組織使用Active Directory來集中管理Windows電腦和使用者。在Windows Server上配置Active Directory域控制器(ADDC)是方便的,管理員可以使用這台伺服器來驗證使用者、配置權限和管理對共享資源的訪問。
許多已經使用Windows的公司已經轉移到了微軟的雲平台,比如Microsoft 365(以前的Office 365)或Azure。在這種情況下,系統管理員必須在Microsoft 365中為使用者創建帳戶。有時候組織更喜歡使用相同的憑證來進行本地使用者帳戶和雲使用者帳戶。管理員可以將本地域中的使用者與Office 365和Azure Active Directory(Azure AD)進行同步,以便將相同的使用者帳戶用於本地和雲端驗證。這被稱為混合部署,並且在使用微軟軟體產品的組織中很受歡迎。
本博文介紹了Office 365 AD同步並解釋了如何執行Office 365 Active Directory同步以同步本地和雲端用戶帳戶,以配合微軟產品的使用。
Office 365和Azure AD
Office 365 是 Azure Active Directory 中的租戶,使用該門戶來存儲用於身份驗證的數據並配置許可權,以便訪問 Microsoft 雲環境。 Office 365 租戶的管理員可以訪問 Azure 門戶以管理許可權並配置其他設置。如果您在本地運行 ADDC(Active Directory 域控制器),則可以將 Office 365 與 AD 同步(將本地 Active Directory 和 Azure Active Directory 與 Office 365 同步),從而實現 Office 365 Active Directory 整合。
該方法為您提供了混合身份,並允許用戶使用相同的憑據訪問您辦公室/數據中心的 Office 365 服務和本地資源。在這種情況下同步 Active Directory 數據,例如用戶、組和聯繫人。如果您希望擁有混合環境,則目錄同步是遷移到雲端的重要一步。
什麼是 Azure AD Connect?
Azure AD Connect 是一個輕量級工具,安裝在本地服務器上,充當 ADDC。Azure AD Connect 會將本地 Active Directory 身份數據與 Office 365 在雲端使用的 Azure Active Directory 進行同步。該工具可安裝在域控制器上或是域的成員的 Windows Server 上。Azure AD Connect 已取代了已棄用的目錄同步工具(DirSync)。
Azure AD Connect 支持以下功能:
- 密碼哈希的同步
- 透過身份驗證
- 聯合身份驗證。客戶端計算機可以向另一身份提供者請求身份驗證。
默認情況下,從本地 AD 同步到 Office 365 使用的 Azure AD 進行目錄同步。但是,您可以配置 Active Directory 同步以相反的方向進行同步,並將更改從 Azure AD 同步到您的本地 AD。默認情況下,同步排程設置為每 30 分鐘運行一次。您可以編輯排程配置,並在 PowerShell 中強制執行 Office 365 目錄同步。您可以配置增量同步僅同步自上一次 Office 365 AD 同步以來更改的數據。建議增量同步應在上次同步後的 7 天內執行。
需求
要安裝並運行 Azure AD Connect,請確保以下:
- 在本地必須安裝配置了 Windows Server 操作系統的 Active Directory 域控制器。
- 本地 Active Directory 功能級別必須為 Windows Server 2003 或更高版本。
- 您必須具有域管理員權限或域成員計算機上的本地管理員權限。
支持的操作系統:具有 GUI 的 Windows Server 2012、Windows Server 2016、Windows Server 2019。不支持 Windows Server Core。Windows Server 版本必須為標準版或更高版本。不支持 Essentials 版本。
在運行 Azure AD Connect 的 Windows Server 機器上必須安裝 .NET Framework 4.5.1 或更高版本。
必須安裝 PowerShell 3.0 或更高版本。腳本執行策略必須允許您運行腳本。建議的策略是 RemoteSigned。
您必須擁有與您的 Office 365 租戶關聯的外部域。
你需要访问 Azure 租户(用于你的 Office 365 租户/管理员帐户)。需要全局管理员权限。
A directory in Azure AD must be created. A domain controller in Azure AD must be configured as writable.
