איך להוריד, להתקין ולהגדיר את Azure AD Connect V2

מדריכים

במדריך זה, אני אספק מידע על היכן להוריד את Azure Active Directory (ששונה לאחרונה לשם Microsoft Entra ID) Connect V2 ואני אוביל אותך דרך ההתקנה והתצורה שלו.

Microsoft מציינת כי הטופולוגיה הנפוצה ביותר היא יער על-המקום יחיד, עם תחום אחד או רבים, ועם Azure AD tenant יחיד. המדריך שלי יבוא לעקוב אחרי הטופולוגיה הזו, בשימוש ביער Windows Server 2019 חדש ותחום, Azure AD tenant שימוש ברישיון ניסיון Premium P2, ותחום מותקן באופן מאומת.

הורד את Azure AD Connect והגדר אותו

לפני שנכנסים לפרטים, הנה 6 שלבים ברמה גבוהה שנדרשים כדי להגדיר את Azure AD Connect V2 ולהפעיל אותו:

  1. הורד את Azure AD Connect
  2. הרץ את המתקין
  3. הגדר כניסה של משתמש
  4. חבר את פריקים שלך
  5. הגדר אפשרויות מתקדמות
  6. התחל סנכרון הפריקות

מהו Azure AD Connect?

בשפה פשוטה, Azure AD Connect מאפשרת לך לסיינכרן את מערכת האדמיניסטרים (AD) שלך עם Azure AD. זה מרחף את מערכת האדמיניסטרים של השרת הוינדואס (Windows Server Active Directory) שלך אל עבר Azure AD, שמאגר באיי Azure של מיקרוסופט, ועוזר לך להגיע למטרתך של יצירת מידע מערך שיתופי.

אם אתה לא מודע למונחים האלה או שאתה צריך להעניק לעצמך הסקירה, זה בסדר. אנחנו ממליצים לך לבחון את ההשוואה בין מערכת האדמיניסטרים וAzure Active Directory לפני שיעור הדברים הבאים.

Azure AD Connect מכילה תכונות כמו סיynchronization של האשכולים של הסיסמאות (PHS), אימות דרך הדבר (PTA) ושילוב עם שירותים של Active Directory Federation Services (AD FS). התכונות האלה ואחרות מוסברות בדף התמיכה מה זה Azure AD Connect של מיקרוסופט.

כדאי לשים לב כי Azure Active Directory Domain Services (Azure AD DS) היא הצעה שונה של חברת Microsoft ואינה מופיעה במדריך זה.

מה חדש ב- Azure AD Connect V2

Azure AD Connect 2 מביא שינויים משמעותיים:

  • SQL Server 2019 LocalDB
  • ספריית אימות MSAL
  • Visual C++ Redist 14
  • TLS 1.2 (לא תומכים יותר ב-1.0 ו-1.1)
  • כל הבינאריים חתומים ב-SHA2
  • Windows Server 2012 ו- Windows Server 2012 R2 אינם תומכים יותר
  • PowerShell 5.0

חברת Microsoft כבר הודיעה כי כל גרסאות Azure AD Connect V1 יוחרמו ב-31 באוגוסט 2022. רק זה בלבד צריך לשרוד עדכון ל-Azure AD Connect V2.

אנא ראה את המאמר של Petri Russel Smith על מה חדש ב- Azure AD Connect V2 לקבלת מידע נוסף אודות השינויים הגדולים ב- Azure AD Connect V2. כמו כן, עמוד התמיכה בגרסת Azure AD Connect של Microsoft: היסטוריית הגרסאות מכיל פרטים חשובים נוספים אודות תכונות חדשות ותפקודים.

דרישות מקדימות ל- Azure AD Connect V2

לפני שנוכל להתקין את Azure AD Connect V2, ישנם כמה דברים שנזדקק להם:

  • שוכר השירות של Azure AD, שיכול להיות חינמי או תשלום לפי התוכנית
  • שרת Windows המופעל במקום (ב- premises) או בענן (רץ על מכונת וירטואלית כשירות כהולת תשתית) עובד כ- שרת תחום AD (גרסאות ישנות עובדות, אך תכונות כמו החזרת סיסמה תצטרך 2016 או גרסה מאוחרת יותר)
  • על השרת שלך עליו להיות ניתן לכתיבה, שרתי תחום לקריאה בלבד (RODC) אינם נתמכים
  • ברעיון, Azure AD Connect צריך להיות מותקן על שרת מיוחד המחובר לדומיין, אך ניתן גם להתקין אותו על שרת שלטון הדומיין (Windows Server 2016 או מאוחר יותר עם חוויית שולחן עבודה נדרשת ל-Azure AD Connect V2)
  • חשבונות של AD ו-AAD לשרת המחובר ל-Azure AD Connect שלך. מיקרוסופט מבדילה בין חשבונות המשמשים להפעלת Azure AD Connect ואלו המשמשים להתקנה ותצורתה.

