一步一步设置 Office 365 AD 同步的指南

教程

组织使用Active Directory来集中管理Windows计算机和用户。在Windows Server上配置Active Directory域控制器(ADDC)非常方便,管理员可以使用此服务器来验证用户、配置权限和管理对共享资源的访问。

许多已经使用Windows的公司已经转移到了微软的云平台,如Microsoft 365(以前是Office 365)或Azure。在这种情况下,系统管理员必须在Microsoft 365中为用户创建帐户。有时组织喜欢使用相同的凭据来管理本地用户帐户和云用户帐户。管理员可以将本地域上的用户与Office 365和Azure Active Directory(Azure AD)的用户同步,以便为本地和云身份验证使用相同的用户帐户。这被称为混合部署,在使用微软软件产品的组织中很受欢迎。

本博客文章涵盖了Office 365 AD同步,并解释了如何执行Office 365 Active Directory同步,以同步本地和云用户帐户以供微软产品使用。

Office 365和Azure AD

Office 365 是 Azure Active Directory 中的一个租户,并使用该门户存储用于身份验证的数据,并配置对 Microsoft 云环境的访问权限。Office 365 租户的管理员可以访问 Azure 门户以管理权限并配置其他设置。如果您在本地运行 ADDC(Active Directory 域控制器),则可以将 Office 365 与 AD 同步(将本地 Active Directory 和 Azure Active Directory 与 Office 365 同步),从而实现 Office 365 Active Directory 集成。

这种方法为您提供了混合身份,并允许用户使用相同的凭据访问您办公室/数据中心的 Office 365 服务和本地资源。在这种情况下,用户、组和联系人等 Active Directory 数据会同步。如果您想拥有混合环境,目录同步是迁移到云端的重要步骤。

什么是 Azure AD Connect?

Azure AD Connect 是安装在本地服务器上的轻量级工具,它充当 ADDC。Azure AD Connect 将您的本地 Active Directory 身份数据与 Office 365 在云中使用的 Azure Active Directory 同步。此工具可安装在域控制器上,也可安装在域成员的 Windows Server 上。Azure AD Connect 取代了已弃用的 Directory Synchronization Tool(DirSync)。

Azure AD Connect 支持以下功能:

  • 密码哈希同步
  • 透传身份验证
  • 联合身份验证。客户端计算机可以请求另一个身份提供程序的身份验证。

默认情况下,从本地 AD 同步到 Office 365 使用的 Azure AD 进行目录同步。但是,您可以配置 Active Directory 同步的反向方向,并将更改从 Azure AD 同步到本地 AD。默认情况下,同步计划每 30 分钟运行一次。您可以编辑计划配置,并在 PowerShell 中强制执行 Office 365 目录同步。您可以配置增量同步,仅同步自上次 Office 365 AD 同步以来更改的数据。建议在上次同步后的 7 天内执行增量同步。

要求

为安装和运行 Azure AD Connect,请确保以下内容:

  • 必须在本地安装并配置运行 Windows Server 操作系统的 Active Directory 域控制器。
  • 本地 Active Directory 功能级别必须为 Windows Server 2003 或更高版本。
  • 您必须具有域管理员权限或域成员计算机上的本地管理员权限。

支持的操作系统:Windows Server 2012、Windows Server 2016、带有 GUI 的 Windows Server 2019。不支持 Windows Server Core。Windows Server 版本必须为标准版或更高版。不支持 Essentials 版本。

必须在运行 Azure AD Connect 的 Windows Server 计算机上安装 .NET Framework 4.5.1 或更高版本。

必须安装 PowerShell 3.0 或更高版本。脚本执行策略必须允许您运行脚本。推荐的策略是 RemoteSigned

您必须有与您的 Office 365 租户关联的外部域。

你需要访问 Azure 租户(用于你的 Office 365 租户/管理员帐户)。需要全局管理员权限。

A directory in Azure AD must be created. A domain controller in Azure AD must be configured as writable.

