Azure AD Connect — Microsoft өнімі, ол негізінен жергілікті Active Directory және Azure Active Directory қызметтерін үздіксіз экспозицияны қамтамасыз ету үшін жасалған. Ол бірқатар технологияларды қамтиды:
- Azure AD Connect Sync
- Azure AD Connect Health
- ADFS (Active Directory Федерациясы қызметтері)
- PHS/PTA/SSSO дайындау қосқышы
Негізгі құрамдас (және адамдар «Azure AD Connect» дегенде нені білдіреді) Azure AD Connect Sync болып табылады. Бұл AD (Active Directory) және Azure AD арасында жұмыс істеуге арналған синхрондау қызметі (бірақ ол шын мәнінде көп нәрсені істей алады). Интерфейс FIM немесе MIM синхрондау қызметінің менеджерімен бірдей көрінеді (және ол FIM 2010 нұсқасына негізделген), бірақ басқару агенттерінің («қосқыштар») әлдеқайда аз түрлері қолжетімді.
Елеулі айырмашылық синхрондау ережелерінің FIM немесе MIM ережелеріне сәйкестігі шамалы және арнайы интерфейсте толығымен пайдаланушы интерфейсі арқылы конфигурацияланады (кодтаусыз).
Azure AD Connect пайдаланудың ең жақсы тәжірибелері
1. Azure AD Connect іске қосылған серверді қорғаңыз.
Azure AD Connect агентін іске қосатын сервер қауіпсіз екеніне көз жеткізіңіз. Серверге кіре алатын тіркелгілерді шектеңіз, әсіресе жергілікті әкімші құқықтары бар. Сондай-ақ серверге физикалық қол жеткізуді бақылау және күшті құпия сөз саясатын қолдану қажет болады. Басқа пайдаланушыларға Azure AD Connect синхрондау құралына кіруге рұқсат беру қажет болса, оларды жергілікті сервердегі ADSyncAdmins тобына қосуға болады. Әдеттегідей, бұны жасамас бұрын, олардың шынымен құралға қол жеткізуі қажет екеніне көз жеткізіңіз.
2. Қай пайдаланушы және топ нысандары Azure AD бағдарламасымен синхрондауға болатынын анықтаңыз.
Әдепкі бойынша, барлық пайдаланушы және топ нысандары Azure AD жүйесіне синхрондалады. Дегенмен, көптеген жергілікті топтарды бұлтпен синхрондаудың қажеті жоқ. Шындығында, олардың көпшілігі қажет болмай қалуы мүмкін. Azure AD Connect пайдалансаңыз да, пайдаланбасаңыз да, жергілікті AD жүйесінен барлық артық топтарды жою ұсынылады. Кез келген маңызды емес топтарды жою үшін синхрондау модулінің сүзу мүмкіндіктерін де пайдалануға болады. Сондай-ақ кез келген маңызды өзгерістерді енгізбес бұрын жоспарланған синхрондау тапсырмасын уақытша өшіру ұсынылады, себебі бұл Azure AD және жергілікті орта арасында қателердің автоматты түрде синхрондалуына жол бермейді.
3. Жергілікті әкімші топтарын Azure AD бағдарламасымен синхрондамаңыз.
Әкімші топтарын Azure AD жүйесімен синхрондауға ешқандай себеп жоқ, себебі олар жергілікті ортаңызға тән, сондықтан бұлттық ортаңызға қатысты емес. Шын мәнінде, бұл тек қажетсіз тәуекелдерді тудырады, өйткені көбірек ықтимал қарсыластар қай топтарға (демек, әкімшілерге) бағытталған болуы керек екенін біледі.
4. Синхрондау циклінің кемінде аптасына бір рет орындалатынына көз жеткізіңіз.
Әдепкі бойынша, синхрондау циклі әр 30 минут сайын орындалады. Microsoft корпорациясы синхрондау циклін қандай да бір себептермен өзгертуді шешсеңіз, оның кем дегенде 7 күнде бір рет іске қосылғанына көз жеткізуді ұсынады. Бұлай істемеу толық синхрондау арқылы шешілетін мәселелерге әкелуі мүмкін. Бұл ұзақ уақыт алуы мүмкін.
5. AD Connect сенімді сақтық көшірме жасау және қалпына келтіру шешімі болады деп күтпеңіз.
Azure AD қосылымы бұлттық деректеріңізді жергілікті AD ортасымен синхрондайтыны рас болса да, ол сенімді сақтық көшірме жасау және қалпына келтіру шешімі ретінде қарастырылмауы керек. Мәселе мынада, Azure AD нысандарында оларды пайдаланатын бұлттық қызметтерге тән белгілі атрибуттар бар.
Azure AD жүйесіндегі нысанды кездейсоқ жойсаңыз және осылайша жергілікті жерден сақтық көшірмені қалпына келтіруге әрекеттенсеңіз, бұл төлсипаттар жоғалады. Бұл жағдайда қалпына келтірілген элементтер Microsoft 365, Teams, SharePoint Online, OneDrive немесе басқа бұлттық қызметтерде қол жетімді болмайды. Нысанның өзіне емес, оның атрибуттарын жойған кезде бірдей мәселе орын алады. Сондықтан, Azure AD Connect қызметіне сенбей, кәсіпорын деңгейіндегі сақтық көшірме жасау және қалпына келтіру шешімін пайдалану өте маңызды.
6. Әкімші құқықтарымен Azure AD тіркелгілерін қорғаңыз
Барлық әкімші тіркелгілеріне алдын ала анықталған рөлдер тағайындалғанын тексеріңіз. Ғаламдық әкімші тіркелгісі Azure AD ортаңыздағы барлық әкімшілік параметрлерге қол жеткізе алатындықтан, бұл рөлге бес адамнан артық емес тағайындалғанына көз жеткізіңіз. Қолдану көп факторлы аутентификация (MFA), сәйкестікке қол жеткізуді басқару (IAM) және жаһандық әкімші тіркелгісін және басқа әкімшілік тіркелгілерді қорғау үшін нақты уақыттағы өзгерістерді тексеру шешімі.
Қорытынды
Әлі де сұрақтарыңыз бар ма? Тек бізге хабарласыңыз. Fanetech – Microsoft корпорациясының Қазақстандағы алтын серіктесі. Біз сізге жеке тіркелгіңіз арқылы ыңғайлы басқарумен оңтайлы Microsoft лицензия пакеттерін таңдауға көмектесеміз.