Microsoft Entra ID 是雲端式目錄和身分識別服務。 此參考架構示範將 內部部署的 Active Directory 網域與 Microsoft Entra ID 整合的最佳做法,以提供雲端式身分識別驗證。
架構
透過 Microsoft 365 線上存取 Visio 圖表。 請注意,您必須有 Visio 授權才能存取此圖表。 或者,下載 此架構的 Visio 檔案 (請參閱 Visio 索引標籤“Microsoft Entra ID”。
注意
為了簡單起見,此圖表只會顯示與Microsoft Entra ID 直接相關的連線,而不是在驗證和身分識別同盟中可能發生的通訊協議相關流量。 例如,Web 應用程式可能會重新導向網頁瀏覽器,以透過 Microsoft Entra 識別碼來驗證要求。 一旦通過驗證,即可使用適當的身分識別資訊,將要求傳回 Web 應用程式。
如需其他考慮,請參閱選擇整合 內部部署的 Active Directory 與 Azure 的解決方案。
元件
架構具有下列元件。
Microsoft Entra 租用戶。 組織所建立Microsoft Entra標識符的實例。 其可作為雲端應用程式的目錄服務,方法是儲存從 內部部署的 Active Directory 複製的物件並提供身分識別服務。
Web 層子網。 此子網會保留執行 Web 應用程式的 VM。 Microsoft Entra ID 可作為此應用程式的身分識別代理程式。
內部部署 AD DS 伺服器。 內部部署目錄和身分識別服務。 AD DS 目錄可以與 Microsoft Entra ID 同步,讓其能夠驗證內部部署使用者。
Microsoft Entra Connect Sync 伺服器。 執行 Microsoft Entra Connect 同步處理服務的內部部署電腦。 此服務會同步處理 內部部署的 Active Directory 中保留的資訊,以Microsoft Entra ID。 例如,如果您布建或取消布建群組和內部部署使用者,這些變更會傳播至 Microsoft Entra ID。
注意
基於安全性考慮,Microsoft Entra ID 會將用戶的密碼儲存為哈希。 如果使用者需要密碼重設,則必須在內部部署執行這項作業,而且必須將新的哈希傳送至Microsoft Entra ID。 Microsoft Entra ID P1 或 P2 版本包含的功能,可讓密碼變更在雲端中發生,然後寫回內部部署 AD DS。
多層式應用程式的 VM。 如需這些資源的詳細資訊,請參閱 [執行多層式架構的 VM][implementing-a-multi-tier-architecture-on-Azure]。
案例詳細資料
潛在使用案例
此參考架構的典型用法包括:
- 部署在 Azure 中的 Web 應用程式,可存取屬於您組織的遠端使用者。
- 為終端用戶實作自助式功能,例如重設其密碼,以及委派群組管理。 這需要Microsoft Entra ID P1 或 P2 版本。
- 內部部署網路和應用程式的 Azure VNet 未使用 VPN 通道或 ExpressRoute 線路連線的架構。
注意
Microsoft Entra ID 可以驗證存在於組織目錄中的使用者和應用程式身分識別。 某些應用程式和服務,例如 SQL Server,可能需要電腦驗證,在此情況下,此解決方案不適用。
建議
下列建議適用於大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。
設定 Microsoft Entra Connect Sync 服務
Microsoft Entra Connect 同步服務可確保儲存在雲端中的身分識別資訊與儲存在內部部署的身分識別資訊一致。 您可以使用 Microsoft Entra Connect 軟體來安裝此服務。
實作 Microsoft Entra Connect Sync 之前,請先判斷組織的同步處理需求。 例如,要同步處理的內容、從哪個網域,以及頻率。 如需詳細資訊,請參閱 判斷目錄同步處理需求。
