Dela via

Integrera lokal Active Directory domäner med Microsoft Entra-ID

Azure Virtual Machines
Azure Virtual Network
Microsoft Entra ID

Microsoft Entra ID är en molnbaserad katalog- och identitetstjänst. Den här referensarkitekturen visar metodtips för att integrera lokal Active Directory domäner med Microsoft Entra-ID för att tillhandahålla molnbaserad identitetsautentisering.

Architecture

Diagram över en hybridmolnidentitetsarkitektur som använder Microsoft Entra-ID.

Ladda ned en Visio-fil med den här arkitekturen.

Note

För enkelhetens skull visar det här diagrammet endast anslutningar som är direkt relaterade till Microsoft Entra-ID och inte protokollrelaterad trafik som kan uppstå som en del av autentiserings- och identitetsfederationen. Ett webbprogram kan till exempel omdirigera webbläsaren för att autentisera begäran via Microsoft Entra-ID. Efter autentiseringen kan begäran skickas tillbaka till webbprogrammet tillsammans med lämplig identitetsinformation.

Components

  • Microsoft Entra-klientorganisation: En instans av Microsoft Entra-ID som skapats av din organisation. Den fungerar som en katalogtjänst för molnprogram genom att lagra objekt som har kopierats från det lokala Active Directory och tillhandahåller identitetstjänster.

  • Undernät på webbnivå: Det här undernätet är värd för virtuella datorer som kör ett webbprogram. Microsoft Entra ID fungerar som identitetskoordinator för det här programmet.

  • Lokal AD DS-server (Active Directory Domain Services): En lokal katalog- och identitetstjänst. AD DS-katalogen kan synkroniseras med Microsoft Entra-ID så att den kan autentisera lokala användare.

  • Microsoft Entra Connect Sync-server: En lokal dator som kör synkroniseringstjänsten Microsoft Entra Connect . Den här tjänsten synkroniserar information som lagras i den lokala Active Directory med Microsoft Entra ID. Etablering eller avetablering av användare och grupper lokalt synkroniserar till exempel automatiskt ändringarna i Microsoft Entra-ID.

    Note

    Av säkerhetsskäl lagrar Microsoft Entra-ID användarlösenord som hashvärden. Om en användare behöver en lösenordsåterställning måste återställningen utföras lokalt och den uppdaterade hashen måste skickas till Microsoft Entra-ID. Microsoft Entra ID P1- eller P2-utgåvor innehåller funktioner som gör att lösenordsändringar kan initieras i molnet och sedan skrivas tillbaka till den lokala AD DS.

  • Virtuella datorer för N-nivåprogram: Virtuella datorer som stöder skalbara, motståndskraftiga och säkra program genom att separera arbetsbelastningar till enskilda nivåer som webb, affärslogik och data. Mer information om dessa resurser finns i N-nivåarkitektur på virtuella datorer.

Scenario details

Potentiella användningsfall

Tänk på följande vanliga användningsområden för den här referensarkitekturen:

  • Webbprogram som distribueras i Azure som ger åtkomst till fjärranslutna användare som hör till din organisation.

  • Implementera självbetjäningsfunktioner för kunder, till exempel återställa sina lösenord och delegera grupphantering. Den här funktionen kräver Microsoft Entra ID P1 eller P2 edition.

  • Arkitekturer där det lokala nätverket och programmets virtuella Azure-nätverk inte är anslutna med hjälp av en VPN-tunnel eller Azure ExpressRoute-krets.

Note

Microsoft Entra-ID kan autentisera identiteten för användare och program som finns i en organisations katalog. Vissa program och tjänster, till exempel SQL Server, kan kräva datorautentisering, i vilket fall den här lösningen inte är lämplig.

Recommendations

Du kan tillämpa följande rekommendationer på de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Konfigurera Microsoft Entra Connect Sync-tjänsten

Microsoft Entra Connect Sync-tjänsten ser till att identitetsinformationen som lagras i molnet överensstämmer med identitetsinformationen som lagras lokalt. Du installerar den här tjänsten med hjälp av Microsoft Entra Connect-programvaran.

Innan du implementerar Microsoft Entra Connect Sync ska du fastställa organisationens synkroniseringskrav. Tänk till exempel på vad du ska synkronisera, vilka domäner som ska inkluderas och hur ofta synkroniseringen ska ske.

Du kan köra Microsoft Entra Connect Sync-tjänsten på en virtuell dator eller en dator som finns lokalt. Beroende på informationens volatilitet i Active Directory-katalogen är det osannolikt att belastningen på Microsoft Entra Connect Sync-tjänsten är hög efter den första synkroniseringen med Microsoft Entra-ID. Om tjänsten körs på en virtuell dator blir det lättare att skala servern vid behov. Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.

