Начало работы с Azure AD Connect для управления удостоверениями пользователей
Используете ли вы гибридную облачную структуру? Становится ли сложно управлять идентификацией пользователей в локальных и облачных приложениях? Вот почему Microsoft представила инструмент под названием Azure AD Connect.
Что такое подключение к Azure AD?
Вкратце, Azure AD connect — это инструмент, который синхронизирует удостоверения пользователей, поэтому один и тот же набор учетных данных для входа можно использовать для доступа к ресурсам как в локальной, так и в облачной средах.
Раньше несколько инструментов, таких как Windows Azure Active Directory Sync и Azure AD Sync, выполняли эту задачу за вас. Но эти инструменты теперь устарели, и их поддержка закончилась 13 апреля. Вместо двух инструментов функции объединены в Azure AD Connect, и это единственный инструмент синхронизации каталогов, который в настоящее время поддерживается Microsoft.
Теперь, когда у нас есть общее представление о подключении к Azure AD, возникает следующий очевидный вопрос: зачем вообще его использовать?
Зачем использовать подключение Azure AD?
Единственная главная причина использовать этот инструмент — его простота. Вы можете интегрировать свои локальные и облачные ресурсы и предоставить своим сотрудникам единый идентификатор входа для доступа к ним.
Например, предположим, что ваша организация использует Office 365 для документов и приложений SaaS, подключенных к Azure AD. Представьте, насколько сложно было бы, если бы вашей группе ИТ-администраторов приходилось управлять отдельным набором удостоверений для приложений Office 365 и SaaS.
Благодаря подключению Azure AD вы можете иметь одно удостоверение для обеих этих сред, что упрощает управление ими. По сути, это единый инструмент для управления всей вашей синхронизацией и входом в систему, что означает, что развертывание, вероятно, также будет очень простым.
Наконец, Azure AD connect предоставляет вам новейшие и лучшие возможности, поскольку он заменяет устаревшие инструменты, такие как DirSync и Azure AD Sync.
Каковы предварительные условия для установки Azure AD Connect?
Перед тем, как установить AD connect, вам нужно сделать несколько вещей.
- Вы должны находиться на сервере, который поддерживает синхронизацию. Этот инструмент можно установить только в стандартной или более поздней версии Windows Server, но не в Windows Server Essentials и Small Business Server.
- Вам нужна подписка Azure. Помните, что эта подписка необходима для использования портала Azure, а не для подключения к Azure AD. Итак, если у вас есть PowerShell или Office 365, вам не нужна подписка для использования этой службы.
- Убедитесь, что у вас есть подтвержденный домен, прежде чем добавлять его в Azure AD.
- Рекомендуется запустить инструмент от Microsoft под названием IdFix, чтобы проверить наличие проблем с форматированием и дубликатов.
- Контроллер домена должен быть доступен для записи, так как Azure AD Connect не может выполнять команды перенаправления записи.
- У вас должен быть установлен полный графический интерфейс. Просто серверного ядра недостаточно.
- Некоторые функции поддерживаются только на некоторых версиях сервера. Например, синхронизация паролей доступна в Windows Server 2008 или более поздней версии, а функция групповой управляемой учетной записи службы доступна только в Windows Server 2012 или более поздней версии. Помните об этом во время развертывания.
- У вас не должно быть включена групповая политика транскрипции PowerShell.
- Вы должны иметь.NET Framework 4.5.1 или более поздние версии и Microsoft PowerShell 3.0 или более поздние версии.
- Вам нужна база данных SQL Server для хранения идентификационных данных.
- Каждому серверу подключения Azure AD требуется разрешение DNS, независимо от того, предназначен ли он для Интернета или интрасети. Этот сервер должен иметь возможность разрешать имена как в вашей локальной Active Directory, так и в ваших конечных точках Azure.
- Ваша учетная запись службы должна находиться в домене, если ваш прокси-сервер требует аутентификации.
Хотя эти предварительные условия могут показаться довольно длинными, большая часть из них — просто здравый смысл и в значительной степени то, что мы делаем каждый день.
С учетом этих требований давайте теперь посмотрим, как установить этот инструмент.
Как установить подключение Azure AD?
Первый шаг — загрузить его со страницы загрузок Microsoft. Затем перейдите в папку Windows на вашем компьютере, где хранится эта загрузка, и дважды щелкните установщик Windows. Это должно открыть мастер установки. Согласитесь с условиями.
Когда ваш домен будет проверен, мастер предложит опцию «Использовать экспресс-настройки». Нажмите на эту опцию, чтобы начать установку. С другой стороны, если у вас есть неподтвержденный домен, мастер покажет опцию «настроить», так что действуйте.
Далее вам будет предложено ввести глобальные учетные данные Azure AD, а на следующей странице вам нужно будет подключиться с учетными данными администратора предприятия.
Наконец, на экране конфигурации вы можете установить или снять флажки с нужных параметров. Вы можете выполнять такие действия, как автоматический запуск процесса синхронизации, выбор гибридного развертывания Exchange и т. д. Большинство из них говорят сами за себя. Для завершения нажмите кнопку «Установить», и это установит для вас подключение Azure AD.
Быстрое слово здесь. По какой-то причине, если вы не добавили или не подтвердили свой домен, вы перейдете на страницу конфигурации входа в Azure AD в мастере, и вам будет предложено добавить этот домен.
Для этого войдите на портал Azure с учетной записью глобального администратора. С левой стороны выберите «доменные имена» и выберите «добавить». В текстовом поле доменного имени добавьте имя своего домена вместе с расширением верхнего уровня.
Затем проверьте этот домен с помощью информации о записи DNS.
Это должно сделать ваш инструмент подключения готовым к использованию.
Как использовать подключение Azure AD?
Первый шаг к его использованию для запуска процесса синхронизации. Если вы сняли галочку с автоматической синхронизации в процессе установки, вам необходимо запустить ее вручную с помощью PowerShell.
Запуск синхронизации
Если вы не помните, что выбрали, проверьте параметры конфигурации с помощью этого командлета PowerShell.
Get-ADSyncScheduler
Командлет для запуска начальной синхронизации:
Start-ADSyncCycle -PolicyType Initial
Если вы хотите запустить дельта-синхронизацию, используйте этот командлет:
Start-ADSyncCycle -PolicyType Delta
Далее вы можете работать и с другими настройками.
Настройка планировщика
Вы можете настроить временной интервал синхронизации с помощью этого командлета PowerShell:
Set-ADSyncScheduler -CustomizedSyncCycleInterval 01:00:00
С помощью этой команды вы указываете системе синхронизироваться каждый час. Вы можете выбрать любой интервал, но он должен быть больше 30 минут.
Управление синхронизацией каталогов
Используйте консоль диспетчера службы синхронизации для управления процессами синхронизации каталогов. Чтобы открыть эту консоль, перейдите в меню «Пуск» -> «Azure AD connect» -> «Диспетчер службы синхронизации».
Эта консоль будет иметь четыре вкладки — операции, коннекторы, конструктор метавселенной и поиск метавселенной. Вы можете следить за процессом синхронизации во вкладке операции.
В предыдущей статье мы рассмотрели, как при необходимости можно мгновенно принудительно выполнить синхронизацию.
Резюме
В целом, Azure AD connect — отличный инструмент для управления удостоверениями пользователей. Его легко установить, просто использовать, и он идеально подходит, если вы хотите синхронизировать изменения между локальными приложениями и облаком.
Вы уже пробовали? Пожалуйста, поделитесь своим опытом в разделе комментариев.