您可以在 VM 或裝載於內部部署的電腦上執行 Microsoft Entra Connect Sync 服務。 根據 Active Directory 目錄中資訊的波動性,Microsoft Entra Connect Sync 服務上的負載在初始同步處理Microsoft Entra ID 之後不太可能很高。 在 VM 上執行服務可讓您更輕鬆地視需要調整伺服器。 監視 VM 上的活動,如監視考慮一節中所述,以判斷是否需要調整。
如果您在樹系中有多個內部部署網域,建議您將整個樹系的信息儲存和同步處理至單一Microsoft Entra 租使用者。 篩選在多個網域中發生的身分識別資訊,讓每個身分識別只出現在Microsoft Entra ID 中一次,而不是重複。 當數據同步處理時,重複可能會導致不一致。 如需詳細資訊,請參閱下面的拓撲一節。
使用篩選,以便只儲存必要的數據,Microsoft Entra ID 中。 例如,您的組織可能不想將非使用中帳戶的相關信息儲存在 entra ID Microsoft。 篩選可以是群組型、網域型、組織單位(OU)型或屬性型。 您可以結合篩選來產生更複雜的規則。 例如,您可以同步處理在定義域中具有所選屬性中特定值的物件。 如需詳細資訊,請參閱 Microsoft Entra Connect Sync:Configure Filtering。
若要實作 AD Connect 同步服務的高可用性,請執行次要預備伺服器。 如需詳細資訊,請參閱拓撲建議一節。
注意
Microsoft Entra Connect 雲端同步 是Microsoft的新供應專案,其設計目的是要符合並完成混合式身分識別目標,以便同步處理使用者、群組和聯繫人,以Microsoft Entra ID。 使用 Microsoft Entra Connect 雲端同步時,從 AD 佈建到 Microsoft Entra ID 的作業會在 Microsoft Online Services 中進行協調。
驗證安全性設定和原則
用戶密碼管理。 Microsoft Entra ID P1 或 P2 版本支援密碼回寫,讓您的內部部署用戶能夠從 Azure 入口網站 內執行自助式密碼重設。 只有在檢閱貴組織的密碼安全策略之後,才應該啟用此功能。 例如,您可以限制哪些使用者可以變更其密碼,而且您可以量身打造密碼管理體驗。 如需詳細資訊,請參閱 自定義密碼管理以符合貴組織的需求。
保護可從外部存取的內部部署應用程式。 使用 Microsoft Entra 應用程式 Proxy,透過 Microsoft Entra ID,將內部部署 Web 應用程式的受控存取權提供給來自網路外部的使用者。 只有 Azure 目錄中具有有效認證的使用者才有權使用應用程式。 如需詳細資訊,請參閱 Azure 入口網站 中的啟用 應用程式 Proxy 一文。
主動監視Microsoft Entra標識符是否有可疑活動的跡象。 請考慮使用 Microsoft Entra ID P2 版本,其中包含Microsoft Entra ID Protection。 Identity Protection 會使用調適型機器學習演算法和啟發學習法來偵測可能表示身分識別遭到入侵的異常和風險事件。 例如,它可以偵測潛在的異常活動,例如不規則的登入活動、來自未知來源的登入,或來自具有可疑活動的IP位址登入,或從可能受感染的裝置登入。 Identity Protection 會使用此數據來產生報告和警示,讓您能夠調查這些風險事件並採取適當的動作。 若需詳細資訊,請參閱 Microsoft Entra ID Protection (部份機器翻譯)。
您可以使用 Azure 入口網站 中Microsoft Entra ID 的報告功能來監視系統中發生的安全性相關活動。 如需使用這些報告的詳細資訊,請參閱 Microsoft Entra ID 報告指南。
驗證網路拓撲
設定 Microsoft Entra Connect 以實作最符合您組織需求的拓撲。 Microsoft Entra Connect 支援的拓撲包括:
單一樹系、單一Microsoft Entra 目錄。 在此拓撲中,Microsoft Entra Connect 會將單一內部部署樹系中一或多個網域的物件和身分識別資訊同步至單一Microsoft Entra 租使用者。 此拓撲是 Microsoft Entra Connect 的快速安裝的預設實作。