Om du har flera lokala domäner i en skog rekommenderar vi att du lagrar och synkroniserar information för hela skogen till en enda Microsoft Entra-klientorganisation. Filtrera information för identiteter som förekommer i mer än en domän så att varje identitet bara visas en gång i Microsoft Entra-ID i stället för att dupliceras. Dubblering kan leda till inkonsekvenser när data synkroniseras. Mer information finns i avsnittet Verifiera nätverkstopologi .

Använd filtrering så att endast nödvändiga data lagras i Microsoft Entra-ID. Din organisation kanske till exempel inte vill lagra information om inaktiva konton i Microsoft Entra-ID. Filtrering kan vara gruppbaserad, domänbaserad, organisationsenhetsbaserad (OU) eller attributbaserad. Du kan kombinera filter för att skapa mer komplexa regler. Du kan till exempel synkronisera objekt som finns i en domän som har ett specifikt värde i ett valt attribut. Mer information finns i Microsoft Entra Connect Sync: Konfigurera filtrering.

Om du vill implementera hög tillgänglighet för Active Directory Connect-synkroniseringstjänsten kör du en sekundär mellanlagringsserver. For more information, see Staging mode.

Note

Microsoft Entra-molnsynkronisering är ett erbjudande från Microsoft som utformats för att uppfylla och uppnå dina hybrididentitetsmål för synkronisering av användare, grupper och kontakter till Microsoft Entra-ID. Med Microsoft Entra-molnsynkronisering samordnas etablering från Active Directory till Microsoft Entra ID i Microsoft 365.

Verifiera säkerhetskonfiguration och princip

Lösenordshantering för användare. Microsoft Entra ID P1- eller P2-utgåvorna stöder tillbakaskrivning av lösenord. Med den här funktionen kan dina lokala användare utföra lösenordsåterställning via självbetjäning från Azure-portalen. Den här funktionen bör aktiveras först när du har granskat organisationens lösenordssäkerhetsprincip. Du kan till exempel begränsa vilka användare som kan ändra sina lösenord och du kan anpassa lösenordshanteringsupplevelsen. Mer information finns i [Anpassa användarupplevelsen för microsoft Entra självbetjäning av lösenordsåterställning].

Skydda lokala program som går att komma åt externt. Använd Microsoft Entra-programproxyn för att ge kontrollerad åtkomst till lokala webbprogram till användare utanför nätverket via Microsoft Entra-ID. Endast användare som har giltiga autentiseringsuppgifter i Din Azure-katalog har behörighet att använda programmet. Mer information finns i Aktivera programproxy i Microsoft Entra-ID.

Övervaka Aktivt Microsoft Entra-ID för tecken på misstänkt aktivitet. Överväg att använda Microsoft Entra ID P2 Edition, som innehåller Microsoft Entra ID Protection. ID Protection använder anpassningsbara maskininlärningsalgoritmer och heuristik för att identifiera avvikelser och riskhändelser som kan tyda på att en identitet har komprometterats. Den kan till exempel identifiera potentiellt ovanlig aktivitet, till exempel oregelbundna inloggningsaktiviteter, inloggningar från okända källor eller från IP-adresser med misstänkt aktivitet eller inloggningar från enheter som kan vara smittade. Identity Protection använder dessa data för att generera rapporter och aviseringar som gör att du kan undersöka dessa riskhändelser och vidta lämpliga åtgärder. For more information, see ID Protection.

Du kan använda rapporteringsfunktionen i Microsoft Entra-ID i Azure-portalen för att övervaka säkerhetsrelaterade aktiviteter som inträffar i systemet. Mer information om hur du använder dessa rapporter finns i Microsoft Entra-övervakning och hälsa.

Verifiera nätverkstopologi

Konfigurera Microsoft Entra Connect för att implementera en topologi som bäst matchar organisationens krav. Microsoft Entra Connect stöder följande topologier:

  • Enskild skog, enskild Microsoft Entra-katalog: I den här topologin synkroniserar Microsoft Entra Connect objekt och identitetsinformation från en eller flera domäner i en enda lokal skog till en enda Microsoft Entra-klientorganisation. Den här topologin är standardimplementeringen av expressinstallationen av Microsoft Entra Connect.

    Note

    Använd inte flera Microsoft Entra Connect Sync-servrar för att ansluta olika domäner i samma lokala skog till samma Microsoft Entra-klientorganisation. Den här konfigurationen är endast lämplig om en av servrarna körs i mellanlagringsläge, enligt beskrivningen i följande avsnitt.

