Microsoft Entra Connect – synchronizacja AD z chmurą krok po kroku

Czym jest Microsoft Entra Connect i do czego służy

Microsoft Entra Connect (dawniej Azure AD Connect) to bezpłatne narzędzie Microsoftu, które synchronizuje lokalne konta użytkowników, grupy i urządzenia z katalogu Active Directory (AD DS) do chmury Microsoft Entra ID (dawniej Azure Active Directory). Dzięki temu firmy mogą wdrożyć model tożsamości hybrydowej – pracownik ma jedno konto, które działa zarówno na lokalnym serwerze, jak i w Microsoft 365, Teams, SharePoint czy Azure.

Bez synchronizacji administrator musiałby zarządzać dwoma oddzielnymi katalogami: lokalnym AD i osobnymi kontami w chmurze. Entra Connect eliminuje ten problem – zmiany w AD (nowy użytkownik, zmiana hasła, dezaktywacja konta) są automatycznie replikowane do chmury w ciągu kilku minut.

Narzędzie obsługuje trzy główne scenariusze uwierzytelniania:

• Password Hash Synchronization (PHS) – skrót hasła jest synchronizowany do chmury; użytkownik loguje się tym samym hasłem lokalnie i w Microsoft 365
• Pass-Through Authentication (PTA) – uwierzytelnienie zawsze odbywa się na lokalnym serwerze; hasło nigdy nie trafia do chmury
• Federation (ADFS) – dla dużych organizacji z zaawansowanymi wymaganiami dotyczącymi uwierzytelniania

Dla większości MŚP zalecaną i najprostszą opcją jest Password Hash Synchronization – jest niezawodna, nie wymaga dodatkowej infrastruktury i zapewnia ciągłość pracy nawet przy braku połączenia z lokalnym serwerem. Dodatkowo PHS umożliwia wykrywanie wycieków haseł przez Microsoft Entra ID Protection.

Wymagania wstępne – co przygotować przed instalacją

Przed pobraniem instalatora Entra Connect upewnij się, że spełniasz wszystkie wymagania. Pominięcie tego etapu to najczęstsza przyczyna problemów podczas konfiguracji i późniejszego działania synchronizacji.

Wymagania sprzętowe i systemowe serwera:

• System operacyjny: Windows Server 2016, 2019 lub 2022 (zalecane 2019 lub 2022)
• Minimum 4 GB RAM (zalecane 8 GB przy katalogach powyżej 50 000 obiektów)
• Co najmniej 70 GB wolnego miejsca na dysku systemowym
• Serwer nie powinien być kontrolerem domeny – instaluj Entra Connect na osobnej, dedykowanej maszynie
• .NET Framework 4.7.2 lub nowszy

Konta i uprawnienia – potrzebujesz trzech kont:

• Konto Enterprise Administrator lokalnego AD – do instalacji i konfiguracji
• Konto Global Administrator w Microsoft Entra ID (Microsoft 365) – do autoryzacji połączenia z chmurą
• Konto usługi AD DS – w trybie Express kreator utworzy je automatycznie

Weryfikacja środowiska przed instalacją:

1. Sprawdź poziom funkcjonalności domeny – wymagane minimum Windows Server 2003
2. Upewnij się, że sufiks UPN użytkowników (np. imie.nazwisko@firma.pl) pasuje do domeny zweryfikowanej w Microsoft 365
3. Przetestuj połączenie serwera z internetem – wymagany dostęp do punktów końcowych Microsoftu (*.microsoftonline.com, *.azure.com)
4. Zweryfikuj poprawność ustawień DNS i czasu systemowego (synchronizacja NTP)
5. Uruchom narzędzie IdFix (bezpłatne narzędzie Microsoft), które wykryje duplikaty UPN, niedozwolone znaki i inne problemy w AD przed pierwszą synchronizacją

Ważne: jeśli Twoja domena AD używa sufiksu .local (np. firma.local), musisz skonfigurować alternatywny sufiks UPN w postaci domeny publicznej (np. firma.pl) i przypisać go użytkownikom przed uruchomieniem synchronizacji.

Instalacja Microsoft Entra Connect krok po kroku

Po spełnieniu wszystkich wymagań możesz przejść do instalacji. Pobierz najnowszą wersję instalatora ze strony Microsoft – wyszukaj w centrum pobierania Microsoft frazę Microsoft Entra Connect i pobierz plik AzureADConnect.msi.

