كيفية تنزيل وتثبيت وتكوين Azure AD Connect V2

الدروس التعليمية

في هذا الدليل، سأقدم معلومات حول كيفية تنزيل Azure Active Directory (التسمية الجديدة مؤخرًا Microsoft Entra ID) Connect V2 وسأرشدك خلال عملية التثبيت والتكوين الخاصة به.

تقول Microsoft إن أكثر توبولوجيا شيوعًا هي غابة محلية واحدة، مع نطاق واحد أو أكثر، ومشرِّك Azure AD واحد. سيتبع دليلي هذه التوبولوجيا، باستخدام غابة ونطاق Windows Server 2019 جديدين، ومشرِّك Azure AD يستخدم ترخيص تجريبي Premium P2، ونطاق مخصص موثق.

قم بتنزيل Azure AD Connect وقم بتكوينه

قبل أن نغوص في التفاصيل، إليك الخطوات الرئيسية الست المطلوبة لتثبيت وتشغيل Azure AD Connect V2:

  1. قم بتنزيل Azure AD Connect
  2. قم بتشغيل مثبت البرنامج
  3. قم بتكوين تسجيل المستخدم
  4. قم بربط الدلائل الخاصة بك
  5. قم بتكوين خيارات متقدمة
  6. ابدأ مزامنة الدليل

ما هو Azure AD Connect؟

ببساطة، يسمح Azure AD Connect لك بمزامنة التزامن لـ Active Directory (AD) مع Azure AD. يوسع هذا النطاق الخاص بك من دليل الخوادم النشطة لنظام التشغيل Windows القديم ولكن لا يزال مهمًا بشكل حرج إلى Azure AD المستضاف في سحابة Microsoft، ويساعدك في تحقيق هدفك في إنشاء هوية هجينة.

إذا كنت غير ملم بهذه المصطلحات أو تحتاج إلى تحديث، فهذا مقبول. نوصي بأخذ الوقت للاطلاع على مقارنة بين دليل الخوادم النشطة ودليل Azure Active Directory لدينا قبل المضي قدمًا.

يحتوي Azure AD Connect على ميزات مثل مزامنة تشفير كلمة المرور (PHS)، المصادقة عبر التمرير (PTA) والتكامل مع خدمات الاتحاد لدليل الخوادم النشطة (AD FS). يتم شرح هذه الميزات وغيرها في صفحة دعم Microsoft لـ ما هو دعم Azure AD Connect.

أيضًا، يُرجى ملاحظة أن Azure Active Directory Domain Services (Azure AD DS) هو عرض مختلف من شركة مايكروسوفت، وليس مشمولًا في هذا الدليل.

الجديد في Azure AD Connect V2

Azure AD Connect 2 يأتي ببعض التغييرات الهامة:

  • SQL Server 2019 LocalDB
  • مكتبة المصادقة MSAL
  • الإصدار 14 من Visual C++ Redist
  • بروتوكول TLS 1.2 (لا يُدعم الإصدار 1.0 و 1.1 بعد الآن)
  • توقيع جميع الثنائيات باستخدام SHA2
  • لا يتم دعم Windows Server 2012 و Windows Server 2012 R2 بعد الآن
  • PowerShell 5.0

لقد أعلنت مايكروسوفت بالفعل أن جميع إصدارات Azure AD Connect V1 ستُتقاعد في 31 أغسطس 2022. هذا وحده يجب أن يكون دافعًا جيدًا للترقية إلى Azure AD Connect V2.

يرجى الاطلاع على مقال بيتري راسل سميث حول ما الجديد في Azure AD Connect V2 للحصول على مزيد من المعلومات حول أكبر التغييرات في Azure AD Connect V2. كما تحتوي صفحة الدعم لـ Azure AD Connect: سجل الإصدارات من Microsoft على مزيد من التفاصيل الهامة حول الميزات والوظائف الجديدة.

