Microsoft Entra Connect 和 Microsoft Entra Connect Health 安裝藍圖
安裝 Microsoft Entra Connect
重要
Microsoft 不支援在正式記載的動作以外修改和操作 Microsoft Entra Connect 同步。 任何這類動作都可能會導致 Microsoft Entra Connect 同步的不一致或不受支援狀態。如此一來,Microsoft 無法提供這類部署的技術支援人員。
您可以在 Microsoft 下載中心下載 Microsoft Entra Connect。
| 解決方案 | 案例 |
|---|---|
| 開始之前 - 硬體和必要條件 | |
| 快速設定 | |
| 自訂設定 | |
| 從 DirSync 升級 | |
| 從 Azure AD Sync 或 Microsoft Entra Connect 升級 |
安裝後 ,您應該確認它是依照預期方式運作,並將授權指派給使用者。
下一步,安裝 Microsoft Entra Connect
| 主題 | 連結 |
|---|---|
| 下載 Microsoft Entra Connect | 下載 Microsoft Entra Connect |
| 使用快速設定進行安裝 | Microsoft Entra Connect 的快速安裝 |
| 使用自訂設定進行安裝 | Microsoft Entra Connect 的自訂安裝 |
| 從 DirSync 升級 | 從 Azure AD 同步工具 (DirSync) 升級 |
| 安裝之後 | 驗證安裝和指派授權 |
深入了解 Microsoft Entra Connect 安裝
您也想要準備 操作 考量。 您可以準備一個待命伺服器,以便在災害發生時輕鬆地進行容錯移轉。 如果您打算進行頻繁的組態變更,則應該規劃 預備模式 伺服器。
| 主題 | 連結 |
|---|---|
| 支援的拓撲 | Microsoft Entra Connect 的拓撲 |
| 設計概念 | Microsoft Entra Connect 設計概念 |
| 用於安裝的帳戶 | 深入瞭解 Microsoft Entra Connect 認證和權限 |
| 作業規劃 | Microsoft Entra Connect Sync:作業工作和考慮 |
| 使用者登入選項 | Microsoft Entra Connect 使用者登入選項 |
設定同步處理功能
Microsoft Entra Connect 隨附數個您可以選擇性地開啟或預設為啟用的功能。 在特定案例與拓撲中,有些功能有時可能需要進行其他設定。
篩選 是在您想要限制 Microsoft Entra ID 可同步處理哪些物件時使用。 預設會同步處理所有使用者、連絡人、群組和 Windows 10 電腦。 您可以根據網域、OU 或屬性變更篩選。
密碼雜湊同步處理會將 Active Directory 中的密碼雜湊同步處理至 Microsoft Entra ID。 使用者可在內部部署與雲端中使用相同的密碼,但只能在一個地方管理此密碼。 因為它使用您的內部部署 Active Directory 做為授權單位,所以您也可以使用自己的密碼原則。
密碼回寫 將可讓您的使用者在雲端中變更和重設其密碼,並套用您的內部部署密碼原則。
裝置回寫將可讓 Microsoft Entra ID 中註冊的裝置寫回至內部部署 Active Directory,以便可以使用該裝置進行條件式存取。
防止意外刪除 功能預設為開啟,它會保護您的雲端目錄,避免同時進行多次刪除。 根據預設,它每回允許 500 次刪除。 您可以根據您組織的大小來變更此設定。
已根據預設的快速設定安裝啟用自動升級,確保您的 Microsoft Entra Connect 永遠保持最新版本。
設定同步處理功能的後續步驟
| 主題 | 連結 |
|---|---|
| 設定篩選 | Microsoft Entra Connect 同步:設定篩選 |
| 密碼雜湊同步 | 密碼雜湊同步 |
| 傳遞驗證 | 傳遞驗證 |
| 密碼回寫 | 開始使用密碼管理 |
| 裝置回寫 | Microsoft Entra Connect 中的啟用裝置回寫 |
| 防止意外刪除 | Microsoft Entra Connect Sync:防止意外刪除 |
| 自動升級 | Microsoft Entra Connect:自動升級 |
自訂 Microsoft Entra Connect Sync
Microsoft Entra Connect 同步處理隨附一個適用於大部分客戶和拓撲的預設組態。 但總是會有一些情況,預設組態並不適用,因而必須進行調整。 支援依照本節和連結主題所述進行變更。
如果您之前沒有使用過同步處理拓撲,建議您從 技術概念中了解拓撲的基本概念和術語。 即使有些東西類似,但改變的卻更多。
預設組態 會假設組態中可能有多個樹系。 在那些拓撲中,使用者物件可能會表示為另一個樹系中的連絡人。 使用者也可能在另一個資源樹系中具有連結的信箱。 預設組態的行為已載明於 使用者和連絡人中。
同步處理中的組態模型稱為 宣告式佈建。 進階屬性流程會使用 函式 來表示屬性轉換。 您可以使用 Microsoft Entra Connect 隨附的工具來查看整個組態。 如果您需要進行組態變更,請務必遵循 最佳作法 ,以便更輕鬆地採用新版本。
下一步,自訂 Microsoft Entra Connect Sync
| 主題 | 連結 |
|---|---|
| 所有 Microsoft Entra Connect 同步文章 | Microsoft Entra Connect 同步 |
| 技術概念 | Microsoft Entra Connect 同步處理技術概念 |
| 了解預設組態 | Microsoft Entra Connect 同步處理:了解預設組態 |
| 了解使用者和連絡人 | Microsoft Entra Connect 同步處理:了解使用者和連絡人 |
| 宣告式佈建 | Microsoft Entra Connect 同步:了解宣告式佈建運算式 |
| 變更預設組態 | 變更預設組態的最佳作法 |
設定同盟功能
