הארגונים משתמשים ב-Active Directory כדי לנהל מרכזית מחשבים ומשתמשים בחלונות. הגדרת בקר מתחום של Active Directory (ADDC) בשרת Windows היא נוחה, ומנהלי מערכות יכולים להשתמש בשרת זה כדי לאמת משתמשים, להגדיר הרשאות, ולנהל גישה למשאבים משותפים.
הרבה חברות שכבר משתמשות בחלונות העבירו לפלטפורמת ענן של מיקרוסופט כמו Microsoft 365 (קודם Office 365) או Azure. במקרה זה, מנהל מערכת צריך ליצור חשבונות למשתמשים ב-Microsoft 365. לפעמים ארגונים מעדיפים להשתמש באותם פרטי כניסה עבור חשבונות משתמשים מקומיים וחשבונות משתמשים בענן. מנהלים יכולים לסנכרן את המשתמשים של תחום מקומי במקום עם Office 365 ו-Azure Active Directory (Azure AD) כדי להשתמש באותו חשבון משתמש לאימות מקומי ובענן. זה ידוע כהצפנה היברידית, וזה פופולרי בקרב ארגונים שמשתמשים במוצרי תוכנה של מיקרוסופט.
פוסט בלוג זה מכסה סנכרון AD של Office 365 ומסביר כיצד ניתן לבצע סנכרון של Active Directory של Office 365 כדי לסנכרן חשבונות משתמשים מקומיים ובענן עבור מוצרי מיקרוסופט.
Office 365 ו-Azure AD
Office 365 היא דייר ב-Azure Active Directory ומשתמשת בפורטל כדי לאחסן נתונים המשמשים לאימות ולהגדיר הרשאות לגישה לסביבת הענן של מיקרוסופט. מנהל הדייר של Office 365 יכול לגשת אל פורטל ה-Azure כדי לנהל הרשאות ולהגדיר הגדרות נוספות. אם יש לך ADDC (Active Directory Domain Controller) רץ במקום השרתים, אתה יכול לסנכרן את Office 365 עם AD (לסנכרן את ה-Active Directory באתר עם ה-Azure Active Directory של Office 365) וכתוצאה, להשיג אינטגרציה של Office 365 Active Directory.
גישה זו מספקת לך זהות היברידית ומאפשרת למשתמשים להשתמש באותם אישורים כדי לגשת לשירותי Office 365 ולמשאבים מקומיים במשרד/מרכז הנתונים שלך. נתוני Active Directory כגון משתמשים, קבוצות ואנשי קשר מסונכרנים במקרה זה. סנכרון ספריית כתובות הוא שלב חשוב בעבירה לענן אם ברצונך לקבל סביבה היברידית.
מהו Azure AD Connect?
Azure AD Connect הוא כלי קל משקל שמותקן על שרת מקומי, הפועל כ-ADDC. Azure AD Connect מסנכרן את נתוני הזהות שלך ב-Active Directory המקומי עם Azure Active Directory המשמשת על ידי Office 365 בענן. הכלי ניתן להתקנה על שרת של שלטון הדומיין או על שרת Windows שהוא חבר בדומיין. Azure AD Connect החליף את כלי הסנכרון של הספרייה (DirSync) שנבטל.
Azure AD Connect תומך בפונקציות הבאות:
- סנכרון של גלגלי הסיסמה
- אימות מעבר
- אימות פדרציה. אימות יכול להידרש עבור ספק זיהוי אחר על ידי מחשב לקוח.
