🔐 Active Directory 📅 08.04.2026 ⏱️ 14 мин чтения ✍️ АйТи Фреш 👁 —

Гибридная идентификация: AD + Azure AD Connect

Гибридная идентификация: концепция и варианты

Гибридная идентификация позволяет использовать учётные записи локального Active Directory для доступа к облачным сервисам Microsoft 365, Azure и другим SaaS-приложениям. Пользователь входит с одним логином/паролем как в офисные ресурсы, так и в облако.

Microsoft предлагает три метода аутентификации в гибридной модели:

  • Password Hash Synchronization (PHS) — хеши паролей синхронизируются в Azure AD (Entra ID). Аутентификация происходит в облаке. Самый простой и рекомендуемый вариант
  • Pass-through Authentication (PTA) — пароль проверяется локальным агентом без синхронизации хешей. Подходит для организаций с жёсткими требованиями безопасности
  • Federation (AD FS) — аутентификация полностью на стороне локального AD FS. Самый сложный вариант, оправдан только для специфических сценариев

В этой статье настроим PHS как основной метод с Seamless SSO для прозрачного входа с доменных компьютеров.

Подготовка Active Directory

Перед установкой Azure AD Connect проверьте готовность AD:

# Проверяем уровень леса и домена (минимум 2003)
Get-ADForest | Select-Object ForestMode
Get-ADDomain | Select-Object DomainMode

# Проверяем UPN-суффиксы
Get-ADForest | Select-Object -ExpandProperty UPNSuffixes

# Если UPN не совпадает с доменом в M365 — добавляем
Set-ADForest -Identity company.local -UPNSuffixes @{Add="company.ru"}

# Обновляем UPN у пользователей
Get-ADUser -Filter * -SearchBase "OU=Users,DC=company,DC=local" | ForEach-Object {
    $newUPN = $_.SamAccountName + "@company.ru"
    Set-ADUser -Identity $_ -UserPrincipalName $newUPN
}

Важно: UPN пользователей должен совпадать с доменом, подтверждённым в Microsoft 365. Если локальный домен .local, добавьте альтернативный UPN-суффикс.

Проверка утилитой IdFix

Microsoft предоставляет утилиту IdFix для поиска ошибок в атрибутах AD, которые помешают синхронизации:

# Скачиваем и запускаем IdFix
# https://microsoft.github.io/idfix/
# Утилита проверяет:
# - Дублирующиеся proxyAddresses
# - Некорректные символы в displayName, mailNickname
# - Пустые или неуникальные UPN
# - Проблемы с форматом email-адресов

Исправьте все найденные проблемы до запуска синхронизации. Типичная ошибка — одинаковый proxyAddress у разных пользователей.

Установка Azure AD Connect (Entra Connect)

Azure AD Connect устанавливается на выделенный сервер в домене (Windows Server 2016+). Не рекомендуется ставить на контроллер домена.

Требования к серверу:

  • Windows Server 2016/2019/2022, присоединённый к домену
  • SQL Server Express (устанавливается автоматически) или полный SQL Server
  • .NET Framework 4.7.2+
  • Доступ к контроллерам домена и в интернет (порты 443, 80)
# Скачиваем последнюю версию
# https://www.microsoft.com/en-us/download/details.aspx?id=47594

# Или через PowerShell
Invoke-WebRequest -Uri "https://download.microsoft.com/download/B/0/0/B00291D0-5A83-4DE7-86F5-980BC00DE05A/AzureADConnect.msi" -OutFile AzureADConnect.msi

# Запускаем установку
msiexec /i AzureADConnect.msi

Мастер установки проведёт через шаги: подключение к Azure AD (глобальный администратор), подключение к локальному AD (Enterprise Admin), выбор метода аутентификации и фильтрации.

Express vs Custom Installation

Express — один лес AD, PHS, синхронизация всех пользователей. Подходит для простых сред. Custom — для сложных сценариев:

  • Несколько лесов AD
  • Фильтрация по OU (синхронизация только определённых подразделений)
  • Фильтрация по группе (синхронизируются только члены указанной группы)
  • Pass-through Authentication или Federation
  • Обратная запись атрибутов (password writeback, device writeback)

Настройка Password Hash Synchronization

PHS — рекомендуемый метод аутентификации. Хеши паролей AD (не сами пароли) синхронизируются в Entra ID через защищённый канал. При входе в M365 пользователь вводит пароль, его хеш сравнивается с хранящимся в облаке.

Преимущества PHS:

  • Работает даже при недоступности локального AD (пользователи могут входить в облако)
  • Поддерживает Leaked Credentials Detection — Microsoft сверяет хеши с утечками и предупреждает
  • Минимальная инфраструктура — только сервер Azure AD Connect

После установки проверяем статус синхронизации:

# На сервере Azure AD Connect
Import-Module ADSync

# Статус последней синхронизации
Get-ADSyncScheduler

# Запуск синхронизации вручную
Start-ADSyncSyncCycle -PolicyType Delta

# Полная синхронизация (при первом запуске или изменении правил)
Start-ADSyncSyncCycle -PolicyType Initial

# Проверка ошибок
Get-ADSyncCSObject -ConnectorName "company.local" | Where-Object { $_.HasExportError }

Seamless Single Sign-On (SSO)

Seamless SSO позволяет пользователям на доменных компьютерах входить в M365 без ввода пароля — используется Kerberos-билет. Включается в мастере Azure AD Connect на этапе настройки аутентификации.

