Подготовка к синхронизации Azure Directory

Опубликовано: 4 Марта, 2023
Подготовка к синхронизации Azure Directory

Общедоступное облако Microsoft Azure позволяет синхронизировать пользователей из локальной Active Directory с Windows Azure Active Directory. Windows Azure Active Directory иногда называют просто WAAD. В решении для федеративной идентификации пользователи могут получать доступ к локальным ресурсам и приложениям Office 365, используя один набор учетных данных. В рамках решения для федеративной идентификации вам потребуется внедрить серверы ADFS. Сервер ADFS поможет внедрить единый вход (SSO), при котором, когда пользователям необходимо получить доступ к приложению Office 365, они будут аутентифицированы сервером ADFS, что позволит им получить доступ к приложениям, используя текущие учетные данные для входа в систему. Однако, прежде чем можно будет выполнить единый вход, вам потребуется синхронизировать пользователей вместе с их паролями с Office 365 WAAD. Хотя существуют и другие способы синхронизации локальных объектов Active Directory вместе с паролями к Office 365 WAAD, предпочтительным решением является использование службы синхронизации Azure Directory или средства AAD Connect. Эта статья поможет вам понять, что следует учитывать перед внедрением сервера AAD Connect в вашей среде.

Сколько серверов AAD Connect вам нужно?

Хотя сервер AAD Connect не реализует механизм автоматической отработки отказа, при котором один сервер AAD Connect будет доступен, если другой сервер AAD Connect по какой-либо причине выйдет из строя, вы можете реализовать один или несколько серверов AAD Connect, чтобы гарантировать отсутствие единой точки отказа и вручную переключиться на резервный сервер AAD Connect. В случае сбоя сервера AAD Connect у вас будет другой сервер AAD Connect, который возьмет на себя задачи синхронизации. Вам потребуется настроить резервный сервер AAD Connect с теми же параметрами и оставить его в автономном режиме.

Запуск инструмента IDFix

IDFix — это инструмент, разработанный Microsoft для проверки потенциальных проблем в учетных записях пользователей, таких как форматирование пользователя и другие проблемы, связанные с данными пользователя. IDFix сканирует все необходимые свойства учетных записей пользователей в домене Active Directory и предоставляет отчет. Рекомендуется запустить IDFix и просканировать все учетные записи пользователей, чтобы избежать проблем во время синхронизации. Чтобы запустить инструмент IDFix, вам необходимо присоединить компьютер IDFix к тому же домену Active Directory и убедиться, что на компьютере IDFix установлена платформа Microsoft.NET Framework 4.0. Распространенными проблемами, о которых сообщает IDFix, являются проблемы TopLevelDomain, проблемы синтаксиса, учетные записи пользователей, использующие специальные символы в атрибуте ProxyAddresses, и отсутствующие данные в атрибуте ProxyAddresses.

Выполнение действий по очистке Active Directory

Прежде чем включить синхронизацию на серверах AAD Connect, важно выполнить некоторые действия по очистке в локальной службе каталогов Active Directory, как указано ниже.

  • Определите отключенные учетные записи пользователей: возможно, вы не захотите синхронизировать отключенные учетные записи пользователей. Рекомендуется получить все отключенные учетные записи в локальной Active Directory и исключить их из синхронизации. Как правило, отключенные учетные записи хранятся отдельно в организационном подразделении.
  • Определите заблокированные учетные записи пользователей и разблокируйте их перед включением синхронизации.
  • Выявление и исключение учетных записей служб: возможно, вы не захотите синхронизировать учетные записи служб как часть действия по синхронизации. Хотя трудно определить, какие учетные записи пользователей используются в качестве учетных записей служб в домене Active Directory, в некоторой степени может помочь получение списка учетных записей служб и проверка с помощью ИТ-команд. В некоторых организациях существуют процедуры создания пользователей, в которых назначение учетной записи пользователя определяется в поле «Описание». Убедитесь, что учетные записи служб исключены из активности синхронизации.

Идентификация пользователей

Изображение 492 Прежде чем вы начнете включать синхронизацию Azure Directory на серверах AAD Connect, разделите пользователей на группы. Разделение пользователей на группы гарантирует постепенную и эффективную миграцию. Категоризация групп также поможет определить пользователей, которым не требуется синхронизация. Например, вы можете не захотеть синхронизировать пользователей, которым не требуются службы SSO или доступ к приложениям и службам Office 365.

Создание групп безопасности синхронизации Azure Directory.

Убедитесь, что серверы AAD Connect настроены со всеми производственными организационными подразделениями, а необходимые группы безопасности созданы в Active Directory и настроены на сервере AAD Connect. Сервер AAD Connect можно настроить с групповой фильтрацией, при которой пользователи, входящие в группу безопасности, будут выбираться для синхронизации. Однако вам потребуется настроить организационные подразделения, прежде чем можно будет использовать групповую фильтрацию. Помимо выбора рабочих организационных единиц, убедитесь, что вы настроили серверы AAD Connect для синхронизации параметров пароля.

Каков ваш подход к миграции?

Важно понимать, что если у вас есть облачные пользователи, уже синхронизированные в Office 365, и вы планируете повторно включить синхронизацию для всех производственных пользователей, обратите внимание на следующие моменты:

  • После включения синхронизации AAD в Office 365 Office 365 отключит возможность для пользователей изменять пароль на портале Office 365. Это оказывает огромное влияние на пользователей Office 365, срок действия паролей которых истек, и им необходимо изменить их для доступа к ресурсам.
  • Пользователи получат уведомление на мобильных устройствах и устройствах Windows, если пароль пользователя в Office 365 не совпадает с паролем в локальной службе Active Directory и наоборот.

Если у вас есть пользователи, которые уже синхронизированы с Office 365, рекомендуется отправлять пользователям сообщения, чтобы убедиться, что они изменили свой пароль Office 365, чтобы он соответствовал локальному Active Directory.

Включение синхронизации

После выполнения описанных выше действий, включая действия по очистке, вы можете включить синхронизацию Azure Directory. В рамках этого процесса вам потребуется включить синхронизацию в Office 365. Чтобы включить синхронизацию в Office 365, необходимо выполнить несколько шагов. После этого вы можете начать добавлять пользователей в группу безопасности, которую вы создали для целях синхронизации. (Чтобы понять, что вы можете сделать, чтобы проверить состояние синхронизации всех пользователей в Office 365, см. нашу статью здесь.)

Синхронизация вашей локальной базы пользователей Active Directory с Office 365 требует небольшого планирования, включая запуск инструмента IDFix, чтобы убедиться, что учетные записи пользователей имеют требуемый формат, создание групп безопасности, если вы хотите использовать групповую фильтрацию для синхронизации., настроить серверы AAD Connect для использования всех производственных подразделений и групп безопасности и включить синхронизацию на портале Office 365.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023