网络要求:
- 对微软服务器的出站 HTTPS 连接
- TCP 80。使用 HTTP 协议下载用于验证 TSL/SSL 证书的证书吊销列表
- TCP 443。使用 HTTPS 与 Azure Active Directory 同步数据
- 在 Windows 机器上必须启用 TLS 1.2。
准备环境
請檢查您本地的Active Directory中使用的UPN(或使用者主體名稱)後置詞。本地網域必須可路由,本地網域後置詞不應為.local, .test,等。具有此類後置詞的網域被分類為非可路由,這些網域僅可與.onmicrosoft.com網域同步。例如,如果您在本地Active Directory中擁有.nakivo.test網域,並在Azure Active Directory中擁有nakivo.onmicrosoft.com,則[email protected]應該會與[email protected].同步。如果您在本地Active Directory中擁有domain.net名稱,並且Office 365和Azure中使用的外部網域名稱也為domain.net,則[email protected]從本地Active Directory可以與Azure AD中的[email protected]同步,以用於Office 365中的驗證和設定權限。因此網域名稱必須有效,必須具有正確的後置詞,例如.com, .net, .uk, .us, .edu,等,以進行完整的同步和名稱匹配。本地Active Directory中的本地使用者UPNs可以與Azure AD和Office 365同步。
注意:本文中使用的網域名稱僅用作示例,請根據您環境的配置使用正確的網域名稱。
您可以在 Microsoft 365 管理中心 檢查 Office 365 的域名。前往 設定 > 域 查看可連結到您的 Office 365 租戶的可用域名。
設置域名路由
您可以編輯本地域名的設置,添加所需的 UPN 後綴,從而使域名具有更好的同步功能。將 UPN 後綴添加到現有的本地域名,以匹配本地用戶和 Microsoft 365(Azure)中的用戶名。首先,註冊一個新的後綴,然後更新本地 Active Directory 用戶以使用已更新的後綴。
添加新的 UPN 後綴
前往您的本地域控制器上的 Active Directory Domains and Trusts。為此,打開 Server Manager,點擊 工具,然後在打開的菜單中點擊 Active Directory Domains and Trusts。或者,可以在執行菜單(按下 Win+R 打開執行菜單)或命令提示符(CMD)中運行 domain.msc。
打開 Active Directory Domains and Trusts 窗口。右鍵點擊 Active Directory Domains and Trusts,在上下文菜單中點擊 屬性。
輸入帶有正確後綴的正確標準化域名,例如,id.com,或者 nakivo.com。點擊 添加,然後點擊 確定 保存設置並關閉此窗口。
為現有用戶編輯 UPN
現在您應該在本機 Active Directory 域控制器上為現有用戶編輯 UPN 後綴。
進入 Active Directory 使用者和電腦,方法是打開 Server Manager 並轉到工具選單(就像之前一樣)。或者,按 Win+R 打開運行菜單,在運行對話框中輸入 dsa.msc,然後點擊 Enter。
在 Active Directory 使用者和電腦 窗口中展開您的域並點擊 使用者 目錄。選擇一個域用戶,右鍵單擊該域用戶,在上下文菜單中點擊 屬性。
在用戶屬性窗口中選擇 帳戶 標籤。在下拉菜單中,選擇正確的域名和正確的後綴。點擊 確定 保存設置並關閉窗口。
對您本機域中的所有成員用戶執行此操作(您希望對其執行 Office 365 AD 同步的用戶)。如果您在本機 Active Directory 中有大量用戶,請使用 PowerShell 進行批量編輯,而不是手動編輯每個用戶的屬性。使用以下命令進行此操作:
$LocalUsers = Get-ADUser -Filter “UserPrincipalName -like ‘*domain.local’” -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(“@domain.local”,”@domain.com”); $_ | Set-ADUser -UserPrincipalName $newUpn}
根據您環境中的配置設置正確的域名,而不是 domain.local 和 domain.com。
你可以使用 MSOnline PowerShell 模块(Azure AD PowerShell 模块)更改 PowerShell 中的 UPN 和地址。
Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]
更新 UPN 后,您可以准备将本地 Active Directory 域服务与 Microsoft 365 和 Azure Active Directory 同步。
编辑电子邮件代理属性
为每个用户编辑电子邮件属性,并设置 SMTP 代理电子邮件地址。
要显示 属性编辑器 标签,在 Active Directory 用户和计算机 窗口中,单击 查看 > 高级功能。
现在选择一个用户,打开用户属性,单击 属性编辑器 标签,然后双击 proxyAddresses 属性。
应将 Office 365 电子邮件地址定义为本地域控制器上的 Active Directory 用户的 SMTP 代理地址,例如:
SMTP:[email protected]
