Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure Virtual Machines
Azure Virtual Network
Tożsamość Microsoft Entra
Microsoft Entra ID to oparta na chmurze usługa katalogowa i tożsamości. Ta architektura referencyjna przedstawia najlepsze rozwiązania dotyczące integrowania domen lokalna usługa Active Directory z identyfikatorem Entra firmy Microsoft w celu zapewnienia uwierzytelniania tożsamości opartego na chmurze.
Architecture
Pobierz plik programu Visio tej architektury.
Note
Dla uproszczenia ten diagram przedstawia tylko połączenia bezpośrednio związane z identyfikatorem Entra firmy Microsoft, a nie ruchem powiązanym z protokołem, które mogą wystąpić w ramach federacji uwierzytelniania i tożsamości. Na przykład aplikacja internetowa może przekierować przeglądarkę internetową w celu uwierzytelnienia żądania za pomocą identyfikatora Entra firmy Microsoft. Po uwierzytelnieniu żądanie można przekazać z powrotem do aplikacji internetowej wraz z odpowiednimi informacjami o tożsamości.
Components
Dzierżawa firmy Microsoft Entra: Wystąpienie identyfikatora Entra firmy Microsoft utworzonego przez organizację. Pełni rolę usługi katalogowej dla aplikacji w chmurze, przechowując obiekty skopiowane z lokalnej usługi Active Directory i zapewnia usługi zarządzania tożsamościami.
Podsieć warstwy internetowej: Ta podsieć hostuje maszyny wirtualne, które uruchamiają aplikację internetową. Identyfikator Entra firmy Microsoft służy jako broker tożsamości dla tej aplikacji.
Lokalny serwer usług Active Directory Domain Services (AD DS): Lokalna usługa katalogów i tożsamości. Katalog usług AD DS można zsynchronizować z identyfikatorem Entra firmy Microsoft, aby umożliwić mu uwierzytelnianie użytkowników lokalnych.
Serwer synchronizacji programu Microsoft Entra Connect: Komputer lokalny z uruchomioną usługą synchronizacji Microsoft Entra Connect . Ta usługa synchronizuje informacje przechowywane w lokalnej usłudze Active Directory z identyfikatorem Entra firmy Microsoft. Na przykład aprowizowanie lub anulowanie aprowizacji użytkowników i grup w środowisku lokalnym automatycznie synchronizuje te zmiany z identyfikatorem Entra firmy Microsoft.
Note
Ze względów bezpieczeństwa identyfikator Entra firmy Microsoft przechowuje hasła użytkowników jako skróty. Jeśli użytkownik wymaga zresetowania hasła, resetowanie musi zostać wykonane lokalnie, a zaktualizowany skrót musi zostać wysłany do identyfikatora Entra firmy Microsoft. Wersje Microsoft Entra ID P1 lub P2 obejmują funkcje, które umożliwiają zainicjowanie zmian haseł w chmurze, a następnie zapisane z powrotem do lokalnych usług AD DS.
Maszyny wirtualne dla aplikacji N-warstwowych: Maszyny wirtualne, które obsługują skalowalne, odporne i bezpieczne aplikacje, oddzielając obciążenia na poszczególne warstwy, takie jak sieć Web, logika biznesowa i dane. Aby uzyskać więcej informacji na temat tych zasobów, zobacz Architektura N-warstwowa na maszynach wirtualnych.
Szczegóły scenariusza
Potencjalne przypadki użycia
Rozważ następujące typowe zastosowania dla tej architektury referencyjnej:
Aplikacje internetowe wdrożone na platformie Azure, które zapewniają dostęp do zdalnych użytkowników należących do Twojej organizacji.
Implementowanie funkcji samoobsługi dla klientów, takich jak resetowanie haseł i delegowanie zarządzania grupami. Ta funkcja wymaga wersji Microsoft Entra ID P1 lub P2.
Architektury, w których sieć lokalna i sieć wirtualna platformy Azure aplikacji nie są połączone przy użyciu tunelu sieci VPN ani obwodu usługi Azure ExpressRoute.
Note
Identyfikator Entra firmy Microsoft może uwierzytelniać tożsamość użytkowników i aplikacji, które istnieją w katalogu organizacji. Niektóre aplikacje i usługi, takie jak SQL Server, mogą wymagać uwierzytelniania komputera, w takim przypadku to rozwiązanie nie jest odpowiednie.