注意
請勿使用多個Microsoft Entra Connect Sync 伺服器,將相同內部部署樹系中的不同網域連線到相同的 Microsoft Entra 租使用者,除非您是在預備模式中執行伺服器,如下所述。
多個樹系,單一Microsoft Entra 目錄。 在此拓撲中,Microsoft Entra Connect 會將多個樹系中的物件和身分識別資訊同步至單一Microsoft Entra 租使用者。 如果您的組織有多個內部部署樹系,請使用此拓撲。 您可以合併身分識別資訊,讓每個唯一的使用者在 Microsoft Entra 目錄中表示一次,即使使用者存在於多個樹系中也一樣。 所有樹系都會使用相同的Microsoft Entra Connect Sync 伺服器。 Microsoft Entra Connect 同步處理伺服器不一定要是任何網域的一部分,但必須可從所有樹系連線。
注意
在此拓撲中,請勿使用個別Microsoft Entra Connect Sync 伺服器,將每個內部部署樹系聯機到單一Microsoft Entra 租使用者。 如果使用者存在於多個樹系中,這可能會導致Microsoft Entra ID 中重複的身分識別資訊。
多個樹系,個別拓撲。 此拓撲會將個別樹系的身分識別資訊合併成單一Microsoft Entra 租使用者,將所有樹系視為個別實體。 如果您結合不同組織的樹系,且每個使用者的身分識別資訊只保留在一個樹系中,此拓撲就很有用。
注意
如果每個樹系中的全域通訊清單 (GAL) 已同步處理,一個樹系中的使用者可能會以聯繫人的形式出現在另一個樹系中。 如果您的組織已使用 Forefront Identity Manager 2010 或 Microsoft Identity Manager 2016 實作 GALSync,就會發生這種情況。 在此案例中,您可以指定使用者應該透過其 Mail 屬性來識別。 您也可以使用 ObjectSID 和 msExchMasterAccountSID 屬性來比對身分識別。 如果您有一或多個具有已停用帳戶的資源樹系,這會很有用。
預備伺服器。 在此組態中,您會與第一個實例平行執行Microsoft Entra Connect Sync 伺服器的第二個實例。 此結構支援下列案例:
高可用性。
測試及部署 Microsoft Entra Connect Sync 伺服器的新組態。
引進新的伺服器並解除委任舊組態。
在這些案例中,第二個實例會在預備模式中執行。 伺服器會在資料庫中記錄匯入的物件和同步處理數據,但不會將數據傳遞至 entra ID Microsoft。 如果您停用暫存模式,伺服器就會開始將數據寫入至Microsoft Entra ID,並在適當情況下開始對內部部署目錄執行密碼回寫。 如需詳細資訊,請參閱 Microsoft Entra Connect Sync:作業工作和考慮。
多個Microsoft Entra 目錄。 您通常會為組織建立單一Microsoft Entra 目錄,但在某些情況下,您可能需要將資訊分割到個別Microsoft Entra 目錄。 在此情況下,請確定來自內部部署樹系的每個物件只出現在一個Microsoft Entra 目錄中,以避免同步處理和密碼回寫問題。 若要實作此案例,請為每個Microsoft Entra 目錄設定個別Microsoft Entra Connect Sync 伺服器,並使用篩選,讓每個Microsoft Entra Connect Sync 伺服器在互斥的物件集上運作。
如需這些拓撲的詳細資訊,請參閱 Microsoft Entra Connect 的拓撲。
設定使用者驗證方法
根據預設,Microsoft Entra Connect Sync 伺服器會設定內部部署網域與 Microsoft Entra ID 之間的密碼哈希同步處理。 Microsoft Entra 服務會假設用戶藉由提供與內部部署相同的密碼進行驗證。 對於許多組織而言,此策略是適當的,但您應該考慮您組織的現有原則和基礎結構。 例如:
- 貴組織的安全策略可能會禁止將密碼哈希同步處理至雲端。 在此情況下,您的組織應該考慮 傳遞驗證。