1. Uruchom instalator jako administrator – kliknij prawym przyciskiem myszy pobrany plik i wybierz Uruchom jako administrator. Zaakceptuj warunki licencji.
2. Wybierz tryb instalacji – kreator zaproponuje dwie opcje: Express Settings (ustawienia ekspresowe) lub Customize (niestandardowa). Dla nowego wdrożenia z jednym lasem AD i metodą PHS wybierz Express Settings.
3. Podaj dane konta Entra ID – wprowadź login i hasło konta Global Administrator Microsoft 365. Kreator zweryfikuje połączenie z chmurą.
4. Podaj dane konta Enterprise Administrator AD – wprowadź dane konta z uprawnieniami Enterprise Administrator lokalnej domeny. Kreator użyje go do odczytu struktury AD i utworzenia konta usługi.
5. Weryfikacja sufiksu UPN – kreator sprawdzi, czy sufiksy UPN użytkowników AD pasują do domen zweryfikowanych w Microsoft 365. Jeśli pojawi się ostrzeżenie, możesz kontynuować, ale konta mogą otrzymać sufiks @firma.onmicrosoft.com.
6. Hybrid Azure AD Join (opcjonalnie) – jeśli planujesz rejestrację urządzeń Windows zarówno w lokalnym AD, jak i w Entra ID, zaznacz tę opcję.
7. Uruchom pierwszą synchronizację – na ostatnim ekranie zaznacz opcję Start the synchronization process when configuration completes i kliknij Install.

Pierwsza synchronizacja pełna może trwać od kilku minut do kilku godzin, zależnie od liczby obiektów w katalogu. Postęp możesz śledzić w Synchronization Service Manager (dostępnym po instalacji w menu Start) lub w dzienniku zdarzeń Windows (Event Viewer, kategoria Application, źródło Directory Synchronization).

Filtrowanie obiektów – kontroluj, co trafia do chmury

Domyślnie Entra Connect synchronizuje wszystkie konta użytkowników, grupy i kontakty z lokalnego AD. W większości firm nie jest to pożądane – do Microsoft 365 nie powinny trafiać konta techniczne, serwisowe, testowe ani obiekty z jednostek organizacyjnych (OU), które nie potrzebują dostępu do chmury.

Filtrowanie można skonfigurować na kilka sposobów:

• Filtrowanie po jednostce organizacyjnej (OU) – najprostsza i najbardziej polecana metoda. W kreatorze Entra Connect zaznaczasz tylko te OU, które mają być synchronizowane, np. wyłącznie OU=Pracownicy i OU=Menedzerowie, pomijając OU=Serwisy i OU=Testowe.
• Filtrowanie grupami – wskazujesz konkretną grupę AD; synchronizowani są tylko jej bezpośredni członkowie. Dobra opcja podczas pilotażowego wdrożenia Microsoft 365 dla wybranej grupy użytkowników.
• Filtrowanie atrybutami – zaawansowane filtrowanie oparte na wartościach atrybutów obiektów AD, np. nie synchronizuj kont z atrybutem extensionAttribute1=NoSync. Wymaga edycji reguł synchronizacji.

Aby zmienić konfigurację filtrowania po instalacji:

1. Uruchom ponownie kreator Entra Connect z menu Start i wybierz Customize synchronization options.
2. Podaj dane kont administratora (Entra ID i lokalnego AD).
3. Przejdź do sekcji Domain and OU filtering i zaznacz lub odznacz odpowiednie jednostki.
4. Dokończ kreator i poczekaj na kolejny cykl synchronizacji (domyślnie co 30 minut) lub uruchom ją ręcznie poleceniem PowerShell: Start-ADSyncSyncCycle -PolicyType Delta.

Uwaga: jeśli odfiltrujesz konto, które już istnieje w Entra ID jako zsynchronizowane, zostanie ono oznaczone jako soft deleted (przeniesione do kosza w chmurze) i usunięte po 30 dniach – nie zostanie natychmiast trwale skasowane.

