在本指南中,我將提供有關在哪裡下載Azure Active Directory(最近改名為Microsoft Entra ID) Connect V2的信息,並引導您完成安裝和配置。
Microsoft表示,最常見的拓撲結構是一個本地林,具有一個或多個域,以及一個Azure AD租戶。我的指南將遵循此拓撲結構,使用新的Windows Server 2019林和域,一個使用高級P2試用許可的Azure AD租戶,以及一個經過驗證的自定義域。
下載Azure AD Connect並配置
在深入討論細節之前,這裡有設置和運作Azure AD Connect V2所需的6個高級步驟:
- 下載Azure AD Connect
- 運行安裝程式
- 配置使用者登錄
- 連接您的目錄
- 配置高級選項
- 開始目錄同步
什麼是Azure AD Connect?
簡而言之,Azure AD Connect允許您將您的Active Directory (AD)與Azure AD同步。這將您舊有但仍然至關重要的Windows Server Active Directory擴展至微軟的雲端托管Azure AD,並幫助您實現創建混合身份的目標。
如果您對這些術語不熟悉或需要恢復記憶,沒問題。我們建議花點時間查看我們的Active Directory和Azure Active Directory的比較,然後再繼續進行。
Azure AD Connect包含諸如密碼雜湊同步 (PHS)、透過驗證 (PTA)以及與Active Directory 聯盟服務 (AD FS)集成等功能。這些和其他功能在微軟的什麼是Azure AD Connect支援頁面中有解釋。
請注意,Azure Active Directory Domain Services(Azure AD DS)是微軟提供的另一個產品,本指南不包括這部分。
Azure AD Connect V2中的新功能
Azure AD Connect 2帶來了一些重大變化:
- SQL Server 2019 LocalDB
- MSAL 認證庫
- Visual C++ Redist 14
- TLS 1.2(不再支援1.0和1.1版本)
- 所有二進製檔案簽名均使用SHA2
- 不再支援Windows Server 2012和Windows Server 2012 R2
- PowerShell 5.0
微軟已宣布將於2022年8月31日停用所有Azure AD Connect V1版本。這本身應該是升級至Azure AD Connect V2的一個很好的動機。
請參閱Petri的Russel Smith關於Azure AD Connect V2的新特性的文章,以了解更多關於Azure AD Connect V2中最大的變化。此外,微軟的Azure AD Connect:版本發布歷史支持頁面包含更多關於新功能和功能的重要細節。
Azure AD Connect V2的先決條件
在我們安裝Azure AD Connect V2之前,我們需要以下幾點:
- Azure AD租戶,可以是免費或高級(付費)的
- 一個本地或雲端託管(在基礎設施即服務虛擬機器上)的Windows Server,作為AD 域控制器(較舊版本的Windows Server可以使用,但某些功能,如密碼回寫,將需要2016或更高版本)
- 您的域控制器必須是可寫的,只讀域控制器(RODC)不受支持。
- 理想情況下,Azure AD Connect應該安裝在一個專用的域加入服務器上,但你也可以將其安裝在你的域控制器上(需要Windows Server 2016或更高版本,並且桌面體驗是安裝Azure AD Connect V2的必要條件)
- AD和AAD帳戶用於你的Azure AD Connect服務器。微軟區分了用於操作Azure AD Connect的帳戶和用於其安裝和配置的帳戶。
對於本指南,我們將簡單地使用一個全局管理員帳戶用於Azure AD租戶,以及一個AD企業管理員組的成員用於AD連接。在您的生產環境中,請確保您使用專用帳戶,這些帳戶僅涵蓋所需的最低權限,並且保持您的密碼安全。有關完整詳情,請參閱微軟的Azure AD Connect:帳戶和權限支持頁面。
安裝和配置Azure AD Connect V2
首先,我們需要下載Azure AD Connect安裝程式。以下是進行操作的步驟。
下載 Azure AD Connect
- 登入你的Azure Portal