באופן ברירת המחדל, סנכרון ספריית הקבצים מתבצע מ-AD במערכת האון-פרמיסיז ל-Azure AD שבו משמש Office 365. אפף כך, ניתן להגדיר סנכרון של ה-Active Directory בכיוון ההפוך ולסנכרן את השינויים מ-Azure AD ל-AD שבאון-פרמיסיז שלך. באופן ברירת המחדל, הסנכרון מתוזמן להפעלה כל 30 דקות. ניתן לערוך את הגדרות התזמון ולהכריח את הסנכרון של ספריית הקבצים של Office 365 ב-PowerShell. ניתן להגדיר סנכרון דלתא לסנכרון רק של הנתונים ששתשויכו מאז הסנכרון הקודם של AD של Office 365. ההמלצה היא שסנכרון דלתא יתבצע בתוך 7 ימים מהסנכרון האחרון של AD של Office 365.
דרישות
כדי להתקין ולהפעיל את Azure AD Connect, ודא שיש לך:
- שרת רץ על מערכת ההפעלה Windows Server המופעל ב-Active Directory Domain Controller חייב להיות מותקן ומוגדר באופן ברירת המחדל במערכת האון-פרמיסיז.
- רמת הפונקציונליות של ה-Active Directory במערכת האון-פרמיסיז חייבת להיות Windows Server 2003 או מאוחר יותר.
- חייב לך הרשאות מנהל דומיין או הרשאות למנהל מקומי במחשב המהווה חבר בדומיין.
מערכות ההפעלה הנתמכות: Windows Server 2012, Windows Server 2016, Windows Server 2019 עם ממשק משתמש גרפי (GUI). Windows Server Core אינו נתמך. ההגדרה של Windows Server חייבת להיות Standard או גבוהה יותר. הוצאות Essentials אינן נתמכות.
חייב להתקין את .NET Framework 4.5.1 או מאוחר יותר על מחשב שרת שמריץ את Azure AD Connect.
צריך להיות לך PowerShell 3.0 או מאוחר יותר. מדיניות ביצוע הסקריפט חייבת לאפשר לך להפעיל סקריפטים. המדיניות המומלצת היא RemoteSigned.
חייב להיות לך דומיין חיצוני משוייך לחשבון Office 365 שלך.
A directory in Azure AD must be created. A domain controller in Azure AD must be configured as writable.
דרישות הרשת:
- חיבור יוצא HTTPS לשרתי Microsoft
- TCP 80. פרוטוקול HTTP משמש להורדת רשימות רישוי של תעודות לאימות של תעודות TSL/SSL
- TCP 443. HTTPS משמש לסנכרון נתונים עם Azure Active Directory
- יש לאפשר TLS 1.2 על מכונת Windows.
הכנת הסביבה
בדקו את הסיומות של UPN (או שם המשתמש הראשי של המשתמש) עבור הדומיין המקומי שלכם המשמש על ידי ספריית ה Active Directory באופן מקומי. הדומיין המקומי חייב להיות ניתן לניתוב, וסיומת הדומיין המקומית לא צריכה להיות .local, .test, וכו '. דומיינים שיש להם סיומות מסוג זה מסווגים כאינם ניתנים לניתוב, וניתן לסנכרן רק דומיינים אלה עם דומיין .onmicrosoft.com. לדוגמה, אם יש לכם את הדומיין .nakivo.test בספריית ה-Active Directory באופן מקומי ו־nakivo.onmicrosoft.com בספריית ה-Active Directory של Azure, [email protected] צריך להיות מסונכרן עם [email protected]. אם יש לכם שם domain.net בספריית ה-Active Directory המקומית שלכם, ושם הדומיין החיצוני המשמש ב-Office 365 וב-Azure הוא גם domain.net, אז [email protected] מספריית ה-Active Directory באופן מקומי יכול להיות מסונכרן עם [email protected] ב-Azure AD המשמש על ידי Office 365 לאימות ולהגדרת הרשאות. לכן שם הדומיין חייב להיות חוקי ולהכיל סיומות נכונות כמו .com, .net, .uk, .us, .edu, וכו ' עבור סנכרון מלא ולהתאמת שמות. UPNs של משתמשים מקומיים ב-Active Directory שלכם יכולים להיות מסונכרנים עם Azure AD ועם Office 365.