במדריך זה, פשוט נשתמש בחשבון מנהל גלובלי לעולם עבור השוכר ב- Azure AD ובחבר של קבוצת מנהלי מערכות AD עבור תקיפת AD. בסביבות ייצור שלכם, ודאו להשתמש ב- חשבונות מוקצים שמכסים רק את ההרשאות המינימליות הנדרשות למצב שלכם ושמרו על סיסמאותיכם. ראו את עמוד התמיכה של מיקרוסופט Azure AD Connect: חשבונות והרשאות לפרטים מלאים.

תהליך התקנת והגדרת Azure AD Connect V2

הדבר הראשון שנצטרך לעשות הוא להוריד את מותג ההתחברות של Azure AD Connect. הנה איך להמשיך.

הורדת Azure AD Connect

  • היכנס ל-פורטל Azure
  • נווט ל-Azure Active Directory
  • בחלק ה-ניהול, בחר Azure AD Connect, ולחץ על הורדת Azure AD Connect.
Download Azure AD Connect (Image Credit: Michael Taschler)

הרץ את המותג להתחברות של Azure AD Connect

לאחר הורדה, נריץ את המותג הזה (AzureADConnect.msi) על שרת ההתחברות של Azure AD Connect שלנו (בקר של התחברות או שרת שאינו ייעודי). זכויות גישה מורחבות נחוצות לכך, לכן וודא שבחרת כן כאשר מתבקש.

לאחר שהמותג ייטען, תתקבלו ב-ברוכים הבאים ל-Azure AD Connect. לאחר שאישרתם את תנאי הרישיון ואת הודעת הפרטיות, לחצו על המשך.

Azure AD Connect Welcome screen (Image Credit: Michael Taschler)

בחירת הגדרות מותאמות

במסך של הגדרות מהירות, תצטרכו לבחור התאמה אישית בתחתית העמוד. ההגדרות המהירות עשויות להיות מתאימות לרוב הסביבות, אך יתכן והגדרות מסוימות יהיה עליהן להתקין באמצעות ההתקנה של הגדרות מותאמות.

Azure AD Connect Express Settings screen (Image Credit: Michael Taschler)

במסך ההתקנה של התקן את הרכיבים הנדרשים, אפשר להתאים אישית הגדרות שמשפיעות על Azure AD Connect:

  • ציין מיקום התקנה מותאם אישית
  • השתמש בשרת SQL קיים (לסביבות עבודה גדולות ודרישות בטיחות מחשבתית)
  • השתמש בחשבון שירות קיים (ייתכן שידרש להשתמש בחשבון שנוצר מראש בסביבתך)
  • ציין קבוצות סנכרון מותאמות אישית (מאפשר לך להגדיר את קבוצות האבטחה המקומיות שלך במקום הקבוצות הברירת מחדל)
  • ייבא הגדרות סנכרון (שיוצאו מהתקנה נוספת של Azure AD Connect)

לאחר שהושלמה בחירתך, לחץ על התקן. התוכנה המתקינה תתקין את הרכיבים הנדרשים כמו השירות לסנכרון.

Azure AD Connect Install Required Components screen (Image Credit: Michael Taschler)

הגדר כניסת משתמש

לאחר כמה רגעים, מסך כניסת משתמש יוצג. תוכל לבחור אחת מהאפשרויות הבאות:

  • סנכרון גיליון הסיסמאות (ברירת מחדל)
  • אימות עבר דרך
  • פדרציה עם AD FS
  • פדרציה עם PingFederate
  • אל תגדיר

בנוסף, באפשרותך גם להפעיל אימות חד-תחנה עבור המשתמשים שלך. בחר בשיטת הרצויה (אנו משתמשים בסנכרון גיליון הסיסמאות עבור מדריך זה), ולחץ על הבא.

Azure AD Connect User Sign-in screen (Image Credit: Michael Taschler)

על מסך ההתחברות ל-Azure AD, הזן את פרטי חשבון Azure AD (ראה דרישות מוקדמות בקטע הקודם). ייתכן שיבקש ממך לשנות את הסיסמה שלך אם לא התחברת עם חשבון זה בעבר. בנוסף, אם ה-MFA מופעל על חשבונך, עשויים לבקש ממך לעמוד בדרישות שהארגון שלך הגדיר.

