Propojení adresářů AD a Azure AD: AAD Connect

13. 1. 2020 Azure, IT Pro

Pokud vaše organizace již začala své prostředky migrovat do cloudu, pravděpodobně nyní čelíte problému s migrací Active Directory do Azure AD. Zde totiž narazíme na to, že nelze službu zastavit, přesunout a spustit někde jinde. Navíc se zde objevuje také problém se zajištěním dostupnosti, neboť sebemenší výpadek AD může znamenat zásadní problém. 

Dalším častým scénářem jsou Office 365. Právě na jejich pozadí funguje služba Azure AD, která zajišťuje správu cloudových identit. Je silně nepraktické mít dva oddělené adresáře, a pro každého zaměstnance spravovat dva zvláštní účty. 

Vzhledem k tomuto je zde řešení, které umožňuje nastavit synchronizaci mezi těmito dvěma adresáři a následně celou infrastrukturu spravovat z jednoho místa. Toto řešení se nazývá Hybridní Identita a k jeho spuštění využijeme aplikaci AAD Connect, která je dodávána přímo od Microsoftu. 

Prostředí 

K dokončení podle tohoto dokumentu je požadováno následující prostředí: 

Poznámka: Tento seznam není vyčerpávající. Kompletní seznam požadavků naleznete na: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-prerequisites 

Plán nasazení 

Na řadič domény budeme instalovat aplikaci AAD Connect, která bude zajišťovat pravidelnou synchronizaci objektů mezi AD a AAD. Místní Active Directory se bude při synchronizaci chovat jako master, tedy většina atributů synchronizovaných objektů se bude dát změnit pouze z řadiče domény místní AD. 

Dále se budeme muset rozhodnout, jak budeme ověřovat uživatele. Máme na výběr několik možností:

1. Synchronizace hashů hesel (PHS)

V tomto scénáři se budou synchronizovat do cloudu hashovaná hesla uživatelů. Tento scénář poskytuje nejvyšší výkon, avšak může nějakou dobu trvat propagace nového hesla uživatele při jeho změně. 

2. Předávací ověřování (PTA)

Na řadiči je trvale spuštěný agent, který přijímá požadavky na ověření z AAD. V případě změny hesla uživatele není žádná propagace třeba, avšak v případě nedostupnosti tohoto agenta veškeré přihlašování selže. Z tohoto důvodu lze kombinovat s prvním scénářem, kdy nejprve se pokusí AAD kontaktovat agenta, v případě problémů využije poslední známý hash. 

TIP: Tento scénář v kombinaci s PHS je vhodný pro většinu organizací, které chtějí jednoduše implementovat AAD Sync, a nemají problémy s rychlostí internetu nebo striktním firewallem. 

3. Federované identity (FS)

Na řadiči nebo členském serveru domény je spuštěna služba AD FS, která zajišťuje jednotné přihlašování a veškeré požadavky o autentizaci (včetně prezentování přihlašovací stránky uživateli) provádí tento server. Pro vystavení AD FS do internetu, což je v tomto scénáři požadováno, je nutné zároveň na jiný server nasadit Proxy Webových Aplikací. 

Upozornění: Tento scénář není vhodný pro malé firmy a školy a nebudu to v tomto dokumentu dále rozebírat. Jednak vyžaduje značné množství prostředků, jednak je na správu velmi komplikovaný a v neposlední řadě v případě výpadku AD FS bude jakékoli přihlášení nedostupné.

Nasazení 

Ze stránek Azure AD stáhneme aplikaci Azure AD Connect: 

Stažený instalátor přesuneme a spustíme na řadiči domény: 

Dále klikneme zaškrtneme souhlas s podmínkami a klikneme na „Pokračovat“. Na další stránce zvolíme možnost „Přizpůsobit“. Na obrazovce „Instalace požadovaných komponent“ necháme všechny možnosti výchozí a zvolíme možnost „Nainstalovat“. 

Nyní je AAD Connect nainstalován, a dále ho budeme již jen konfigurovat. 