- 從公司網路上已加入網域的機器存取雲端資源時,您可能需要使用者體驗順暢的單一登錄 (SSO)。
- 您的組織可能已經部署 Active Directory 同盟服務 (AD FS) 或第三方同盟提供者。 您可以設定 Microsoft Entra 識別符,以使用此基礎結構來實作驗證和 SSO,而不是使用雲端中保留的密碼資訊。
如需詳細資訊,請參閱 Microsoft Entra Connect 使用者登入選項。
設定 Microsoft Entra 應用程式 Proxy
使用Microsoft Entra標識碼來提供內部部署應用程式的存取權。
使用由 Microsoft Entra 應用程式 Proxy 元件管理的應用程式 Proxy 連接器,公開您的內部部署 Web 應用程式。 應用程式 Proxy 連接器會開啟Microsoft Entra 應用程式 Proxy 的輸出網路連線。 遠端使用者的要求會透過此 Proxy 連線至 Web 應用程式,從 Microsoft Entra ID 路由回。 此設定可移除在內部部署防火牆中開啟輸入埠的需求,並減少組織公開的攻擊面。
如需詳細資訊,請參閱使用 Microsoft Entra 應用程式 Proxy 發佈應用程式。
設定Microsoft Entra 物件同步處理
Microsoft Entra Connect 的預設組態會根據 Entra Connect Sync:了解預設組態 Microsoft一文中指定的規則,從本機 Active Directory 目錄同步處理物件。 滿足這些規則的物件會同步處理,同時忽略所有其他物件。 一些範例規則:
- 用戶對象必須具有唯 一的sourceAnchor 屬性,而且 必須填入 accountEnabled 屬性。
- 用戶對象必須具有 sAMAccountName 屬性,且無法以 Azure AD_或MSOL_文字開頭。
Microsoft Entra Connect 會將數個規則套用至 User、Contact、Group、ForeignSecurityPrincipal 和 Computer 物件。 如果您需要修改預設的規則集,請使用隨 Microsoft Entra Connect 一起安裝的同步處理規則編輯器。 如需詳細資訊,請參閱 Microsoft Entra Connect Sync:瞭解預設組態)。
您也可以定義自己的篩選,以限制網域或 OU 同步處理的物件。 或者,您可以實作更複雜的自定義篩選,例如Microsoft Entra Connect Sync:設定篩選中所述。
設定監視代理程式
健康情況監視是由安裝在內部部署的下列代理程序執行:
- Microsoft Entra Connect 會安裝可擷取同步處理作業相關信息的代理程式。 使用 Azure 入口網站 中的 [Microsoft Entra Connect Health 刀鋒視窗來監視其健康情況和效能。 如需詳細資訊,請參閱 使用 Microsoft Entra Connect Health 進行同步處理。
- 若要監視 Azure 中 AD DS 網域和目錄的健康情況,請在內部部署網域內的機器上安裝適用於 AD DS 代理程式的 Microsoft Entra Connect Health for AD DS 代理程式。 使用 [Azure 入口網站] 中的 [Microsoft Entra Connect Health 刀鋒窗口進行健康情況監視。 如需詳細資訊,請參閱 搭配 AD DS 使用 Microsoft Entra Connect Health
- 安裝 Microsoft Entra Connect Health for AD FS 代理程式來監視在內部部署執行之服務的健全狀況,並使用 Azure 入口網站 中的 [Microsoft Entra Connect Health] 刀鋒視窗來監視 AD FS。 如需詳細資訊,請參閱 搭配 AD FS 使用 Microsoft Entra Connect Health
如需安裝 AD Connect Health 代理程式及其需求的詳細資訊,請參閱 Microsoft Entra Connect Health 代理程式安裝。
考量
