Пошаговое руководство по настройке синхронизации AD Office 365

Организации используют Active Directory для централизованного управления компьютерами и пользователями Windows. Настройка контроллера домена Active Directory (ADDC) на сервере Windows удобна, и администраторы могут использовать этот сервер для аутентификации пользователей, настройки разрешений и управления доступом к общим ресурсам.

Многие компании, уже использующие Windows, перешли на облачную платформу Microsoft, такую как Microsoft 365 (ранее Office 365) или Azure. В этом случае системному администратору приходится создавать учетные записи для пользователей в Microsoft 365. Иногда организации предпочитают использовать те же учетные данные для локальных учетных записей пользователей и учетных записей в облаке. Администраторы могут синхронизировать пользователей локального домена на месте с Office 365 и Azure Active Directory (Azure AD), чтобы использовать ту же учетную запись пользователя как для локальной, так и для облачной аутентификации. Это известно как гибридное развертывание и популярно среди организаций, использующих продукты Microsoft.

Этот блог-пост охватывает синхронизацию AD Office 365 и объясняет, как выполнить синхронизацию Active Directory Office 365 для синхронизации локальных и облачных учетных записей пользователей для продуктов Microsoft.

Office 365 и Azure AD

Office 365 – это арендатор в Azure Active Directory и использует портал для хранения данных, используемых для аутентификации, а также для настройки разрешений на доступ к облачной среде Microsoft. Администратор арендатора Office 365 может получить доступ к порталу Azure для управления разрешениями и настройки других параметров. Если у вас есть работающий ADDC (Active Directory Domain Controller) на месте, вы можете синхронизировать Office 365 с AD (синхронизировать свой локальный Active Directory и Azure Active Directory с Office 365) и, таким образом, добиться интеграции Active Directory Office 365.

Этот подход обеспечивает гибридную идентификацию и позволяет пользователям использовать те же учетные данные для доступа к услугам Office 365 и локальным ресурсам в вашем офисе/дата-центре. В этом случае синхронизируются данные Active Directory, такие как пользователи, группы и контакты. Синхронизация каталогов – важный этап при переходе в облако, если вы хотите иметь гибридную среду.

Что такое Azure AD Connect?

Azure AD Connect – это легкий инструмент, устанавливаемый на локальном сервере, который действует в качестве ADDC. Azure AD Connect синхронизирует данные идентификации вашего локального Active Directory с Azure Active Directory, используемым Office 365 в облаке. Этот инструмент можно установить на контроллер домена или на сервер с ОС Windows, который является членом домена. Azure AD Connect заменил устаревший инструмент синхронизации каталогов (DirSync).

Azure AD Connect поддерживает следующие функции:

• Синхронизация хешей паролей
• Прохождение аутентификации
• Федеративная аутентификация. Запрос аутентификации может быть отправлен другому поставщику идентичности клиентским компьютером.

По умолчанию синхронизация каталога выполняется из локального AD в Azure AD, используемый Office 365. Однако вы можете настроить синхронизацию Active Directory в обратном направлении и синхронизировать изменения из Azure AD в ваш локальный AD. По умолчанию синхронизация запланирована на запуск каждые 30 минут. Вы можете изменить конфигурацию планирования и запустить синхронизацию каталога Office 365 в PowerShell. Вы можете настроить дельта-синхронизацию для синхронизации только данных, измененных с момента предыдущей синхронизации AD Office 365. Рекомендуется, чтобы дельта-синхронизация выполнялась в течение 7 дней с момента последней синхронизации.

Требования

Для установки и запуска Azure AD Connect убедитесь в следующем:

• На контроллере домена Active Directory, работающем под управлением операционной системы Windows Server, должен быть установлен и настроен локально.
• Уровень функциональности локального Active Directory должен быть Windows Server 2003 или более поздней версии.
• У вас должны быть разрешения администратора домена или разрешения локального администратора на компьютере, который является членом домена.

Поддерживаемые операционные системы: Windows Server 2012, Windows Server 2016, Windows Server 2019 с графическим интерфейсом. Windows Server Core не поддерживается. Версия Windows Server должна быть Standard или выше. Версии Essentials не поддерживаются.

.NET Framework 4.5.1 или более поздняя версия должны быть установлены на сервере Windows, на котором работает Azure AD Connect.