المتطلبات الأساسية لـ Azure AD Connect V2

قبل أن نتمكن من تثبيت Azure AD Connect V2، هناك بعض الأشياء التي سنحتاج إليها:

  • مستأجر Azure AD، والذي يمكن أن يكون مجانيًا أو مميزًا (يتم الدفع مقابله)
  • خادم Windows Server مستضافًا داخليًا أو في السحابة (على جهاز افتراضي للبنية الأساسية كخدمة) يعمل كـ مراقب النطاقات AD (يعمل الإصدارات القديمة من Windows Server لكن بعض الميزات مثل إرجاع كلمة المرور ستتطلب 2016 أو الإصدارات الأحدث)
  • يجب أن يكون مراقب النطاق كتابةً، لا يدعم مراقبي النطاق القراءة فقط (RODC)
  • في الواقع، يجب تثبيت Azure AD Connect على خادم مخصص منضم إلى النطاق، ولكن يمكنك أيضًا تثبيته على مراقب النطاق الخاص بك (يتطلب ويندوز سيرفر 2016 أو أحدث مع تجربة سطح المكتب لـ Azure AD Connect V2)
  • AD و AAD حسابات لخادم الاتصال بخدمة Azure AD Connect الخاص بك. تميز مايكروسوفت بين الحسابات المستخدمة لتشغيل Azure AD Connect وتلك المستخدمة لتثبيته وتكوينه.

لهذا الدليل، سنستخدم ببساطة حساب المسؤول العالمي لمستأجر Azure AD وعضوًا في مجموعة مسؤولي الشركات الشاملة في AD للاتصال بـ AD. في بيئات الإنتاج الخاصة بك، تأكد من استخدام حسابات مخصصة تغطي فقط الصلاحيات الدنيا المطلوبة لحالتك واحفظ كلمة المرور الخاصة بك بأمان. راجع صفحة دعم مايكروسوفت Azure AD Connect: حسابات وصلاحيات للحصول على تفاصيل كاملة.

تثبيت وتكوين Azure AD Connect V2

الشيء الأول الذي سنحتاج إليه هو تحميل مثبت Azure AD Connect. إليك كيفية المتابعة.

قم بتنزيل Azure AD Connect

  • سجّل الدخول إلى بوابة Azure
  • انتقل إلى المديرية النشطة لـ Azure
  • في القسم الإدارة, حدد Azure AD Connect, وانقر على تنزيل Azure AD Connect.
Download Azure AD Connect (Image Credit: Michael Taschler)

قم بتشغيل مثبت Azure AD Connect

بمجرد التنزيل، سنقوم بتشغيل هذا المثبت (AzureADConnect.msi) على خادم Azure AD Connect الخاص بنا (مركز تحكم النطاق أو الخادم المخصص). الامتيازات المرتفعة مطلوبة لهذا، لذا تأكد من اختيار نعم عند الطلب.

عندما يتم تحميل المثبت، سترحب بك شاشة مرحبًا بك في Azure AD Connect. بمجرد قبولك شروط الترخيص و إشعار الخصوصية, انقر على الاستمرار.

Azure AD Connect Welcome screen (Image Credit: Michael Taschler)

اختيار الإعدادات المخصصة

في شاشة إعدادات البيانات السريعة, ستحتاج إلى اختيار تخصيص في أسفل الصفحة. قد تكون إعدادات البيانات السريعة مناسبة للعديد من البيئات، ولكن بعض الإعدادات يمكن تعيينها فقط باستخدام تثبيت الإعدادات المخصصة.