這些考量能實作 Azure Well-Architected Framework 的支柱,其為一組指導原則,可以用來改善工作負載的品質。 如需更多資訊,請參閱 Microsoft Azure 結構完善的架構。
可靠性
可靠性可確保您的應用程式符合您對客戶的承諾。 如需詳細資訊,請參閱可靠性支柱的概觀 (部分機器翻譯)。
Microsoft Entra 服務是異地散發,並在分散在世界各地的多個數據中心執行,並透過自動化故障轉移。 如果數據中心無法使用,Microsoft Entra ID 可確保您的目錄數據可供至少兩個區域分散的數據中心存取。
注意
Microsoft 365 Apps AD 層的服務等級協定(SLA)和進階服務保證至少 99.9% 的可用性。 Microsoft Entra 標識符的免費層沒有 SLA。 如需詳細資訊,請參閱 Microsoft Entra ID 的 SLA。
請考慮在預備模式中布建Microsoft Entra Connect Sync 伺服器的第二個實例,以提高可用性,如拓撲建議一節中所述。
如果您未使用Microsoft Entra Connect 隨附的 SQL Server Express LocalDB 實例,請考慮使用 SQL 叢集來達到高可用性。 Microsoft Entra Connect 不支援鏡像和 Always On 等解決方案。
如需達成Microsoft Entra Connect 同步處理伺服器之高可用性,以及如何在失敗后復原的其他考慮,請參閱 Microsoft Entra Connect Sync:作業工作和考慮 - 災害復原。
安全性
安全性可提供保證,以避免刻意攻擊和濫用您寶貴的資料和系統。 如需詳細資訊,請參閱安全性支柱的概觀。
使用條件式存取控制來拒絕來自非預期來源的驗證要求:
如果用戶嘗試從不受信任的位置進行連線,例如透過因特網而非受信任的網路,請觸發 Microsoft Entra 多重要素驗證 (MFA )。
使用使用者的裝置平臺類型(iOS、Android、Windows Mobile、Windows)來判斷應用程式和功能的存取原則。
記錄使用者裝置的啟用/停用狀態,並將此資訊併入存取原則檢查中。 例如,如果用戶的手機遺失或遭竊,則應將它記錄為停用,以防止它用來取得存取權。
根據群組成員資格控制用戶對資源的存取。 使用 Microsoft Entra 動態成員資格規則 來簡化群組管理。 如需如何運作的簡短概觀,請參閱 群組動態成員資格簡介。
使用條件式存取風險原則搭配 Microsoft Entra ID Protection,根據不尋常的登入活動或其他事件提供進階保護。
如需詳細資訊,請參閱 Microsoft Entra 條件式存取。
成本最佳化
成本最佳化是關於考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱成本最佳化支柱的概觀。
使用 Azure 定價計算機來預估成本。
成本考慮包括:
Microsoft Entra Connect - Microsoft Entra Connect 同步處理功能適用於所有版本的 Microsoft Entra ID。
使用 Microsoft Entra Connect 沒有額外的授權需求,且包含在您的 Azure 訂用帳戶中。
如需Microsoft Entra標識符版本的定價資訊,請參閱 Microsoft Entra 定價。
多層式應用程式的 VM - 如需這些資源的成本資訊,請參閱 [針對多層式架構執行 VM][implementing-a-multi-tier-architecture-on-Azure]。
卓越營運
卓越營運涵蓋部署應用程式並使其持續在生產環境中執行的作業流程。 如需詳細資訊,請參閱卓越營運支柱的概觀 (部分機器翻譯)。
管理能力
管理Microsoft Entra 標識符有兩個層面:
- 在雲端中管理Microsoft Entra標識符。
- 維護 Microsoft Entra Connect Sync 伺服器。
Microsoft Entra ID 提供下列選項來管理雲端中的網域和目錄:
- Microsoft Graph PowerShell 模組 - 用來編寫一般Microsoft Entra 系統管理工作的腳本,例如使用者管理、網域管理,以及設定單一登錄。
