Propojení adresářů AD a Azure AD: AAD Connect

13. 1. 2020 Azure, IT Pro

Pokud vaše organizace již začala své prostředky migrovat do cloudu, pravděpodobně nyní čelíte problému s migrací Active Directory do Azure AD. Zde totiž narazíme na to, že nelze službu zastavit, přesunout a spustit někde jinde. Navíc se zde objevuje také problém se zajištěním dostupnosti, neboť sebemenší výpadek AD může znamenat zásadní problém. 

Dalším častým scénářem jsou Office 365. Právě na jejich pozadí funguje služba Azure AD, která zajišťuje správu cloudových identit. Je silně nepraktické mít dva oddělené adresáře, a pro každého zaměstnance spravovat dva zvláštní účty. 

Vzhledem k tomuto je zde řešení, které umožňuje nastavit synchronizaci mezi těmito dvěma adresáři a následně celou infrastrukturu spravovat z jednoho místa. Toto řešení se nazývá Hybridní Identita a k jeho spuštění využijeme aplikaci AAD Connect, která je dodávána přímo od Microsoftu. 

Prostředí 

K dokončení podle tohoto dokumentu je požadováno následující prostředí: 

Poznámka: Tento seznam není vyčerpávající. Kompletní seznam požadavků naleznete na: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-prerequisites 

Plán nasazení 

Na řadič domény budeme instalovat aplikaci AAD Connect, která bude zajišťovat pravidelnou synchronizaci objektů mezi AD a AAD. Místní Active Directory se bude při synchronizaci chovat jako master, tedy většina atributů synchronizovaných objektů se bude dát změnit pouze z řadiče domény místní AD. 

Dále se budeme muset rozhodnout, jak budeme ověřovat uživatele. Máme na výběr několik možností:

1. Synchronizace hashů hesel (PHS)

V tomto scénáři se budou synchronizovat do cloudu hashovaná hesla uživatelů. Tento scénář poskytuje nejvyšší výkon, avšak může nějakou dobu trvat propagace nového hesla uživatele při jeho změně. 

2. Předávací ověřování (PTA)

Na řadiči je trvale spuštěný agent, který přijímá požadavky na ověření z AAD. V případě změny hesla uživatele není žádná propagace třeba, avšak v případě nedostupnosti tohoto agenta veškeré přihlašování selže. Z tohoto důvodu lze kombinovat s prvním scénářem, kdy nejprve se pokusí AAD kontaktovat agenta, v případě problémů využije poslední známý hash. 

TIP: Tento scénář v kombinaci s PHS je vhodný pro většinu organizací, které chtějí jednoduše implementovat AAD Sync, a nemají problémy s rychlostí internetu nebo striktním firewallem. 

3. Federované identity (FS)

Na řadiči nebo členském serveru domény je spuštěna služba AD FS, která zajišťuje jednotné přihlašování a veškeré požadavky o autentizaci (včetně prezentování přihlašovací stránky uživateli) provádí tento server. Pro vystavení AD FS do internetu, což je v tomto scénáři požadováno, je nutné zároveň na jiný server nasadit Proxy Webových Aplikací. 

Upozornění: Tento scénář není vhodný pro malé firmy a školy a nebudu to v tomto dokumentu dále rozebírat. Jednak vyžaduje značné množství prostředků, jednak je na správu velmi komplikovaný a v neposlední řadě v případě výpadku AD FS bude jakékoli přihlášení nedostupné.

Nasazení 

Ze stránek Azure AD stáhneme aplikaci Azure AD Connect: 

Stažený instalátor přesuneme a spustíme na řadiči domény: 

Dále klikneme zaškrtneme souhlas s podmínkami a klikneme na „Pokračovat“. Na další stránce zvolíme možnost „Přizpůsobit“. Na obrazovce „Instalace požadovaných komponent“ necháme všechny možnosti výchozí a zvolíme možnost „Nainstalovat“. 

Nyní je AAD Connect nainstalován, a dále ho budeme již jen konfigurovat. 

Na další obrazovce budeme vybírat scénář nasazení. V tomto dokumentu budeme konfigurovat PTA (předávací ověřování), spolu s možností SSO (jednotného přihlášení). 

TIP: SSO umožní uživatelům přihlášení do cloudových služeb z počítačů připojených do domény bez nutnosti zadávat znovu heslo. 

Po kliknutí na tlačítko další budeme vyzváni k zadání uživatelského jména a hesla globálního administrátora tenantu, v kterém se Azure AD nachází. 

V další části budeme rozhodovat o tom, co budeme synchronizovat. Nejprve vybereme adresáře, které budeme synchronizovat. Klikněte na tlačítko „Přidat adresář“, zvolte výchozí možnost vytvořit nový účet (pro službu synchronizace) a zadejte přihlašovací údaje uživatele ve skupině Domain Admin. 

V další části budeme mapovat lokální přípony (UPN) adresáře na ověřené domény v Azure AD. Pokud máte například místní doménu lab.lan (a uživatele [email protected]), můžete mapovat tuto příponu na doménu Azure AD contoso.onmicrosoft.com (takže uživatel bude mít přihlašovací jméno a email [email protected]). 

Dále můžeme nastavit, které organizační jednotky (OU) budeme synchronizovat. V obvyklých případech můžeme synchronizovat všechny, což je výchozí nastavení. 

V dalším kroku budeme nastavovat na základě jakého atributu uživatelů budou objekty propojeny. Pokud začínáte s prázdným adresářem Azure AD, můžeme nastavení nechat výchozí. 

Upozornění: Pokud již máte v Azure AD nějaké účty, které jsou zároveň v místní doméně AD, budete muset pečlivě zvážit na základě kterého atributu je propojíte. V případě chybného nastavení se vám můžou účty v Azure AD objevit dvakrát. 

TIP: Doporučuji založit čistě cloudový (nesynchronizovaný) účet s právy globálního administrátora pro případ, kdyby nastaly nějaké problémy. 

Dále budeme mít možnost zvolit skupinu, ze které budou objekty synchronizovány. Tato možnost slouží při prvotním nasazení v produkčním prostředí jako možnost pro otestování před plným nasazením. Tuto možnost nemusíme použít. 

Ve volitelných funkcích můžeme vybrat několik možností, z nichž uvádím ty nejdůležitější: 

Zpětný zápis hesel je požadován pro povolení samoobslužného resetování hesla. 

V poslední obrazovce budeme opět zadávat účet Domain Admina, pro povolení jednotného přihlašování (SSO), neboť jsme ho zvolili v předchozích možnostech. 

Dokončíme průvodce a synchronizace je nastavena. 

Synchronizace zařízení 

V některých scénářích je požadována i pokročilá synchronizace zařízení. V takovém případě otevřeme aplikaci Azure AD Connect a zvolíme možnost „Konfigurovat možnost zařízení“: 

Konfigurace synchronizace zařízení není vždy požadována v tomto dokumentu ji podrobně nebudu rozebírat. 

Dále budeme postupovat dle pokynů průvodce při konfiguraci scénářů synchronizace zařízení (připojení k hybridnímu Azure AD nebo zpětný zápis).  

Monitoring 

O monitoring se nám bude starat komponenta Azure AD Connect Health. Problémy se synchronizací vidíme v portálu Azure AD (pod Azure AD Connect Health): 

Volitelně také problémy můžeme dostávat i na email.