PowerShell 3.0 или более поздняя версия. Политика выполнения сценариев должна позволять вам запускать сценарии. Рекомендуемая политика – RemoteSigned.

У вас должен быть внешний домен, связанный с вашим арендатором Office 365.

Вам потребуется доступ к аренде Azure (для вашего учетной записи администратора Office 365). Требуются глобальные административные разрешения.

A directory in Azure AD must be created. A domain controller in Azure AD must be configured as writable.

Сетевые требования:

• Исходящее HTTPS-соединение с серверами Microsoft
• TCP 80. Протокол HTTP используется для загрузки списков отзыва сертификатов для проверки сертификатов TSL/SSL
• TCP 443. HTTPS используется для синхронизации данных с Azure Active Directory
• TLS 1.2 должен быть включен на машине с Windows.

Подготовка среды

Проверьте суффиксы UPN (или User Principal Name) для вашего локального домена, используемого локальной Active Directory. Локальный домен должен быть маршрутизируемым, и суффикс локального домена не должен быть .local, .test, и т.д. Домены с такими суффиксами классифицируются как немаршрутизируемые и могут синхронизироваться только с доменом .onmicrosoft.com. Например, если у вас есть домен .nakivo.test в вашей локальной Active Directory и nakivo.onmicrosoft.com в Azure Active Directory, [email protected] должен быть синхронизирован с [email protected]. Если у вас есть имя domain.net в вашей локальной Active Directory, и имя внешнего домена, используемого в Office 365 и Azure, также domain.net, тогда [email protected] из локальной Active Directory может быть синхронизирован с [email protected] в Azure AD, используемом Office 365 для аутентификации и настройки разрешений. Таким образом, имя домена должно быть действительным и должно иметь правильные суффиксы, такие как .com, .net, .uk, .us, .edu, и т.д., для полной синхронизации и соответствия имен. UPN локальных пользователей в вашей Active Directory могут быть синхронизированы с Azure AD и Office 365.

Примечание: Доменные имена, используемые в этом посте блога, используются в качестве примеров. Пожалуйста, используйте правильные доменные имена в соответствии с конфигурацией вашей среды.

Вы можете проверить свои доменные имена для Office 365 в центре администрирования Microsoft 365. Перейдите в раздел Настройки > Домены, чтобы увидеть доступные домены, которые можно связать с вашим арендатором Office 365.

Делаем домен маршрутизируемым

Вы можете изменить настройки вашего домена в локальной сети, чтобы сделать его маршрутизируемым для лучшей синхронизации, добавив необходимые суффиксы UPN. Добавьте суффиксы UPN к вашему существующему домену в локальной сети, чтобы совпасть с именами пользователей в локальной сети и в Microsoft 365 (Azure). Сначала зарегистрируйте новый суффикс, а затем обновите пользователей Active Directory в локальной сети для использования обновленного суффикса.

Добавление нового суффикса UPN

Перейдите в раздел Домены Active Directory и доверия на контроллере домена в вашей локальной сети. Для этого откройте Диспетчер сервера, нажмите Сервисы и в открывшемся меню выберите Домены Active Directory и доверия. Как альтернативу, запустите domain.msc в меню Запуск (нажмите Win+R для открытия меню Запуск) или в командной строке (CMD).

Откроется окно Домены Active Directory и доверия. Щелкните правой кнопкой мыши на Домены Active Directory и доверия и в контекстном меню выберите Свойства.

Введите правильное стандартизированное доменное имя с нужным суффиксом, например, id.com или nakivo.com. Нажмите Добавить, затем OK для сохранения настроек и закрытия этого окна.

Редактирование UPN для существующих пользователей

Теперь вам следует изменить суффиксы UPN для существующих пользователей в локальном контроллере домена Active Directory.

Перейдите в Active Directory Users and Computers, открыв диспетчер сервера и перейдя в меню Tools (как вы делали это раньше). В качестве альтернативы нажмите Win+R, чтобы открыть меню Run, введите dsa.msc в диалоговом окне Run и нажмите Enter.

В окне Active Directory Users and Computers разверните свой домен и нажмите на каталог Users. Выберите пользователя домена, щелкните правой кнопкой мыши пользователя домена и нажмите Properties в контекстном меню.

Выберите вкладку Account в окне свойств пользователя. В раскрывающемся меню выберите правильное имя домена с правильным суффиксом. Нажмите OK, чтобы сохранить настройки и закрыть окно.