- Azure 入口網站 中的 Microsoft Entra 管理刀鋒視窗 - 提供目錄的互動式管理檢視,並可讓您控制及設定Microsoft Entra ID 的大部分層面。
Microsoft Entra Connect 會安裝下列工具,從內部部署機器維護 Microsoft Entra Connect Sync 服務:
- Microsoft Entra Connect 控制台 - 可讓您修改 Azure AD 同步 伺服器的設定、自定義同步處理發生方式、啟用或停用預備模式,以及切換使用者登入模式。 您可以使用內部部署基礎結構來啟用 Active Directory FS 登入。
- 同步處理服務管理員 - 使用 此工具中的 [作業] 索引標籤來管理同步處理程式,並偵測進程是否有任何部分失敗。 您可以使用此工具手動觸發同步處理。 [ 連接器] 索引 標籤可讓您控制同步處理引擎所連結之網域的連線。
- 同步處理規則編輯器 - 可讓您自定義對象在內部部署目錄與Microsoft Entra 識別符之間複製時轉換的方式。 此工具可讓您指定其他屬性和對象進行同步處理,然後執行篩選以判斷哪些對象應該或不應該同步處理。 如需詳細資訊,請參閱檔Microsoft Entra Connect Sync:了解預設組態中的同步處理規則編輯器一節。
如需管理 Microsoft Entra Connect 的詳細資訊和秘訣,請參閱 Microsoft Entra Connect Sync:變更預設組態的最佳做法。
DevOps
如需 DevOps 考慮,請參閱將 Active Directory 網域服務 (AD DS) 擴充至 Azure 中的卓越營運。
效能效益
效能效率可讓您的工作負載進行調整,以有效率的方式符合使用者對其放置的需求。 如需詳細資訊,請參閱效能效率支柱概觀。
Microsoft Entra 服務支援以複本為基礎的延展性,以及處理寫入作業的單一主要複本加上多個只讀次要複本。 Microsoft Entra ID 會以透明方式將嘗試對次要複本的寫入重新導向至主要複本,並提供最終一致性。 對主要複本所做的所有變更都會傳播至次要複本。 此架構會調整良好,因為大多數針對 Microsoft entra 標識碼的作業都是讀取而非寫入。 如需詳細資訊,請參閱 什麼是Microsoft Entra 架構?
針對 Microsoft Entra Connect 同步伺服器,判斷您可能會從本機目錄同步處理多少物件。 如果您有少於 100,000 個物件,您可以使用 Microsoft Entra Connect 所提供的預設 SQL Server Express LocalDB 軟體。 如果您有較多的物件,您應該安裝 SQL Server 的生產版本,並執行 Microsoft Entra Connect 的自定義安裝,並指定它應該使用現有的 SQL Server 實例。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- Eric Woodruff |產品技術專家
若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。
下一步
- 檢閱Microsoft Entra Hybrid Identity Design Considerations,其中包含有關制定混合式身分識別決策的進一步資訊。
- 檢閱 Microsoft Entra Connect 的拓撲,以確保Microsoft Entra Connect 的混合式拓撲部署在支援的組態中。
- 瞭解如何使用條件式存取來保護應用程式存取,並搭配 規劃條件式存取部署。
- 如需在 Azure 中提供 AD DS 作為基礎結構的詳細資訊,請參閱 整合內部部署 AD 與 Azure。
- 如果您想要提供與內部部署或雲端 IaaS 應用程式的Microsoft Entra 整合,請檢 閱 Microsoft Entra 應用程式 Proxy 。
- 因為身分識別是安全性的新控制平面,請檢閱 身分識別管理最佳做法。
- 此外,部署此解決方案需要高許可權的帳戶,請檢閱 保護特殊許可權存取權,以瞭解特殊許可權帳戶的安全性控制。