Sediakan Azure Active Directory Connect Pass-Through Authentication

Microsoft baru-baru ini menjadikannya mudah untuk menyambungkan Windows Server Active Directory (AD) dengan selamat ke Azure AD, tanpa perlu menyediakan dan menyenggara Perkhidmatan Persekutuan Direktori Aktif (ADFS). Di dalam ini Tanya Pentadbir, Saya akan menunjukkan kepada anda cara menyiapkan pengesahan pass-through Azure AD Connect (PTA).

Beberapa minggu lagi di Petri, saya menulis mengenai bagaimana Microsoft menambah PTA kepada Azure AD Connect. Ini adalah alat yang menggantikan DirSync untuk menyambung AD Server Windows di premis ke Azure AD berasaskan awan. ADFS menyediakan identiti persekutuan dengan tanda tunggal (SSO) yang benar. Hash kata laluan tidak disegerakkan ke awan tetapi ADFS rumit untuk ditubuhkan. PTA menyediakan faedah utama ADFS, seperti menyimpan kata laluan yang mencukupi di premis dan ketersediaan tinggi, tanpa kerumitan. Penyegerakan kata laluan juga pilihan dalam Azure AD Connect tetapi seperti namanya, hash kata laluan disimpan dalam Azure AD.

Jika anda terlepasnya, anda boleh membaca butiran dalam Azure Active Directory Connect Membuat Sign-On Single Cloud Mudah on Petri.

Perlu diingat bahawa pada PTA tahap ini adalah pratonton. Ini bermakna ia tidak disokong oleh Microsoft dan tidak boleh dikonfigurasi dalam persekitaran pengeluaran. Jika anda mahu mengujinya dalam makmal, anda boleh memuat turun versi terbaru Azure AD Connect dan jalankan penyihir.

Proses persediaan untuk menyambungkan Windows Server AD ke Azure AD menggunakan PTA tidak banyak berbeza penyegerakan kata laluan. Terdapat beberapa perkara penting yang perlu diingat:

  • PTA memasang ejen ringan pada peranti di mana Azure AD Connect dijalankan. Ejen berkomunikasi dengan Azure AD menggunakan port 80 dan 443 dan boleh dipasang pada pelayan ahli AD atau pengawal domain. Agen tambahan mesti dipasang secara manual jika ketersediaan tinggi diperlukan.
  • Sebelum menyiapkan Azure AD Connect, anda perlu mengkonfigurasi pentadbir global awan sahaja dalam Azure AD. Akaun ini akan diperlukan semasa proses pemasangan dan boleh digunakan untuk mengakses Azure AD jika ada yang salah dengan Azure AD Connect. Akaun yang tidak diperoleh daripada AD Azure, seperti kerja Microsoft atau akaun sekolah, tidak boleh digunakan apabila Azure AD Connect meminta kelayakan untuk menyambung ke Azure AD.
  • Azure AD Connect berfungsi dengan direktori AD Azure yang telah dikonfigurasikan dengan nama domain tersuai. Ujian Azure AD menggunakan com domain. Oleh itu, anda tidak akan dapat menyediakan penyegerakan melainkan anda mengkonfigurasi nama domain tersuai untuk direktori itu.
  • Apabila penyegerakan telah dikonfigurasikan, Windows Server AD akan menjadi sumber pengetahuan utama. Ini bermakna akaun yang dikonfigurasikan dalam Windows Server AD akan disegerakkan ke Azure AD tetapi tidak sebaliknya. Anda masih dapat membuat akaun awan baru di Azure AD. Akaun yang disegerakkan dari Windows Server AD akan kelihatan di portal AD Azure tetapi sifatnya akan menjadi kelabu. Sifat sumber untuk akaun ini akan ditetapkan kepada Windows Server AD.

Sediakan Azure Active Directory Connect PTA

Dalam contoh ini, saya akan memasang Azure AD Connect pada pengawal domain Windows Server 2016. Untuk maklumat terperinci tentang keperluan dan senario yang disokong, lihat Laman web Microsoft.