Recommendations
Poniższe zalecenia można zastosować do większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.
Konfigurowanie usługi Microsoft Entra Connect Sync
Usługa Microsoft Entra Connect Sync zapewnia, że informacje o tożsamości przechowywane w chmurze są spójne z informacjami o tożsamości przechowywanymi lokalnie. Ta usługa jest instalowana przy użyciu oprogramowania Microsoft Entra Connect.
Przed wdrożeniem usługi Microsoft Entra Connect Sync określ wymagania dotyczące synchronizacji organizacji. Rozważmy na przykład, co należy zsynchronizować, które domeny mają zawierać, oraz częstotliwość synchronizacji.
Usługę Microsoft Entra Connect Sync można uruchomić na maszynie wirtualnej lub komputerze hostowanym lokalnie. W zależności od zmienności informacji w katalogu usługi Active Directory obciążenie usługi Microsoft Entra Connect Sync jest mało prawdopodobne, aby było wysokie po początkowej synchronizacji z identyfikatorem Entra firmy Microsoft. Uruchamianie usługi na maszynie wirtualnej ułatwia skalowanie serwera, gdy zajdzie taka potrzeba. Monitoruj działanie na maszynie wirtualnej zgodnie z opisem w sekcji Zagadnienia dotyczące monitorowania , aby określić, czy skalowanie jest konieczne.
Jeśli masz wiele domen lokalnych w lesie, zalecamy przechowywanie i synchronizowanie informacji dla całego lasu z jedną dzierżawą firmy Microsoft Entra. Filtruj informacje o tożsamościach występujących w więcej niż jednej domenie, aby każda tożsamość była wyświetlana tylko raz w identyfikatorze Entra firmy Microsoft zamiast duplikować. Duplikowanie może powodować niespójności w przypadku synchronizowania danych. Aby uzyskać więcej informacji, zobacz sekcję Weryfikowanie topologii sieci .
Użyj filtrowania, aby tylko niezbędne dane są przechowywane w identyfikatorze Entra firmy Microsoft. Na przykład organizacja może nie chcieć przechowywać informacji o nieaktywnych kontach w identyfikatorze Entra firmy Microsoft. Filtrowanie może być oparte na grupie, domenie, jednostce organizacyjnej (OU) lub atrybucie. W celu wygenerowania bardziej złożonych zasad możliwe jest łączenie ze sobą kilku filtrów. Na przykład można synchronizować obiekty przechowywane w domenie, która ma określoną wartość w wybranym atrybucie. Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect Sync: Konfigurowanie filtrowania.
Aby zaimplementować wysoką dostępność usługi synchronizacji Programu Active Directory Connect, uruchom pomocniczy serwer przejściowy. Aby uzyskać więcej informacji, zobacz Tryb przejściowy.
Note
Microsoft Entra Cloud Sync to oferta firmy Microsoft przeznaczona do realizacji celów tożsamości hybrydowej na potrzeby synchronizacji użytkowników, grup i kontaktów z identyfikatorem Entra firmy Microsoft. Dzięki synchronizacji z chmurą Firmy Microsoft Entra aprowizacja z usługi Active Directory do identyfikatora Entra firmy Microsoft jest organizowana na platformie Microsoft 365.
Weryfikowanie konfiguracji i zasad zabezpieczeń
Zarządzanie hasłami użytkowników. Wersje Microsoft Entra ID P1 lub P2 obsługują zapisywanie zwrotne haseł. Ta funkcja umożliwia użytkownikom lokalnym wykonywanie samoobsługowych resetowania haseł z poziomu witryny Azure Portal. Ta funkcja powinna być włączona dopiero po przejrzeniu zasad zabezpieczeń haseł w organizacji. Można na przykład ograniczyć użytkowników, którzy mogą zmieniać swoje hasła, i dostosować środowisko zarządzania hasłami. Aby uzyskać więcej informacji, zobacz [Dostosowywanie środowiska użytkownika dla samoobsługowego resetowania hasła firmy Microsoft Entra].
Zabezpieczanie lokalnych aplikacji, do których można uzyskać dostęp z zewnętrz. Użyj serwera proxy aplikacji Microsoft Entra, aby zapewnić kontrolowany dostęp do lokalnych aplikacji internetowych użytkownikom spoza sieci za pośrednictwem identyfikatora Entra firmy Microsoft. Tylko użytkownicy, którzy mają prawidłowe poświadczenia w katalogu platformy Azure, mają uprawnienia do korzystania z aplikacji. Aby uzyskać więcej informacji, zobacz Włączanie serwera proxy aplikacji w usłudze Microsoft Entra ID.