网络要求:

  • 对微软服务器的出站 HTTPS 连接
  • TCP 80。HTTP 协议用于下载用于验证 TSL/SSL 证书的证书吊销列表
  • TCP 443。HTTPS 用于与 Azure Active Directory 同步数据
  • 在 Windows 机器上必须启用 TLS 1.2。

准备环境

检查本地域使用的 UPN(或用户主体名称)后缀,这些后缀由本地 Active Directory 使用。本地域必须是可路由的,本地域后缀不应为 .local、.test 等。具有此类后缀的域被分类为不可路由,这些域只能与 .onmicrosoft.com 域同步。例如,如果您在本地 Active Directory 中有 .nakivo.test 域,并且在 Azure Active Directory 中有 nakivo.onmicrosoft.com,那么 [email protected] 应同步到 [email protected] 如果您在本地 Active Directory 中有一个 domain.net 名称,并且 Office 365 和 Azure 中使用的外部域的名称也是 domain.net, 那么来自本地 Active Directory 的 [email protected] 可以与 Office 365 使用的 Azure AD 中的 [email protected] 进行同步,用于身份验证和配置权限。因此,域名必须有效,并且必须具有正确的后缀,例如 .com、.net、.uk、.us、.edu, 等等,以进行完整的同步和名称匹配。您本地 Active Directory 中的本地用户的 UPN 可以与 Azure AD 和 Office 365 同步。

注意: 本博文中使用的域名仅作为示例。请根据您环境的配置使用正确的域名。 您可以在 Microsoft 365 管理中心 检查 Office 365 的域名。转到 设置 > 域 查看可链接到您的 Office 365 租户的可用域。

您可以在Microsoft 365 管理中心检查您的 Office 365 域名。转到设置 > 域名查看可链接到您的 Office 365 租户的可用域名。

使域名可路由

您可以编辑您的本地域设置,通过添加所需的 UPN 后缀使域名可路由,以获得更好的同步能力。将 UPN 后缀添加到您现有的本地域,以匹配本地和 Microsoft 365(Azure)中的用户名称。首先,注册一个新的后缀,然后更新本地的 Active Directory 用户以使用更新的后缀。

添加新的 UPN 后缀

转到您本地域控制器上的Active Directory 域和信任。为此,打开服务器管理器,点击工具,在打开的菜单中,点击Active Directory 域和信任。或者,在运行菜单中(按Win+R打开运行菜单)或在命令提示符(CMD)中运行domain.msc

Active Directory 域和信任窗口将打开。右键点击Active Directory 域和信任,在上下文菜单中点击属性

输入正确的标准化域名和正确的后缀,例如,id.comnakivo.com。点击添加,然后点击确定保存设置并关闭此窗口。

编辑现有用户的 UPN

现在,您应该在本地活动目录域控制器上为现有用户编辑UPN后缀。

打开服务器管理器,转到工具菜单(就像以前一样),进入活动目录用户和计算机。作为替代方法,按Win+R打开运行菜单,在运行对话框中键入dsa.msc,然后单击输入

活动目录用户和计算机窗口中,展开您的域并单击用户目录。选择一个域用户,在上下文菜单中右键单击该域用户,然后单击属性

在用户属性窗口中选择帐户选项卡。在下拉菜单中,选择带有正确后缀的正确域名。单击确定保存设置并关闭窗口。

对所有属于您本地域的用户(您希望执行Office 365 AD同步的用户)重复此操作。如果您在本地活动目录中有大量用户,可以使用PowerShell进行批量编辑,而不是手动编辑每个用户的属性。为此目的使用上述命令:

$LocalUsers = Get-ADUser -Filter “UserPrincipalName -like ‘*domain.local’” -Properties userPrincipalName -ResultSetSize $null

$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(“@domain.local”,”@domain.com”); $_ | Set-ADUser -UserPrincipalName $newUpn}

根据您的环境中的配置设置正确的域名,而不是domain.localdomain.com

您可以使用MSOnline PowerShell模块(Azure AD PowerShell模块)更改PowerShell中的UPN和地址。

Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]