  • Log masuk ke anda Penyewa AD Azure dan buat pengguna baru di Azure AD dengan hak Pentadbir Global.
  • Log masuk ke Azure AD menggunakan akaun yang anda buat di atas. Langkah ini diperlukan untuk menukar kata laluan sementara.
  • Muat turun dan jalankan Azure AD Connect pada pelayan di mana anda ingin memasang agen PTA.
  • Setuju dengan terma dan syarat pada halaman selamat datang di Azure AD Connect dan klik Terus.
  • Untuk mendapatkan kawalan penuh ke atas tetapan, klik Customize.
  • Klik memasang pada Komponen yang diperlukan. Azure AD Connect akan memasang LocalDB SQL Server 2012 Express.

Pilih pengesahan melalui Azure AD Connect (Kredit Imej: Russell Smith)

Pilih Pass-Through Authentication dalam Azure Active Directory Connect (Kredit Imej: Russell Smith)

  • Pada Pendaftaran pengguna halaman, periksa Pengesahan lulus melalui dan Dayakan log masuk tunggal. Klik Seterusnya.
  • Pada Sambung ke Azure AD halaman, masukkan kelayakan untuk akaun pentadbir global awan sahaja yang anda buat sebelumnya.
  • Pada Sambungkan direktori anda halaman, pilih hutan dari menu drop-down dan klik Tambah Direktori.

Sambungkan Windows Server AD ke Azure AD (Kredit Imej: Russell Smith)

Sambungkan Windows Active Directory Server ke Azure Active Directory (Kredit Imej: Russell Smith)

  • Dalam Akaun Hutan AD dialog, cek Guna yang sedia ada, masukkan kelayakan admin perusahaan untuk direktori Windows Server AD, dan klik OK.
  • Klik Seterusnya pada Sambungkan direktori anda.
  • Pada Konfigurasi log masuk Azure AD halaman, pastikan itu userPrincipalName dipilih dalam menu lungsur.

Sahkan akhiran UPN (Kredit Imej: Russell Smith)

Sahkan Akhiran UPN (Kredit Imej: Russell Smith)

  • Dalam Direktori Aktif UPN Akhiri kotak, satu akhiran mestilah disahkan. Sekiranya anda tidak mempunyai akhiran UPN yang dikonfigurasikan dalam Windows Server AD yang sepadan dengan nama domain tersuai yang digunakan dalam Azure AD, anda boleh menambah akhiran UPN. Klik Seterusnya.

Untuk maklumat lanjut mengenai cara menambah akhiran UPN ke AD, lihat Bagaimana Menambah Sufiks UPN di Direktori Aktif on Petri.

  • Pada Penapisan domain dan OU halaman, memperluaskan domain AD Server Windows anda dan pilih OU yang anda mahu menyegerakkan dengan Azure AD. Dalam contoh ini, saya akan memilih hanya terbina dalam pengguna. Klik Seterusnya.

Pilih satu atau lebih OU untuk menyegerakkan (Kredit Imej: Russell Smith)

Pilih satu atau lebih OU untuk menyegerakkan (kredit imej: Russell Smith)

  • Klik Seterusnya untuk menerima tetapan lalai pada Unik mengenal pasti pengguna anda, Penapis pengguna dan peranti, Ciri pilihan, dan Dayakan log masuk tunggal.
  • Pada Bersedia untuk mengkonfigurasi halaman, pastikan itu Mulakan proses penyegerakan apabila konfigurasi selesai diperiksa dan klik memasang.
  • Klik Keluar pada Konfigurasi lengkap halaman.

Periksa akaun Windows Server AD disegerakkan ke Azure AD (Kredit Imej: Russell Smith)

Semak bahawa Akaun Direktori Aktif Windows Server Disegerakkan ke Azure Active Directory (Image Credit: Russell Smith)

  • Log masuk ke Azure AD dan periksa akaun di dalam pengguna bekas telah disegerakkan. Dalam direktori saya, saya dapat melihat bahawa akaun dipanggil David Smith telah disegerakkan kepada Azure AD.

Dalam artikel ini, saya menunjukkan kepada anda cara mengkonfigurasi Azure AD Connect menggunakan PTA. Dalam artikel yang akan datang, saya akan meliputi memasang agen tambahan untuk ketersediaan tinggi, pilihan konfigurasi yang lebih kompleks dalam wizard Azure AD Connect, writeback kata laluan, kata laluan semula kata laluan semula dan banyak lagi.

Jawatan Sediakan Azure Active Directory Connect Pass-Through Authentication muncul pertama pada Petri.

Sila tinggalkan balasan anda

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.