לחץ על הבא כדי להמשיך.

Azure AD Connect Connect to Azure AD screen (Image Credit: Michael Taschler)

התחבר אל הספריות שלך

על המסך התחבר אל הספריות שלך, תחת FOREST, בחר בספרייתך ולחץ על הוסף ספרייה.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

בחלון קופץ, יבקש ממך לבחור בין יצירת חשבון חדש או שימוש בחשבון קיים. חשבון זה ישמש לסנכרון ספרייה. .

אם כבר יצרת חשבון לכך, וודא שהוא לא חבר בקבוצת Enterprise Admins או Domain Admins. עבור המדריך זה, ניצור חשבון חדש.

תראה את הספרייה שהוספת רשומה תחת ספריות מוגדרות. יש גם אפשרות להסיר ספרייה אחת או יותר אם דרישותיך או הנסיבות שלך השתנו.

לאחר הסיום, לחץ על הבא.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

בחר כיצד משתמשים יזוהו ב-Azure AD

על המסך ההגדרה של הכניסה ל Azure AD, תראו את הסוף הנוסף של ישומון המערכת הפעילה וה מצב המידע עבור המתחם Azure AD על ידי כל מידע המיזער שלך. אם כמה מהאזורים שלך לא מווספים או אינם מואמדים, אתה יכול לתקן את זה ולרענן את המסך הזה בעזרת ה סמל הרענן מתחת לטבלה.

על אותה דף, תוכל להתאים את שמו המיינדרט של המשתמש (UPN), התכונה הפרמטרית הפעילה המשמשת כ שם משתמש ב Azure AD.

Azure AD Connect Azure AD Sign-in Configuration screen (Image Credit: Michael Taschler)

עליך לבצע החלטה קריטית על איך המשתמשים שלך ייזוגים ב Azure AD. שלא כמו ב Active Directory, Azure AD לא מאפשר עודפים.

באופן ספציפי, AD גם לא מקבל עודפים, אבל היא לא מוכפלת באמת בעיקר. יכול להיות לך עודפי UPN ב AD ולהסתחרר עם זה, בעוד Azure AD יסynchronize רק את החשבון הראשון ויתעלמה מכל אחד הלאה. יכול להיות לך אותם שמות משתמש במספר מידע ויישום ההגבלה האחת ואותה.

אם אתה מודאג שזה יהיה אפשרי לך, אתה יכול לוודא AD בעזרת idFix לפני שינוי את ההגדרה של Azure AD Connect. ראו דף GitHub של Microsoft על idFix עבור מידע נוסף.

בדרך כלל, ניתן להשאיר את הערך המוגדר כברירת מחדל של userPrincipalName, אך הנסיבות הספציפיות שלך עשויות להיות שונות. שמות דומיין שאינם ניתנים לניתוב (שכן אחדים הם .local או .internal) הם גם סיבה טובה לשינוי של UPN שלך, אך ניתן גם לטפל בכך על ידי הוספת סיומת UPN אלטרנטיבית (וניתנת לניתוב) באמצעות Active Directory Domain and Trusts.

לחץ הבא כדי להמשיך.

בחר את הדומיינים ואת יחידות הארגון שברצונך לסנכרן

במסך הסינון של דומיינים ויחידות ארגון, ניתן לסנכרן את כל הדומיינים ואת היחידות הארגוניות (OUs) או להתאים אילו מהם ברצונך לסנכרן. מיקרוסופט מציינת כי יחידות ארגון ספציפיות הן עמודות תווך לפעילות ועליך להשאיר אותן נבחרות. סינונים המבוססים על יחידות ארגון של מיקרוסופט כוללים מידע נוסף על אותן יחידות ארגון.

לחץ הבא כדי להמשיך.

Azure AD Connect Domain and OU Filtering screen (Image Credit: Michael Taschler)

במסך זיהוי ייחודי של המשתמשים שלך, בחר באפשרויות המתאימות הכי הולמות לתשתית שלך. כפי שבקטע הקודם, חשוב לעשות זאת בצורה נכונה.

אם ערכי ברירת המחדל יתאימו לארגונים רבים, סביבתך עשויה לדרוש ממך להוקיר זמן ומאמץ כדי לזהות את הערכים הטובים ביותר עבורך. ראה בדף התמיכה של מיקרוסופט בנושא זיהוי ייחודי של המשתמשים שלך למידע נוסף.

