Поделиться через


Стратегия установки Microsoft Entra Подключение и Microsoft Entra Подключение Health

Установка Microsoft Entra Подключение

Внимание

Корпорация Майкрософт не поддерживает изменение или работу Microsoft Entra Подключение Sync за пределами действий, которые официально описаны. Любое из этих действий может привести к несогласованным или неподдерживаемому состоянию Microsoft Entra Подключение Sync. В результате корпорация Майкрософт не может предоставлять техническую поддержку для таких развертываний.

Вы можете найти скачивание для Microsoft Entra Подключение в Центре загрузки Майкрософт.

Решение Сценарий
Перед началом работы: оборудование и предварительные требования
  • Действия, которые необходимо выполнить перед началом установки Microsoft Entra Подключение.
  • Стандартные параметры
  • Рекомендуемый вариант при наличии AD с одним лесом.
  • Пользователи входят в систему с одним и тем же паролем, используя синхронизацию паролей.
  • Настраиваемые параметры
  • Используется при наличии нескольких лесов. Поддерживает многие локальные топологии.
  • Настройка режима входа (например, с помощью сквозной аутентификации, AD FS для федерации или стороннего поставщика удостоверений).
  • Настройка функций синхронизации, таких как фильтрация и обратная запись.
  • Обновление из DirSync
  • Используется при наличии уже работающего сервера DirSync.
  • Обновление с azure AD Sync или Microsoft Entra Подключение
  • Есть несколько разных способов на выбор.
  • После установки следует проверить правильность работы системы и назначить пользователям лицензии.

    Дальнейшие действия по установке Microsoft Entra Подключение

    Раздел Установить связь
    Скачивание Подключение Microsoft Entra Скачивание Подключение Microsoft Entra
    Установка с помощью стандартных параметров Экспресс-установка Microsoft Entra Подключение
    Установка с помощью настроенных параметров Выборочная установка Microsoft Entra Connect
    Обновление из DirSync Обновление с помощью средства синхронизации Azure AD (DirSync)
    После установки Проверка установки и назначение лицензий

    Дополнительные сведения об установке Microsoft Entra Подключение

    Также требуется подготовиться к рабочим вопросам. Может потребоваться наличие резервного сервера, на который можно будет легко перейти в случае аварии. Если планируется часто изменять конфигурацию, следует предусмотреть сервер для промежуточного режима .

    Раздел Установить связь
    Поддерживаемые топологии Топологии для Microsoft Entra Подключение
    Принципы проектирования Основные понятия проектирования Microsoft Entra Подключение
    Учетные записи, используемые для установки Дополнительные сведения о учетных данных и разрешениях Microsoft Entra Подключение
    Операционное планирование Синхронизация Подключение Microsoft Entra: операционные задачи и рекомендации
    Параметры входа пользователя Параметры входа пользователя в Microsoft Entra Подключение

    Настройка функций синхронизации

    Microsoft Entra Подключение поставляется с несколькими функциями, которые можно включить или включить по умолчанию. В некоторых сценариях и топологиях может потребоваться дополнительная конфигурация некоторых функций.

    Фильтрация используется, если требуется ограничить, какие объекты синхронизируются с идентификатором Microsoft Entra. По умолчанию все пользователи, контакты, группы и компьютеры с ОС Windows 10 синхронизируются. Фильтрацию можно изменить в зависимости от доменов, подразделений и атрибутов.

    Синхронизация хэша паролей синхронизирует хэш паролей в Active Directory с идентификатором Microsoft Entra. Пользователи могут использовать один и тот же пароль локально и в облаке, но управление им осуществляется только из одного расположения. Так как при синхронизации паролей в качестве главного источника используется локальная служба Active Directory, вы также можете применить собственную политику паролей.

    Компонент обратной записи паролей позволит вашим пользователям изменять и сбрасывать пароли в облаке, а также применять вашу локальную политику паролей.

    Обратная запись устройств позволит устройству, зарегистрированному в идентификаторе Microsoft Entra, записываться обратно в локальная служба Active Directory, чтобы его можно было использовать для условного доступа.

    Функция предотвращения случайного удаления включена по умолчанию и защищает облачный каталог от множества одновременных удалений. По умолчанию она позволяет сделать 500 удалений за сеанс. Этот параметр можно изменить в зависимости от размера вашей организации.

