам нужно выбрать Настроить внизу страницы. Настройки по умолчанию могут подойти для многих сред, но некоторые настройки можно установить только с помощью настройки установки по своему усмотрению.
На экране Установка необходимых компонентов вы можете настроить параметры, влияющие на Azure AD Connect:
- Указание пользовательского расположения установки
- Использование существующего SQL Server (для больших сред и требований к отказоустойчивости)
- Использование существующей учетной записи службы (вам может потребоваться использовать предварительно созданную учетную запись в вашей среде)
- Указание пользовательских групп синхронизации (позволяет установить собственные локальные группы безопасности вместо стандартных)
- Импорт настроек синхронизации (которые были экспортированы из другой установки Azure AD Connect)
После завершения выбора нажмите Установить. Установщик установит необходимые компоненты, такие как Служба синхронизации.
Настройка входа пользователей
Через несколько моментов на экране Вход пользователя будут доступны следующие варианты:
- Синхронизация хэшей паролей (выбор по умолчанию)
- Прохождение аутентификации
- Федерация с AD FS
- Федерация с PingFederate
- Не настраивать
Вы также можете включить одноэтапную аутентификацию для ваших пользователей. Выберите желаемый метод (в этом руководстве мы используем Синхронизацию хэшей паролей) и нажмите Далее.
На экране Подключение к Azure AD введите учетные данные вашей учетной записи Azure AD (см. требования в предыдущем разделе). Вам может быть предложено изменить пароль, если вы ранее не входили в систему под этой учетной записью. Также, если в вашей учетной записи включена двухфакторная аутентификация, вам может быть предложено выполнить необходимые требования, установленные вашей организацией.
Нажмите Далее, чтобы продолжить.
Подключите свои каталоги
На экране Подключите свои каталоги в разделе Лес выберите ваш каталог и нажмите Добавить каталог.
Во всплывающем окне вам будет предложено выбрать либо Создать новую учетную запись, либо Использовать существующую учетную запись. Эта учетная запись будет использоваться для синхронизации каталогов.
Если вы уже создали учетную запись для этого, убедитесь, что она НЕ является членом группы Enterprise Admins или Domain Admins. Для этого руководства мы создадим новую учетную запись.
Увидите, что ваш добавленный каталог отображается в разделе НАСТРОЕННЫЕ КАТАЛОГИ. У вас также есть возможность удалить один или несколько добавленных каталогов, если ваши требования или обстоятельства изменились.
По завершении нажмите Далее.
Выберите, как ваши пользователи будут идентифицированы в Azure AD
На экране конфигурации входа в Azure AD вы увидите суффикс UPN активного каталога и соответствующий статус домена Azure AD для всех добавленных ваших каталогов. Если какие-либо из ваших доменов не были подтверждены или добавлены, вы можете исправить это и обновить экран, используя иконку Обновить под таблицей.
На той же странице вы также сможете настроить ваш имя принципала пользователя (UPN), атрибут локальной сети, который будет использоваться в качестве имени пользователя в Azure AD.
Вам необходимо принять критическое решение о том, как ваши пользователи будут идентифицироваться в Azure AD. В отличие от Active Directory, Azure AD не позволяет дубликаты.
Строго говоря, AD также не позволяет дубликаты, но это не строго контролируется. Вы могли бы иметь дублированные UPN в своем AD и обойтись с этим, в то время как Azure AD будет синхронизировать только первую учетную запись, игнорируя любые последующие. Вы также можете иметь те же имена пользователей в нескольких каталогах, и та же ограничение будет применяться.
Если вы обеспокоены тем, что это может относиться и к вам, вы можете проверить свой AD с помощью idFix перед началом настройки Azure AD Connect. См. страницу Microsoft на GitHub о idFix для получения дополнительной информации.
Обычно вы можете оставить это значение по умолчанию userPrincipalName, но ваши конкретные обстоятельства могут отличаться. Неразрешимые имена доменов (обычные из них – .local или .internal) также являются хорошей причиной для изменения вашего UPN, но это также можно решить, добавив альтернативный (и разрешимый) суффикс UPN через Доверительные отношения домена Active Directory.
Нажмите Далее, чтобы продолжить.
Выберите домены и организационные единицы, которые вы хотите синхронизировать
На экране Фильтрация домена и ОУ вы можете либо синхронизировать все домены и Организационные единицы (ОУ), либо настроить, какие вы хотели бы синхронизировать. Microsoft утверждает, что некоторые ОУ необходимы для функциональности, и вы должны оставить их выбранными. Фильтрация на основе организационной единицы Microsoft включает дополнительную информацию о этих ОУ.
Нажмите Далее, чтобы продолжить.
На экране Уникальная идентификация ваших пользователей выберите опции, которые лучше всего соответствуют вашей инфраструктуре. Как и в предыдущем разделе, крайне важно выбрать правильные настройки.
Хотя значения по умолчанию могут подойти многим организациям, ваше окружение может потребовать усилий и времени для определения оптимальных значений для вас. Дополнительную информацию можно найти на странице поддержки Microsoft Уникальная идентификация ваших пользователей.
Как только будете готовы, нажмите Далее, чтобы продолжить.
Выберите пользователей и устройства, которые будут синхронизированы с Azure AD
На экране Фильтр пользователей и устройств вы можете ограничить синхронизацию пользователей и устройств с Azure AD, указав одну группу. Это удобный способ ограничить ваше начальное пилотное развертывание.