Azure AD Connect Express Settings screen (Image Credit: Michael Taschler)

على شاشة تثبيت المكونات المطلوبة، يمكنك تخصيص الإعدادات التي تؤثر على Azure AD Connect:

  • تحديد موقع تثبيت مخصص
  • استخدام خادم SQL موجود (للبيئات الأكبر حجمًا والمتطلبات عالية التوافر)
  • استخدام حساب خدمة موجود (قد تكون مطلوبة استخدام حساب مُنشأ مسبقًا في بيئتك)
  • تحديد مجموعات مزامنة مخصصة (مما يتيح لك تعيين مجموعات أمان محلية بدلاً من تلك الافتراضية)
  • استيراد إعدادات المزامنة (التي تم تصديرها من تثبيت آخر من Azure AD Connect)

بمجرد اكتمال اختياراتك، انقر فوق تثبيت. سيقوم المثبت بتثبيت المكونات المطلوبة مثل خدمة المزامنة.

Azure AD Connect Install Required Components screen (Image Credit: Michael Taschler)

تكوين تسجيل دخول المستخدم

بعد لحظات قليلة، ستظهر شاشة تسجيل دخول المستخدم. يمكنك اختيار إحدى الخيارات التالية:

  • تزامُن كلمات المرور بالهاش (الخيار الافتراضي)
  • المصادقة المباشرة
  • الاتحاد مع AD FS
  • الاتحاد مع PingFederate
  • عدم التكوين

يمكنك أيضًا تمكين تسجيل الدخول الواحد لمستخدميك. اختر الطريقة المرغوبة (سنستخدم تزامُن كلمات المرور بالهاش في هذا الدليل)، وانقر فوق التالي.

Azure AD Connect User Sign-in screen (Image Credit: Michael Taschler)

على الشاشة الاتصال بمجلد Azure AD، قم بإدخال بيانات اعتماد حساب Azure AD الخاص بك (راجع المتطلبات الأساسية في القسم السابق). قد يُطلب منك تغيير كلمة المرور إذا لم تقم بتسجيل الدخول باستخدام هذا الحساب من قبل. كما أنه إذا تم تمكين MFA لحسابك، فقد يُطلب منك الالتزام بمتطلبات المؤسسة.

انقر على التالي للمتابعة.

Azure AD Connect Connect to Azure AD screen (Image Credit: Michael Taschler)

اتصال الدلائل الخاصة بك

على الشاشة اتصال الدلائل الخاصة بك، تحت المجلد، اختر الدليل الخاص بك وانقر على إضافة دليل.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

ستظهر نافذة منبثقة تطلب منك اختيار إنشاء حساب جديد أو استخدام حساب موجود. سيتم استخدام هذا الحساب لمزامنة الدليل.

إذا كان قد تم بالفعل إنشاء حساب لهذا الغرض، فتأكد من أنه ليس عضوًا في مجموعة المسؤولين الرئيسيين للمؤسسة أو مسؤولي النطاق. في هذا الدليل، سنقوم بإنشاء حساب جديد.

ستظهر الدليل الذي تمت إضافته بالفعل تحت الدلائل المكونة. كما يتيح لك اختيار إزالة واحد أو أكثر من الدلائل المضافة إذا تغيرت متطلباتك أو ظروفك.

بمجرد الانتهاء، انقر على التالي.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

اختر كيفية تحديد هوية مستخدميك في Azure AD

على شاشة تكوين تسجيل الدخول إلى Azure AD، سترى اللاحقة UPN لخدمة الدليل النشط وحالة نطاق Azure AD المضاف لجميع الدلائل التي أضفتها. إذا لم يتم التحقق من أي من النطاقات الخاصة بك أو إضافتها، يمكنك إصلاح ذلك وتحديث هذه الشاشة باستخدام أيقونة التحديث أسفل الجدول.

على نفس الصفحة، ستتمكن أيضًا من تخصيص اسم المستخدم الأساسي (UPN)، السمة المتواجدة محليًا التي ستستخدم ك اسم مستخدم Azure AD.

Azure AD Connect Azure AD Sign-in Configuration screen (Image Credit: Michael Taschler)

يُطلب منك اتخاذ قرار حاسم بشأن كيفية تعريف المستخدمين الخاصين بك في Azure AD. على عكس Active Directory، لا يسمح Azure AD بالتكرارات.

