Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Установка Microsoft Entra Connect
Это важно
Корпорация Майкрософт не поддерживает изменение или операционную синхронизацию Microsoft Entra Connect за пределами действий, которые официально документированы. Любое из этих действий может привести к несогласованным или неподдерживаемому состоянию синхронизации Microsoft Entra Connect. В результате корпорация Майкрософт не может предоставлять техническую поддержку для таких развертываний.
Вы можете найти скачивание для Microsoft Entra Connect в Центре загрузки Майкрософт.
| Решение | Сценарий |
|---|---|
| Перед началом работы — оборудование и предварительные требования | |
| Экспресс-настройки | |
| Настраиваемые параметры | |
| Обновление с DirSync | |
| Обновление с azure AD Sync или Microsoft Entra Connect |
После установки необходимо убедиться, что он работает должным образом и назначает лицензии пользователям.
Дальнейшие действия по установке Microsoft Entra Connect
| Тема | Ссылка |
|---|---|
| Скачивание Microsoft Entra Connect | Скачать Microsoft Entra Connect |
| Установка с помощью параметров Express | Экспресс-установка Microsoft Entra Connect |
| Установка с помощью настраиваемых параметров | Настраиваемая установка Microsoft Entra Connect |
| Обновление с DirSync | Обновление с инструмента синхронизации Azure AD (DirSync) |
| После установки | Проверка установки и назначение лицензий |
Дополнительные сведения об установке Microsoft Entra Connect
Вы также хотите подготовиться к операционным проблемам. Возможно, вам потребуется резервный сервер, чтобы можно было легко переключиться в случае аварии. Если вы планируете вносить частые изменения конфигурации, вам следует запланировать сервер в режиме развертывания .
| Тема | Ссылка |
|---|---|
| Поддерживаемые топологии | Топологии для Microsoft Entra Connect |
| Принципы проектирования | Основные понятия проектирования Microsoft Entra Connect |
| Учетные записи, используемые для установки | Дополнительные сведения о учетных данных и разрешениях Microsoft Entra Connect |
| Оперативное планирование | Синхронизация Microsoft Entra Connect: операционные задачи и рекомендации |
| Параметры входа пользователя | Параметры входа пользователя Microsoft Entra Connect |
Настройка функций синхронизации
Microsoft Entra Connect поставляется с несколькими функциями, которые можно включить или включить по умолчанию. Некоторые функции иногда могут требовать больше конфигурации в определенных сценариях и топологиях.
Фильтрация используется, если требуется ограничить, какие объекты синхронизируются с идентификатором Microsoft Entra. По умолчанию синхронизируются все пользователи, контакты, группы и компьютеры Windows 10. Фильтрацию можно изменить на основе доменов, подразделений или атрибутов.
Синхронизация хэша паролей синхронизирует хэш паролей в Active Directory с идентификатором Microsoft Entra. Конечный пользователь может использовать один и тот же пароль в локальной среде и в облаке, но управлять им только в одном расположении. Так как в качестве центра используется локальная служба Active Directory, вы также можете использовать собственную политику паролей.
Обратная запись паролей позволяет пользователям изменять и сбрасывать пароли в облаке и применять локальную политику паролей.
Обратная запись устройств позволяет записывать устройство, зарегистрированное в идентификаторе Microsoft Entra, обратно в локальную службу Active Directory, чтобы его можно было использовать для условного доступа.
Функция предотвращения случайного удаления включена по умолчанию и защищает облачный каталог от многочисленных удалений одновременно. По умолчанию для каждого запуска допускается 500 удалений. Этот параметр можно изменить в зависимости от размера организации.
Автоматическое обновление включается по умолчанию для установки экспресс-параметров и гарантирует, что Microsoft Entra Connect всегда обновляется с последней версией.