更新UPN后,您可以准备将本地Active Directory域服务与Microsoft 365和Azure Active Directory同步。

编辑电子邮件代理属性

编辑每个用户的电子邮件属性并设置SMTP代理电子邮件地址。

要显示可以设置SMTP代理的属性编辑器选项卡(在用户属性窗口中),在Active Directory用户和计算机窗口中,单击查看 > 高级功能

现在选择一个用户,打开用户属性,点击属性编辑器选项卡,然后双击proxyAddresses属性。

Office 365电子邮件地址应在本地域控制器上为Active Directory用户定义为SMTP代理地址,例如:

SMTP:[email protected]

主电子邮件地址必须以大写的SMTP开头。其他电子邮件的代理地址可以以小写的smtp开头。

点击添加以添加值,然后点击确定保存设置。

对于每个需要进行Office 365同步的用户,请重复此操作。

在Office 365管理中心检查用户名

打开 Microsoft 365 管理中心,转到用户 > 活动用户,并检查其名称中使用的用户名称和域后缀。如果您有自定义域,例如nakivo.com,请优先使用这些用户主体名称,而不是带有nakivo.onmicrosoft.com域的名称。

点击适当用户附近的三个点,在打开的菜单中,点击管理用户名和电子邮件以选择用户名称所需的域。理想情况是,Office 365 中的域名和用户名与本地 Active Directory 中的用户名匹配。

在 Microsoft 365 管理中心中打开群组并编辑群组的地址,就像您编辑用户电子邮件地址一样。

安装 Azure AD 连接

通过以下链接从 Microsoft 网站下载 Azure AD 连接:

https://www.microsoft.com/en-us/download/details.aspx?id=47594

您可以在 Microsoft Azure 门户中的Azure AD 连接页面上检查 Azure 连接状态并获取下载链接。要执行此操作,请转到 Azure 门户中的Azure Active Directory > Azure AD 连接

将 Azure AD 连接安装程序文件存储在您打算安装此工具的服务器上,例如域控制器上。

运行 Azure AD 连接安装程序文件(AzureADConnect.msi)。Azure AD 连接向导将打开。

欢迎。在欢迎阶段选择“我同意许可条款和隐私声明”,然后点击继续

快速设置。选择两个可用选项之一 – 自定义使用快速设置自定义选项在配置 Office 365 Active Directory 同步时提供更多控制。

必需组件。选择要安装的必需组件,并为所选选项定义配置设置。

  • 指定自定义安装位置
  • 使用现有 SQL Server
  • 使用现有服务帐户
  • 指定自定义同步组
  • 导入同步设置

点击安装继续。

用户登录。选择可用的登录方法之一。有些选项需要额外的配置步骤。

  • 密码哈希同步。来自本地 Active Directory 的用户密码哈希与 Azure Active Directory 同步。
  • 穿透验证。用户可以在本地 AD 和云端(Office 365、Azure)使用相同的密码,但不需要额外的基础设施和联合环境。
  • 与 AD FS 的联合。应该通过在本地部署 Active Directory 和 Active Directory 联合服务来配置混合环境。支持证书更新和额外的 AD FS 服务器部署。
  • 使用 PingFederate 进行联合。如果在您的基础设施中部署了企业 PingFederate 服务器以提供用户身份验证的单一登录,则可以使用此选项。
  • 不进行配置。您可以使用此向导未管理的解决方案进行联合登录。登录到企业网络的用户在您将 Office 365 与 AD 同步后,无需再次输入密码即可访问云资源。

阅读有关Active Directory 联合服务的博客文章。

如果不确定该选择,请选择密码哈希同步不进行配置作为推荐选项。

连接到 Azure AD。 输入您在 Microsoft Azure/Office 365 中具有全局管理员特权的 Microsoft 365 用户帐户的用户名和密码(office 365 管理员凭据)。需要此管理员帐户来配置 Azure AD 进行 Office 365 AD 同步。在每个步骤中点击下一步以继续。

连接目录。输入用于本地域环境中的当前 Active Directory 的信息。选择目录类型(Active Directory),指定域林,点击添加目录,并输入域管理员凭据。如果需要同步域林,请使用企业管理员凭据。