بصراحة، لا يسمح AD بالتكرارات أيضًا، ولكنه لا يفرض ذلك فعليًا. يمكن أن يكون لديك UPNs مكررة في AD الخاص بك وتتجاوز هذا، بينما سيتم مزامنة Azure AD فقط لأول حساب، وتجاهل أي حسابات لاحقة. يمكنك أيضًا أن يكون لديك نفس أسماء المستخدمين في العديد من الدلائل وستنطبق نفس القيود.

إذا كنت قلقًا من أن هذا قد ينطبق عليك، يمكنك التحقق من AD الخاص بك باستخدام idFix قبل بدء إعداد Azure AD Connect. انظر صفحة GitHub لمايكروسوفت حول idFix لمزيد من المعلومات.

عادةً، يمكنك ترك القيمة الافتراضية userPrincipalName، ولكن قد تختلف ظروفك الخاصة. أسماء النطاق غير القابلة للتوجيه (الشائع فيها .local أو .internal) تعتبر سببًا جيدًا لتغيير UPN الخاص بك، ولكن يمكن أيضًا التعامل مع هذا من خلال إضافة بديل (قابل للتوجيه) لـ UPN suffix عبر Active Directory Domain and Trusts.

انقر فوق التالي لمتابعة.

اختر النطاقات والوحدات التنظيمية التي تريد مزامنتها

على شاشة تصفية النطاق والوحدات التنظيمية، يمكنك إما مزامنة جميع النطاقات والوحدات التنظيمية (OUs) أو تخصيص تلك التي تود مزامنتها. تشير مايكروسوفت إلى أن بعض الوحدات التنظيمية ضرورية للوظائف ويجب تركها محددة. تتضمن عملية تصفية الوحدة التنظيمية من مايكروسوفت مزيدًا من المعلومات حول تلك الوحدات التنظيمية.

انقر فوق التالي لمتابعة.

Azure AD Connect Domain and OU Filtering screen (Image Credit: Michael Taschler)

على شاشة تحديد هوية مستخدميك بشكل فريد، اختر الخيارات التي تتوافق بشكل أفضل مع بنية البنية التحتية الخاصة بك. كما في الجزء السابق، من الأمر أن تحصل على هذا الأمر بشكل صحيح.

بينما قد تكون القيم الافتراضية مناسبة للعديد من المؤسسات، قد تتطلب بيئتك الخاصة منك قضاء بعض الوقت والجهد في تحديد القيم التي تناسبك بشكل أفضل. انظر إلى صفحة دعم Microsoft تحديد هوية مستخدميك بشكل فريد لمزيد من المعلومات.

عندما تكون جاهزًا، انقر فوق التالي للاستمرار.

Azure AD Connect Uniquely Identifying Your Users screen (Image Credit: Michael Taschler)

اختر أي المستخدمين والأجهزة سيتم مزامنتها مع Azure AD

على شاشة تصفية المستخدمين والأجهزة، يمكنك تحديد المستخدمين والأجهزة التي ستتم مزامنتها مع Azure AD عن طريق تحديد مجموعة واحدة. هذه الطريقة مريحة لتحديد نطاق نشرك التجريبي الأولي.

يمكن تغيير هذه الإعدادات بعد الانتهاء من النطاق التجريبي وحل جميع مشاكل نشرك، في حال واجهت أي مشكلة. إذا كنت ترغب في استخدام ذلك، فقط أدخل اسم مجموعة النطاق التجريبي الخاص بك وانقر على الزر حل.

تذكر أن Microsoft تحذر من أن هذه الميزة لا تُقصد للاستخدام في نطاق إنتاجي، لذلك تأكد من تغييرها قبل الانتقال إلى المرحلة الفعلية.

بالنسبة لهذا الدليل، قمت بإنشاء مجموعة باسم HybridUsers وأضفت جميع مستخدمي الاختبار إليها.

انقر التالي للمتابعة.