Aktywnie monitoruj identyfikator Entra firmy Microsoft pod kątem oznak podejrzanych działań. Rozważ użycie wersji Microsoft Entra ID P2, która obejmuje Ochrona tożsamości Microsoft Entra. Usługa ID Protection używa adaptacyjnych algorytmów uczenia maszynowego i algorytmów heurystycznych do wykrywania anomalii i zdarzeń ryzyka, które mogą wskazywać, że tożsamość została naruszona. Może na przykład wykrywać potencjalnie nietypowe działania, takie jak nieregularne działania logowania, logowania z nieznanych źródeł lub adresów IP z podejrzanymi działaniami lub logowania z urządzeń, które mogą być zainfekowane. Usługa Identity Protection używa tych danych do generowania raportów i alertów, które umożliwiają badanie tych zdarzeń o podwyższonym ryzyku i podejmowanie odpowiednich działań. Aby uzyskać więcej informacji, zobacz Ochrona identyfikatorów.
Funkcja raportowania identyfikatora Entra firmy Microsoft w witrynie Azure Portal umożliwia monitorowanie działań związanych z zabezpieczeniami występujących w systemie. Aby uzyskać więcej informacji na temat korzystania z tych raportów, zobacz Monitorowanie i kondycja firmy Microsoft Entra.
Weryfikowanie topologii sieci
Skonfiguruj program Microsoft Entra Connect, aby zaimplementować topologię, która najlepiej odpowiada wymaganiom organizacji. Program Microsoft Entra Connect obsługuje następujące topologie:
Pojedynczy las, pojedynczy katalog Firmy Microsoft Entra: W tej topologii program Microsoft Entra Connect synchronizuje obiekty i informacje o tożsamości z co najmniej jednej domeny w jednym lesie lokalnym w jednej dzierżawie firmy Microsoft Entra. Ta topologia jest domyślną implementacją instalacji ekspresowej programu Microsoft Entra Connect.
Note
Nie używaj wielu serwerów microsoft Entra Connect Sync do łączenia różnych domen w tym samym lesie lokalnym z tą samą dzierżawą firmy Microsoft Entra. Ta konfiguracja jest odpowiednia tylko wtedy, gdy jeden z serwerów jest uruchomiony w trybie przejściowym, zgodnie z opisem w poniższej sekcji.
Wiele lasów, pojedynczy katalog Firmy Microsoft Entra: W tej topologii program Microsoft Entra Connect synchronizuje obiekty i informacje o tożsamości z wielu lasów do jednej dzierżawy firmy Microsoft Entra. Z tej topologii należy korzystać, gdy organizacja ma więcej niż jeden lokalny las. Informacje o tożsamości można skonsolidować, aby każdy unikatowy użytkownik był reprezentowany jeden raz w katalogu Microsoft Entra, nawet jeśli użytkownik istnieje w więcej niż jednym lesie. Wszystkie lasy używają tego samego serwera microsoft Entra Connect Sync. Serwer microsoft Entra Connect Sync musi być przyłączony do domeny i dostępny ze wszystkich lasów. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące programu Microsoft Entra Connect.
Note
W tej topologii nie używaj oddzielnych serwerów microsoft Entra Connect Sync do łączenia każdego lasu lokalnego z jedną dzierżawą firmy Microsoft Entra. Ta konfiguracja może spowodować zduplikowane informacje o tożsamości w identyfikatorze Entra firmy Microsoft, jeśli użytkownicy znajdują się w więcej niż jednym lesie.
Wiele lasów, oddzielne topologie: Ta topologia scala informacje o tożsamościach z oddzielnych lasów w jedną dzierżawę firmy Microsoft Entra i traktuje wszystkie lasy jako oddzielne jednostki. Ta topologia jest przydatna, jeśli łączysz lasy z różnych organizacji i informacje o tożsamości dla każdego użytkownika są przechowywane tylko w jednym lesie.
Note
Jeśli globalne listy adresów w każdym lesie są synchronizowane, użytkownik w jednym lesie może być obecny w innym jako kontakt. Takie zachowanie może wystąpić, jeśli organizacja zaimplementowała program GALSync z programem Forefront Identity Manager 2010 lub Microsoft Identity Manager 2016. W tym scenariuszu można określić, że użytkownicy powinni być identyfikowani przez atrybut Mail. Tożsamości można również dopasować przy użyciu atrybutów ObjectSID i msExchMasterAccountSID . Takie podejście jest przydatne, jeśli masz co najmniej jeden las zasobów z wyłączonymi kontami.
