Propojení AD s MS Entra

Připojení Active Directory k Entra ID (Azure AD) pomocí Entra Connect

Požadavky

  • Lokální AD doména funkční (např. firma.local)
  • Globální administrátor v Entra ID / Microsoft 365
  • Ověřená veřejná doména (firma.cz)
  • Windows Server (doporučená verze 2016+)
  • Síťové připojení do internetu

1. Instalace Entra Connect

  • Stáhnout Microsoft Entra Connect:
    https://www.microsoft.com/en-us/download/details.aspx?id=47594
  • Spustit instalátor na serveru (člen domény nebo připojený k doméně).
  • Při instalaci:
    • Express mode – vhodné pro 1 doménu, bez úprav
    • Custom mode – pokud je potřeba filtrovat OU, nastavit Seamless SSO, pass-through auth, atd.

2. Přihlášení a propojení

  • Přihlásit se globálním admin účtem z Microsoft 365.
  • Zadání doménového účtu s oprávněním číst Active Directory.

3. Výběr režimu synchronizace

  • Password Hash Sync – doporučený výchozí režim
  • Pass-through Authentication – pokud musí jít ověření vždy přes lokální AD
  • Seamless SSO – volitelné, přihlašování bez zadávání hesla v interní síti

4. Spuštění synchronizace

Po dokončení instalace se synchronizace spustí automaticky.

Ruční spuštění:

powershellZkopírovatUpravitStart-ADSyncSyncCycle -PolicyType Delta

Stav replikace:

powershellZkopírovatUpravitGet-ADSyncScheduler

5. Ověření

  • Portál Entra ID (https://entra.microsoft.com) → Users → All users
  • Měli by se zobrazit synchronizovaní uživatelé z AD
  • V UPN každého uživatele by měla být veřejná doména (@firma.cz), ne @firma.local

Poznámky

  • Výchozí interval replikace je 30 minut
  • Synchronizace hesel je jednosměrná (AD → Entra)
  • Pokud má být nakonfigurován Hybrid Join (např. kvůli přístupu k file serverům, GPO atd.), je potřeba doplnit ještě registraci zařízení + device writeback (ne u všech SKU dostupné)
  • V prostředích s více foresty/tenanty – použít custom instalaci a pečlivě plánovat scope a filtering

Co se synchronizuje při „Express“ instalaci:

  • Všechny uživatelé a skupiny z celého AD forestu
  • Všechna OU (Organizational Units)
  • Hesla (ve formě hashů), pokud zvolíš Password Hash Sync
  • Všechna zařízení, pokud není sync device objekty výslovně vypnutý

Pokud chceš filtrovat:

Použij Custom mode při instalaci nebo konfiguraci. Tady máš možnosti filtrování:

1. OU Filtering

Vybereš jen konkrétní organizační jednotky, které se mají synchronizovat.

2. Attribute-based filtering

Např. jen objekty, které mají extensionAttribute15 = SyncToAAD.

3. Domain-based filtering

Pokud máš více domén v forestu, můžeš zvolit jen konkrétní.

4. Group-based filtering (nedoporučeno pro produkční nasazení)

Dá se zapnout, ale není škálovatelný pro velká prostředí.

Změna nastavení po instalaci:

Můžeš spustit průvodce znovu:

"Azure AD Connect" → Configure → Customize synchronization options