Что происходит при включении SSO:

  1. В AD создаётся компьютерная учётная запись AZUREADSSOACC
  2. На этой учётной записи настраивается SPN для https://autologon.microsoftonline.com
  3. Браузер пользователя получает Kerberos-билет и передаёт его Azure AD

Для работы SSO необходимо добавить URL в зону Интранет браузера через GPO:

# Через GPO:
# Computer Configuration → Policies → Administrative Templates →
# Windows Components → Internet Explorer → Internet Control Panel →
# Security Page → Site to Zone Assignment List
# Добавить:
# https://autologon.microsoftonline.com → Зона 1 (Интранет)
# https://aadg.windows.net.nsatc.net → Зона 1 (Интранет)

# Или через реестр
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftonline.com\autologon" /v https /t REG_DWORD /d 1

Ротация ключей Kerberos

Microsoft рекомендует менять ключ Kerberos учётной записи AZUREADSSOACC каждые 30 дней:

# На сервере Azure AD Connect
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AzureADSSO.psd1"

$creds = Get-Credential  # Доменный администратор
Update-AzureADSSOForest -OnPremCredentials $creds

Автоматизируйте через Task Scheduler с запуском раз в месяц.

Фильтрация и правила синхронизации

По умолчанию Azure AD Connect синхронизирует все объекты из выбранных OU. Для тонкой настройки используйте Synchronization Rules Editor:

# Просмотр текущих правил
Get-ADSyncRule | Select-Object Name, Direction, Precedence | Sort-Object Precedence

# Фильтрация по атрибуту — исключаем пользователей с определённым department
# В Synchronization Rules Editor создайте правило:
# Direction: Inbound
# Scoping Filter: department NOT EQUAL "Excluded"
# Join Rules: objectGUID → cloudAnchor

Для фильтрации по OU — самый простой и рекомендуемый метод:

# В мастере Azure AD Connect → Customize synchronization →
# Domain/OU Filtering → выбрать только нужные OU:
# ✓ OU=Employees
# ✓ OU=ServiceAccounts
# ✗ OU=DisabledUsers
# ✗ OU=TestAccounts

После изменения фильтрации запустите полную синхронизацию: Start-ADSyncSyncCycle -PolicyType Initial.

Мониторинг и устранение проблем

Azure AD Connect Health (требует P1 лицензию) предоставляет портал мониторинга в Azure. Для базовой диагностики:

# Статус синхронизации
Get-ADSyncScheduler
# Ожидаемый вывод:
# SyncCycleEnabled : True
# NextSyncCyclePolicyType : Delta
# NextSyncCycleStartTimeInUTC : 2024-04-08 14:30:00

# Ошибки экспорта
Get-ADSyncCSObject -ConnectorName "company.onmicrosoft.com - AAD" |
    Where-Object { $_.HasExportError } |
    Select-Object DN, ExportError

# Просмотр журнала событий
Get-EventLog -LogName Application -Source "ADSync" -Newest 20

# Проверка подключения к Azure AD
Test-NetConnection login.microsoftonline.com -Port 443

Типичные проблемы:

  • InvalidSoftMatch — дублирующийся proxyAddress. Решение: найти и исправить дубликат в AD
  • DataValidationFailed — некорректные символы в атрибутах. Запустите IdFix
  • LargeObject — слишком много значений в многозначном атрибуте (>15 proxyAddresses). Увеличьте лимит или очистите лишние

Password Writeback — обратная запись паролей

При включении Password Writeback пользователи могут менять пароль через портал Microsoft 365, и он автоматически обновится в локальном AD. Требуется Azure AD Premium P1. Включается в мастере Azure AD Connect → Optional features → Password writeback. Также необходимо включить SSPR (Self-Service Password Reset) в Azure AD.

Часто задаваемые вопросы

Да, Azure AD Connect поддерживает синхронизацию из нескольких лесов AD в один тенант Entra ID. При установке (Custom mode) добавьте все леса. Убедитесь, что UPN пользователей уникальны между лесами.

Синхронизация прекратится, но пользователи смогут продолжать входить в M365 (при PHS — используя уже синхронизированные хеши). Изменения паролей не будут отражаться в облаке до восстановления. Для высокой доступности используйте staging-режим: второй сервер AD Connect в пассивном режиме.

Да. В 2023 году Microsoft переименовала Azure AD в Microsoft Entra ID. Azure AD Connect теперь называется Microsoft Entra Connect, а новая версия — Entra Connect Sync (v2) с облачной синхронизацией (Cloud Sync). Функционал и принцип работы остались прежними.

По умолчанию дельта-синхронизация запускается каждые 30 минут. Минимальный интервал — 30 минут. При необходимости немедленной синхронизации используйте Start-ADSyncSyncCycle -PolicyType Delta. Изменение пароля синхронизируется быстрее — примерно за 2 минуты.

Да. Синхронизируется не MD4-хеш из AD напрямую, а SHA-256 хеш от этого хеша, передаваемый по TLS. Microsoft не может восстановить пароль из синхронизированного хеша. Кроме того, PHS позволяет использовать Azure AD Leaked Credentials Detection для обнаружения скомпрометированных паролей.

Нужна помощь с настройкой?

Специалисты АйТи Фреш помогут с внедрением и настройкой — 15+ лет опыта, обслуживание от 15 000 ₽/мес

📞 Связаться с нами
#azure ad connect#гибридная идентификация#синхронизация ad#entra id connect#azure ad sso#password hash sync#ad connect настройка#azure active directory
Комментарии 0

Оставить комментарий

загрузка...