Microsoft Azure. Настройка синхронизации каталогов с помощью Azure AD connect (AADC).

ms_azure1


Доброго дня,

В этой статье я рассмотрю вариант настройки соединителя Azure AD connect версии 1.0.9131 от 12 декабря 2015. Версии выходят периодически с относительно недавних пор средство синхронизации «DirSync» был заменен на «AzureADConnect». Последнюю версию можно скачать здесь, история обновлений здесь.

При использовании облачных сервисов Майкрософт синхронизацию каталогов между «наземной» AD и Azure AD предоставит ряд преимуществ:

  • Пользователи могли подключаться к облачным сервисам Microsoft под своимим корпоративными учетными данными, то есть со своими логинами и паролями.
  • Использование заданой в локальной инфраструктуре политики паролей, — то что Майкрософт называет «соответствие требованиям».
  • Сброс пароля самим пользователем через Azure, без доступа к локальной сети.

Итак, с чего начать?

В первую очередь надо выбрать сервер на который будет установлен AzureADConnect. В списке требований:

  • Windows Server 2008 — 2012 R2;
  • Исторически не рекомендовалось устанавивать на контроллеры домена или ADFS серверы;
  • Более подробные требования указаны здесь.

Я же буду использовать отдельный сервер 2012 R2.

Подготовка облака.

Взависимости от того какой сервис будет использоваться необходимо включить синхронизацию каталогов на стороне облака.

в Azure, консоли https://manage.windowsazure.com меню Active Directory — Каталог — <Имя каталога> — Интеграция каталогов

AzureRemoteApp-2015-12-21 13_22_13-Active Directory - Microsoft Azure

В Office 365, в консоли https://portal.office.com меню Администратор — Пользователи — Управление — Активировать синхронизацию. Убедиться, что активация прошла успешно.

AzureRemoteApp-2015-12-21 13_23_53-Mozilla Firefox

Установка AADC.

Установка не самая сложная.

Скачать и запустить установку AzureADConnect.msi.

Принять лицензионное соглашение.

AADC-2015-12-04 18_16_31-Microsoft Azure Active Directory Connect

Далее выбрать вариант установки по-умолчанию или настраиваемый. Чтобы посмотреть опции выберу вариант Customize.

AADC-2015-12-04 18_16_42-Microsoft Azure Active Directory Connect

Настраиваемые опции:

  • Директория установки, по умолчанию C:\Program Files\ Microsoft Azure …
  • SQL сервер, по умолчанию будет установлен экземпляр SQL 2012 Express
  • Выбhать служебную ученую запись для запуска служб. По умолчанию будет использоваться автоматически созданный аккаунт.AADC-2015-12-21 12_24_54-Services
  • Разграничить права на синхронизацию директорий. По умолчанию разграничения не будет.

В моем случае я оставлю все зхначения по умолчанию.

AADC-2015-12-04 18_16_47-Microsoft Azure Active Directory Connect

Далее после непродолжительной подготовки локальных компонентов, будет предложен метод единого входа:

  • Синхронизация паролей, авторизация пользователей будет происходить на стороне облака.
  • Использование федерации с использованием ADFS, авторизация будет происходить на серверах ADFS.
  • Ну и можно вовсе не настраивать, правда зачем это может понадобиться пока не понятно 🙂

Я буду использовать синхронизацию паролей.

AADC-2015-12-04 18_17_39-Microsoft Azure Active Directory Connect

Далее надо будет ввести учетную запись для подключения к облаку. Эта учетная запись должна обладать правами глобального администратора.

AADC-2015-12-04 18_21_32-Microsoft Azure Active Directory Connect

И учетную запись для подключения к локальной Active Directory. Это учетная запись должна входить в группу Enterprise Admins.

AADC-2015-12-04 18_22_12-Microsoft Azure Active Directory Connect

Далее выбрать способ идентификации пользователей.

AADC-2015-12-04 18_22_29-Microsoft Azure Active Directory Connect

Далее выбрать группу, пользователи которой будут непосредственно синхронизированы с облаком.

  1. В этом случае синхронизироваться будут только объекты непосредственно входящие в эту группу:
    1. Пользователи.
    2. Группы. Важно! Пользователи входящие в группы внутри группы синхронизации, синхронизироваться не будут. Их необходимо добавить по отдельности.
  2. В случае если указать синхронизацию всех пользователей в локальной директории, то для кастомизации объектов можно воспользоваться Synchronization Service Manager, который будет установлен в текущей инсталляции.

AADC-2015-12-04 18_22_50-Microsoft Azure Active Directory Connect

Далее выбрать возможности, которые будут включены.

  • Будет ли использоваться гибрид Exchange
  • Синхронизация паролей недоступна, потому что включена в предыдущих шагах.
  • Password writeback — обратная синхронизация пароля, позволяет сбросить пароль непосредственно из облака. Как это работает, я описал здесь.

AADC-2015-12-04 18_23_09-Microsoft Azure Active Directory Connect

Далее можно поставить галку запустить синхронизацию после заверщения установки.

Важно! Если группа синхронизируемых объектов не была указана, то рекомендую эту галку снять, иначе все объекты Acive Directory будут синхронизированы с Azure AD. Очищать потом не очень удобно 🙂

AADC-2015-12-04 18_23_22-Microsoft Azure Active Directory Connect

После процесса установки будет запущена первоначальная синхронизация.

AADC-2015-12-04 18_31_42-Microsoft Azure Active Directory Connect

Отследить и настроить расписание можно в стандартном планировщике задач.

AADC-2015-12-21 13_17_58-Task Scheduler

Со стороны облака, необходимо убедиться, что пользователи появились.


Полезные ссылки:

https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect-accounts-permissions/#create-the-ad-ds-account


ms_azure1

Реклама

Об авторе Alexander Shestakov

MCITP, MCSE. Компания "Динамика"
Запись опубликована в рубрике Azure, Office 365 с метками , , . Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s