  • Flera skogar, en enda Microsoft Entra-katalog: I den här topologin synkroniserar Microsoft Entra Connect objekt och identitetsinformation från flera skogar till en enda Microsoft Entra-klientorganisation. Använd den här topologin om organisationen har fler än en lokal skog. Du kan konsolidera identitetsinformation så att varje unik användare representeras en gång i Microsoft Entra-katalogen, även om användaren finns i mer än en skog. Alla skogar använder samma Microsoft Entra Connect Sync-server. Microsoft Entra Connect Sync-servern behöver inte ingå i någon domän, men den måste kunna nås från alla skogar.

    Note

    I den här topologin ska du inte använda separata Microsoft Entra Connect Sync-servrar för att ansluta varje lokal skog till en enda Microsoft Entra-klientorganisation. Den här konfigurationen kan resultera i duplicerad identitetsinformation i Microsoft Entra-ID om användare finns i mer än en skog.

  • Flera skogar, separata topologier: Den här topologin sammanfogar identitetsinformation från separata skogar till en enda Microsoft Entra-klientorganisation och behandlar alla skogar som separata entiteter. Den här topologin är användbar om du kombinerar skogar från olika organisationer och identitetsinformationen för varje användare endast finns i en skog.

    Note

    Om de globala adresslistorna i varje skog synkroniseras kan en användare i en skog finnas i en annan som en kontakt. Det här beteendet kan inträffa om din organisation har implementerat GALSync med Forefront Identity Manager 2010 eller Microsoft Identity Manager 2016. In this scenario, you can specify that users should be identified by their Mail attribute. You can also match identities by using the ObjectSID and msExchMasterAccountSID attributes. Den här metoden är användbar om du har en eller flera resursskogar som har inaktiverat konton.

  • Staging server: In this configuration, you run a second instance of the Microsoft Entra Connect Sync server in parallel with the first. Den här strukturen stöder följande scenarier:

    • High availability

    • Testa och distribuera en ny konfiguration av Microsoft Entra Connect Sync-servern

    • Introduktion till en ny server och inaktivering av en gammal konfiguration

      In these scenarios, the second instance runs in staging mode. Servern registrerar importerade objekt och synkroniseringsdata i databasen men skickar inte data till Microsoft Entra-ID. Om du inaktiverar mellanlagringsläget börjar servern skriva data till Microsoft Entra-ID. Det börjar också utföra tillbakaskrivningar av lösenord till de lokala katalogerna där det är lämpligt. Mer information finns i Microsoft Entra Connect Sync: Operativa uppgifter och överväganden.

  • Flera Microsoft Entra-kataloger: Du skapar vanligtvis en enda Microsoft Entra-katalog för en organisation. Men det kan finnas scenarier där du behöver partitioneringsinformation mellan separata Microsoft Entra-kataloger. I det här fallet bör du undvika problem med synkronisering och tillbakaskrivning av lösenord genom att se till att varje objekt från den lokala skogen endast visas i en Microsoft Entra-katalog. Om du vill implementera det här scenariot konfigurerar du separata Microsoft Entra Connect Sync-servrar för varje Microsoft Entra-katalog och använder filtrering så att varje Microsoft Entra Connect Sync-server fungerar på en ömsesidigt uteslutande uppsättning objekt.

Mer information om dessa topologier finns i Topologier för Microsoft Entra Connect.

Konfigurera användarautentiseringsmetod

Som standard konfigurerar Microsoft Entra Connect Sync-servern synkronisering av lösenordshash mellan den lokala domänen och Microsoft Entra-ID. Microsoft Entra-tjänsten förutsätter att användarna autentiserar genom att ange samma lösenord som de använder lokalt. För många organisationer är den här strategin lämplig, men du bör överväga organisationens befintliga principer och infrastruktur. Överväg följande faktorer:

  • Organisationens säkerhetsprincip kan förbjuda synkronisering av lösenordshashvärden till molnet. In this case, your organization should consider pass-through authentication.

  • Du kan kräva att användarna får sömlös enkel inloggning (SSO) när de får åtkomst till molnresurser från domänanslutna datorer i företagsnätverket.

  • Din organisation kanske redan har Active Directory Federation Services (AD FS) eller en federationsprovider från andra länder än Microsoft distribuerad. Du kan konfigurera Microsoft Entra-ID för att använda den här infrastrukturen för att implementera autentisering och enkel inloggning i stället för med hjälp av lösenordsinformation som lagras i molnet.

Mer information finns i Inloggningsalternativ för Microsoft Entra Connect-användare.