Повторите эту операцию для всех пользователей, которые являются членами вашего локального домена (пользователей, для которых вы хотите выполнить синхронизацию AD Office 365). Если у вас большое количество пользователей в вашем локальном Active Directory, используйте PowerShell для массового редактирования вместо ручного редактирования свойств каждого пользователя. Для этого используйте приведенные выше команды:

$LocalUsers = Get-ADUser -Filter “UserPrincipalName -like ‘*domain.local’” -Properties userPrincipalName -ResultSetSize $null

$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(“@domain.local”,”@domain.com”); $_ | Set-ADUser -UserPrincipalName $newUpn}

Установите свои правильные имена доменов вместо domain.local и domain.com в зависимости от конфигурации в вашей среде.

Вы можете изменить UPN и адрес в PowerShell с помощью модуля MSOnline PowerShell (модуль Azure AD PowerShell).

Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]

После обновления UPN вы готовы синхронизировать службы каталогов Active Directory предприятия с Microsoft 365 и Azure Active Directory.

Редактирование атрибутов почтового прокси

Измените атрибут электронной почты для каждого пользователя и установите прокси-адрес электронной почты SMTP.

Чтобы отобразить вкладку Attribute Editor, где вы можете установить SMTP-прокси (в окне свойств пользователя), в окне Active Directory Users and Computers, щелкните View > Advanced Features.

Теперь выберите пользователя, откройте свойства пользователя, щелкните вкладку Attribute Editor, а затем дважды щелкните атрибут proxyAddresses.

Адреса электронной почты Office 365 должны быть определены как прокси-адреса SMTP для пользователей Active Directory на контроллере домена в организации, например:

SMTP:[email protected]

Основной адрес электронной почты должен содержать SMTP заглавными буквами. Другие прокси-адреса для электронной почты могут начинаться с smtp в нижнем регистре.

Нажмите Add, чтобы добавить значение, затем нажмите OK, чтобы сохранить настройки.

Повторите это действие для каждого нужного пользователя для синхронизации Office 365.

Проверка имен пользователей в центре администрирования Office 365

Откройте центр администрирования Microsoft 365, перейдите в Пользователи > Активные пользователи и проверьте имена пользователей и доменные суффиксы, используемые в их именах. Если у вас есть пользовательский домен, например, nakivo.com, предпочтительнее использовать эти имена пользователей вместо имен с доменом nakivo.onmicrosoft.com.

Нажмите три точки рядом с соответствующим пользователем, а в открывшемся меню выберите Управление именем пользователя и электронной почтой, чтобы выбрать нужный домен для имени пользователя. Идеальная ситуация, когда имена доменов и имена пользователей в Office 365 совпадают с именами пользователей в локальном каталоге Active Directory.

Откройте Группы в центре администрирования Microsoft 365 и измените адреса групп так же, как вы редактировали адреса электронной почты пользователей.

Установка Azure AD Connect

Скачайте Azure AD Connect с веб-сайта Microsoft, используя ссылку:

https://www.microsoft.com/en-us/download/details.aspx?id=47594

Вы можете проверить статус подключения Azure и получить ссылку для загрузки со страницы Подключение Azure AD в портале Microsoft Azure. Для этого перейдите в Azure Active Directory > Подключение Azure AD в портале Azure.

Сохраните файл установщика Azure AD Connect на сервере, на котором вы собираетесь установить это средство, например, на контроллере домена.

Запустите файл установщика Azure AD Connect (AzureADConnect.msi). Откроется мастер установки Azure AD Connect.

Добро пожаловать. На этапе приветствия выберите “Я соглашаюсь с условиями лицензии и уведомлением о конфиденциальности” и нажмите Продолжить.

Экспресс-настройки. Выберите один из двух доступных вариантов – Настроить или Использовать экспресс-настройки. Вариант Настроить предоставляет вам больше контроля при настройке синхронизации активного каталога Office 365.

Необходимые компоненты. Выберите необходимые компоненты для установки и определите настройки конфигурации для выбранных параметров.

• Укажите пользовательское расположение установки
• Используйте существующий сервер SQL
• Используйте существующую учетную запись службы
• Укажите пользовательские группы синхронизации
• Импортируйте настройки синхронизации

Нажмите Установить, чтобы продолжить.