Na další obrazovce budeme vybírat scénář nasazení. V tomto dokumentu budeme konfigurovat PTA (předávací ověřování), spolu s možností SSO (jednotného přihlášení). 

TIP: SSO umožní uživatelům přihlášení do cloudových služeb z počítačů připojených do domény bez nutnosti zadávat znovu heslo. 

Po kliknutí na tlačítko další budeme vyzváni k zadání uživatelského jména a hesla globálního administrátora tenantu, v kterém se Azure AD nachází. 

V další části budeme rozhodovat o tom, co budeme synchronizovat. Nejprve vybereme adresáře, které budeme synchronizovat. Klikněte na tlačítko „Přidat adresář“, zvolte výchozí možnost vytvořit nový účet (pro službu synchronizace) a zadejte přihlašovací údaje uživatele ve skupině Domain Admin. 

V další části budeme mapovat lokální přípony (UPN) adresáře na ověřené domény v Azure AD. Pokud máte například místní doménu lab.lan (a uživatele [email protected]), můžete mapovat tuto příponu na doménu Azure AD contoso.onmicrosoft.com (takže uživatel bude mít přihlašovací jméno a email [email protected]). 

Dále můžeme nastavit, které organizační jednotky (OU) budeme synchronizovat. V obvyklých případech můžeme synchronizovat všechny, což je výchozí nastavení. 

V dalším kroku budeme nastavovat na základě jakého atributu uživatelů budou objekty propojeny. Pokud začínáte s prázdným adresářem Azure AD, můžeme nastavení nechat výchozí. 

Upozornění: Pokud již máte v Azure AD nějaké účty, které jsou zároveň v místní doméně AD, budete muset pečlivě zvážit na základě kterého atributu je propojíte. V případě chybného nastavení se vám můžou účty v Azure AD objevit dvakrát. 

TIP: Doporučuji založit čistě cloudový (nesynchronizovaný) účet s právy globálního administrátora pro případ, kdyby nastaly nějaké problémy. 

Dále budeme mít možnost zvolit skupinu, ze které budou objekty synchronizovány. Tato možnost slouží při prvotním nasazení v produkčním prostředí jako možnost pro otestování před plným nasazením. Tuto možnost nemusíme použít. 

Ve volitelných funkcích můžeme vybrat několik možností, z nichž uvádím ty nejdůležitější: 

Zpětný zápis hesel je požadován pro povolení samoobslužného resetování hesla. 

V poslední obrazovce budeme opět zadávat účet Domain Admina, pro povolení jednotného přihlašování (SSO), neboť jsme ho zvolili v předchozích možnostech. 

Dokončíme průvodce a synchronizace je nastavena. 

Synchronizace zařízení 

V některých scénářích je požadována i pokročilá synchronizace zařízení. V takovém případě otevřeme aplikaci Azure AD Connect a zvolíme možnost „Konfigurovat možnost zařízení“: 

Konfigurace synchronizace zařízení není vždy požadována v tomto dokumentu ji podrobně nebudu rozebírat. 

Dále budeme postupovat dle pokynů průvodce při konfiguraci scénářů synchronizace zařízení (připojení k hybridnímu Azure AD nebo zpětný zápis).  

Monitoring 

O monitoring se nám bude starat komponenta Azure AD Connect Health. Problémy se synchronizací vidíme v portálu Azure AD (pod Azure AD Connect Health): 

Volitelně také problémy můžeme dostávat i na email. 

Nastavení souborů Cookies

1. Co jsou soubory cookies

Soubory cookies jsou krátké textové soubory, které internetová stránka odešle do vašeho prohlížeče. Umožňují internetové stránce zaznamenat informace o vaší návštěvě, například zvolený jazyk a podobně. Následující návštěva stránek tak pro vás může být snazší a příjemnější. Soubory cookies jsou důležité, neboť bez nich by procházení sítě Internet bylo mnohem složitější. Soubory cookies umožňují lepší využití naší internetové stránky a přizpůsobení jejího obsahu vašim potřebám. Soubory cookies používá téměř každá internetová stránka na světě.