Konfigurera Microsoft Entra-programproxy

Använd Microsoft Entra-ID för att ge åtkomst till lokala program.

Exponera dina lokala webbprogram med hjälp av anslutningsappar för programproxy som microsoft Entra-programproxykomponenten hanterar. Anslutningsappen för programproxy öppnar en utgående nätverksanslutning till Microsoft Entra-programproxyn. Fjärranvändares begäranden dirigeras tillbaka från Microsoft Entra-ID via den här proxyanslutningen till webbapparna. Den här konfigurationen tar bort behovet av att öppna inkommande portar i den lokala brandväggen och minskar den attackyta som exponeras av din organisation.

Mer information finns i Publicera program med hjälp av Microsoft Entra-programproxy.

Konfigurera Synkronisering av Microsoft Entra-objekt

Standardkonfigurationen för Microsoft Entra Connect synkroniserar objekt från din lokala Active Directory-katalog baserat på de regler som anges i Microsoft Entra Connect Sync: Förstå standardkonfigurationen. Objekt som uppfyller reglerna synkroniseras medan alla andra objekt ignoreras. Överväg följande exempelregler:

  • User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.

  • User objects must have a sAMAccountName attribute and can't start with the text Azure AD_ or MSOL_.

Microsoft Entra Connect tillämpar flera regler på objekten Användare, Kontakt, Grupp, ForeignSecurityPrincipal och Dator. Använd redigeraren för synkroniseringsregler som är installerad med Microsoft Entra Connect om du behöver ändra standarduppsättningen med regler.

Du kan även definiera egna filter för att begränsa de objekt som ska synkroniseras av domänen eller organisationsenheten. Alternatively, you can implement more complex custom filtering.

Konfigurera övervakningsagenter

Följande agenter som är installerade lokalt utför hälsoövervakning:

  • Microsoft Entra Connect installerar en agent som samlar in information om synkroniseringsåtgärder. Använd bladet Microsoft Entra Connect Health i Azure Portal för att övervaka dess hälsa och prestanda. Mer information finns i Använda Microsoft Entra Connect Health för synkronisering.

  • Om du vill övervaka hälsotillståndet för AD DS-domäner och kataloger från Azure installerar du Microsoft Entra Connect Health för AD DS-agenten på en dator i den lokala domänen. Använd bladet Microsoft Entra Connect Health i Azure Portal för hälsoövervakning. Mer information finns i Använda Microsoft Entra Connect Health med AD DS.

  • Installera Microsoft Entra Connect Health för AD FS-agenten för att övervaka hälsotillståndet för tjänster som körs lokalt och använd bladet Microsoft Entra Connect Health i Azure-portalen för att övervaka AD FS. Mer information finns i Använda Microsoft Entra Connect Health med AD FS.

Mer information finns i Microsoft Entra Connect Health-agentinstallation.

Considerations

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. For more information, see Well-Architected Framework.

Reliability

Tillförlitlighet hjälper till att säkerställa att ditt program kan uppfylla de åtaganden som du gör gentemot dina kunder. Mer information finns i checklistan för Designgranskning för tillförlitlighet.

Microsoft Entra-tjänsten är geo-distribuerad och körs i flera datacenter som är spridda över hela världen med automatiserad redundans. Om ett datacenter blir otillgängligt ser Microsoft Entra-ID till att dina katalogdata är tillgängliga för instansåtkomst i minst två mer geografiskt distribuerade datacenter.

Note

Serviceavtalet (SLA) för Ad-nivån för Microsoft 365-appar och Premium-tjänster garanterar minst 99,9% tillgänglighet. Det finns inget serviceavtal för den kostnadsfria nivån för Microsoft Entra-ID. Mer information finns i Serviceavtal för Microsoft Entra-ID.

Överväg att etablera en andra instans av Microsoft Entra Connect Sync-servern i mellanlagringsläge för att öka tillgängligheten.

Om du inte använder SQL Server Express LocalDB-instansen som medföljer Microsoft Entra Connect kan du överväga att använda SQL-kluster för att uppnå hög tillgänglighet. Microsoft Entra Connect stöder inte lösningar som spegling och Always On.

Andra överväganden om att uppnå hög tillgänglighet för Microsoft Entra Connect Sync-servern och även hur du återställer efter ett fel finns i Microsoft Entra Connect Sync: Operativa uppgifter och överväganden – Haveriberedskap.

Security

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i checklistan för Designgranskning för Security.

Använd microsoft entra-kontroll för villkorsstyrd åtkomst för att neka autentiseringsbegäranden från oväntade källor:

  • Utlös Microsoft Entra multifaktorautentisering (MFA) om en användare försöker ansluta från en obetrodd plats, till exempel från internet i stället för ett betrott nätverk.