Azure AD Connect Filter Users and Devices screen (Image Credit: Michael Taschler)

اختر الميزات الاختيارية التي تحتاجها منظمتك

على الشاشة الميزات الاختيارية يمكنك تعيين إعدادات إضافية تلبي متطلبات منظمتك الفريدة:

  • نشر هجين لـ Exchange (للتشغيل المشترك مع Exchange الموجود في المؤسسة وExchange Online)
  • مجلدات البريد العام في Exchange (لمزامنة كائنات المجلد العام المتاحة للبريد من نسخة نشطة لدليل البيانات الموجود في المؤسسة الخاصة بك مع Azure AD)
  • تصفية التطبيق والسمات في Azure AD (للحد من السمات التي يتم مزامنتها مع Azure AD)
  • مزامنة تشفير كلمة المرور
  • إعادة كتابة كلمة المرور (لتمكين مستخدميك من إعادة تعيين كلمات المرور بأنفسهم، مما يسمح لك بتقليل المكالمات إلى مكتب المساعدة)
  • إعادة كتابة المجموعات (لإعادة كتابة مجموعات Azure AD محددة إلى AD الخاص بك)
  • إعادة كتابة الأجهزة (لإعادة كتابة الأجهزة المسجلة في Azure AD إلى AD الخاص بك)
  • مزامنة سمة الامتداد في الدليل (لمزامنة سمات AD المخصصة مع Azure AD الخاص بك)

لهذا الدليل، سأبقي قيم الافتراضية. بالنسبة لبيئتك، تأكد من اختيار الإعدادات الأنسب وتذكر أن بعضها له متطلبات محددة. تقدم Microsoft مزيدًا من المعلومات على صفحة دعم ميزات اختيارية.

انقر التالي للمتابعة.

Azure AD Connect Optional Features screen (Image Credit: Michael Taschler)

اختر خياراتك قبل بدء عملية المزامنة

لقد وصلنا الآن إلى شاشة جاهز للتكوين، التي توفر لك نظرة عامة انتقائية على خياراتك. كما يسمح لك بتعيين الخيارين التاليين:

  • بدء عملية المزامنة عند اكتمال التكوين (إلغاء تحديد هذا الخيار يؤجل بدء عملية المزامنة)
  • تمكين وضع التجريب: عند اختياره، لن تقوم عملية المزامنة بتصدير أي بيانات إلى AD أو Azure AD (سيقوم هذا تثبيت Azure AD Connect بالاستيراد فقط)

قد يكون من المفيد أن يكون لديك خادم Azure AD Connect ثانٍ جاهزًا لاستيعاب بياناتك في حالة عدم توفر الأولي. يسمح لك هذا بتحويل الخادم الثاني إلى الخادم الذي يقوم بالمزامنة بنشاط (يدويًا)، متجاوزًا العملية بأكملها أو الحاجة إلى استعادة من نسخة احتياطية. أنت الشخص الأنسب لتحديد كيفية إعداد خادم (خوادم) Azure AD Connect بشكل أفضل.

انقر على تثبيت بمجرد تأكيد أن جميع الإعدادات صحيحة.

Azure AD Connect Ready To Configure Screen (Image Credit: Michael Taschler)

الآن، سيقوم Azure AD Connect بنشر إعداداتك، وتثبيت العديد من المكونات، ثم بدء المزامنة الأولية بين AD الخاص بك و Azure AD الخاص بك. قد يستغرق ذلك بعض الوقت اعتمادًا على حجم AD الخاص بك.

Once completed, the final screen will be displayed, providing you with the next steps and recommendations like the Active Directory Recycle Bin. Click Exit to close the installer, and make sure you sign out and back in again before launching any of the Azure AD Connect tools like the Synchronization Rules Editor.

