整合 內部部署的 Active Directory 網域與 Microsoft Entra 識別碼

Microsoft Entra ID 是雲端式目錄和身分識別服務。 此參考架構示範將 內部部署的 Active Directory 網域與 Microsoft Entra ID 整合的最佳做法，以提供雲端式身分識別驗證。

Architecture

下載此架構的 Visio 檔案。

Components

• Microsoft Entra 租使用者： 組織所建立 Microsoft Entra標識符 的實例。 其可作為雲端應用程式的目錄服務，方法是儲存從 內部部署的 Active Directory 複製的物件並提供身分識別服務。

• Web 層子網： 此子網會裝載執行 Web 應用程式的虛擬機（VM）。 Microsoft Entra 識別碼可作為此應用程式的身分識別代理程式。

• 內部部署 Active Directory Domain Services （AD DS） 伺服器： 內部部署目錄和身分識別服務。 AD DS 目錄可以與 Microsoft Entra ID 同步，讓其能夠驗證內部部署使用者。

• Microsoft Entra Connect 同步伺服器： 執行 Microsoft Entra Connect 同步處理服務的內部部署電腦。 此服務會將儲存在內部部署 Active Directory 中的資訊與 Microsoft Entra 識別碼同步處理。 例如，在內部部署中布建或取消布建使用者和群組，會自動將這些變更同步至 Microsoft Entra ID。

  Note

  基於安全性考慮，Microsoft Entra ID 會將用戶密碼儲存為哈希。 如果使用者需要密碼重設，則必須在內部部署執行重設，且更新的哈希必須傳送至 Microsoft Entra ID。 Microsoft Entra ID P1 或 P2 版本包含的功能，可允許在雲端起始密碼變更，然後寫回內部部署 AD DS。

• 多層式應用程式的 VM： 將工作負載分成 Web、商業規則和數據等個別層，以支援可調整、復原且安全的應用程式的 VM。 如需這些資源的詳細資訊，請參閱 VM 上的多層式架構。

案例詳細資料

潛在使用案例

請考慮此參考架構的下列一般用途：

• 部署在 Azure 中的 Web 應用程式，可存取屬於您組織的遠端使用者。

• 為客戶實作自助式功能，例如重設其密碼和委派群組管理。 這項功能需要Microsoft Entra ID P1 或 P2 版本。

• 內部部署網路和應用程式的 Azure 虛擬網路未使用 VPN 通道或 Azure ExpressRoute 線路連線的架構。

Recommendations

您可以將以下建議應用於大多數場景。 除非您有覆寫建議的特定需求，否則請遵循這些建議。

設定 Microsoft Entra Connect Sync 服務

Microsoft Entra Connect 同步服務可確保儲存在雲端中的身分識別資訊與儲存在內部部署的身分識別資訊一致。 您可以使用 Microsoft Entra Connect 軟體來安裝此服務。

在您實作 Microsoft Entra Connect Sync 之前，請先判斷組織的同步處理需求。 例如，請考慮要同步處理的內容、要包含的網域，以及應該同步處理的頻率。

您可以在 VM 或裝載於內部部署的電腦上執行 Microsoft Entra Connect Sync 服務。 根據 Active Directory 目錄中資訊的波動性，Microsoft Entra Connect Sync 服務上的負載在初始同步處理Microsoft Entra ID 之後不太可能很高。 在 VM 上執行服務可讓您更輕鬆地視需要調整伺服器。 請依照 監控考量 部分描述的監控虛擬機活動，以判斷是否需要擴展。

如果您在樹系中有多個內部部署網域，建議您將整個樹系的信息儲存並同步處理到單一Microsoft Entra 租使用者。 篩選在多個網域中發生的身分識別資訊，讓每個身分識別在 Microsoft Entra ID 中只出現一次，而不是重複。 當數據同步處理時，重複可能會導致不一致。 如需詳細資訊，請參閱 驗證網路拓撲 一節。

使用篩選，以便只儲存必要的數據，Microsoft Entra ID 中。 例如，您的組織可能不想將非使用中帳戶的相關信息儲存在 entra ID Microsoft。 篩選可以是群組型、網域型、組織單位（OU）型或屬性型。 您可以結合篩選來產生更複雜的規則。 例如，您可以同步處理在定義域中具有所選屬性中特定值的物件。 如需詳細資訊，請參閱 Microsoft Entra Connect Sync：設定篩選。