  • Använd enhetsplattformstypen för användaren, till exempel iOS, Android eller Windows, för att fastställa åtkomstprincipen för program och funktioner.

  • Registrera det aktiverade eller inaktiverade tillståndet för användarnas enheter. Införliva den här informationen i åtkomstprincipkontrollerna. Om en användares telefon till exempel tappas bort eller blir stulen bör den registreras som inaktiverad för att förhindra att den används för att få åtkomst.

  • Styr användarnas åtkomst till resurser baserat på gruppmedlemskap. Använd regler för dynamiskt medlemskap i Microsoft Entra för att förenkla gruppadministration.

  • Använd riskbaserade principer för villkorsstyrd åtkomst med ID Protection för att ge avancerat skydd baserat på ovanliga inloggningsaktiviteter eller andra händelser.

Mer information finns i Riskbaserade åtkomstprinciper.

Cost Optimization

Kostnadsoptimering fokuserar på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i checklistan Designgranskning för kostnadsoptimering.

Normalt beräknar du kostnader med hjälp av priskalkylatorn för Azure.

Tänk på följande kostnadsöverväganden:

Operational Excellence

Operational Excellence omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i checklistan för Designgranskning för Operational Excellence.

Manageability

Det finns två aspekter av hanteringen av Microsoft Entra-ID:

  • Administrera Microsoft Entra-ID i molnet
  • Underhålla Microsoft Entra Connect Sync-servrarna

Microsoft Entra ID innehåller följande alternativ för att hantera domäner och kataloger i molnet:

Microsoft Entra Connect installerar följande verktyg för att underhålla Microsoft Entra Connect Sync-tjänster från dina lokala datorer:

  • Med Microsoft Entra Connect-konsolen kan du ändra konfigurationen av Microsoft Entra Connect Sync-servern, anpassa hur synkronisering sker, aktivera eller inaktivera mellanlagringsläge och växla användarens inloggningsläge. Du kan aktivera AD FS-inloggning med hjälp av din lokala infrastruktur.

  • Synchronization Service Manager använder fliken Åtgärder i det här verktyget för att hantera synkroniseringsprocessen och identifiera om några delar av processen har misslyckats. Du kan utlösa synkroniseringar manuellt med hjälp av det här verktyget. The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.

  • Med redigeraren för synkroniseringsregler kan du anpassa hur objekt transformeras när de kopieras mellan en lokal katalog och Microsoft Entra-ID. Med det här verktyget kan du ange extra attribut och objekt för synkronisering. Sedan implementeras filter för att avgöra vilka objekt som ska eller inte ska synkroniseras. Mer information finns i Microsoft Entra Connect Sync: Förstå standardkonfigurationen och Microsoft Entra Connect Sync: Metodtips för att ändra standardkonfigurationen.

DevOps

Mer information om DevOps finns i Operational Excellence in Deploy AD DS in an Azure virtual network (Driftskvalitet i Distribuera AD DS i ett virtuellt Azure-nätverk).

Performance Efficiency

Prestandaeffektivitet syftar på arbetsbelastningens förmåga att skala för att effektivt uppfylla användarnas krav. Mer information finns i checklistan för Designgranskning för prestandaeffektivitet.

Microsoft Entra-tjänsten stöder skalbarhet baserat på repliker. Den har en enda primär replik som hanterar skrivåtgärder och flera skrivskyddade sekundära repliker. Microsoft Entra ID omdirigerar transparent försök till skrivningar som gjorts till sekundära repliker till den primära repliken och upprätthåller eventuell konsekvens. Alla ändringar som har gjorts i den primära repliken sprids till de sekundära replikerna. Den här arkitekturen skalas effektivt eftersom de flesta åtgärder som utförs mot Microsoft Entra-ID är läsningar i stället för skrivningar. Mer information finns i Microsoft Entra-arkitektur.

För Microsoft Entra Connect Sync-servern avgör du hur många objekt du troligen kommer att synkronisera från din lokala katalog. Om du har färre än 100 000 objekt kan du använda standardprogramvaran SQL Server Express LocalDB som medföljer Microsoft Entra Connect. Om du har ett större antal objekt installerar du en produktionsversion av SQL Server. Utför sedan en anpassad installation av Microsoft Entra Connect och ange att den ska använda en befintlig SQL Server-instans.

Contributors

Microsoft ansvarar för den här artikeln. Följande deltagare skrev den här artikeln.

Principal author:

Om du vill se linkedin-profiler som inte är offentliga loggar du in på LinkedIn.

Next steps