- 前往Azure Active Directory
- 在管理部分,選擇Azure AD Connect,並點擊下載 Azure AD Connect。
執行 Azure AD Connect 安裝程式
下載完成後,我們將在我們的Azure AD Connect 伺服器(域控制器或專用伺服器)上執行此安裝程式(AzureADConnect.msi提升的權限,因此請確保在提示時選擇是。
安裝程式加載後,您將看到歡迎使用 Azure AD Connect畫面。一旦您接受了許可條款和隱私通知,請點擊繼續。
選擇自訂設定
在快速設定畫面中,您需要在頁面底部選擇自訂。快速設定對許多環境可能是適用的,但某些設定必須使用自訂設定安裝。
在安裝所需組件畫面上,您可以自定義影響 Azure AD Connect 的設置:
- 指定自訂安裝位置
- 使用現有的 SQL Server(適用於較大環境和高可用性需求)
- 使用現有的服務帳戶(您可能需要在您的環境中使用預先創建的帳戶)
- 指定自定義同步群組(允許您設置自己的本地安全群組而非默認群組)
- 導入同步設置(這些設置已從另一個 Azure AD Connect 安裝導出)
完成選擇後,點擊 安裝。安裝程序將安裝像同步服務這樣的所需組件。
配置使用者登入
過一會兒,將顯示使用者登入畫面。您可以選擇以下其中一個選項:
- 密碼雜湊同步(默認選項)
- 通過驗證
- 與 AD FS 聯盟
- 與 PingFederate 聯盟
- 不進行配置
您還可以為您的使用者啟用單一登入。選擇您想要的方法(本指南中使用密碼雜湊同步),然後點擊下一步。
在連接到Azure AD畫面上,輸入您的Azure AD帳戶憑證(請參閱前一節中的先決條件)。如果您以前未使用過此帳戶登錄,則可能需要更改密碼。此外,如果您的帳戶啟用了多重身份驗證(MFA),則可能需要滿足組織設定的任何要求。
點擊下一步繼續。
連接您的目錄
在連接您的目錄畫面上,在FOREST下,選擇您的目錄並點擊添加目錄。
在彈出窗口中,您將被要求選擇創建新帳戶或使用現有帳戶。此帳戶將用於目錄同步。
如果您已經為此創建了帳戶,請確保該帳戶不是Enterprise Admins或Domain Admins組的成員。對於本指南,我們將創建一個新帳戶。
您將看到您添加的目錄列在配置的目錄下。如果您的需求或情況發生了變化,您還可以選擇刪除一個或多個已添加的目錄。
完成後,點擊下一步。
選擇Azure AD中的用戶將如何被識別
在Azure AD登錄配置屏幕上,您將看到所有已添加目錄的Active Directory UPN後綴和對應的Azure AD域狀態。如果您的任何域未經驗證或添加,則可以通過表格下方的刷新圖標來修復並刷新此屏幕。
在同一頁面上,您還可以自定義您的用戶主鍵名稱(UPN),這將作為Azure AD用戶名使用的本地屬性。
您需要在如何識別Azure AD中的用戶方面做出重要決定。與Active Directory不同,Azure AD不允許重復。
嚴格來說,AD也不允許重復,但實際上並不執行此。您可以在AD中有重複的UPN並且逃脫處罰,而Azure AD將僅同步第一個帳戶,忽略任何後續帳戶。您也可以在多個目錄中具有相同的用戶名稱,並且相同的限制將適用。
如果您擔心這可能適用於您,則可以在啟動Azure AD Connect設置之前使用idFix驗證您的AD。請查看Microsoft的idFix GitHub頁面以獲取更多信息。
通常情況下,您可以將此設置保留為默認值userPrincipalName,但您的具體情況可能有所不同。非路由域名(常見的是.local或.internal)也是更改您的UPN的一個很好的理由,但這也可以通過通過添加替代(可路由)UPN後綴通過Active Directory Domain and Trusts來解決。
點擊下一步繼續。
選擇要同步的域和OU
在域和OU篩選屏幕上,您可以同步所有域和組織單位(OU),或自定義您想要同步的哪些。微軟表示某些OU對功能至關重要,您應該保留它們被選中。微軟的基於組織單位的篩選包括有關這些OU的更多信息。
點擊下一步繼續。
在唯一識別您的使用者螢幕上,選擇與您的基礎架構最相符的選項。與前一節一樣,正確選擇十分重要。
雖然預設值可能適用於許多組織,但您的環境可能需要您花些時間和精力來識別最適合您的值。查看Microsoft的唯一識別您的使用者支援頁面以獲取更多資訊。
準備就緒後,點擊下一步繼續。
選擇要同步至 Azure AD 的使用者和裝置