Microsoft Entra Connect 提供數種功能,可簡化使用 AD FS 與 Microsoft Entra ID 的同盟,以及管理您的同盟信任。 Microsoft Entra Connect 在 Windows Server 2012R2 或更新版本上支援 AD FS。
更新 AD FS 伺服器陣列的 TLS/SSL 憑證,即使您未使用 Microsoft Entra Connect 來管理您的同盟信任。
新增 AD FS 伺服器至伺服器陣列,以視需要擴大伺服器陣列。
輕鬆按幾下即可使用 Microsoft Entra ID 修復信任。
ADFS 可以設定為支援 多個網域。 例如,您可以有多個必須用於同盟的最上層網域。
如果您的 ADFS 伺服器尚未設定為自動從 Microsoft Entra ID 更新憑證,或如果您使用非 ADFS 解決方案,則當您必須 更新憑證時您將會收到通知。
設定同盟功能的後續步驟
| 主題 | 連結 |
|---|---|
| AD FS 的所有發行項 | Microsoft Entra 連線和同盟 |
| 設定 ADFS 與子網域 | 與 Microsoft Entra ID 同盟的多網域支援 |
| 管理 AD FS 伺服器陣列 | 使用 Microsoft Entra Connect 進行 AD FS 管理和自訂 |
| 手動更新同盟憑證 | 更新 Microsoft 365 和 Microsoft Entra ID 的同盟憑證 |
開始使用 Microsoft Entra 已驗證的識別碼
若要開始使用 Microsoft Entra Connect Health,請使用下列步驟:
- 取得 Microsoft Entra ID P1 或 P2 或開始試用。
- 在身分識別伺服器上下載和安裝 Microsoft Entra Connect Health 代理程式。
- 在 https://aka.ms/aadconnecthealth 檢視 Microsoft Entra Connect Health 儀表板。
注意
請記住,您必須先在目標伺服器上安裝 Microsoft Entra Connect Health 代理程式,AMicrosoft Entra Connect Health 儀表板中才會出現資料。
下載並安裝 Microsoft Entra Connect Health 代理程式
- 確定您符合安裝 Microsoft Entra Connect Health 的需求。
- 開始使用適用於 AD FS 的 Microsoft Entra Connect Health
- 開始使用 Microsoft Entra Connect Health 進行同步
- 下載並安裝最新版本的 Microsoft Entra Connect (英文)。 適用於同步處理的健康狀態代理程式將會隨著 Microsoft Entra Connect 安裝 (1.0.9125.0 或更高版本) 一起安裝。
- 開始使用適用於 AD DS 的 Microsoft Entra Connect Health
Microsoft Entra Connect 健康情況入口網站
Microsoft Entra Connect Health 入口網站會顯示警示、效能監視和使用情況分析。 https://aka.ms/aadconnecthealth URL 會帶您前往 Microsoft Entra ConnectConnect Health 的主要刀鋒視窗。 您可以將刀鋒視窗視為視窗。 在主要刀鋒視窗上,您會看到 [快速啟動]、Connect Health 中的服務以及其他設定選項。 請參閱下列螢幕擷取畫面,以及螢幕擷取畫面後面的簡短說明。 部署代理程式之後,健康狀態服務會自動識別 Microsoft Entra Connect Health 所監視的服務。
注意
如需授權資訊,請參閱 Azure AD Connect Health 常見問題集或 Microsoft Entra 定價頁面。
- 快速入門︰當您選取此選項時,[快速入門] 刀鋒視窗隨即開啟。 您可以選取 [取得工具] 下載 Microsoft Entra Connect Health 代理程式。 您也可以存取文件,並提供意見反應。
- Microsoft Entra Connect (同步處理):此選項會顯示 Microsoft Entra Connect Health 目前正在監視的 Microsoft Entra Connect 伺服器。 同步錯誤項目會依照類別顯示第一個上線同步處理服務的基本同步錯誤。 當您選取 [同步處理服務] 時,開啟的刀鋒視窗會顯示 Microsoft Entra Connect 伺服器的相關資訊。 如需深入了解這些功能,請參閱使用 Azure AD Connect Health 進行同步處理。
- Active Directory Federation Services:此選項會顯示 Microsoft Entra Connect Health 目前正在監視的所有 AD FS 服務。 當您選取執行個體時,開啟的刀鋒視窗會顯示該服務執行個體的相關資訊。 這項資訊包括概觀、屬性、警示、監視和使用情況分析。 如需深入了解這些功能,請參閱使用 Azure AD Connect Health 搭配 AD FS 處理。
- Active Directory Domain Services:此選項會顯示 Microsoft Entra Connect Health 目前正在監視的所有 AD DS 樹系。 當您選取樹系時,開啟的刀鋒視窗會顯示該樹系的相關資訊。 這項資訊包括基本資訊概觀、網域控制站儀表板、複寫狀態儀表板、警示和監視。 如需深入了解這些功能,請參閱使用 Microsoft Entra Connect Health 搭配 AD FS 處理。
- 設定︰本節包含開啟或關閉下列功能的選項︰
- 存取資料,僅針對疑難排解目的從 Microsoft 的 Microsoft Entra 資料完整性進行:如果已啟用此選項,Microsoft 可以存取使用者檢視的相同資料。 此資訊有助於進行疑難排解和提供必要的協助。 此選項預設為停用
- 角色型存取控制 (IAM) 是用來管理角色基底中 Connect Health 資料存取權的區段。