若要實作 Active Directory Connect 同步服務的高可用性，請執行次要預備伺服器。 更多資訊請參見 分階段模式。

驗證安全性設定和原則

用戶密碼管理。 Microsoft Entra ID P1 或 P2 版本支援密碼回寫。 這項功能可讓您的內部部署使用者從 Azure 入口網站內執行自助式密碼重設。 只有在您檢閱貴組織的密碼安全策略之後，才應該啟用此功能。 例如，您可以限制哪些使用者可以變更其密碼，也可以自訂密碼管理體驗。 如需詳細資訊，請參閱 [自定義 Microsoft Entra 自助式密碼重設的用戶體驗]。

保護可從外部存取的內部部署應用程式。 使用 Microsoft Entra 應用程式 Proxy，透過 Microsoft Entra ID，將內部部署 Web 應用程式的受控存取權提供給來自網路外部的使用者。 只有 Azure 目錄中具有有效認證的使用者才有權使用應用程式。 如需詳細資訊，請參閱 在 Microsoft Entra ID 中啟用應用程式 Proxy。

主動監視Microsoft Entra標識符是否有可疑活動的跡象。 請考慮使用 Microsoft Entra ID P2 版本，其中包含Microsoft Entra ID Protection。 標識符保護會使用調適型機器學習演算法和啟發學習法來偵測異常和風險事件，這些事件可能表示身分識別遭到入侵。 例如，它可以偵測潛在的異常活動，例如不規則的登入活動、來自未知來源的登入，或來自具有可疑活動的IP位址，或從可能感染的裝置登入。 Identity Protection 會使用此數據來產生報告和警示，讓您能夠調查這些風險事件並採取適當的動作。 欲了解更多資訊，請參閱 身份保護。

您可以使用 Azure 入口網站中Microsoft Entra ID 的報告功能，監視系統中發生的安全性相關活動。 如需如何使用這些報告的詳細資訊，請參閱 Microsoft Entra 監視和健康情況。

驗證網路拓撲

設定 Microsoft Entra Connect 以實作最符合您組織需求的拓撲。 Microsoft Entra Connect 支援下列拓撲：

• 單一樹系、單一Microsoft Entra 目錄： 在此拓撲中，Microsoft Entra Connect 會將單一內部部署樹系中一或多個網域的物件和身分識別資訊同步至單一Microsoft Entra 租使用者。 此拓撲是 Microsoft Entra Connect 的快速安裝的預設實作。

  Note

  請勿使用多個Microsoft Entra Connect Sync 伺服器，將相同內部部署樹系中的不同網域連線到相同的 Microsoft Entra 租使用者。 只有在其中一部伺服器是在預備模式中執行時，才適用此設定，如下一節所述。

• 多個樹系、單一Microsoft Entra 目錄： 在此拓撲中，Microsoft Entra Connect 會將多個樹系中的物件和身分識別資訊同步至單一Microsoft Entra 租使用者。 如果您的組織有多個內部部署樹系，請使用此拓撲。 您可以合併身分識別資訊，讓每個唯一的使用者在 Microsoft Entra 目錄中表示一次，即使使用者存在於多個樹系中也一次。 所有樹系都會使用相同的Microsoft Entra Connect Sync 伺服器。 Microsoft Entra Connect Sync 伺服器必須是網域加入，且可從所有森林存取。 如需詳細資訊，請參閱 Microsoft Entra Connect 的必要條件。

  Note

  在此拓撲中，請勿使用個別Microsoft Entra Connect Sync 伺服器，將每個內部部署樹系聯機到單一Microsoft Entra 租使用者。 如果使用者存在於多個樹系中，此設定可能會導致Microsoft Entra ID 中的重複身分識別資訊。

• 多個樹系，不同的拓撲： 此拓撲會將個別樹系的身分識別資訊合併成單一Microsoft Entra 租使用者，並將所有樹系視為個別實體。 如果您結合不同組織的樹系，且每個使用者的身分識別資訊只保留在一個樹系中，此拓撲就很有用。

  Note

  如果每個樹系中的全域通訊清單已同步處理，某個樹系中的使用者可能會以聯繫人身分出現在另一個樹系中。 如果您的組織已使用 Forefront Identity manager 2010 或 Microsoft Identity Manager 2016 實作 GALSync，就會發生此行為。 在這種情況下，你可以指定使用者應該以 Mail 屬性來識別。 你也可以透過使用 ObjectSID 和 msExchMasterAccountSID 屬性來匹配身份。 如果您有一或多個已停用帳戶的資源樹系，此方法會很有用。