2. Druhy souborů cookies

Relační (tedy dočasné) soubory cookies nám umožňují propojovat vaše jednotlivé aktivity po dobu prohlížení těchto internetových stránek. V okamžiku otevření okna vašeho prohlížeče se tyto soubory vytvoří a po zavření okna vašeho prohlížeče se odstraní.

Trvalé soubory cookies nám pomáhají váš počítač identifikovat, jestliže opětovně navštívíte naši internetovou stránku.

3. Využívání souborů cookies

V souladu s ustanovením § 89 odst. 3 zák. č. 127/2005 Sb., o elektronických komunikacích, v účinném znění, si vás tímto dovolujeme informovat, že naše internetové stránky využívají pro svoji činnost soubory cookies, tedy vaše soubory cookies, včetně trvalých, zpracováváme.

Internetové prohlížeče obvykle obsahují správu souborů cookies. V rámci nastavení vašeho prohlížeče tak pravděpodobně můžete jednotlivé soubory cookies ručně mazat, blokovat či zcela zakázat jejich používání. Pro více informací použijte nápovědu vašeho internetového prohlížeče. Jsou-li cookies povoleny, lze toto nastavení internetového prohlížeče považovat za souhlas se zpracováním osobních údajů.

4. Účel použití souborů cookies

K personalizaci obsahu a reklam, poskytování funkcí sociálních médií a analýze naší návštěvnosti využíváme soubory cookies. Informace o tom, jak náš web používáte, sdílíme se svými partnery působícími v oblasti sociálních médií, inzerce a analýz. Používáním internetových stránek vyjadřujete souhlas propojením následujících služeb: Google Analytics, Google Tag Manager, Facebook Pixel, Microsoft Clarity.

Soubory cookies využíváme, kromě účelu uvedeného v předchozím odstavci, pouze pro měření návštěvnosti webové stránky.

5. Správce osobních údajů

Provozovatelem webové stránky studuj.digital a správcem osobních údajů je společnost: pg-sec s.r.o., sídlem Rybná 716/24, Staré Město, 110 00 Praha 1, identifikační číslo 09580905, zapsaná v obchodním rejstříku Městského soudu v Praze, oddíl C, vložka 338028.

​6. Zásady ochrany osobních údajů

Podrobnější informace o souborech cookies a zpracování tvých osobních údajů najdete v našich Zásadách ochrany osobních údajů.

Nezbytné

Tyto soubory cookie jsou nutné pro základní funkce stránky, a jsou proto vždy povolené. Mezi ně patří soubory cookie, které stránce umožňují si vás zapamatovat při procházení stránky v rámci jedné relace nebo, pokud o ně požádáte, mezi relacemi.

Volitelné

Výkon

Tyto soubory cookie nám pomáhají vylepšovat funkce stránek sledováním využití této webové stránky. V některých případech zrychlují zpracování vašeho požadavku a umožňují nám zapamatovat si vaše vybrané předvolby na stránce. Pokud soubory cookie zakážete, může se tím zhoršit přesnost našich doporučení a zpomalit funkčnost stránek.

Sociální média a relamy

Díky souborům cookies sociálních médií si můžete připojit ke svým sociálním sítím a prostřednictvím sociálních médií sdílet obsah z naší webové stránky. Reklamní soubory cookie (třetích stran) shromažďují informace pro lepší přizpůsobení reklamy tvým zájmům, a to na webových stránkách studuj.digital i mimo ně. V některých případech tyto soubory cookies zpracovávají vaše osobní údaje. Pokud chcete získat více informací o zpracování osobních údajů, přečtěte si naše Zásady ochrany osobních údajů. Pokud zakážete soubory cookies, mohou se zobrazovat reklamy, které méně souvisejí s vašimi zájmy, nebo nebudete moci účinně používat odkazy na Facebook, Instagram či jiné sociální sítě anebo nebudete moci sdílet obsah na sociálnch médiích.