הערה: שמות הדומיינים המופיעים בפוסט זה משמשים כדוגמאות. נא להשתמש בשמות דומיין הנכונים לפי התצורה של הסביבה שלכם.
ניתן לבדוק את שמות הדומיין שלך עבור Office 365 במרכז הניהול של Microsoft 365. עבור ל-הגדרות > דומיינים כדי לראות דומיינים זמינים שניתן לקשר אליהם לשוכר שלך ב-Office 365.
הפיכת דומיין לניתן לניתוב
ניתן לערוך את ההגדרות של דומיין הבית שלך כדי להפוך את הדומיין לניתן לניתוב ליכולות סנכרון טובות יותר על ידי הוספת הסיומות UPN הנדרשות. הוסף סיומות UPN לדומיין הבית הקיים שלך כדי להתאים את שמות המשתמשים במערכת הבית וב-Microsoft 365 (Azure). ראשית, רשום סיומת חדשה, ואז עדכן את משתמשי Active Directory במערכת הבית כך שישתמשו בסיומת המעודכנת.
הוספת סיומת UPN חדשה
עבור ל-Active Directory Domains and Trusts בשרת הבית שלך. כדי לעשות זאת, פתח את מנהל השרתים, לחץ על כלים, ובתפריט שנפתח, לחץ על Active Directory Domains and Trusts. כאלטרנטיבה, הפעל domain.msc בתפריט הריצה (לחץ Win+R כדי לפתוח את תפריט הריצה) או בפקודת הפרומפט (CMD).
חלון Active Directory Domains and Trusts נפתח. לחץ על Active Directory Domains and Trusts עם לחיצה ימנית ובתפריט ההקשר, לחץ על מאפיינים.
הזן את שם הדומיין התקנותי הנכון עם הסיומת התקנותית, לדוגמה, id.com, או nakivo.com. לחץ על הוסף, ואז לחץ על אישור כדי לשמור את ההגדרות ולסגור את החלון הזה.
עריכת UPNs עבור משתמשים קיימים
עכשיו עליך לערוך את סיומות ה-UPN עבור המשתמשים הקיימים בשרת ה-Active Directory באתר המקומי.
עבור אל משתמשים ומחשבים ב-Active Directory על ידי פתיחת מנהל השרת והמעבר לתפריט הכלים (כפי שעשית קודם). כאלטרנטיבה, לחץ על Win+R כדי לפתוח את תפריט הריצה, הקלד dsa.msc בתיבת הדו-שיח של הריצה, ולחץ על Enter.
בחלון משתמשים ומחשבים ב-Active Directory, הרחב את התחום שלך ולחץ על התיקייה משתמשים. בחר משתמש תחום, לחץ עליו עם העכבר הימני, ולחץ על מאפיינים בתפריט ההקשר.
בחר בלשונית חשבון בחלון מאפייני המשתמש. בתפריט הנפתח, בחר את שם התחום הנכון עם הסיומת הנכונה. לחץ על אישור כדי לשמור את ההגדרות ולסגור את החלון.
חזור על הפעולה זו עבור כל המשתמשים שהם חברים בתחום המקומי שלך (משתמשים שבשבילם ברצונך לבצע סנכרון AD של Office 365). אם יש לך מספר גדול של משתמשים בשרת ה-Active Directory המקומי שלך, השתמש ב-PowerShell עבור עריכה בצורת צובר במקום לערוך מאפיינים של כל משתמש באופן ידני. השתמש בפקודות הבאות למטרה זו:
$LocalUsers = Get-ADUser -Filter “UserPrincipalName -like ‘*domain.local'” -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(“@domain.local”,”@domain.com”); $_ | Set-ADUser -UserPrincipalName $newUpn}
הגדר את שמות התחומים הנכונים שלך במקום domain.local ו-domain.com בהתאם להגדרה בסביבתך.
ניתן לשנות את ה-UPN והכתובת ב-PowerShell עם מודול ה-PowerShell של MSOnline (מודול Azure AD PowerShell).
Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]
לאחר שעדכנת את ה-UPNs, אתה מוכן לסנכרן את שירותי הדיירקטורי הפעיל שבעננים של המוקמים בתוך הארגון עם Microsoft 365 ו-Azure Active Directory.
עריכת מאפייני פרוקסי דואר
ערוך את התכונת הדואר עבור כל משתמש וקבע כתובת דואר אלקטרוני פרוקסית SMTP.
כדי להציג את הלשונית Attribute Editor בה תוכל לקבוע את הפרוקסי SMTP (בחלון המאפיינים של המשתמש), בחלון Active Directory Users and Computers, לחץ View > Advanced Features.
עכשיו בחר משתמש, פתח את מאפייני המשתמש, לחץ על הלשונית Attribute Editor, ואז עשה קליק כפול על התכונה proxyAddresses.
כתובות הדואר האלקטרוני של Office 365 צריכות להיות מוגדרות ככתובות פרוקסיות SMTP עבור משתמשי ה-Active Directory הממוקמים בשרת בתוך הארגון, לדוגמה:
SMTP:[email protected]
כתובת הדואר האלקטרוני הראשית חייבת להכיל את SMTP באותיות גדולות. כתובות פרוקסיות נוספות עבור הדואר האלקטרוני יכולות להתחיל ב-smtp באותיות קטנות.
לחץ Add כדי להוסיף את הערך, ואז לחץ OK כדי לשמור את ההגדרות.
חזור על הפעולה הזו עבור כל משתמש שנדרש לסנכרון של Office 365.
בדיקת שמות המשתמשים במרכז הניהול של Office 365
פתח את מרכז הניהול של Microsoft 365, עבור אל משתמשים > פעילים ובדוק את שמות המשתמשים והסיומות של הדומיין המשמשות בשמותיהם. אם יש לך דומיין מותאם אישית כמו nakivo.com, בחר בשימוש בשמות המשתמשים האלו במקום השמות עם הדומיין nakivo.onmicrosoft.com.
לחץ על שלוש נקודות ליד המשתמש המתאים, ובתפריט שנפתח, לחץ על ניהול שם משתמש ואימייל כדי לבחור את הדומיין הנדרש עבור שם משתמש. המצב האידיאלי הוא כאשר שמות הדומיין והמשתמשים ב-Office 365 תואמים לשמות המשתמשים ב-Active Directory באתר.
פתח קבוצות במרכז הניהול של Microsoft 365 וערוך כתובות של קבוצות בדיוק כמו שערכת את כתובות האימייל של המשתמשים.
התקן את Azure AD Connect
הורד את Azure AD Connect מאתר האינטרנט של Microsoft באמצעות הקישור:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
ניתן לבדוק את מצב החיבור של Azure ולקבל קישור להורדה מהעמוד של Azure AD Connect בפורטל של Microsoft Azure. כדי לעשות זאת, עבור אל פעילות פעילה של Azure > Azure AD Connect בפורטל של Azure.
שמור את קובץ ההתקנה של Azure AD Connect על השרת שבו אתה מתכוון להתקין את הכלי הזה, לדוגמה, על בקר דומיין.
הפעל את קובץ ההתקנה של Azure AD Connect (AzureADConnect.msi). אשף ההתקנה של Azure AD Connect ייפתח.
ברוך הבא. בשלב הברוכה, בחר "אני מסכים לתנאי הרישיון ולהכרה בפרטיות" ולחץ על המשך.
הגדרות מהירות. בחר אחת משתי האפשרויות הזמינות – התאמה אישית או שימוש בהגדרות מהירות. האפשרות להתאמה אישית מאפשרת לך שליטה נוספת בזמן הגדרת סנכרון כתובת האימייל של Office 365.
רכיבים נדרשים. בחר את הרכיבים הנדרשים להתקנה והגדר הגדרות תצורה עבור האפשרויות שנבחרו.