Дальнейшие действия по настройке функций синхронизации
| Тема | Ссылка |
|---|---|
| Настройка фильтрации | Синхронизация Microsoft Entra Connect: настройка фильтрации |
| Синхронизация хэша паролей | Синхронизация хэшей паролей |
| Сквозная проверка подлинности | сквозная аутентификация |
| Обратная запись паролей | Начало работы с управлением паролями |
| Обратная запись устройств | Включение обратной записи устройств в Microsoft Entra Connect |
| Предотвратите случайное удаление | Синхронизация Microsoft Entra Connect: защита от случайного удаления |
| Автоматическое обновление | Microsoft Entra Connect: автоматическое обновление |
Настройка синхронизации Microsoft Entra Connect
Microsoft Entra Connect Sync поставляется с конфигурацией по умолчанию, предназначенной для работы для большинства клиентов и топологий. Но всегда существуют ситуации, когда конфигурация по умолчанию не работает и должна быть скорректирована. Поддерживается внесение изменений в соответствии с описанным в этом разделе и связанных темах.
Если вы еще не работали с топологией синхронизации, вы захотите сначала ознакомиться с основами и терминами, используемыми в технических концепциях. Даже если некоторые вещи похожи, многое также изменилось.
Конфигурация по умолчанию предполагает, что в конфигурации может быть несколько лесов. В этих топологиях объект пользователя может быть представлен как контакт в другом лесу. Пользователь также может иметь связанный почтовый ящик в другом лесу ресурсов. Поведение конфигурации по умолчанию описывается пользователями и контактами.
Модель конфигурации в рамках синхронизации называется декларативным предоставлением. Расширенные потоки атрибутов используют функции для выражения преобразований атрибутов. Вы можете просмотреть и проверить всю конфигурацию с помощью средств, которые поставляется с Microsoft Entra Connect. Если вам нужно внести изменения в конфигурацию, убедитесь, что вы следуйте рекомендациям , чтобы упростить внедрение новых выпусков.
Дальнейшие действия по настройке синхронизации Microsoft Entra Connect
| Тема | Ссылка |
|---|---|
| Все статьи о Microsoft Entra Connect Sync | Microsoft Entra Connect Sync |
| Технические понятия | Синхронизация Microsoft Entra Connect: технические понятия |
| Общие сведения о конфигурации по умолчанию | Синхронизация Microsoft Entra Connect: общие сведения о конфигурации по умолчанию |
| Общее представление о пользователях и контактах | Синхронизация Microsoft Entra Connect: общие сведения о пользователях и контактах |
| декларативной подготовкой | Синхронизация Microsoft Entra Connect: понимание декларативных выражений подготовки |
| Изменение конфигурации по умолчанию | рекомендации по изменению конфигурации по умолчанию |
Настройка функций федерации
Microsoft Entra Connect предоставляет несколько функций, упрощающих федерацию с Microsoft Entra ID с помощью AD FS и управление федеративным доверием. Microsoft Entra Connect поддерживает AD FS в Windows Server 2012R2 или более поздней версии.
Обновите TLS/SSL-сертификат фермы AD FS , даже если вы не используете Microsoft Entra Connect для управления доверием федерации.
Добавьте сервер AD FS в ферму, чтобы развернуть ферму по мере необходимости.
Восстановите доверие с помощью идентификатора Microsoft Entra в нескольких простых щелчках.
ADFS можно настроить для поддержки нескольких доменов. Например, у вас может быть несколько верхних доменов, которые необходимо использовать для федерации.
Если сервер ADFS не настроен для автоматического обновления сертификатов из идентификатора Microsoft Entra ID или если вы используете решение, отличное от ADFS, вы получите уведомление, когда необходимо обновить сертификаты.
Дальнейшие действия по настройке функций федерации
| Тема | Ссылка |
|---|---|
| Все статьи AD FS | Microsoft Entra Connect и федерация |
| Настройка ADFS с поддоменами | Поддержка нескольких доменов для объединения с Microsoft Entra ID |
| Управление фермой AD FS | Управление и настройка AD FS с помощью Microsoft Entra Connect |
| Обновление сертификатов федерации вручную | Продление сертификатов федерации для Microsoft 365 и Microsoft Entra ID |
Начало работы с Microsoft Entra Connect Health
Чтобы приступить к работе с Microsoft Entra Connect Health, выполните следующие действия.
