Microsoft Entra Connect 安装路线图
安装 Microsoft Entra Connect
重要
Microsoft 不支持通过未正式记录的方法修改或操作 Microsoft Entra Connect Sync。 其中的任何操作都可能会导致 Microsoft Entra Connect Sync 出现不一致或不受支持状态。因此,Microsoft 无法提供这种部署的技术支持。
可以在 Microsoft 下载中心找到 Microsoft Entra Connect 的下载文件。
| 解决方案 | 方案 |
|---|---|
| 开始之前 - 硬件和先决条件 | |
| 快速设置 | |
| 自定义设置 | |
| 从 DirSync 升级 | |
| 从 Azure AD Sync 或 Microsoft Entra Connect 升级 |
安装后,应该验证程序是否按预期工作,并将许可证分配给用户。
Microsoft Entra Connect 安装后续步骤
| 主题 | 链接 |
|---|---|
| 下载 Microsoft Entra Connect | 下载 Microsoft Entra Connect |
| 使用快速设置安装 | 快速安装 Microsoft Entra Connect |
| 使用自定义设置安装 | Microsoft Entra Connect 的自定义安装 |
| 从 DirSync 升级 | 从 Azure AD Sync 工具 (DirSync) 升级 |
| 安装后 | 验证安装并分配许可证 |
详细了解安装 Microsoft Entra Connect
还要预先了解 操作 注意事项。 可能要部署一台待机服务器,以便在发生灾难时轻松进行故障转移。 如果要频繁进行配置更改,应该计划部署一台暂存模式服务器。
| 主题 | 链接 |
|---|---|
| 支持的拓扑 | Microsoft Entra Connect 的拓扑 |
| 设计概念 | Microsoft Entra Connect 设计概念 |
| 用于安装的帐户 | 有关 Microsoft Entra Connect 凭据和权限的详细信息 |
| 操作规划 | Microsoft Entra Connect Sync:操作任务和注意事项 |
| 用户登录选项 | Microsoft Entra Connect 用户登录选项 |
配置同步功能
Microsoft Entra Connect 随附了多个可以选择启用或已按默认启用的功能。 在某些方案和拓扑中,有些功能可能需要进行其他配置。
如果要限制同步到 Microsoft Entra ID 的对象,可以使用筛选。 默认同步所有用户、联系人、组和 Windows 10 计算机。 可以根据域、OU 或属性更改筛选设置。
密码哈希同步可将 Active Directory 中的密码哈希同步到 Microsoft Entra ID。 最终用户可以在本地与云中使用相同的密码,且只需在一个位置管理此密码。 由于它使用本地 Active Directory,因此用户还可以使用自己的密码策略。
密码写回 可让用户在云中更改和重置其密码,及应用本地密码策略。
设备写回可将 Microsoft Entra ID 中注册的设备写回到本地 Active Directory,以便可以使用该设备进行条件访问。
防止意外删除功能默认处于打开状态,它可以保护云目录,避免同时进行多次删除。 默认情况下,每运行一次可以进行 500 次删除。 可以根据组织大小更改此设置。
使用快速设置安装时,将默认启用自动升级,确保 Microsoft Entra Connect 始终保持最新版本。
同步功能配置后续步骤
| 主题 | 链接 |
|---|---|
| 配置筛选 | Microsoft Entra Connect Sync:配置筛选 |
| 密码哈希同步 | 密码哈希同步 |
| 密码写回 | 密码管理入门 |
| 设备写回 | 在 Microsoft Entra Connect 中启用设备写回 |
| 防止意外删除 | Microsoft Entra Connect Sync:防止意外删除 |
| 自动升级 | Microsoft Entra Connect:自动升级 |
自定义 Microsoft Entra Connect Sync
Microsoft Entra Connect Sync 随附一个适用于大部分客户和拓扑的默认配置。 但总存在默认配置不适用的情况,因此必须进行调整。 可以根据本部分和链接主题中所述进行更改。
如果以前没有用过同步拓扑,请先了解技术概念中所述的基本概念和术语。 即使有些功能类似,但改变的部分也有很多。
默认配置假设配置中可能存在多个林。 在这些拓扑中,用户对象可能表示为另一个林中的联系人。 用户还可能具有另一个资源林中的链接邮箱。 用户和联系人中介绍了默认配置的行为。
同步的配置模型称为声明性预配。 高级属性流程使用函数来表示属性转换。 可以使用 Microsoft Entra Connect 随附的工具来检查整个配置。 如果需要进行配置更改,请确保遵循最佳做法,以便可以更轻松地采用新版本。
Microsoft Entra Connect Sync 自定义后续步骤
| 主题 | 链接 |
|---|---|
| 所有 Microsoft Entra Connect Sync 文章 | Microsoft Entra Connect Sync |
| 技术概念 | Microsoft Entra Connect 同步:技术概念 |
| 了解默认配置 | Microsoft Entra Connect Sync:了解默认配置 |
| 了解用户和联系人 | Microsoft Entra Connect Sync:了解用户和联系人 |
| 声明性预配 | Microsoft Entra Connect Sync:了解声明性预配表达式 |
| 更改默认配置 | 更改默认配置的最佳做法 |
配置联合身份验证功能
Microsoft Entra Connect 提供多项功能,简化了使用 AD FS 通过 Microsoft Entra ID 进行联合身份验证以及管理联合身份验证信任的过程。 Microsoft Entra Connect 支持 Windows Server 2012R2 或更高版本上的 AD FS。
更新 AD FS 场的 TLS/SSL 证书,即使你不使用 Microsoft Entra Connect 管理联合身份验证信任。
向场添加 AD FS 服务器,以便根据需要扩展场。
修复信任(针对 Microsoft Entra ID),只需单击数下即可。
可将 ADFS 配置为支持多个域。 例如,在联合身份验证功能中可能需要使用多个顶级域。
如果 ADFS 服务器未配置为自动更新 Microsoft Entra ID 中的证书,或者如果使用非 ADFS 解决方案,则在需要更新证书时会通知你。
配置联合身份验证功能的后续步骤
| 主题 | 链接 |
|---|---|
| 所有 AD FS 文章 | Microsoft Entra Connect 和联合身份验证 |
| 配置带有子域的 ADFS | 与 Microsoft Entra ID 联合的多域支持 |
| 管理 AD FS 场 | 使用 Microsoft Entra Connect 管理和自定义 AD FS |
| 手动更新联合身份验证证书 | 续订 Microsoft 365 和 Microsoft Entra ID 的联合身份验证证书 |