- ציין מיקום התקנה מותאם אישית
- השתמש בשרת SQL קיים
- השתמש בחשבון שירות קיים
- ציין קבוצות סנכרון מותאמות
- ייבא הגדרות סנכרון
לחץ על התקן כדי להמשיך.
כניסת משתמש. בחר אחת משיטות הכניסה הזמינות. חלק מהאפשרויות מחייבות שלבים נוספים לתצורה.
- סנכרון גיבוי של סיסמאות. גיבוי של הקיראות של משתמש מ Active Directory באתר עם Azure Active Directory.
- אימות חולף. משתמשים יכולים להשתמש באותה סיסמה ב-AD באתר ובענן (Office 365, Azure) אך לא נדרשת תשתיות נוספות וסביבה מפודרצית.
- פדרציה עם AD FS. סביבת היברידית צריכה להיות מוגדרת על ידי שימוש בשירותי Active Directory ושירותי הפדרציה של Active Directory המוצבים באתר. חידושי תעודה והקמות שרתי AD FS נוספים נתמכים.
- הפדרציה עם PingFederate. אפשרות זו ניתנת לשימוש אם שרת ה-PingFederate של העסק מוטבע בתשתיות שלך כדי לספק התחברות יחידה עבור אימות משתמש.
- אל תגדיר. ניתן להשתמש בפתרון שאינו ניהולי על ידי אשף זה עבור התחברות מאוחדת. משתמשים שנכנסים לרשת עסקית יכולים לגשת למשאבי ענן לאחר סנכרון של Office 365 עם AD ללא צורך להזין מחדש את הסיסמאות.
קראו את הפוסט בבלוג על Active Directory Federation Services.
בחרו סנכרון גיליון סיסמאות או אל תגדירו כהמלצה האם לא נוכלת להחליט מה לעשות.
התחברו ל-Azure AD. הזינו שם משתמש וסיסמה של חשבון המשתמש של Microsoft 365 שיש לו הרשאות מנהל גלובליות ב-Microsoft Azure/Office 365 (פרטי מנהל Office 365). חשבון המנהל הזה נדרש כדי להגדיר את Azure AD Connect כך שיהיה ניתן לבצע את הסנכרון של Office 365 AD. לחצו על הבא בכל שלב כדי להמשיך.
התחברו לספריות. הזינו מידע עבור Active Directory הנוכחית שבה השתמשתם בסביבת הדומיין במקום. בחרו את סוג הספרייה (Active Directory), ציינו את יער הדומיין, לחצו על הוסף ספרייה, והזינו פרטי מנהל דומיין. אם תצטרכו לסנכרן יער דומיין, השתמשו בפרטי מנהל עסקי.
התחברות ל-Azure AD. בדוק את הדומיינים שלך ואת הסיומות של UPN של רישום ה-Directive פעיל. בחר את התכונה במקום להשתמש בשם משתמש ב-Azure AD וב-Office 365. אנו בוחרים userPrincipalName. בחר בתיבת הסימון המשך ללא כל דומיינים שאומתו אם הדומיין שלך לא אומת. תוכל להשלים את תהליך האימות מאוחר יותר כדי לאפשר למשתמשים להתחבר ל-Azure AD ול-Office 365.
סינון דומיינים ו-OU. השאר את הגדרות ברירת המחדל במסך זה כדי לבצע סנכרון של רישום ה-Directive המלא. בחר דומיינים אישיים ויחידות ארגון אם תרצה להתאים אישית את ההגדרות. ניתן להסיר את הסימון מהדומיינים או מיחידות הארגון שאינך רוצה לסנכרן.
זיהוי משתמשים. מומלץ להשאיר את הגדרות ברירת המחדל בשלב זה להגדרה בסיסית של סנכרון רישום ה-Directive עם Office 365 (למערכת Azure AD אחת, דומיין אחד ויער אחד של רישום ה-Directive). אם תצטרך לבצע הגדרה מורכבת יותר, בחר אפשרויות מותאמות אישית לזהוי משתמשים בכל הספריות. באפשרויות זיהוי משתמש SOURCE ANCHOR, בחר באפשרות objectGUID ליצירת זיהויים ולמפה של המשתמשים.