Вход пользователя. Выберите один из доступных методов входа. Некоторые параметры требуют дополнительных шагов для настройки.

• Синхронизация хешей паролей. Хеш пароля пользователя из локального каталога Active Directory синхронизируется с Azure Active Directory.
• Прохождение аутентификации. Пользователи могут использовать один и тот же пароль в локальном AD и в облаке (Office 365, Azure), но дополнительная инфраструктура и федеративная среда не требуются.
• Федерация с AD FS. Гибридная среда должна быть настроена с использованием служб Active Directory и Active Directory Federation, развернутых локально. Поддерживаются обновление сертификатов и дополнительные развертывания серверов AD FS.
• Федерация с PingFederate. Этот вариант можно использовать, если в вашей инфраструктуре развернут сервер предприятия PingFederate для обеспечения единого входа для аутентификации пользователей.
• Не настраивать. Вы можете использовать решение, которое не управляется этим мастером, для федеративного входа. Пользователи, вошедшие в корпоративную сеть, могут получить доступ к ресурсам облака после синхронизации Office 365 с AD без необходимости повторного ввода паролей.

Прочтите блог-пост о Active Directory Federation Services.

Выберите Синхронизацию хэшей паролей или Не настраивать в качестве рекомендуемого варианта, если вы не уверены, что делать.

Подключитесь к Azure AD. Введите имя пользователя и пароль вашей учетной записи пользователя Microsoft 365, обладающей глобальными правами администратора в Microsoft Azure/Office 365 (учетные данные администратора office 365). Эта учетная запись администратора необходима для настройки Azure AD Connect, чтобы сделать возможным выполнение синхронизации AD Office 365. Нажимайте Далее на каждом шаге, чтобы продолжить.

Подключите каталоги. Введите информацию о вашем текущем Active Directory, используемом в среде домена в локальной среде. Выберите тип каталога (Active Directory), укажите доменное дерево, щелкните Добавить каталог и введите учетные данные администратора домена. Если вам нужно синхронизировать лес доменов, используйте учетные данные администратора предприятия.

Вход в Azure AD. Проверьте ваши домены и суффиксы UPN Active Directory. Выберите атрибут на месте для использования в качестве имени пользователя в Azure AD и Office 365. Мы выбираем userPrincipalName. Установите флажок Продолжить без проверенных доменов, если ваш домен не проверен. Вы можете завершить процесс проверки позже, чтобы разрешить пользователям вход в Azure AD и Office 365.

Фильтрация доменов и OU. Оставьте настройки по умолчанию на этом экране, чтобы выполнить синхронизацию Active Directory всей его информации. Выберите пользовательские домены и организационные единицы, если вам нужно настроить параметры. Вы можете отменить выбор доменов или организационных единиц, которые необходимо синхронизировать.

Идентификация пользователей. Рекомендуется оставить настройки по умолчанию на этом шаге для базовой настройки синхронизации Active Directory с Office 365 (для одного Azure AD, одного домена и одного леса AD). Если вам нужно выполнить более сложную настройку, выберите пользовательские параметры для идентификации пользователей по всем каталогам. В параметрах идентификации пользователей SOURCE ANCHOR выберите параметр objectGUID, чтобы генерировать идентификаторы и сопоставлять пользователей.

Фильтрация. Выберите синхронизацию всех пользователей и устройств или выберите пользовательские объекты для синхронизации. Вы можете использовать фильтрацию на основе групп.

Дополнительные функции. Выберите дополнительные функции, если они вам нужны. Наведите указатель мыши на значок “?” рядом с названием каждой функции, чтобы получить советы, помогающие вам принять правильное решение.

Готов к настройке. Выберите флажок Запустить процесс синхронизации после завершения настройки, если вы хотите начать синхронизацию немедленно после завершения этого мастера. Вы можете снять этот флажок и начать синхронизацию вручную, когда вам это потребуется. Нажмите Установить, чтобы завершить настройку.

Дождитесь завершения установки и настройки. Когда вы увидите сообщение Настройка завершена, вы можете нажать Выход, чтобы закрыть приложение. На экране Настройка завершена отображается краткая информация о завершенном процессе синхронизации Office 365 AD. Затем откройте центр администрирования Microsoft 365 и проверьте, была ли успешно завершена синхронизация Active Directory с Office 365. Откройте раздел Ошибки синхронизации на странице Здоровье Azure AD Connect в портале Azure, чтобы увидеть подробную информацию об ошибках. Если есть ошибки, прочтите предоставленные рекомендации, которые могут помочь вам исправить ошибки.