Monitorowanie synchronizacji i rozwiązywanie typowych błędów

Po uruchomieniu synchronizacji kluczowe jest regularne sprawdzanie jej stanu. Entra Connect domyślnie wykonuje synchronizację delta co 30 minut. Błędy mogą oznaczać, że część kont nie trafia do chmury lub nie jest aktualizowana – co wpływa bezpośrednio na dostęp pracowników do usług Microsoft 365.

Narzędzia do monitorowania:

• Synchronization Service Manager – lokalna konsola instalowana razem z Entra Connect. Pokazuje historię operacji, liczbę przetworzonych obiektów, szczegóły błędów eksportu i importu.
• Microsoft Entra Connect Health – usługa chmurowa (wymaga licencji Microsoft Entra ID P1 lub P2) wysyłająca alerty e-mail przy problemach i prezentująca dashboardy w portalu entra.microsoft.com.
• Portal Microsoft Entra – zakładka Microsoft Entra Connect pokazuje datę i godzinę ostatniej udanej synchronizacji oraz liczbę błędów.

Najczęstsze błędy i sposoby naprawy:

• AttributeValueMustBeUnique (duplikat atrybutu) – dwa obiekty mają identyczny UPN lub adres proxy (ProxyAddress). Rozwiąż to, poprawiając dane w lokalnym AD lub korzystając z raportu IdFix.
• Export Errors – obiekt nie trafił do chmury – sprawdź szczegóły błędu w Synchronization Service Manager. Często wynika z niedozwolonych znaków w nazwie konta lub braku wymaganego atrybutu.
• Synchronizacja zatrzymana – sprawdź stan usługi Windows o nazwie Microsoft Azure AD Sync przez polecenie services.msc. Jeśli usługa nie działa, uruchom ją ponownie i sprawdź logi zdarzeń.
• Password Hash Sync nie działa – upewnij się, że konto usługi AD DS ma uprawnienia Replicate Directory Changes i Replicate Directory Changes All w Active Directory.

Dobrą praktyką jest sprawdzanie stanu synchronizacji co najmniej raz w tygodniu lub skonfigurowanie automatycznych alertów e-mail w Microsoft Entra Connect Health.

Bezpieczeństwo i najlepsze praktyki wdrożenia

Serwer z Microsoft Entra Connect to jeden z najważniejszych elementów infrastruktury IT firmy hybrydowej. Jego kompromitacja może dać atakującemu dostęp do wszystkich kont – zarówno lokalnych, jak i w chmurze Microsoft 365. Dlatego bezpieczeństwo tego komponentu wymaga szczególnej uwagi.

Zabezpieczenie serwera Entra Connect:

• Dedykuj osobną maszynę wyłącznie dla Entra Connect – nie instaluj na niej innych usług ani aplikacji
• Ogranicz dostęp RDP do serwera – tylko dla wyznaczonych administratorów IT, najlepiej z określonych adresów IP
• Włącz szyfrowanie dysku BitLockera na serwerze Entra Connect
• Regularnie aktualizuj Windows Server i sam Entra Connect – Microsoft wydaje nowe wersje kilka razy w roku, często z poprawkami bezpieczeństwa
• Monitoruj dzienniki logowania na serwerze i skonfiguruj alerty przy nieautoryzowanych próbach dostępu

Zabezpieczenie kont używanych przez synchronizację:

• Konto usługi AD DS powinno mieć tylko minimalne niezbędne uprawnienia w Active Directory – nie używaj do tego konta Enterprise Administrator
• Konto usługi Entra ID używane przez synchronizację powinno być objęte alertami logowania i regułami Conditional Access, choć technicznie wymaga wyłączenia MFA dla samej usługi
• Regularnie rotuj hasła kont usługowych – udokumentuj harmonogram rotacji

Dodatkowe zalecenia operacyjne:

• Przed wdrożeniem uruchom narzędzie IdFix, które wykryje problemy z danymi w AD mogące powodować błędy synchronizacji
• Skonfiguruj Staged Rollout, jeśli chcesz stopniowo migrować użytkowników z federacji do PHS bez natychmiastowego przełączania wszystkich kont
• Dokumentuj konfigurację: które OU są synchronizowane, które konta są wykluczone i jakie niestandardowe reguły synchronizacji zostały dodane

Prawidłowo skonfigurowany i monitorowany Entra Connect to fundament bezpiecznej tożsamości hybrydowej – warto poświęcić czas na staranny projekt przed uruchomieniem produkcyjnym.