- Получите идентификатор Microsoft Entra P1 или P2 илизапустите пробную версию.
- Скачайте и установите агенты Microsoft Entra Connect для мониторинга работоспособности на серверах удостоверений.
- Посмотрите панель мониторинга Microsoft Entra Connect Health на сайте https://aka.ms/aadconnecthealth.
Замечание
Помните, что перед просмотром данных на панели мониторинга Microsoft Entra Connect Health необходимо установить агенты Microsoft Entra Connect Health на целевых серверах.
Скачайте и установите Microsoft Entra Connect Health Agent
- Убедитесь, что выполнены требования для Microsoft Entra Connect Health.
- Начало работы с Microsoft Entra Connect Health для AD FS
- Начало работы с Microsoft Entra Connect Health для синхронизации
- Скачайте и установите последнюю версию Microsoft Entra Connect. Агент для мониторинга состояния при синхронизации устанавливается в рамках установки Microsoft Entra Connect (версии 1.0.9125.0 или более поздней).
- Начало работы с Microsoft Entra Connect Health для AD DS
Портал Microsoft Entra Connect Health
На портале Microsoft Entra Connect Health отображаются представления оповещений, мониторинга производительности и аналитики использования. URL https://aka.ms/aadconnecthealth переносит вас на основную панель Microsoft Entra Connect Health. Вы можете думать о лопасти как об окне. В главной колонке вы увидите краткий запуск, службы в Microsoft Entra Connect Health и дополнительные параметры конфигурации. Ознакомьтесь со следующим снимком экрана и краткими объяснениями, которые следуют снимку экрана. После развертывания агентов служба работоспособности автоматически определяет службы, которые отслеживаются с помощью Microsoft Entra Connect Health.
Замечание
Сведения о лицензировании см. в разделе Часто задаваемые вопросы о Microsoft Entra Connect Health или на странице цен на Microsoft Entra.
- Быстрый старт: При выборе этого параметра откроется панель Быстрого старта. Вы можете скачать агент работоспособности Microsoft Entra Connect, нажав кнопку "Получить средства". Вы также можете получить доступ к документации и предоставить отзыв.
- Microsoft Entra Connect (sync): этот параметр отображает серверы Microsoft Entra Connect, которые в настоящее время отслеживает Microsoft Entra Connect Health. Запись ошибок синхронизации показывает основные ошибки синхронизации первой подключенной службы синхронизации по категориям. При выборе записи служб синхронизации откроется панель с информацией о серверах Microsoft Entra Connect. Дополнительные сведения о возможностях использования Microsoft Entra Connect Health для синхронизации.
- Службы федерации Active Directory: этот параметр показывает все службы AD FS, которые в настоящее время отслеживает Microsoft Entra Connect Health. При выборе экземпляра откроется панель (blade), показывающая информацию об этом экземпляре службы. Эта информация включает в себя обзор, свойства, оповещения, мониторинг и аналитику использования. Узнайте больше о возможностях использования Microsoft Entra Connect Health с AD FS на Using Microsoft Entra Connect Health with AD FS.
- Доменные службы Active Directory. В этом параметре отображаются все леса AD DS, которые в настоящее время отслеживает Microsoft Entra Connect Health. При выборе леса откроется панель с информацией об этом лесу. Эти сведения содержат обзор основных сведений, панели мониторинга контроллеров домена, панели мониторинга состояния репликации, оповещений и мониторинга. Дополнительные сведения о возможностях использования Microsoft Entra Connect Health с AD DS.
-
Настройка. В этом разделе содержатся параметры для включения или отключения следующих компонентов:
- Доступ к данным из целостности каталога Microsoft Entra корпорацией Майкрософт только для устранения неполадок: если этот параметр включен, корпорация Майкрософт может получить доступ к тем же данным, которые просматриваются пользователем. Эти сведения могут быть полезны для устранения неполадок и предоставления необходимой помощи. Этот параметр отключен по умолчанию
- Управление доступом на основе ролей (IAM) — это раздел для управления доступом к данным Connect Health на основе ролей.