כאשר אתה מוכן, לחץ על הבא כדי להמשיך.

Azure AD Connect Uniquely Identifying Your Users screen (Image Credit: Michael Taschler)

בחר אילו משתמשים והתקנים יסונכרנו ל־Azure AD

במסך סנן משתמשים והתקנים, תוכל להגביל אילו משתמשים והתקנים יסונכרנו ל־Azure AD על ידי ציון קבוצה יחידה. זהו אמצעי נוח להגבלת ההטבעה הראשונית שלך.

ניתן לשנות את ההגדרות הללו לאחר שהשלמת את ההטבעה שלך ופתרת את כל הבעיות בהטבעתך, אם תיתקל בכל שהות. אם ברצונך להשתמש בכך, פשוט הזן את שם הקבוצת ההטבעה שלך ולחץ על הכפתור פתר.

שימו לב שמיקרוסופט מזהירת כי התכונה הזו אינה נועדה לשימוש בהטבעה לייצור, אז וודא שתשנה אותה לפני ההעלאה לשימוש בפועל.

לפי המדריך הזה, יצרתי קבוצת HybridUsers והוספתי אליה את כל המשתמשים בדיקה שלי.

לחץ הבא כדי להמשיך.

Azure AD Connect Filter Users and Devices screen (Image Credit: Michael Taschler)

בחר את התכונות האופציונליות שהארגון שלך זקוק להן

במסך תכונות אופציונליות, תוכל להגדיר הגדרות נוספות ייחודיות לדרישות הארגון שלך:

  • הצפנת Exchange היברידית (לשילוב קיום יחד עם Exchange במערכת שמורה ו-Exchange Online)
  • תיקיות דואר ציבורי של Exchange Mail (לסנכרון אובייקטים של תיקיות דואר המאופשרות ממערך ה-Active Directory שלך ל-Azure AD)
  • חיפושי אפליקציות ותכונות של Azure AD (כדי להגביל אילו תכונות לסנכרן ל-Azure AD)
  • סנכרון גיליון סיסמאות
  • חזור על הסיסמא (כדי לאפשר למשתמשים שלך לאפשר איפוס סיסמאות באופן עצמי, מאפשר לך לחסוך בשיחות למרכז התמיכה)
  • חזור על קבוצות (לכתוב פנימה קבוצות מסוימות של Azure AD ל-AD שלך)
  • חזור על מכשירים (לכתוב פנימה מכשירים רשומים של Azure AD ל-AD שלך)
  • סנכרון תכונת הרחבת הספרייה (לסנכרן תכונות מותאמות אישית של AD ל-Azure AD שלך)

עבור מדריך זה, אשאיר את ערכי ברירת המחדל. לסביבה שלך, וודא שבחרת בהגדרות המתאימות ביותר ושתזכור כי ישנם דרישות ספציפיות. למידע נוסף של מיקרוסופט, ישנה עמוד תמיכה בתכונות Optional features support page.

לחץ על הבא כדי להמשיך.

Azure AD Connect Optional Features screen (Image Credit: Michael Taschler)

בחר את האפשרויות שלך לפני שאתה מתחיל את תהליך הסנכרון

הגענו למסך מוכן להגדיר, שמספק לך סקירה בררתית של הבחירות שלך. זה מאפשר גם לך להגדיר את שתי האפשרויות הבאות:

  • התחל את תהליך הסנכרון כאשר הגדרת התקינה (בביטול זה מדחה את ההתחלת התהליך של הסנכרון)
  • הפעל מצב סטייג'ינג: כאשר נבחר, הסנכרון לא יייצא נתונים ל-AD או ל-Azure AD (המופע של Azure AD Connect עדיין יייבא הגדרות)

ייתכן ויהיה שימושי לך לכניסת מערכת שנייה של שרת Azure AD Connect מוכנה לספק את הנתונים שלך במקרה שהראשי שלך יהיה אינו זמין. זה מאפשר לך (באופן ידני) להפוך את השרת השני לשרת המסנכרן בפועל, לדלג על תהליך ההתקנה כולו או את הצורך לשחזור מגיבוי. אתה תהיה האדם הכי הטוב לקבוע איך להגדיר בצורה הטובה ביותר את השרת(ים) שלך של Azure AD Connect.

לחץ על התקן פעם אחת שאימתת שכל ההגדרות נכונות.