• 伺服器預備： 在此配置中，你會與第一個伺服器並行執行第二個 Microsoft Entra Connect Sync 實例。 此結構支援下列案例：

  • 高可用性

  • 測試及部署 Microsoft Entra Connect 同步伺服器的新組態

  • 引進新的伺服器並解除委任舊組態

    在這些情境下，第二個實例會以 分階段模式運行。 伺服器會在資料庫中記錄匯入的物件和同步處理數據，但不會將數據傳遞至 entra ID Microsoft。 如果您停用暫存模式，伺服器就會開始將數據寫入至 entra ID Microsoft。 它也會在適當情況下開始對內部部署目錄執行密碼回寫。 如需詳細資訊，請參閱 Microsoft Entra Connect Sync：作業工作和考慮。

• 多個Microsoft Entra 目錄： 您通常會為組織建立單一Microsoft Entra 目錄。 但在某些情況下，您可能需要將資訊分割到個別Microsoft Entra 目錄。 在此情況下，請確定來自內部部署樹系的每個物件只出現在一個Microsoft Entra 目錄中，以避免同步處理和密碼回寫問題。 若要實作此案例，請為每個Microsoft Entra 目錄設定個別Microsoft Entra Connect Sync 伺服器，並使用篩選，讓每個Microsoft Entra Connect Sync 伺服器在互斥的物件集上運作。

如需這些拓撲的詳細資訊，請參閱 Microsoft Entra Connect 的拓撲。

設定使用者驗證方法

根據預設，Microsoft Entra Connect Sync 伺服器會設定內部部署網域與 Microsoft Entra ID 之間的密碼哈希同步處理。 Microsoft Entra 服務會假設用戶藉由提供與內部部署相同的密碼進行驗證。 對於許多組織而言，此策略是適當的，但您應該考慮您組織的現有原則和基礎結構。 請考慮下列因素：

• 貴組織的安全策略可能會禁止將密碼哈希同步處理至雲端。 在這種情況下，你的組織應該考慮 通過驗證。

• 從公司網路上已加入網域的機器存取雲端資源時，您可能需要使用者體驗順暢的單一登錄 （SSO）。

• 您的組織可能已經部署 Active Directory 同盟服務 （AD FS） 或非Microsoft同盟提供者。 您可以設定 Microsoft Entra ID，以使用此基礎結構來實作驗證和 SSO，而不是使用保留在雲端中的密碼資訊。

如需詳細資訊，請參閱 Microsoft Entra Connect 使用者登入選項。

設定 Microsoft Entra 應用程式 Proxy

使用Microsoft Entra標識碼來提供內部部署應用程式的存取權。

使用Microsoft Entra 應用程式 Proxy 元件所管理的應用程式 Proxy 連接器，公開您的內部部署 Web 應用程式。 應用程式 Proxy 連接器會開啟Microsoft Entra 應用程式 Proxy 的輸出網路連線。 遠端使用者的要求會透過此 Proxy 連線至 Web 應用程式，從 Microsoft Entra ID 路由回。 此設定可移除在內部部署防火牆中開啟輸入埠的需求，並減少組織公開的攻擊面。

如需詳細資訊，請參閱 使用 Microsoft Entra 應用程式 Proxy 發佈應用程式。

設定Microsoft Entra 物件同步處理

Microsoft Entra Connect 的預設組態會根據 Microsoft Entra Connect Sync：了解預設組態中指定的規則，從本機 Active Directory 目錄同步處理物件。 滿足這些規則的物件會同步處理，同時忽略所有其他物件。 請考慮下列範例規則：

• 使用者物件必須擁有唯一的 sourceAnchor 屬性，且必須填入 accountEnabled 屬性。

• 使用者物件必須有 sAMAccountName 屬性，且不能以 Azure AD_ 或 MSOL_ 文字開頭。

Microsoft Entra Connect 會將數個規則套用至 User、Contact、Group、ForeignSecurityPrincipal 和 Computer 物件。 如果您需要修改默認規則集，請使用隨 Microsoft Entra Connect 一起安裝的同步處理規則編輯器。