סינון. בחר לסנכרן את כל המשתמשים וההתקנים או בחר עצמאית אובייקטים לסנכרון. ניתן להשתמש בסינון על פי קבוצות.
תכונות אופציונליות. בחר בתכונות נוספות אם תצטרך. העבר את העכבר מעל לסמל השאלה '?' ליד שם כל תכונה לטיפים שיסייעו לך לקבל את ההחלטה הנכונה.
מוכן להגדרה. בחר בתיבת הסימון התחל את תהליך הסנכרון כאשר ההגדרה מסתיימת אם ברצונך להתחיל את הסנכרון מיידית לאחר השלמת האשף הזה. ניתן לבטל את תיבת הסימון הזו ולהתחיל את הסנכרון באופן ידני כאשר תזדקק לכך. לחץ על התקן כדי לסיים את ההגדרה.
המתן עד שההתקנה וההגדרה יסתיימו. כאשר אתה רואה את ההודעה ההגדרה הושלמה, ניתן ללחוץ על יציאה כדי לסגור את היישום. מידע קצר על תהליך הסנכרון של Office 365 AD שהושלם מוצג במסך ההגדרה הושלמה. לאחר מכן, פתח את מרכז הניהול של Microsoft 365 ובדוק אם סנכרון Active Directory עם Office 365 הושלם בהצלחה. פתח את חלק שגיאות הסנכרון בעמוד בריאות Azure AD Connect בפורטל Azure כדי לראות מידע מפורט על השגיאות. אם ישנם שגיאות, קרא את ההמלצות המסופקות שיכולות לעזור לך לתקן את השגיאות.
אם סנכרון Office 365 AD הושלם בהצלחה, ניתן להקצות רישיונות למשתמשים חדשים של Office 365 שנוספו לאחר סנכרון Office 365 עם Active Directory במקום.
ייצוא הגדרות התאמה של Azure AD Connect
אפשר לבצע את הפריסה של Azure AD Connect באמצעות מצב הביצועים המהיר או מצב הביצועים המותאם אישית. עם מספר פריסות המשתמשות באותו קונפיגורציית Azure AD Connect ל sychronize Active Directory במקומות העבודה ו- Office 365 / Azure, כמו גם ל sychronize מסדי נתונים רבים של AD, שקול לייצא / לייבא את קונפיגורציית Azure AD Connect.
לאחר שאתה מגדיר את Azure AD Connect ב- GUI באמצעות סיווג, הקונפיגורציה מוחזרת לקובץ JSON המאוחסן בתיקיה %ProgramData%\AADConnect. שם קובץ JSON נראה כמו Applied-SynchronizationPolicy-*.JSON כאשר * משמעו תוויות שעון שעות / זמן המסייעות לזהות מתי הקונפיגורציה נשמרה. שינויים שנעשו ב- GUI מועברים אוטומטית. עם זאת, שינויים שנעשו באמצעות PowerShell צריכים להיות מועברים כאשר זה נדרש.
כדי לייבא הגדרות, הפעל את Azure AD Connect, בחר באפשרות Customize, במסך Install required components, בחר Import synchronization settings, לחץ על Browse, ובחר את קובץ הקונפיגורציה JSON.
ייבוא הגדרות מאפשר למשתמשים לבצע כמות מינימאלית של קלט נתונים ידני כדי להגדיר את Azure AD Connect בזמן קצר ולשכפל את אותה הקונפיגורציה ברחבי מספר שרתים.
כלי להעברת הגדרות
ישנם כלים לייצא ולייבא את הקונפיגורציה של Azure AD Connect משרת אחד לשני כדי לקבל קונפיגורציה זהה כאשר אתה מבצע sychronize Active Directory של Office 365.