Azure AD Connect Ready To Configure Screen (Image Credit: Michael Taschler)

עכשיו, Azure AD Connect תריץ את ההגדרות שלך, תתקין מספר רכיבים, ואז תיתחיל את הסנכרון הראשוני בין ה-AD שלך וה-Azure AD שלך. זה עשוי לקחת זמן בהתאם לגודל ה-AD שלך.

Once completed, the final screen will be displayed, providing you with the next steps and recommendations like the Active Directory Recycle Bin. Click Exit to close the installer, and make sure you sign out and back in again before launching any of the Azure AD Connect tools like the Synchronization Rules Editor.

Azure AD Connect Ready To Configure Configuration Complete Screen (Image Credit: Michael Taschler)

מאמת ש-Azure AD Connect פועל כהלכה

מה שתראו כעת ייתלו על בחירות שלכם במהלך ההתקנה. אם עקבתם אחר ההוראות שלי, אז הסביבה שלכם צריכה להיראות דומה.

בפורטל ה-Azure שלך, נווטו אל פעיל Active Directory של Azure, ובאזור ה-ניהול בחרו בAzure AD Connect. תראו שערכי ה-סטטוס סנכרון, הסנכראון האחרון וה-סנכרון של גלגלי סיסמאות השתנו, מה שמעיד על פעילותו של השירות.

Azure Portal Azure AD Connect Section (Image Credit: Michael Taschler)

עדיין ב-פעיל Active Directory של Azure, באיזור ה-ניהול, בחרו ב-משתמשים. תמצאו את כל המשתמשים ב-AD הביתי שנבחרו שולחו ל-Azure AD. שימו לב לעמודת ה-סנכרון ספרייה, המאפשרת לכם לקבוע בקלות האם חשבון סונכרן מה-AD הביתי שלכם או נוצר בענן (Azure AD).

The UPNs are also in the format selected during the setup, so you might see a difference between your AD and Azure AD accounts. Also, bear in mind that these synced accounts are still managed from your on-premises AD. Unlike their born-in-the-cloud (Azure AD) counterparts, when clicking into a synced account in Azure AD, most settings are greyed out.

Azure Portal Synced Users (Image Credit: Michael Taschler)

איתחול מחדש של Azure AD Connect וכלים נוספים

תמצאו קיצור דרך חדש (Azure AD Connect) על השולחן שלכם, שמאפשר לכם לשנות מחדש את חלק מההגדרות של Azure AD Connect. ייתכן שתראו בחירה שונה של אפשרויות, תלוי בבחירות המקוריות בהתקנה.

בנוסף, המשימה View or export current configuration מאפשרת לך לקחת גיבוי של הגדרות החיבור שלך ל-Azure AD Connect, וזה יכול גם לעמוד בדרישות התיעוד שלך. Troubleshoot מאפשר לך להפעיל את Azure AD Connect Troubleshooting Tool שנפתח בחלון של PowerShell.

מתזמון השירותים נכלאים בזמן ביצוע האשף, גם אם אינך עושה שינויים, לכן וודא שלא תשאיר אותו פתוח בטעות.

Azure AD Connect Reconfigure (Image Credit: Michael Taschler)

Azure AD Connect מתקין ומפעיל כלים ושערים נוספים שיעזרו לך להפיק את מיטב התועלת מהגדרת הזהות ההיברידית שלך:

  • Azure AD Connect Health (פורטל שמאפשר לך לצפות בהתראות, לבצע מעקב ביצועים, לנתח נתוני שימוש ומידע נוסף)
  • Synchronization Service Manager (להגדרת נפחים מתקדמים יותר של מנוע הסנכרון ולראות את הניבים התפעוליים של השירות)
  • Synchronization Rules Editor (לצפות, ליצור ולערוך כללי סנכרון)
  • Connector for Web Services (להתחברות למגוון מערכות כמו SAP ECC, Oracle PeopleSoft ו-eBusiness)

עכשיו שהתקנו את Azure AD Connect V2 ובדקנו ששני הספריות מסונכרנות זו עם זו, ייתכן שהגיע הזמן לבדוק כמה מתרגלים של יישומים מתקדמים יותר כמו הפעלת Single Sign-On (SSO) ואימות דרך עבירה. בנוסף, עליכם להישאר מעודכנים בגרסאות חדשות של Azure AD Connect, מאחר וחברת מיקרוסופט אוהבת לשחרר תכונות חדשות ולפעמים להסיר כמה מתכונות שיכולות להיות בשימוש בסביבתכם.

מאמר קשור:

Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/