Azure AD登录。检查您的域和Active Directory UPN后缀。在Azure AD和Office 365中选择要用作用户名的本地属性。我们选择userPrincipalName。如果您的域未经验证,请选择继续,不使用任何经过验证的域复选框。您可以稍后完成验证过程,以允许用户登录Azure AD和Office 365。

域和OU过滤。在此屏幕上保留默认设置,以执行整个AD数据的Active Directory同步。如果需要自定义设置,请选择自定义域和组织单位。您可以取消选择不想同步的域或组织单位。

识别用户。建议您在此步骤中保留默认设置,以进行Active Directory与Office 365的基本设置同步(适用于一个Azure AD、一个域和一个AD森林)。如果您需要执行更复杂的设置,请选择跨目录的用户标识的自定义选项。在源锚点用户识别选项中,选择默认的objectGUID选项来生成ID并映射用户。

过滤。选择同步所有用户和设备或选择要同步的自定义对象。您可以使用基于组的过滤。

可选功能。如果需要,选择附加功能。将鼠标悬停在每个功能名称旁边的“?”图标上,以获得帮助您做出正确决定的提示。

准备配置。如果您想在完成此向导后立即开始同步,请选择配置完成后启动同步过程复选框。您可以取消选中此复选框,并在需要时手动开始同步。点击安装完成配置。

等待安装和配置完成。当您看到配置完成消息时,可以点击退出关闭应用程序。关于完成的 Office 365 AD 同步过程的简短信息将显示在配置完成屏幕上。然后打开 Microsoft 365 管理中心,检查 Office 365 与 Office 365 AD 的活动目录同步是否成功。在 Azure 门户中的Azure AD 连接健康页面中打开同步错误部分,以查看有关错误的详细信息。如果存在错误,请阅读提供的建议,以帮助您解决错误。

如果 Office 365 AD 同步成功完成,您可以为新增至本地活动目录之后增加的新 Office 365 用户分配许可证。

导出 Azure AD 连接配置

您可以使用快速模式或自定义模式部署 Azure AD Connect。如果要使用相同的 Azure AD Connect 配置进行多次部署,以同步本地 Active Directory 和 Office 365 / Azure,以及同步多个 AD 森林,请考虑导出/导入 Azure AD Connect 配置。

在 GUI 中使用向导配置 Azure AD Connect 后,配置将保存到存储在 %ProgramData%\AADConnect 文件夹中的 JSON 文件中。JSON 文件的名称类似于 Applied-SynchronizationPolicy-*.JSON,其中 * 表示帮助识别配置保存时间的日期/时间戳。在 GUI 中进行的更改会自动导出。但是,使用 PowerShell 进行的更改应在需要时手动导出。

为了导入设置,请运行 Azure AD Connect,选择 自定义 选项,在 安装所需组件 屏幕上,选择 导入同步设置,单击 浏览,然后选择 JSON 配置文件。

配置导入允许用户在短时间内进行最少量的手动数据输入,以配置 Azure AD Connect,并在多个服务器上复制相同的配置。

配置迁移工具

有工具可将 Azure AD Connect 的配置从一台服务器导出并导入另一台服务器,以在执行 Office 365 Active Directory 同步时拥有相同的配置。

MigrateSettings.ps1文件从第一个服务器上的C:\Program Files\Microsoft Azure Active Directory Connect\Tools\或Azure AD Connect安装的自定义文件夹复制到自定义位置,例如C:\Programs\

在第一个(现有)服务器上运行MigrateSettings.ps1脚本。如果看到接受“True”参数的参数未找到的输出消息,请编辑脚本并从脚本中删除$true

运行脚本并检查输出中的目录。Azure AD同步配置将导出到此文件夹。将此Exported-ServerConfiguration-*文件夹及其内容复制到第二个(新)服务器。

在第二个服务器上运行Azure AD Connect,并在安装所需组件屏幕上选择导入同步设置并选择位于复制的Exported-ServerConfiguration-*文件夹中的MigratedPolicy.json配置文件(如上所述)。

其他Office 365 AD同步选项

如果您无法等待30分钟(这是同步操作之间的标准间隔),可以使用PowerShell命令强制进行Office 365 AD同步。Azure Active Directory PowerShell模块通常与Azure AD Connect工具一起安装。