Azure AD Connect Ready To Configure Configuration Complete Screen (Image Credit: Michael Taschler)

التحقق من أن Azure AD Connect يعمل بشكل صحيح

ما ستراه الآن سيعتمد على خياراتك أثناء التثبيت. إذا كنت قد اتبعت تعليماتي، فإن بيئتك يجب أن تبدو مماثلة.

في بوابة Azure الخاصة بك، انتقل إلى المديرية الفعالة لشبكة Azure، وفي قسم إدارة حدد Azure AD Connect. سترى أن قيم الـ تزامن، آخر تزامن وـ تزامن هاش كلمة المرور قد تغيرت، مما يعكس تمكين الخدمة.

Azure Portal Azure AD Connect Section (Image Credit: Michael Taschler)

ما زال في المديرية الفعالة لشبكة Azure، في القسم إدارة، حدد المستخدمون. ستجد جميع مستخدمي AD على البقعة الخاصة بك (AD) قد تزامنوا مع Azure AD. لاحظ عمود المديرية المتزامنة، سيتيح لك هذا تحديد ما إذا كان حساب تمت مزامنته من AD على البقعة الخاص بك أم منشأ في السحابة (Azure AD) بسهولة.

The UPNs are also in the format selected during the setup, so you might see a difference between your AD and Azure AD accounts. Also, bear in mind that these synced accounts are still managed from your on-premises AD. Unlike their born-in-the-cloud (Azure AD) counterparts, when clicking into a synced account in Azure AD, most settings are greyed out.

Azure Portal Synced Users (Image Credit: Michael Taschler)

إعادة تكوين Azure AD Connect وأدوات إضافية

ستجد اختصارًا جديدًا (Azure AD Connect) على سطح مكتبك، مما يتيح لك إعادة تهيئة بعض إعدادات Azure AD Connect. قد ترى اختيارًا مختلفًا من الخيارات، تبعًا لخيارات تثبيتك الأصلية.

بالإضافة إلى ذلك، مهمة عرض أو تصدير التكوين الحالي تتيح لك أخذ نسخة احتياطية براحة من إعدادات Azure AD Connect الخاصة بك، والتي قد تلبي أيضًا بعض متطلبات التوثيق الخاصة بك. تتيح مهمة تصحيح الأخطاء لك تشغيل أداة تصحيح Azure AD Connect التي تفتح في نافذة PowerShell.

يتم إيقاف جدول جدول خدمة المزامنة أثناء تشغيل المعالج، حتى لو لم تجري أي تغييرات، لذا تأكد من عدم تركها مفتوحة عن طريق الخطأ.

Azure AD Connect Reconfigure (Image Credit: Michael Taschler)

يقوم Azure AD Connect بتثبيت وتمكين أدوات وبوابات إضافية ستساعدك في الاستفادة القصوى من إعداد الهوية المشتركة الخاصة بك:

  • Azure AD Connect Health (بوابة تسمح لك بعرض التنبيهات، ومراقبة الأداء، وتحليل الاستخدام، ومعلومات أخرى)
  • مدير خدمة المزامنة (لتكوين جوانب أكثر تقدمًا من مُحرك المزامنة ورؤية الجوانب التشغيلية للخدمة)
  • محرر قواعد المزامنة (لعرض، وإنشاء، وتحرير قواعد المزامنة)
  • موصل لخدمات الويب (للاتصال بأنظمة متنوعة مثل SAP ECC، Oracle PeopleSoft، و eBusiness)

الآن بعد تثبيت Azure AD Connect V2 والتأكد من تزامن المجلدين، قد حان الوقت لفحص بعض حالات الاستخدام المتقدمة مثل تمكين تسجيل الدخول الفردي (SSO) والمصادقة عبر تمرير. كما ستحتاج أيضًا إلى البقاء على اطلاع دائم على الإصدارات الجديدة من Azure AD Connect، حيث يحب Microsoft إصدار ميزات جديدة وبين الحين والآخر قد يزيل بعض الميزات التي قد تكون تستخدمها في بيئتك.

المقال ذات الصلة:

Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/