    Автоматическое обновление по умолчанию включается для установки экспресс-параметров и гарантирует, что Подключение Microsoft Entra всегда обновлена с последней версией.

    Дальнейшие действия по настройке функций синхронизации

    Раздел Установить связь
    Настройка фильтрации Синхронизация Microsoft Entra Connect: настройка фильтрации
    Синхронизация хэша паролей Синхронизации хэша паролей
    Сквозная проверка подлинности Сквозная проверка подлинности
    Компонент обратной записи паролей Приступая к работе с компонентами управления паролями
    Обратная запись устройств Включение обратной записи устройств в Microsoft Entra Подключение
    Предотвращение случайного удаления Синхронизация Подключение Microsoft Entra: предотвращение случайного удаления
    Автоматическое обновление Microsoft Entra Подключение: автоматическое обновление

    Настройка синхронизации Подключение Microsoft Entra

    Microsoft Entra Подключение Sync поставляется с конфигурацией по умолчанию, предназначенной для работы для большинства клиентов и топологий. Тем не менее, возникают ситуации, когда конфигурация по умолчанию не будет работать и ее необходимо скорректировать. Поддерживается внесение изменений, документированных в этом разделе и связанных статьях.

    Если вы не работали ранее с топологией синхронизации, вам необходимо ознакомиться с основными сведениями и используемыми терминами, описанными в технических концепциях. Даже если некоторые вещи похожи, много изменилось и.

    Конфигурация, используемая по умолчанию , может включать несколько лесов. В таких топологиях объект пользователя может быть представлен как контакт в другом лесу. У пользователя также может быть связанный почтовый ящик в другом лесу ресурсов. Поведение конфигурации по умолчанию описано в разделе пользователей и контактов.

    Модель конфигурации в синхронизации называется декларативной подготовкой. Потоки дополнительных атрибутов используют функции для выражения преобразований атрибутов. Вы можете просмотреть и проверить всю конфигурацию с помощью средств, которые поставляется с microsoft Entra Подключение. Если в конфигурацию необходимо внести изменения, убедитесь, что вы придерживаетесь рекомендаций , упрощающих переход на новые выпуски.

    Дальнейшие действия по настройке синхронизации Microsoft Entra Подключение

    Раздел Установить связь
    Все статьи о синхронизации Подключение Microsoft Entra Синхронизация Подключение Microsoft Entra
    Технические концепции Синхронизация Microsoft Entra Connect: технические понятия
    Общие сведения о конфигурации по умолчанию Служба синхронизации Microsoft Entra Connect: общие сведения о стандартной конфигурации
    Общее представление о пользователях и контактах Синхронизация Подключение Microsoft Entra: общие сведения о пользователях и контактах
    декларативной подготовкой Служба синхронизации Microsoft Entra Connect: общие сведения о выражениях декларативной подготовки
    Изменение конфигурации по умолчанию Рекомендации по изменению конфигурации по умолчанию

    Настройка функций федерации

    Microsoft Entra Подключение предоставляет несколько функций, упрощающих федерацию с идентификатором Microsoft Entra с помощью AD FS и управления доверием федерации. Microsoft Entra Подключение поддерживает AD FS в Windows Server 2012R2 или более поздней версии.

    Обновите СЕРТИФИКАТ TLS/SSL фермы AD FS, даже если вы не используете Microsoft Entra Подключение для управления доверием федерации.

    Добавьте сервер AD FS в ферму, чтобы расширить ее в соответствии с потребностями.

    Восстановите доверие с помощью идентификатора Microsoft Entra в нескольких простых щелчках.

    В AD FS можно настроить поддержку нескольких доменов. Например, у вас может быть несколько доменов верхнего уровня, которые необходимо использовать для федерации.

    Если сервер ADFS не настроен на автоматическое обновление сертификатов из идентификатора Microsoft Entra или если вы используете решение, отличное от ADFS, вы получите уведомление, когда необходимо обновить сертификаты.

