Microsoft Entra Connect 安装路线图

安装 Microsoft Entra Connect

重要

Microsoft 不支持通过未正式记录的方法修改或操作 Microsoft Entra Connect Sync。 其中的任何操作都可能会导致 Microsoft Entra Connect Sync 出现不一致或不受支持状态。因此,Microsoft 无法提供这种部署的技术支持。

可以在 Microsoft 下载中心找到 Microsoft Entra Connect 的下载文件。

解决方案 方案
开始之前 - 硬件和先决条件
  • 开始安装 Microsoft Entra Connect 之前所要完成的步骤。
  • 快速设置
  • 如果只有一个林 AD,我们建议使用此选项。
  • 使用密码同步以同一密码进行用户登录。
  • 自定义设置
  • 有多个林时使用。 支持许多本地拓扑
  • 自定义登录选项,例如用于联合身份验证的 ADFS,或使用第三方标识提供者。
  • 自定义同步功能,例如筛选和写回。
  • 从 DirSync 升级
  • 在已有 DirSync 服务器运行的情况下使用。
  • 从 Azure AD Sync 或 Microsoft Entra Connect 升级
  • 可以根据偏好选择多种不同的方法。
  • 安装后,应该验证程序是否按预期工作,并将许可证分配给用户。

    Microsoft Entra Connect 安装后续步骤

    主题 链接
    下载 Microsoft Entra Connect 下载 Microsoft Entra Connect
    使用快速设置安装 快速安装 Microsoft Entra Connect
    使用自定义设置安装 Microsoft Entra Connect 的自定义安装
    从 DirSync 升级 从 Azure AD Sync 工具 (DirSync) 升级
    安装后 验证安装并分配许可证

    详细了解安装 Microsoft Entra Connect

    还要预先了解 操作 注意事项。 可能要部署一台待机服务器,以便在发生灾难时轻松进行故障转移。 如果要频繁进行配置更改,应该计划部署一台暂存模式服务器。

    主题 链接
    支持的拓扑 Microsoft Entra Connect 的拓扑
    设计概念 Microsoft Entra Connect 设计概念
    用于安装的帐户 有关 Microsoft Entra Connect 凭据和权限的详细信息
    操作规划 Microsoft Entra Connect Sync:操作任务和注意事项
    用户登录选项 Microsoft Entra Connect 用户登录选项

    配置同步功能

    Microsoft Entra Connect 随附了多个可以选择启用或已按默认启用的功能。 在某些方案和拓扑中,有些功能可能需要进行其他配置。

    如果要限制同步到 Microsoft Entra ID 的对象,可以使用筛选。 默认同步所有用户、联系人、组和 Windows 10 计算机。 可以根据域、OU 或属性更改筛选设置。

    密码哈希同步可将 Active Directory 中的密码哈希同步到 Microsoft Entra ID。 最终用户可以在本地与云中使用相同的密码,且只需在一个位置管理此密码。 由于它使用本地 Active Directory,因此用户还可以使用自己的密码策略。

    密码写回 可让用户在云中更改和重置其密码,及应用本地密码策略。

    设备写回可将 Microsoft Entra ID 中注册的设备写回到本地 Active Directory,以便可以使用该设备进行条件访问。

    防止意外删除功能默认处于打开状态,它可以保护云目录,避免同时进行多次删除。 默认情况下,每运行一次可以进行 500 次删除。 可以根据组织大小更改此设置。

    使用快速设置安装时,将默认启用自动升级,确保 Microsoft Entra Connect 始终保持最新版本。

    同步功能配置后续步骤

    主题 链接
    配置筛选 Microsoft Entra Connect Sync:配置筛选
    密码哈希同步 密码哈希同步
    密码写回 密码管理入门
    设备写回 在 Microsoft Entra Connect 中启用设备写回
    防止意外删除 Microsoft Entra Connect Sync:防止意外删除
    自动升级 Microsoft Entra Connect:自动升级

    自定义 Microsoft Entra Connect Sync

    Microsoft Entra Connect Sync 随附一个适用于大部分客户和拓扑的默认配置。 但总存在默认配置不适用的情况,因此必须进行调整。 可以根据本部分和链接主题中所述进行更改。

    如果以前没有用过同步拓扑,请先了解技术概念中所述的基本概念和术语。 即使有些功能类似,但改变的部分也有很多。

    默认配置假设配置中可能存在多个林。 在这些拓扑中,用户对象可能表示为另一个林中的联系人。 用户还可能具有另一个资源林中的链接邮箱。 用户和联系人中介绍了默认配置的行为。

    同步的配置模型称为声明性预配。 高级属性流程使用函数来表示属性转换。 可以使用 Microsoft Entra Connect 随附的工具来检查整个配置。 如果需要进行配置更改,请确保遵循最佳做法,以便可以更轻松地采用新版本。

    Microsoft Entra Connect Sync 自定义后续步骤

    主题 链接
    所有 Microsoft Entra Connect Sync 文章 Microsoft Entra Connect Sync
    技术概念 Microsoft Entra Connect 同步:技术概念
    了解默认配置 Microsoft Entra Connect Sync:了解默认配置
    了解用户和联系人 Microsoft Entra Connect Sync:了解用户和联系人
    声明性预配 Microsoft Entra Connect Sync:了解声明性预配表达式
    更改默认配置 更改默认配置的最佳做法

    配置联合身份验证功能

    Microsoft Entra Connect 提供多项功能,简化了使用 AD FS 通过 Microsoft Entra ID 进行联合身份验证以及管理联合身份验证信任的过程。 Microsoft Entra Connect 支持 Windows Server 2012R2 或更高版本上的 AD FS。

    更新 AD FS 场的 TLS/SSL 证书,即使你不使用 Microsoft Entra Connect 管理联合身份验证信任。

    向场添加 AD FS 服务器,以便根据需要扩展场。

    修复信任(针对 Microsoft Entra ID),只需单击数下即可。

    可将 ADFS 配置为支持多个域。 例如,在联合身份验证功能中可能需要使用多个顶级域。

    如果 ADFS 服务器未配置为自动更新 Microsoft Entra ID 中的证书,或者如果使用非 ADFS 解决方案,则在需要更新证书时会通知你。

    配置联合身份验证功能的后续步骤

    主题 链接
    所有 AD FS 文章 Microsoft Entra Connect 和联合身份验证
    配置带有子域的 ADFS 与 Microsoft Entra ID 联合的多域支持
    管理 AD FS 场 使用 Microsoft Entra Connect 管理和自定义 AD FS
    手动更新联合身份验证证书 续订 Microsoft 365 和 Microsoft Entra ID 的联合身份验证证书

    后续步骤