Эти настройки могут быть изменены после завершения пилотного проекта и решения всех проблем вашего развертывания, если они возникнут. Если хотите использовать это, просто введите имя вашей пилотной группы и нажмите кнопку Разрешить.
Имейте в виду, что Microsoft предупреждает, что эта функция не предназначена для использования в рабочих развертываниях, поэтому убедитесь, что измените ее перед запуском в эксплуатацию.
В этом руководстве я создал группу с именем HybridUsers и добавил в нее всех моих тестовых пользователей.
Нажмите Далее, чтобы продолжить.
Выберите дополнительные функции, необходимые вашей организации
На экране Дополнительные функции вы можете установить дополнительные параметры, уникальные для требований вашей организации:
- Гибридная развертка Exchange (для совместного существования Exchange в локальной сети и Exchange Online)
- Почтовые общедоступные папки Exchange (для синхронизации объектов с почтовой папкой из вашего локального экземпляра Active Directory в Azure AD)
- Фильтрация приложений и атрибутов Azure AD (для ограничения атрибутов, которые синхронизируются с Azure AD)
- Синхронизация хэш-пароля
- Обратная запись пароля (для возможности пользователям самостоятельно сбросить пароль от своей учетной записи и уменьшения количества обращений в службу поддержки)
- Обратная запись групп (для обратной записи определенных групп Azure AD в ваш AD)
- Обратная запись устройства (для обратной записи зарегистрированных устройств Azure AD в ваш AD)
- Синхронизация атрибутов расширения каталога (для синхронизации настраиваемых атрибутов AD в ваш Azure AD)
Для этого руководства я оставлю значения по умолчанию. Для вашей среды убедитесь, что вы выбрали самые подходящие настройки и учтите, что некоторые из них имеют специфические требования. Microsoft предоставляет дополнительную информацию на своей странице поддержки Optional features.
Нажмите Далее, чтобы продолжить.
Выберите ваши параметры перед началом процесса синхронизации
Мы перешли на экран Готов к настройке, который предоставляет вам избирательный обзор ваших выборов. Это также позволяет вам установить следующие два параметра:
- Начать процесс синхронизации после завершения настройки (снятие этого флажка откладывает запуск процесса синхронизации)
- Включить режим стадии: при выборе этого варианта синхронизация не будет экспортировать данные в AD или Azure AD (этот экземпляр Azure AD Connect все равно будет импортировать настройки)
Было бы полезно иметь второй готовый сервер Azure AD Connect для приема ваших данных, на случай если ваш основной станет недоступен. Это позволит вам (вручную) сделать второй сервер активно синхронизирующимся, пропустив весь процесс установки или необходимость восстановления из резервной копии. Вы будете лучшим человеком для определения того, как наилучшим образом настроить ваш сервер Azure AD Connect(ы).
Нажмите Установить, как только вы убедитесь, что все настройки правильные.
Теперь Azure AD Connect развернет ваши настройки, установит несколько компонентов, а затем запустит начальную синхронизацию между вашим AD и вашим Azure AD. Это может занять какое-то время в зависимости от размера вашего AD.
Проверка корректной работы Azure AD Connect
То, что вы увидите сейчас, зависит от выбора во время установки. Если вы следовали моим инструкциям, то ваше окружение должно выглядеть похоже.
В вашем Портале Azureперейдите в Управление Azure Active Directory, и в разделе Управление выберите Azure AD Connect. Вы увидите, что значения Состояние синхронизации, Последняя синхронизация и Синхронизация хэшей паролей изменились, отражая то, что служба была включена.
В разделе Управление Azure Active Directory, в разделе Управление выберите Пользователи. Вы найдете все выбранные вами пользователи on-prem (AD), синхронизированных с Azure AD. Обратите внимание на столбец Синхронизированный каталог, это позволит вам легко определить, был ли учетная запись синхронизирована из вашего on-prem AD или создана в облаке (Azure AD).
Перенастройка Azure AD Connect и другие инструменты
Вы обнаружите новый ярлык (Azure AD Connect) на рабочем столе, позволяющий вам перенастроить некоторые из настроек Azure AD Connect. Вы можете увидеть разные варианты выбора, в зависимости от ваших исходных выборов при установке.
Кроме того, задача Просмотр или экспорт текущей конфигурации позволяет удобно создать резервную копию настроек Azure AD Connect, которая также может удовлетворить некоторые требования к документированию. Устранение неполадок позволяет запустить Инструмент устранения неполадок Azure AD Connect, который открывается в окне PowerShell.
Планировщик службы синхронизации приостанавливается во время запуска мастера, даже если вы не вносите изменения, поэтому убедитесь, что случайно не оставили его открытым.
Azure AD Connect устанавливает и активирует дополнительные инструменты и порталы, которые помогут вам получить максимальную отдачу от настройки гибридной идентификации:
Теперь, когда мы установили Azure AD Connect V2 и убедились, что два каталога синхронизированы между собой, возможно, пришло время изучить некоторые более сложные сценарии использования, такие как включение единого входа (SSO) и аутентификация через проброс. Также вам нужно следить за новыми версиями Azure AD Connect, так как Microsoft постоянно выпускает новые функции и иногда удаляет некоторые из них, которые вы могли использовать в своей среде.
Связанный материал:
Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/