    Дальнейшие действия по настройке функций федерации

    Раздел Установить связь
    Все статьи, посвященные AD FS Microsoft Entra Подключение и федерация
    Настройка служб AD FS с поддоменами Поддержка нескольких доменов для федеративного подключения с идентификатором Microsoft Entra
    Управление фермой AD FS Управление и настройка AD FS с помощью Microsoft Entra Подключение
    Обновление сертификатов федерации вручную Продление сертификатов федерации для идентификатора Microsoft 365 и Microsoft Entra

    Начало работы с Microsoft Entra Подключение Health

    Чтобы приступить к работе с Microsoft Entra Подключение Health, выполните следующие действия.

    1. Получите идентификатор Microsoft Entra P1 или P2 или запустите пробную версию.
    2. Скачайте и установите Microsoft Entra Подключение Агенты работоспособности на серверах удостоверений.
    3. Просмотрите панель мониторинга https://aka.ms/aadconnecthealthработоспособности Microsoft Entra Подключение.

    Примечание.

    Помните, что перед просмотром данных на панели мониторинга Работоспособности Microsoft Entra Подключение необходимо установить агенты работоспособности Microsoft Entra Подключение на целевых серверах.

    Скачивание и установка агента работоспособности Microsoft Entra Подключение

    Портал работоспособности Microsoft Entra Подключение

    На портале работоспособности Microsoft Entra Подключение отображаются представления оповещений, мониторинга производительности и аналитики использования. https://aka.ms/aadconnecthealth URL-адрес переносит вас в основную колонку Microsoft Entra Подключение Health. Ее можно считать окном. В главной колонке вы увидите краткий запуск, службы в Microsoft Entra Подключение Health и дополнительные параметры конфигурации. Просмотрите снимок экрана колонки ниже и ознакомьтесь с кратким описанием содержащихся в ней элементов. После развертывания агентов служба работоспособности автоматически идентифицирует службы, которые отслеживает Microsoft Entra Подключение Health.

    Примечание.

    Сведения о лицензировании см. на странице цен на Microsoft Entra Подключение Health или на странице цен на Microsoft Entra.

    Портал работоспособности Microsoft Entra Подключение

    • Быстрый запуск. При выборе этого элемента откроется колонка быстрого запуска. Вы можете скачать microsoft Entra Подключение Health Agent, выбрав "Получить средства". Кроме того, вы также можете получить доступ к документации и оставить отзыв.
    • Microsoft Entra Подключение (синхронизация): этот параметр отображает серверы Microsoft Entra Подключение, которые в настоящее время отслеживает Microsoft Entra Подключение Health. В записи Ошибки синхронизации отображаются основные ошибки синхронизации в первой подключенной службе синхронизации по категориям. При выборе записи служб синхронизации откроется колонка с сведениями о серверах Microsoft Entra Подключение. Дополнительные сведения о возможностях при использовании Microsoft Entra Подключение Health для синхронизации.
    • службы федерации Active Directory (AD FS). В этом параметре отображаются все службы AD FS, которые в настоящее время отслеживает Microsoft Entra Подключение Health. Если выбрать экземпляр, откроется колонка со сведениями об этом экземпляре службы. Сюда входит обзор, свойства, оповещения, мониторинг и аналитика по использованию. Дополнительные сведения о возможностях использования Microsoft Entra Подключение Health с AD FS.
    • службы домен Active Directory. В этом параметре отображаются все леса AD DS, которые в настоящее время отслеживает Microsoft Entra Подключение Health. Если выбрать лес, откроется колонка со сведениями об этом лесе. Эти сведения включают обзор основной информации, панель мониторинга контроллеров домена, панель мониторинга состояния репликации, оповещения и мониторинг. Дополнительные сведения о возможностях использования Microsoft Entra Подключение Health с AD DS.
    • Настройка. В этом разделе содержатся параметры для включения или отключения следующих компонентов:
      • Доступ к данным из целостности каталога Microsoft Entra корпорацией Майкрософт только для устранения неполадок: если этот параметр включен, корпорация Майкрософт может получить доступ к тем же данным, которые просматриваются пользователем. Эти сведения могут быть полезны для устранения неполадок и предоставления необходимой помощи. Этот параметр по умолчанию отключен.
    • Раздел Управление доступом на основе ролей (IAM) предназначен для управления доступом к данным Connect Health с помощью ролей.

    Next Steps