העתק את הקובץ MigrateSettings.ps1 מהתיקייה C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ או מתיקייה מותאמת אישית בה נתקין את Azure AD Connect בשרת הראשון אל מיקום מותאם אישית, לדוג' C:\Programs\.
הרץ את סקריפט MigrateSettings.ps1 בשרת הראשון (הקיים). אם אתה רואה את הודעת הפלט שפרמטר שמקבל את הארגומנט "True" לא נמצא, ערוך את הסקריפט והסר $true מהסקריפט.
הרץ את הסקריפט ובדוק את התיקייה בפלט. תצורת סנכרון Azure AD מיוצאת לתיקייה זו. העתק את התיקייה Exported-ServerConfiguration-* ואת התוכן שלה לשרת השני (חדש).
הרץ את Azure AD Connect על השרת השני ובמסך התקן רכיבים נדרשים בחר ל ייבוא הגדרות סנכרון ובחר את קובץ התצורה MigratedPolicy.json (כפי שנסבר לעיל) הממוקם בתיקיית Exported-ServerConfiguration-* שהועתקה.
אפשרויות אחרות לסנכרון של Office 365 AD
אם אינך יכול לחכות 30 דקות, שהם המרווח התקני בין פעולות הסנכרון, הפעל את סנכרון Office 365 AD בכפיית פקודות PowerShell. מודול הפקודות של Azure Active Directory PowerShell כללית מותקן בדרך כלל עם כלי Azure AD Connect.
ייבא את מודול הפקודות של ADSync:
Import-Module ADSync
בדוק את הגדרות הסנכרון הנוכחיות שלך ב-Office 365 AD:
Get-ADSyncScheduler
כפו סנכרון דלתה כדי לסנכרן רק את השינויים שבוצעו מאז הסנכרון הקודם המוצלח:
Start-ADSyncSyncCycle -PolicyType Delta
כפו סנכרון מלא כדי לסנכרן את כל הנתונים:
Start-ADSyncSyncCycle -PolicyType Initial
שנו את מרווח זמן הסנכרון של AD ל-10 דקות:
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00
שימו לב כי סנכרון AD של Office 365 באופן ידני לא מסנכרן סיסמאות משתמשים. במקרה זה, נסו לאתחל את שירות סנכרון AD של Office 365 בשרת מקומי המריץ את Azure AD Connect ואז וודאו שהפרטים נכונים.
המלצות להגדרה
הגן על שרת שבו מותקן Azure AD Connect. הגבילו גישה למשתמשים שאינם מנהלים לשרת המריץ את Azure AD Connect. השתמשו בסיסמאות חזקות כדי להגן על חשבונות השירות המשמשים על ידי כלי זה לסנכרון פעילות ה-Active Directory. במובן של כוח הכלי הזה, סיסמאות חזקות חיוניות במקרים בהם מישהו מקבל גישה לשרת המריץ את הסנכרון AD. ניתן להוסיף משתמשים אמינים לקבוצת ADSyncAdmins לניהול גישה נוחה.
בדקו את הקבוצות שתרצו לסנכרן מ-AD באופן מקומי אל Azure AD ו-Office 365. לא כל הקבוצות צריכות להיסנכרן. ייתכנו קבוצות שאינן שימושיות בענן או שאין סיבה לסנכרון שלהן עקב סיבות אבטחה או יעילות. סננו קבוצות אבטחה וקבוצות הפצה שאינן רלוונטיות ל-Microsoft 365 וסביבות הענן של Azure. הסירו את כל הקבוצות של מנהלים מסנכרון ה-Active Directory של Office 365.
