Guide: การตั้งค่า Hybrid Identity เชื่อมต่อ On-Premise AD ไปยัง Microsoft Entra ID (Step-by-Step)

ในยุคที่องค์กรใช้งาน Microsoft 365 และ Azure การทำ Hybrid Identity คือหัวใจสำคัญที่ช่วยให้พนักงานใช้ “บัญชีเดียว” (Single Sign-On) เข้าได้ทั้งคอมพิวเตอร์ในออฟฟิศและระบบ Cloud บทความนี้จะสรุปขั้นตอนการทำ Sync จาก Active Directory Domain Services (AD DS) ไปยัง Microsoft Entra ID (ชื่อเดิม Azure AD) ตามหลัก Best Practices

📋 Phase 1: Pre-flight Check (เตรียมความพร้อมก่อนเริ่ม)

สิ่งที่ System Engineer มักพลาดคือการข้ามขั้นตอนนี้ ซึ่งอาจนำไปสู่ปัญหา User Sync ผิดพลาด หรือ Authentication ไม่ผ่าน

  1. Prepare Server: เตรียมเครื่อง Windows Server (แนะนำให้ Join Domain แล้ว) เพื่อติดตั้ง Microsoft Entra Connect
  2. Infrastructure Health:
    • Time Sync (NTP): ตรวจสอบเวลาของ Server ทุกเครื่องต้องตรงกับมาตรฐานสากล (สำคัญมากสำหรับ Kerberos Auth)
    • DNS: Server ต้องสามารถ Resolve DNS ออก Internet ได้ (โดยเฉพาะ login.microsoftonline.com)
  3. Data Preparation (สำคัญที่สุด ⭐):
    • Add UPN Suffix: ใน Active Directory Domains and Trusts ให้เพิ่มชื่อ Domain จริง (เช่น company.com) เข้าไป
    • Update Users: เปลี่ยน User Logon Name ของพนักงานจาก .local ให้เป็น .com เพื่อให้ตรงกับ Email Address จริง
  4. Cloud Preparation:
    • สร้างบัญชี Global Administrator บน Entra ID (แนะนำให้เป็น admin@tenant.onmicrosoft.com เพื่อกันการถูก Lockout)
    • ยืนยัน Domain (Verify Domain) บน Entra Portal ให้เรียบร้อย

🛠️ Phase 2: Installation & Configuration (ขั้นตอนการติดตั้ง)

Step 1: Download & Install

ดาวน์โหลด Microsoft Entra Connect V2 จาก Microsoft Download Center และรันไฟล์ .msi บน Server ที่เตรียมไว้

Step 2: Choose Installation Settings

เมื่อเปิดโปรแกรม แนะนำให้เลือก “Customize” แทน Express Settings เพื่อความยืดหยุ่นในการจัดการ (โดยเฉพาะเรื่อง Filtering)

  • กด Install (สำหรับส่วนประกอบพื้นฐาน)

Step 3: Connect to Microsoft Entra ID

  • ใส่ Username/Password ของบัญชี Global Administrator ของฝั่ง Cloud

Step 4: Connect to Your Directories (AD DS)

  • เลือก Active Directory Forest ที่ต้องการ
  • กด Add Directory
  • ใส่ Username/Password ของ Enterprise Admin ของฝั่ง On-Premise

Step 5: Domain & OU Filtering (จุดที่ต้องระวัง)

  1. Azure AD Sign-in configuration: ตรวจสอบว่า Domain ฝั่ง Local กับ Cloud ตรงกัน (Verified)
  2. Domain and OU filtering: เลือก “Sync selected domains and OUs”
    • เลือก: OU ที่เก็บ Users พนักงานจริง
    • ไม่เลือก: OU ของ Admin, Service Accounts หรือเครื่อง Server ที่ไม่จำเป็นต้องขึ้น Cloud เพื่อความปลอดภัยและประหยัด License

Step 6: Sign-in Method Selection

เลือกวิธีการ Authentication ให้ User แนะนำตามความเหมาะสม:

  • Password Hash Synchronization (PHS): (แนะนำสำหรับทั่วไป) ง่ายที่สุด User ล็อกอินได้แม้ Link เชื่อมต่อ Office ตัดขาด
  • Enable Single Sign-on (SSO): ติ๊กถูกเลือกข้อนี้ เพื่อให้ User ในวงแลนไม่ต้องกรอกรหัสผ่านซ้ำเวลาเข้าเว็บ Microsoft 365

✅ Phase 3: Verification (ตรวจสอบความถูกต้อง)

หลังจากกด Install และรอจนระบบแจ้งว่าเสร็จสิ้น ให้ตรวจสอบดังนี้:

  1. Check on Server:
    • เปิดโปรแกรม Synchronization Service Manager
    • ไปที่แท็บ Operations ดูสถานะล่าสุดต้องเป็น Success
  2. Check on Entra Portal:
    • ไปที่เมนู Users
    • ตรวจสอบ User ที่ Sync ขึ้นมา ในคอลัมน์ On-premises sync enabled ต้องเป็น “Yes”
    • ทดสอบ Login ด้วยบัญชีนั้นบน Office.com หรือ Azure Portal

💡 Pro Tips for System Engineers

  • Soft Match: หากบน Cloud มี User somchai@company.com อยู่แล้ว และเรา Sync User ชื่อเดียวกันขึ้นไป ระบบจะพยายามจับคู่กัน (Soft Match) แต่อาจเกิดปัญหาข้อมูลทับซ้อนได้ ทางที่ดีควรเคลียร์ User บน Cloud (ที่เป็น Cloud-only) หรือระวังเรื่อง ProxyAddress ให้ดี
  • Staging Mode: หากติดตั้งในระบบใหญ่ที่มีความเสี่ยงสูง ตอนติดตั้งหน้าสุดท้ายให้เลือก “Enable staging mode” ไว้ก่อน เพื่อดูผลลัพธ์การ Sync โดยที่ยังไม่ส่งข้อมูลไปที่ Entra ID จริงๆ เมื่อมั่นใจแล้วค่อยปิด Staging mode
  • Admin Account Separation: อย่า Sync บัญชี Domain Admin ขึ้นไปใช้บน Cloud ควรแยก Account สำหรับบริหารจัดการ Cloud โดยเฉพาะ

อ้างอิง : Microsoft Doc