Если синхронизация Office 365 AD была успешно завершена, вы можете назначить лицензии новым пользователям Office 365, которые были добавлены после синхронизации Office 365 с локальным Active Directory.

Экспорт конфигурации Azure AD ConnectВы можете развернуть Azure AD Connect, используя режим Express или Пользовательский режим. При нескольких развертываниях с использованием одной и той же конфигурации Azure AD Connect для синхронизации локального Active Directory и Office 365 / Azure, а также для синхронизации нескольких лесов AD, рассмотрите возможность экспорта / импорта конфигурации Azure AD Connect.

Вы можете развернуть Azure AD Connect, используя режим Express или настраиваемый режим. Если несколько раз развертывать Azure AD Connect с использованием одной и той же конфигурации Azure AD для синхронизации службы каталогов Active Directory в локальной сети и Office 365 / Azure, а также синхронизировать несколько лесов AD, рассмотрите возможность экспорта / импорта конфигурации Azure AD Connect.

После того как вы настроите Azure AD Connect в графическом интерфейсе с помощью мастера, конфигурация сохраняется в файле JSON, сохраненном в папке %ProgramData%\AADConnect. Имя файла JSON выглядит как Applied-SynchronizationPolicy-*.JSON, где * означает временную метку, которая помогает определить, когда была сохранена конфигурация. Изменения, внесенные в графическом интерфейсе, экспортируются автоматически. Однако изменения, внесенные с помощью PowerShell, следует экспортировать вручную по необходимости.

Для импорта настроек запустите Azure AD Connect, выберите опцию Настроить, на экране Установить необходимые компоненты выберите Импортировать настройки синхронизации, нажмите Обзор и выберите файл конфигурации JSON.

Импорт конфигурации позволяет пользователям минимизировать ручной ввод данных для настройки Azure AD Connect в короткие сроки и воспроизвести идентичную конфигурацию на нескольких серверах.

Инструменты для миграции конфигурации

Существуют инструменты для экспорта и импорта конфигурации Azure AD Connect с одного сервера на другой, чтобы иметь идентичную конфигурацию при синхронизации каталога Active Directory Office 365.

Скопируйте файл MigrateSettings.ps1 из C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ или из другой пользовательской папки, где установлен Azure AD Connect, с первого сервера в другое местоположение, например, C:\Programs\.

Запустите скрипт MigrateSettings.ps1 на первом (существующем) сервере. Если вы видите сообщение о том, что параметр, принимающий аргумент “True”, не найден, отредактируйте скрипт и удалите из него $true.

Запустите скрипт и проверьте каталог в выводе. Конфигурация синхронизации Azure AD экспортируется в эту папку. Скопируйте эту папку Exported-ServerConfiguration-* и ее содержимое на второй (новый) сервер.

Запустите Azure AD Connect на втором сервере и на экране Установка необходимых компонентов выберите импорт настроек синхронизации и выберите файл конфигурации MigratedPolicy.json (как описано выше), находящийся в скопированной папке Exported-ServerConfiguration-*.

Другие варианты синхронизации Office 365 AD

Если вы не можете дождаться 30 минут, которые являются стандартным интервалом между операциями синхронизации, выполните синхронизацию Office 365 AD с помощью команд PowerShell. Модуль Azure Active Directory PowerShell обычно устанавливается вместе с инструментом Azure AD Connect.

Импортируйте модуль PowerShell ADSync:

Import-Module ADSync

Проверьте текущие настройки синхронизации Office 365 AD:

Get-ADSyncScheduler

Принудительно запустите дельта-синхронизацию, чтобы синхронизировать только изменения, внесенные с момента предыдущей успешной синхронизации:

Start-ADSyncSyncCycle -PolicyType Delta

Принудительно запустите полную синхронизацию, чтобы синхронизировать все данные:

Start-ADSyncSyncCycle -PolicyType Initial

Измените интервал синхронизации AD Office 365 на 10 минут:

Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00

Имейте в виду, что ручная синхронизация AD Office 365 не синхронизирует пароли пользователей. В этом случае попробуйте перезапустить службу синхронизации AD Office 365 на локальном сервере с Azure AD Connect, а затем убедитесь, что учетные данные верны.