导入ADSync PowerShell模块:

Import-Module ADSync

检查您当前的Office 365 AD同步设置:

Get-ADSyncScheduler

强制进行增量同步,仅同步自上次成功同步以来所做的更改:

Start-ADSyncSyncCycle -PolicyType Delta

强制进行完整同步以同步所有数据:

Start-ADSyncSyncCycle -PolicyType Initial

将 Office 365 AD 同步间隔更改为 10 分钟:

Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00

请记住,手动 Office 365 AD 同步不会同步用户密码。在这种情况下,请尝试重新启动运行 Azure AD Connect 的本地服务器上的 AD 同步 Office 365 服务,然后验证凭据是否正确。

配置建议

保护安装了 Azure AD Connect 的服务器。限制非管理员用户对运行 Azure AD Connect 的服务器的访问。使用强密码保护此 Active Directory 同步工具使用的服务帐户。了解此工具的强大功能,强密码在某人获取运行 AD 同步的服务器访问权限时至关重要。您可以将受信任的用户添加到 ADSyncAdmins 组以便进行方便的访问管理。

检查要从本地 AD 同步到 Azure AD 和 Office 365 的组。并非所有组都应该同步。可能有些组在云端是无用的,或者由于安全或生产力原因无需同步。过滤对于 Microsoft 365 和 Azure 云环境不相关的安全组和分发组。从 Office 365 Active Directory 同步中排除所有管理员组。

不要将Office 365 Active Directory与Azure AD同步视为备份解决方案。云中对象的某些属性是唯一的,例如Office 365用户的许可信息。如果在云中删除了这些特定信息,您将无法通过在本地Active Directory上运行Office 365 Active Directory同步来恢复此信息。将本地Active Directory同步到Azure与Active Directory和域控制器备份不同。请使用专用工具和备份解决方案来保护您在本地运行的Active Directory域控制器和云中的Office 365数据。

Office 365备份和Active Directory备份

您应定期运行Office 365备份,并将这些备份存储在安全的位置。Office 365备份应包含来自Office应用程序(如Exchange Online电子邮件、OneDrive和SharePoint)的所需数据。Office 365数据存储在云中,但如果其中一些数据被勒索软件损坏或意外删除,备份可能是恢复数据的唯一方法,特别是当您在太迟时才注意到数据丢失时。

Active Directory是Windows网络中的集中式管理系统。如果Active Directory域控制器不可用,可能会导致公司各项运营陷入停顿。备份本地运行的Active Directory域控制器,以便在灾难发生时能够恢复数据。最好使用支持应用程序感知备份的专用第三方备份解决方案,在备份运行中的服务器和运行中的应用程序时备份时。

NAKIVO 备份和复制是一种支持 Office 365云备份 的 SMB 和企业数据保护解决方案,其包括 Exchange Online、SharePoint Online、Microsoft Teams 和 OneDrive for Business 等应用程序。您可以备份多个 Office 365 租户,选择所有用户或自定义用户,并在需要时以粒度级别恢复所需的项目。

NAKIVO 备份和复制支持物理服务器备份,包括充当 Active Directory 域控制器的 Windows 服务器。它支持 Active Directory 备份。支持 应用程序感知备份 允许您备份域控制器,并在备份中拥有应用程序一致的数据。物理服务器备份也支持粒度恢复。

结论

组织迁移到云中仅是部分迁移。他们继续在混合环境中使用本地 Active Directory 服务,该环境将本地 AD 与云服务结合在一起。Office 365 与 AD 同步选项允许组织配置混合环境,同步本地 AD 和 Azure AD 之间的用户帐户和身份验证选项。

Office 365 Active Directory同步可以通过Azure AD Connect来实现,这是微软开发的本地工具。您需要准备您的本地Active Directory,为本地域和外部域配置域设置,并在AD Connect中配置用于Office 365目录同步的选项。Office 365 Active Directory集成允许用户在本地Windows环境和Office 365中使用相同的凭据。

Source:
https://www.nakivo.com/blog/a-step-by-step-guide-to-setting-up-office-365-ad-sync/