您也可以定義自己的篩選，以限制網域或 OU 同步處理的物件。 或者，你也可以實作更複雜的 自訂過濾。

設定監視代理程式

下列安裝在內部部署的代理程式會執行健康情況監視：

• Microsoft Entra Connect 會安裝可擷取同步處理作業相關信息的代理程式。 使用 Azure 入口網站 中的 [Microsoft Entra Connect Health 刀鋒視窗來監視其健康情況和效能。 如需詳細資訊，請參閱 使用 Microsoft Entra Connect Health 進行同步處理。

• 若要監視 Azure 中 AD DS 網域和目錄的健康情況，請在內部部署網域內的機器上安裝適用於 AD DS 代理程式的 Microsoft Entra Connect Health for AD DS 代理程式。 使用 [Azure 入口網站] 中的 [Microsoft Entra Connect Health 刀鋒窗口進行健康情況監視。 如需詳細資訊，請參閱 搭配 AD DS 使用 Microsoft Entra Connect Health。

• 安裝 Microsoft Entra Connect Health for AD FS 代理程式，以監視在內部部署上執行之服務的健全狀況，並使用 Azure 入口網站中的 [Microsoft Entra Connect Health] 刀鋒視窗來監視 AD FS。 如需詳細資訊，請參閱 搭配 AD FS 使用 Microsoft Entra Connect Health。

若要了解詳細資訊，請參閱＜Microsoft Entra Connect Health 代理程式安裝＞。

Considerations

這些考量能實作 Azure Well-Architected Framework 的支柱，這是一組指導原則，可以用來改善工作負載的品質。 如需詳細資訊，請參閱 Well-Architected Framework。

Reliability

可靠性有助於確保您的應用程式可以符合您對客戶的承諾。 如需詳細資訊，請參閱 可靠性的設計檢閱檢查清單。

Microsoft Entra 服務是異地散發，並在分散在世界各地的多個數據中心執行，並透過自動化故障轉移。 如果數據中心無法使用，Microsoft Entra ID 可確保您的目錄數據可在至少兩個地理位置分散的數據中心中存取。

請考慮在預備模式中布建Microsoft Entra Connect Sync 伺服器的第二個實例，以提高可用性。

如果您未使用Microsoft Entra Connect 隨附的 SQL Server Express LocalDB 實例，請考慮使用 SQL 叢集來達到高可用性。 Microsoft Entra Connect 不支援鏡像和 AlwaysOn 等解決方案。

如需達成Microsoft Entra Connect Sync 伺服器高可用性，以及如何在失敗后復原的其他考慮，請參閱 Microsoft Entra Connect Sync：作業工作和考慮 - 災害復原。

安全性

安全性可提供針對蓄意攻擊和濫用寶貴數據和系統的保證。 如需詳細資訊，請參閱 安全性的設計檢閱檢查清單。

使用Microsoft Entra 條件式存取控制來拒絕來自非預期來源的驗證要求：

• 如果用戶嘗試從不受信任的位置連線，例如從因特網而非受信任的網路連線，請觸發 Microsoft Entra 多重要素驗證 （MFA ）。

• 使用 iOS、Android 或 Windows 等使用者的裝置平臺類型來判斷應用程式和功能的存取原則。

• 記錄使用者裝置的啟用或停用狀態。 將此資訊併入存取原則檢查中。 例如，如果用戶的手機遺失或遭竊，應該將其記錄為已停用，以防止它用來取得存取權。

• 根據群組成員資格控制用戶對資源的存取。 使用 Microsoft Entra 動態成員資格規則 來簡化群組管理。

• 使用條件式存取風險型原則搭配標識符保護，根據不尋常的登入活動或其他事件提供進階保護。

如需詳細資訊，請參閱 風險型存取原則。

成本優化

成本優化著重於減少不必要的費用，並提升營運效率的方式。 如需詳細資訊，請參閱 成本優化的設計檢閱檢查清單。

使用 Azure 定價計算機來預估成本。

請考慮下列成本考慮：

• Microsoft Entra Connect： Microsoft Entra Connect 同步處理功能適用於所有版本的 Microsoft Entra ID。