Serwer przejściowy: W tej konfiguracji uruchomisz drugie wystąpienie serwera synchronizacji Programu Microsoft Entra Connect równolegle z pierwszym. Ta struktura obsługuje następujące scenariusze:
Wysoka dostępność
Testowanie i wdrażanie nowej konfiguracji serwera microsoft Entra Connect Sync
Wprowadzenie do nowego serwera i zlikwidowanie starej konfiguracji
W tych scenariuszach drugie wystąpienie jest uruchamiane w trybie przejściowym. Serwer rejestruje zaimportowane obiekty i dane synchronizacji w bazie danych, ale nie przekazuje danych do identyfikatora Entra firmy Microsoft. Jeśli wyłączysz tryb przejściowy, serwer zacznie zapisywać dane w identyfikatorze Entra firmy Microsoft. Rozpoczyna ona również wykonywanie zapisywania zwrotnego haseł w katalogach lokalnych, w stosownych przypadkach. Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect Sync: zadania operacyjne i zagadnienia.
Wiele katalogów firmy Microsoft Entra: Zazwyczaj tworzysz pojedynczy katalog Microsoft Entra dla organizacji. Jednak mogą istnieć scenariusze, w których należy podzielić informacje na partycje w oddzielnych katalogach firmy Microsoft Entra. W takim przypadku należy unikać problemów z synchronizacją i zapisywaniem zwrotnym haseł, upewniając się, że każdy obiekt z lasu lokalnego jest wyświetlany tylko w jednym katalogu Microsoft Entra. Aby zaimplementować ten scenariusz, skonfiguruj oddzielne serwery usługi Microsoft Entra Connect Sync dla każdego katalogu firmy Microsoft Entra i użyj filtrowania, aby każdy serwer microsoft Entra Connect Sync działał na wzajemnie wykluczającym się zestawie obiektów.
Aby uzyskać więcej informacji na temat tych topologii, zobacz Topologies for Microsoft Entra Connect (Topologie dla programu Microsoft Entra Connect).
Konfigurowanie metody uwierzytelniania użytkownika
Domyślnie serwer microsoft Entra Connect Sync konfiguruje synchronizację skrótów haseł między domeną lokalną a identyfikatorem Entra firmy Microsoft. Usługa Microsoft Entra zakłada, że użytkownicy uwierzytelniają się, podając to samo hasło, które używają lokalnie. W przypadku wielu organizacji ta strategia jest odpowiednia, ale należy wziąć pod uwagę istniejące zasady i infrastrukturę organizacji. Rozważmy następujący czynniki:
Zasady zabezpieczeń organizacji mogą uniemożliwiać synchronizowanie skrótów haseł z chmurą. W takim przypadku organizacja powinna rozważyć uwierzytelnianie przekazywane.
Podczas uzyskiwania dostępu do zasobów w chmurze z komputerów przyłączonych do domeny w sieci korporacyjnej użytkownik może być zmuszony do użycia funkcji bezproblemowego logowania jednokrotnego.
Twoja organizacja może już mieć wdrożone usługi Active Directory Federation Services (AD FS) lub dostawcę federacyjnego innego niż Microsoft. Możesz skonfigurować identyfikator Entra firmy Microsoft, aby używać tej infrastruktury do implementowania uwierzytelniania i logowania jednokrotnego zamiast przy użyciu informacji o hasłach przechowywanych w chmurze.
Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect user sign-in options (Opcje logowania użytkownika programu Microsoft Entra Connect).
Konfigurowanie serwera proxy aplikacji Entra firmy Microsoft
Użyj identyfikatora Entra firmy Microsoft, aby zapewnić dostęp do aplikacji lokalnych.
Uwidaczniaj lokalne aplikacje internetowe przy użyciu łączników serwera proxy aplikacji zarządzanych przez składnik serwera proxy aplikacji Firmy Microsoft Entra. Łącznik serwera proxy aplikacji otwiera wychodzące połączenie sieciowe z serwerem proxy aplikacji Firmy Microsoft Entra. Żądania użytkowników zdalnych są kierowane z powrotem z identyfikatora Entra firmy Microsoft za pośrednictwem tego połączenia serwera proxy z aplikacjami internetowymi. Ta konfiguracja eliminuje konieczność otwierania portów przychodzących w zaporze lokalnej i zmniejsza ryzyko ataku narażone przez organizację.