אל תתייחס לסנכרון של Office 365 Active Directory עם סנכרון Azure AD כפתרון גיבוי. חלק מהתכונות של אובייקטים בענן הם ייחודיים, לדוגמה, מידע רישיוני על משתמשים של Office 365. אם מידע ספציפי זה נמחק בענן, אין אפשרות לשחזר את המידע הזה על ידי הפעלת סנכרון Office 365 Active Directory מ-Active Directory במקום המקומי. סינכרון של Active Directory במקום המקומי אל Azure אינו זהה לגיבוי של Active Directory ושל שלט במתמודד. עליך להשתמש בכלים מיוחדים ובפתרונות גיבוי כדי להגן על שלטי התמודד במתמודד שלך הפועלים במקום המקומי ועל הנתונים של Office 365 בענן.
גיבוי של Office 365 וגיבוי של Active Directory
עליך להפעיל גיבוי של Office 365 בקביעות ולאחסן את הגיבויים האלה במקום בטוח. גיבוי של Office 365 צריך לכלול את הנתונים הנדרשים מיישומי Office כמו דואר Exchange Online, OneDrive ו-SharePoint. נתוני Office 365 מאוחסנים בענן, אבל אם חלק מהנתונים הללו נפגעים מרנסום וואר או נמחקים בטעות, גיבוי יכול להיות הדרך היחידה לשחזר את הנתונים האלה, במיוחד אם אתה מזהה את אובדן הנתונים כשזה מאוחר מדי.
Active Directory הוא מערכת ניהול מרכזית ברשת Windows. חוסר זמינות של שלט מתמודד של Active Directory יכול לעצור את הפעולות בחברה במלואן. גבה של שלטי התמודד של Active Directory הפועלים במקום המקומי מאפשר לשחזר נתונים אם אסון פוגע. מומלץ להשתמש בפתרונות גיבוי צד שלישי מיועדים שתומכים בגיבוי שמכיר את היישומים הפועלים כאשר מבצעים גיבוי של שרתים פועלים.
NAKIVO Backup & Replication היא פתרון להגנת נתונים לעסקים קטנים ולעסקים גדולים שתומך בגיבוי של ענן Office 365, כולל אפליקציות כמו Exchange Online, SharePoint Online, Microsoft Teams ו-OneDrive for Business. ניתן לגבות מספר רב של משכירי Office 365, לבחור את כל המשתמשים או משתמשים מותאמים, ולשחזר את הפריטים שאתה צריך ברמה גרנולרית.
NAKIVO Backup & Replication תומך בגיבוי של שרתים פיזיים כולל שרתי Windows שפועלים כבקרי תחום Active Directory ויכולים לבצע גיבוי של Active Directory. התמיכה בגיבוי רגיש ליישום מאפשרת לך לגבות בקרי תחום ולקבל נתונים תואמי אפליקציה בגיבוי. גם גיבוי גרנולרי נתמך עבור גיבוי שרתים פיזיים.
Conclusion
ארגונים המעברים לענן עושים זאת באופן חלקי בלבד. הם ממשיכים להשתמש בשירותי Active Directory באתר בשילוב עם שירותי ענן. זה ידוע כסביבת היברידית. אפשרות לסנכרן את Office 365 עם AD מאפשרת לארגונים להגדיר סביבות היברידיות ולסנכרן חשבונות משתמש ואפשרויות אימות בין AD באתר ל-Azure AD.
סינכרון רשימת עורכי הדין פעיל של Office 365 יכול להיעשות עם Azure AD Connect, שהוא כלי מקורי שפותח על ידי מיקרוסופט. אתה צריך להכין את רשימת עורכי הדין שלך במקומי, להגדיר סטטוסי מתחום עבור מתחום מקומי ומתחום חיצוני המחובר לסנט Office 365 שלך, ולהגדיר אפשרויות סינכרון רשימת עורכי הדין של Office 365 ב- AD Connect. אינטגרציה רשימת עורכי הדין של Office 365 מאפשרת למשתמשים להשתמש באותם המredentials עבור סביבות Windows מקומיות וב- Office 365.
Source:
https://www.nakivo.com/blog/a-step-by-step-guide-to-setting-up-office-365-ad-sync/