Jedną z kolejnych rzeczy, które powinniśmy zrobić podczas konfiguracji naszego domowego laba tudzież firmy – jest synchronizacja naszego lokalnego Active Directory z Azure Active Directory. Synchronizacja polega np. na możliwości używania kont z AD w usługach AAD. Z tym samym hasłem. Pojawiają się grupy, urządzenia z lokalnego AD.
Dużo możliwości, tak mało pracy do wykonania. Aby więcej poczytać czym jest AAD connect, zapraszam pod adres What is Azure AD Connect and Connect Health. | Microsoft Docs. Tam jest wszystko dokładnie opisane. Ja chcę się skupić na technikaliach.
Pokrótce o uprawnieniach. Potrzebujemy użyć dwóch kont – z dwóch środowisk. On-premise oraz Cloud.
Dla środowiska Cloud – musimy użyć konta z upraweniami Globalnego Administratora lub hybrid identity administrator. Dla środowiska On-premise musimy użyć konta z uprawnienami Enterprise Admin. Jeżeli wiemy już jakiego konta użyć, przechodzimy do maszyny na której będzie zainstalowany agent oraz go ściągamy z adresu https://www.microsoft.com/en-us/download/details.aspx?id=47594.
Po ściągnięciu, zainstalowaniu oraz uruchomieniu – pojawi nam się opcja w jaki sposób chcemy skonfigurować agenta. Możemy wybrać ścieżkę Express lub Custom.
W przypadku wybrania „Customowej” konfiguracji możemy skonfigurować:
- Lokalizację, gdzie zostanie zainstalowany connector
- Wybranie istniejącego SQL serwera jeżeli mamy już jakiś w sieci
- Wybrania istniejącego konta serwisowego
- Ustawienia specyficznych możliwości synchronizacji grup
- Lub też zaimportowania gotowych ustawień z innej maszyny
Ja jednak się skupię na wariancie eskpresowym. Nie potrzebuję zmieniać tychże ustawień.
W pierwszym kroku musimy podać dane do konta GA lub Hybrid Identity Administrator w AAD.
W drugim kroku podajemy dane do konta z grupy Enterprise Admin
Natomiast w kolejnym kroku potwierdzamy konfigurację oraz instalację.
Wszystko zostanie automatycznie skonfigurowane i rozpocznie się synchronizacja.
Otrzymamy informację, że kosz dla AD nie jest skonfigurowany.
Możemy to naprawić za pomocą komendy PowerShell:
Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target YourDomainName
Po chwili w portalu AAD > Users pojawią się nasi użytkownicy.
I to wszystko z tego wpisu. Później przeczytacie o dodatkowych benefitach.