Aby uzyskać więcej informacji, zobacz Publikowanie aplikacji przy użyciu serwera proxy aplikacji Firmy Microsoft Entra.
Konfigurowanie synchronizacji obiektów Entra firmy Microsoft
Domyślna konfiguracja programu Microsoft Entra Connect synchronizuje obiekty z lokalnego katalogu usługi Active Directory na podstawie reguł określonych w programie Microsoft Entra Connect Sync: Opis konfiguracji domyślnej. Obiekty spełniające te reguły są synchronizowane, a wszystkie pozostałe są ignorowane. Rozważmy następujące przykładowe reguły:
Obiekty użytkownika muszą mieć unikatowy atrybut sourceAnchor , a atrybut accountEnabled musi zostać wypełniony.
Obiekty użytkownika muszą mieć atrybut sAMAccountName i nie mogą zaczynać się od tekstu Azure AD_ lub MSOL_.
Program Microsoft Entra Connect stosuje kilka reguł do obiektów User, Contact, Group, ForeignSecurityPrincipal i Computer. Jeśli chcesz zmodyfikować domyślny zestaw reguł, użyj edytora reguł synchronizacji zainstalowanego w programie Microsoft Entra Connect.
Istnieje również możliwość definiowania własnych filtrów w celu ograniczenia liczby obiektów, które mają być synchronizowane przez domenę lub jednostkę organizacyjną. Alternatywnie można zaimplementować bardziej złożone filtrowanie niestandardowe.
Konfigurowanie agentów monitorowania
Następujący agenci zainstalowani lokalnie wykonują monitorowanie kondycji:
Program Microsoft Entra Connect instaluje agenta, który przechwytuje informacje o operacjach synchronizacji. Użyj bloku Microsoft Entra Connect Health w witrynie Azure Portal, aby monitorować jego kondycję i wydajność. Aby uzyskać więcej informacji, zobacz Używanie programu Microsoft Entra Connect Health do celów synchronizacji.
Aby monitorować kondycję domen i katalogów usług AD DS z platformy Azure, zainstaluj program Microsoft Entra Connect Health dla agenta usług AD DS na maszynie w domenie lokalnej. Aby monitorować kondycję, użyj bloku Microsoft Entra Connect Health w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz Używanie programu Microsoft Entra Connect Health z usługami AD DS.
Zainstaluj program Microsoft Entra Connect Health dla agenta usług AD FS, aby monitorować kondycję usług uruchomionych lokalnie i używać bloku Microsoft Entra Connect Health w witrynie Azure Portal do monitorowania usług AD FS. Aby uzyskać więcej informacji, zobacz Używanie programu Microsoft Entra Connect Health z usługami AD FS.
Aby uzyskać więcej informacji, zobacz Instalacja agenta programu Microsoft Entra Connect Health.
Considerations
Te zagadnienia obejmują implementację filarów platformy Azure Well-Architected Framework, która jest zestawem wytycznych, których można użyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Well-Architected Framework.
Reliability
Niezawodność pomaga zapewnić, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz
Usługa Microsoft Entra jest rozproszona geograficznie i działa w wielu centrach danych rozmieszczonych na całym świecie z automatycznym trybem failover. Jeśli centrum danych stanie się niedostępne, identyfikator Firmy Microsoft Entra gwarantuje, że dane katalogu są dostępne na przykład w co najmniej dwóch kolejnych rozproszonych geograficznie centrach danych.
Note
Umowa dotycząca poziomu usług (SLA) dla warstwy AD aplikacji platformy Microsoft 365 i usług Premium gwarantuje dostępność co najmniej 99,9%. Nie ma umowy SLA dla warstwy Bezpłatna identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz umowa SLA dla identyfikatora entra firmy Microsoft.
Rozważ aprowizowanie drugiego wystąpienia serwera microsoft Entra Connect Sync w trybie przejściowym, aby zwiększyć dostępność.
Jeśli nie używasz wystąpienia sql Server Express LocalDB dostarczanego z programem Microsoft Entra Connect, rozważ użycie klastra SQL w celu uzyskania wysokiej dostępności. Program Microsoft Entra Connect nie obsługuje rozwiązań, takich jak dublowanie i zawsze włączone.