Рекомендации по настройке

Защитите сервер, на котором установлен Azure AD Connect. Ограничьте доступ для пользователей, не являющихся администраторами, к серверу с Azure AD Connect. Используйте надежные пароли для защиты учетных записей службы, используемых этим инструментом синхронизации Active Directory. Учитывая мощь этого инструмента, надежные пароли критичны в случаях, когда кто-то получает доступ к серверу с запущенной синхронизацией AD. Вы можете добавить доверенных пользователей в группу ADSyncAdmins для удобного управления доступом.

Проверьте группы, которые вы собираетесь синхронизировать из локального AD в Azure AD и Office 365. Не все группы должны быть синхронизированы. Могут быть группы, бесполезные в облаке или не имеющие причин для синхронизации по соображениям безопасности или производительности. Отфильтруйте группы безопасности и группы рассылки, которые не имеют отношения к Microsoft 365 и облачным средам Azure. Исключите все группы администраторов из синхронизации Active Directory Office 365.

Не считайте синхронизацию Active Directory Office 365 с синхронизацией Azure AD в качестве резервного решения. Некоторые атрибуты объектов в облаке уникальны, например, информация о лицензировании пользователей Office 365. Если эта конкретная информация удалена в облаке, вы не сможете восстановить ее, запустив синхронизацию Active Directory Office 365 из локального каталога Active Directory. Синхронизация локального каталога Active Directory с Azure не является эквивалентом резервного копирования Active Directory и контроллера домена. Используйте специальные инструменты и резервные решения для защиты контроллеров домена Active Directory, работающих локально, и данных Office 365 в облаке.

Резервное копирование Office 365 и резервное копирование Active Directory

Регулярно запускайте резервное копирование Office 365 и храните эти резервные копии в безопасном месте. Резервное копирование Office 365 должно содержать необходимые данные из приложений Office, таких как электронная почта Exchange Online, OneDrive и SharePoint. Данные Office 365 хранятся в облаке, но если некоторые из этих данных повреждаются рансомваром или случайно удаляются, наличие резервной копии может быть единственным способом восстановления этих данных, особенно если вы заметите потерю данных, когда будет уже слишком поздно.

Active Directory – централизованная система управления в сети Windows. Недоступность контроллера домена Active Directory может привести к остановке операций в компании. Резервное копирование контроллеров домена Active Directory, работающих локально, позволяет восстановить данные в случае катастрофы. Предпочтительно использовать специализированные резервные решения от сторонних производителей, поддерживающие резервное копирование приложений при резервном копировании работающих серверов с запущенными приложениями.

NAKIVO Backup & Replication – это решение по защите данных для малого и среднего бизнеса, а также для предприятий, которое поддерживает резервное копирование облачного сервиса Office 365, включая такие приложения, как Exchange Online, SharePoint Online, Microsoft Teams и OneDrive for Business. Вы можете создавать резервные копии нескольких арендаторов Office 365, выбирать всех пользователей или пользователей по выбору, а также восстанавливать необходимые элементы на уровне гранулярности.

NAKIVO Backup & Replication поддерживает резервное копирование физических серверов, включая серверы Windows, которые выступают в качестве контроллеров домена Active Directory, и может выполнять резервное копирование Active Directory. Поддержка резервного копирования с учетом приложений позволяет вам создавать резервные копии контроллеров домена и иметь данные, соответствующие состоянию приложения, в резервной копии. Гранулярное восстановление также поддерживается для резервного копирования физических серверов.

Заключение

Организации, переходящие в облако, делают это лишь частично. Они продолжают использовать службы Active Directory на месте в сочетании с облачными службами. Это известно как гибридная среда. Возможность синхронизации Office 365 с AD позволяет организациям настраивать гибридные среды и синхронизировать учетные записи пользователей и параметры аутентификации между локальным AD и Azure AD.

Office 365 синхронизация Active Directory может быть выполнена с помощью Azure AD Connect, который является собственным инструментом, разработанным Microsoft. Вам нужно подготовить свой локальный Active Directory, настроить параметры домена для локального домена и внешнего домена, связанного с вашим арендатором Office 365, а также настроить параметры синхронизации каталога Office 365 в AD Connect. Интеграция Active Directory Office 365 позволяет пользователям использовать те же учетные данные для локальных сред Windows и в Office 365.