  • 使用 Microsoft Entra Connect 沒有額外的授權需求。 其隨附於您的 Azure 訂用帳戶中。

  • 如需Microsoft Entra標識符版本的定價資訊，請參閱 Microsoft Entra 定價。

• 多層式應用程式的 VM： 如需這些資源的成本資訊，請參閱 Azure 虛擬機和擴展集的架構最佳做法。

卓越營運

卓越營運涵蓋部署應用程式的作業程式，並讓它在生產環境中執行。 如需詳細資訊，請參閱 Operational Excellence的設計檢閱檢查清單。

Manageability

管理Microsoft Entra 標識符有兩個層面：

• 在雲端中管理Microsoft Entra標識符
• 維護 Microsoft Entra Connect 同步伺服器

Microsoft Entra ID 提供下列選項來管理雲端中的網域和目錄：

• Microsoft Graph PowerShell 模組 可用來編寫一般Microsoft Entra 系統管理工作腳本，例如使用者管理、網域管理及設定 SSO。

• Microsoft Azure 入口網站中的 [專案管理] 刀鋒視窗 會提供目錄的互動式管理檢視。 它也可讓您控制及設定Microsoft Entra ID 的大部分層面。

Microsoft Entra Connect 會安裝下列工具，從內部部署機器維護 Microsoft Entra Connect Sync 服務：

• Microsoft Entra Connect 控制台可讓您修改 Microsoft Entra Connect 同步伺服器的設定、自定義同步處理發生的方式、啟用或停用預備模式，以及切換使用者登入模式。 您可以使用內部部署基礎結構來啟用AD FS 登入。

• Synchronization Service Manager 會使用此工具中的 [作業] 索引標籤來管理同步處理程式，並偵測進程是否有任何部分失敗。 您可以使用此工具手動觸發同步處理。 連接器 分頁 讓你能控制同步引擎所連接網域的連線。

• 同步處理規則編輯器 可讓您自定義在內部部署目錄與Microsoft Entra ID 之間複製物件時，對象的轉換方式。 此工具可讓您指定額外的屬性和對象來進行同步處理。 然後它會實作篩選，以判斷哪些對象應該或不應該同步處理。 如需詳細資訊，請參閱 Microsoft Entra Connect Sync：瞭解預設組態 和 Microsoft Entra Connect Sync：變更預設設定的最佳做法。

DevOps

如需 DevOps 考慮，請參閱在 Azure 虛擬網路中部署 AD DS 中的卓越營運。

效能效率

效能效率是指工作負載能夠有效率地調整以符合使用者需求。 如需詳細資訊，請參閱 效能效率的設計檢閱檢查清單。

Microsoft Entra 服務支持根據複本的延展性。 它有一個處理寫入作業和多個唯讀次要複本的單一主要複本。 Microsoft Entra 識別符會以透明方式將嘗試寫入次要複本重新導向至主要複本，並維持最終一致性。 對主要複本所做的所有變更都會傳播至次要複本。 此架構會有效調整，因為大部分針對 Microsoft entra ID 執行的作業都是讀取，而不是寫入。 如需詳細資訊，請參閱 Microsoft Entra 架構。

針對 Microsoft Entra Connect 同步伺服器，判斷您可能會從本機目錄同步處理多少物件。 如果您有少於 100,000 個物件，您可以使用 Microsoft Entra Connect 所提供的預設 SQL Server Express LocalDB 軟體。 如果您有較多的物件，請安裝 SQL Server 的生產版本。 然後執行 Microsoft Entra Connect 的自定義安裝，並指定它應該使用現有的 SQL Server 實例。

Contributors

本文由 Microsoft 維護。 下列參與者撰寫本文。

主要作者：

• 艾瑞克·伍德拉夫 |產品技術專家

若要查看非公開的 LinkedIn 個人檔案，請登入 LinkedIn。

後續步驟

• 檢閱 Microsoft Entra Connect 的拓撲 ，以確保Microsoft Entra Connect 的混合式拓撲部署在支援的組態中。
• 瞭解如何使用條件式 存取部署 來保護對應用程式的存取。
• 如需在 Azure 中提供 AD DS 作為基礎結構的詳細資訊，請參閱 整合內部部署 AD 與 Microsoft Entra ID 。
• 如果您想要提供Microsoft Entra 與內部部署或雲端基礎結構即服務應用程式的整合，請檢閱 Microsoft Entra 應用程式 Proxy 。
• 檢閱 身分識別管理最佳做法 ，因為身分識別是安全性的新控制平面。
• 檢閱 安全特殊許可權存取 ，因為部署此解決方案需要高許可權帳戶。

相關資源

• 管理多租用戶應用程式中的身分識別
• 將內部部署 AD FS 延伸至 Azure