Aby zapoznać się z innymi zagadnieniami dotyczącymi osiągnięcia wysokiej dostępności serwera microsoft Entra Connect Sync, a także sposobu odzyskiwania po awarii, zobacz Microsoft Entra Connect Sync: zadania operacyjne i zagadnienia — odzyskiwanie po awarii.
Zabezpieczenia
Zabezpieczenia zapewniają ochronę przed celowymi atakami i nieprawidłowym użyciem cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotyczącazabezpieczeń.
Użyj kontroli dostępu warunkowego firmy Microsoft Entra, aby odmówić żądań uwierzytelniania z nieoczekiwanych źródeł:
Wyzwól uwierzytelnianie wieloskładnikowe firmy Microsoft (MFA), jeśli użytkownik próbuje nawiązać połączenie z niezaufanej lokalizacji, takiej jak z internetu zamiast zaufanej sieci.
Użyj typu platformy urządzenia użytkownika, takiego jak iOS, Android lub Windows, aby określić zasady dostępu do aplikacji i funkcji.
Rejestrowanie stanu włączonego lub wyłączonego urządzeń użytkowników. Uwzględnij te informacje w kontroli zasad dostępu. Jeśli na przykład telefon użytkownika zostanie utracony lub skradziony, powinien zostać zarejestrowany jako wyłączony, aby zapobiec jego użyciu w celu uzyskania dostępu.
Kontroluj dostęp użytkowników do zasobów w oparciu o członkostwo w grupach. Użyj reguł członkostwa dynamicznego Firmy Microsoft Entra, aby uprościć administrowanie grupami.
Użyj zasad opartych na ryzyku dostępu warunkowego z ochroną identyfikatorów, aby zapewnić zaawansowaną ochronę na podstawie nietypowych działań logowania lub innych zdarzeń.
Aby uzyskać więcej informacji, zobacz Zasady dostępu oparte na ryzyku.
Optymalizacja kosztów
Optymalizacja kosztów koncentruje się na sposobach zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dlaoptymalizacji kosztów.
Koszty możesz szacować za pomocą kalkulatora cen platformy Azure.
Rozważ następujące zagadnienia dotyczące kosztów:
Microsoft Entra Connect: Funkcja synchronizacji programu Microsoft Entra Connect jest dostępna we wszystkich wersjach identyfikatora Entra firmy Microsoft.
Nie ma dodatkowych wymagań licencyjnych dotyczących korzystania z programu Microsoft Entra Connect. Jest ona dołączona do subskrypcji platformy Azure.
Aby uzyskać informacje o cenach wersji identyfikatora Entra firmy Microsoft, zobacz Cennik firmy Microsoft Entra.
Maszyny wirtualne dla aplikacji N-warstwowej: Aby uzyskać informacje o kosztach tych zasobów, zobacz Architecture best practices for Azure Virtual Machines and scale sets (Najlepsze rozwiązania dotyczące architektury dla usługi Azure Virtual Machines i zestawów skalowania).
Doskonałość operacyjna
Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca doskonałości operacyjnej.
Manageability
Istnieją dwa aspekty zarządzania identyfikatorem Entra firmy Microsoft:
- Administrowanie identyfikatorem Entra firmy Microsoft w chmurze
- Obsługa serwerów synchronizacji programu Microsoft Entra Connect
Identyfikator Entra firmy Microsoft udostępnia następujące opcje zarządzania domenami i katalogami w chmurze:
Moduł Programu PowerShell programu Microsoft Graph służy do tworzenia skryptów typowych zadań administracyjnych firmy Microsoft, takich jak zarządzanie użytkownikami, zarządzanie domenami i konfigurowanie logowania jednokrotnego.
Blok zarządzania entra firmy Microsoft w witrynie Azure Portal udostępnia interaktywny widok zarządzania katalogiem. Umożliwia również kontrolowanie i konfigurowanie większości aspektów identyfikatora Entra firmy Microsoft.
Program Microsoft Entra Connect instaluje następujące narzędzia, aby obsługiwać usługi Microsoft Entra Connect Sync z maszyn lokalnych:
Konsola microsoft Entra Connect umożliwia modyfikowanie konfiguracji serwera microsoft Entra Connect Sync, dostosowywanie sposobu synchronizacji, włączanie lub wyłączanie trybu przejściowego oraz przełączanie trybu logowania użytkownika. Logowanie usług AD FS można włączyć przy użyciu infrastruktury lokalnej.