在篩選使用者和裝置螢幕上,您可以通過指定一個群組來限制要同步至 Azure AD 的使用者和裝置。這是限制您起始試驗部署的方便方法。
這些設定可在完成試驗並解決部署中的所有問題後進行更改,如果遇到任何問題。如果您想使用此功能,只需輸入您的試驗群組名稱並點擊解析按鈕。
請牢記,Microsoft警告說這個功能並不是用於生產部署,因此確保在上線之前進行更改。
對於本指南,我已經建立了一個名為HybridUsers的群組並將所有測試使用者添加到其中。
點擊下一步以繼續。
選擇您組織需要的可選功能
在可選功能畫面上,您可以設置符合您組織需求的其他設定:
- Exchange 混合部署(用於與本機 Exchange 和 Exchange 在線共存)
- Exchange 郵件公用文件夾(用於將來自本機 Active Directory 實例的啟用郵件公用文件夾對象同步到 Azure AD)
- Azure AD 應用程式和屬性篩選(限制要同步到 Azure AD 的屬性)
- 密碼雜湊同步
- 密碼寫回(讓您的使用者自助重設密碼,從而減少幫助台呼叫)
- 群組寫回(將特定的 Azure AD 群組寫回到您的 AD)
- 設備寫回(將 Azure AD 註冊的設備寫回您的 AD)
- 目錄擴展屬性同步(將自定義的 AD 屬性同步到您的 Azure AD)
對於本指南,我將保留默認值。 對於您的環境,請確保您選擇最適合的設置,並請記住一些特定要求。 Microsoft在其可選功能支持頁面上有更多信息。
點擊下一步 繼續。
在開始同步過程之前選擇您的選項
我們已經到達準備配置屏幕,為您提供選擇性概述您的選擇。 這還允許您設置以下兩個選項:
- 在配置完成時開始同步過程(取消選擇此選項將延遲開始同步過程)
- 啟用分段模式:選擇此選項後,同步將不會將任何數據匯出到AD或Azure AD(此Azure AD Connect實例仍將導入設置)
如果您的主要AD Connect服務器不可用,則準備第二個Azure AD Connect服務器準備接收您的數據可能會很有用。 這允許您(手動)將第二個服務器轉換為主動同步服務器,跳過整個安裝過程或從備份中恢復的需要。 您將成為最適合確定如何最佳設置您的Azure AD Connect服務器。
當您確認所有設置正確時,請點擊安裝。
現在,Azure AD Connect 將部署您的設置,安裝幾個組件,然後啟動您的 AD 和 Azure AD 之間的初始同步。這可能需要一段時間,具體時間取決於您的 AD 的大小。
驗證 Azure AD Connect 是否正常運作
現在您看到的將取決於您在安裝期間的選擇。如果您遵循我的指示,那麼您的環境應該看起來類似。
在您的 Azure Portal中,導航至 Azure Active Directory,在 管理 部分選擇 Azure AD Connect。您將看到 同步狀態、上次同步 和 密碼雜湊同步 的值已更改,反映出服務已啟用。
仍然在 Azure Active Directory 中,在 管理 部分,選擇 用戶。您將找到所有您選擇的本地 (AD) 用戶已同步至 Azure AD。請注意 已同步目錄 列,這將幫助您輕鬆判斷帳戶是從本地 AD 同步還是在雲端 (Azure AD) 中創建的。
重新配置 Azure AD Connect 和進一步工具
您將在桌面上找到一個新的快捷方式 (Azure AD Connect),讓您重新配置一些 Azure AD Connect 的設置。根據您最初的安裝選擇,您可能會看到不同的選擇。
此外,查看或匯出當前配置任務可讓您方便地備份您的 Azure AD Connect 設定,同時也能滿足部分文檔需求。故障排除讓您可以啟動Azure AD Connect 故障排除工具,該工具會在 PowerShell 視窗中開啟。
當精靈運行時,同步服務排程器會暫停,即使您沒有進行任何更改,因此請務必確保不要不小心將其保持開啟。
Azure AD Connect 還會安裝和啟用進一步的工具和入口,這將幫助您充分利用混合身份設置:
現在我們已經安裝了Azure AD Connect V2並檢查了兩個目錄之間的同步情況,可能是時候查看一些更高級的用例,如啟用單一登錄(SSO)和通過驗證。此外,您需要及時了解Azure AD Connect的新版本,因為微軟經常推出新功能,有時會刪除您在環境中使用的某些功能。
相關文章:
Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/