Menedżer usług synchronizacji używa karty Operacje w tym narzędziu do zarządzania procesem synchronizacji i wykrywania, czy jakiekolwiek części procesu nie powiodły się. Synchronizacje można wyzwalać ręcznie za pomocą tego narzędzia. Karta Łączniki umożliwia kontrolowanie połączeń dla domen, z którymi jest połączony silnik synchronizacji.
Edytor reguł synchronizacji umożliwia dostosowanie sposobu przekształcania obiektów podczas ich kopiowania między katalogiem lokalnym i identyfikatorem Entra firmy Microsoft. To narzędzie umożliwia określenie dodatkowych atrybutów i obiektów na potrzeby synchronizacji. Następnie implementuje filtry, aby określić, które obiekty powinny lub nie powinny być synchronizowane. Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect Sync: Understand the default configuration and Microsoft Entra Connect Sync: Best practices for changing the default configuration (Omówienie konfiguracji domyślnej) i Microsoft Entra Connect Sync: Best practices for changing the default configuration (Synchronizacja programu Microsoft Entra Connect: najlepsze rozwiązania dotyczące zmieniania konfiguracji domyślnej).
DevOps
Aby zapoznać się z zagadnieniami dotyczącymi metodyki DevOps, zobacz Operational Excellence in Deploy AD DS in an Azure virtual network (Doskonałość operacyjna w zakresie wdrażania usług AD DS w sieci wirtualnej platformy Azure).
Efektywność operacyjna
Wydajność odnosi się do możliwości skalowania obciążenia w celu efektywnego zaspokojenia wymagań użytkowników. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu pod kątem wydajności.
Usługa Microsoft Entra obsługuje skalowalność na podstawie replik. Ma jedną replikę podstawową, która obsługuje operacje zapisu i wiele replik pomocniczych tylko do odczytu. Identyfikator Entra firmy Microsoft w sposób przezroczysty przekierowuje próby zapisu w replikach pomocniczych do repliki podstawowej i utrzymuje spójność ostateczną. Wszystkie zmiany wprowadzone w replice podstawowej są przekazywane do replik pomocniczych. Ta architektura jest faktycznie skalowana, ponieważ większość operacji wykonywanych względem identyfikatora Entra firmy Microsoft jest odczytywana zamiast zapisu. Aby uzyskać więcej informacji, zobacz Architektura firmy Microsoft Entra.
W przypadku serwera microsoft Entra Connect Sync określ, ile obiektów prawdopodobnie będzie synchronizowanych z katalogu lokalnego. Jeśli masz mniej niż 100 000 obiektów, możesz użyć domyślnego oprogramowania SQL Server Express LocalDB dostarczonego z programem Microsoft Entra Connect. Jeśli masz większą liczbę obiektów, zainstaluj produkcyjną wersję programu SQL Server. Następnie wykonaj niestandardową instalację programu Microsoft Entra Connect i określ, że ma używać istniejącego wystąpienia programu SQL Server.
Contributors
Firma Microsoft utrzymuje ten artykuł. Następujący współautorzy napisali ten artykuł.
Główny autor:
- Eric Woodruff | Specjalista techniczny produktu
Aby wyświetlić niepubliczne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Dalsze kroki
- Zapoznaj się z topologiami programu Microsoft Entra Connect , aby upewnić się, że topologia hybrydowa dla programu Microsoft Entra Connect jest wdrożona w obsługiwanej konfiguracji.
- Dowiedz się, jak używać wdrożenia dostępu warunkowego w celu ochrony dostępu do aplikacji.
- Aby uzyskać więcej informacji na temat udostępniania usług AD DS na platformie Azure jako infrastruktury, zapoznaj się z tematem Integrowanie lokalnej usługi AD AD z identyfikatorem Entra firmy Microsoft .
- Zapoznaj się z serwerem proxy aplikacji Firmy Microsoft Entra , jeśli zamierzasz zapewnić integrację firmy Microsoft z lokalną infrastrukturą lub infrastrukturą w chmurze jako aplikacjami usług.
- Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi zarządzania tożsamościami , ponieważ tożsamość jest nową płaszczyzną kontroli zabezpieczeń.
- Zapoznaj się z artykułem Bezpieczny dostęp uprzywilejowany, ponieważ wdrożenie tego rozwiązania wymaga kont z wysokimi uprawnieniami.