主电子邮件地址必须包含大写的 SMTP。其他用于电子邮件的代理地址可以以小写的 smtp 开头。
点击 添加 添加该值,然后点击 确定 保存设置。
对于每个需要与 Office 365 同步的用户,请重复此操作。
在 Office 365 管理中心检查用户名称
打開 Microsoft 365 管理中心,轉至 使用者 > 活躍 使用者並檢查其名稱和使用的網域後綴。如果您有自定義網域,例如 nakivo.com,請選擇使用這些使用者主體名稱,而不是具有 nakivo.onmicrosoft.com 網域的名稱。
點擊適當使用者附近的三個點,在打開的菜單中,點擊 管理使用者名稱和電子郵件 以選擇所需的網域作為使用者名稱。最理想的情況是 Office 365 中的域名和使用者名稱與本地 Active Directory 中的使用者名稱匹配。
在 Microsoft 365 管理中心中打開 群組,並像編輯使用者電子郵件地址一樣編輯群組的地址。
安裝 Azure AD Connect
通過以下鏈接從 Microsoft 網站下載 Azure AD Connect:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
您可以從 Microsoft Azure 門戶中的 Azure AD Connect 頁面檢查 Azure Connect 的狀態並獲取下載鏈接。要做到這一點,請轉到 Azure 開發人員閘道 > Azure AD Connect 在 Azure 開發人員閘道中。
將 Azure AD Connect 安裝程式文件存儲在您打算安裝此工具的服務器上,例如在域控制器上。
運行 Azure AD Connect 安裝程式文件(AzureADConnect.msi)。Azure AD Connect 向導將會打開。
歡迎。在歡迎階段選擇“我同意許可協議和隱私聲明”,然後點擊繼續。
快速設置。選擇兩個可用選項中的一個 – 自定義或使用快速設置。 自定義選項在配置 Office 365 Active Directory 同步時提供更多控制。
必需的組件。選擇要安裝的必需組件並定義所選選項的配置設置。
- 指定自定義安裝位置
- 使用現有的 SQL Server
- 使用現有的服務帳戶
- 指定自定義同步群組
- 導入同步設置
點擊安裝以繼續。
用戶登錄。選擇可用的一種登錄方法。某些選項需要進一步配置步驟。
- 密碼哈希同步。將本地活動目錄中用戶的密碼哈希與 Azure 活動目錄同步。
- 透過驗證。用戶可以在本地 AD 和雲端(Office 365、Azure)中使用相同的密碼,但不需要額外的基礎設施和聯合環境。
- 與 AD FS 聯合。應通過在本地部署活動目錄和活動目錄聯合服務來配置混合環境。支持證書更新和額外的 AD FS 服務器部署。
- 使用PingFederate与联合。如果在您的基础设施中部署了企业PingFederate服务器以提供用户认证的单一登录,则可以使用此选项。
- 不进行配置。您可以使用不受此向导管理的解决方案进行联合登录。登录到企业网络的用户可以在将Office 365与AD同步后,无需再次输入密码即可访问云资源。
阅读有关Active Directory联合服务的博文。
如果不确定该选择,选择密码哈希同步或不进行配置作为推荐选项。
连接到Azure AD。输入您在Microsoft Azure/Office 365(Office 365管理员凭据)中具有全局管理员权限的Microsoft 365用户帐户的用户名和密码。需要此管理员帐户来配置Azure AD Connect,使应用程序能够执行Office 365 AD同步。在每个步骤中点击下一步以继续。
连接目录。输入用于本地域环境的当前Active Directory的信息。选择目录类型(Active Directory),指定域林,单击添加目录,并输入域管理员凭据。如果需要同步域林,请使用企业管理员凭据。
Azure AD 登入。檢查您的網域和 Active Directory UPN 後綴。選擇在 Azure AD 和 Office 365 中用作使用者名稱的本機屬性。我們選擇 userPrincipalName。如果您的網域未經驗證,請選擇 繼續而無任何已驗證的網域 核取方塊。您可以稍後完成驗證流程,以允許使用者登入 Azure AD 和 Office 365。
網域和 OU 篩選。在此畫面上保留默認設置以執行整個 AD 數據的 Active Directory 同步。如果需要自定義設置,請選擇自訂網域和組織單位。您可以取消選擇不想同步的網域或組織單位。
識別使用者。建議您在此步驟中保留默認設置,以進行與 Office 365 的基本 Active Directory 同步設置(對於一個 Azure AD、一個網域和一個 AD 森林)。如果您需要進行更複雜的設置,請選擇跨目錄的使用者身份的自定義選項。在源錨使用者識別選項中,選擇默認的 objectGUID 選項來生成 ID 和映射使用者。
篩選。選擇同步所有使用者和設備或選擇自定義對象進行同步。您可以使用基於組的篩選。
選用功能。如果需要,請選擇額外功能。將滑鼠移到每個功能名稱旁邊的「?」圖標上,以獲得幫助您做出正確決定的提示。
準備配置。如果您希望在完成此精靈後立即開始同步,請選擇 在配置完成後啟動同步處理 复选框。您可以取消選中此复选框,並在需要時手動開始同步。點擊 安裝 完成配置。
等待安裝和配置完成。當您看到 配置完成 訊息時,您可以點擊 退出 來關閉應用程式。在 配置完成 畫面上顯示有關完成的 Office 365 AD 同步處理的簡短資訊。然後打開 Microsoft 365 管理中心,檢查是否已成功完成與 Office 365 的 Active Directory 同步。在 Azure 门户的 Azure AD Connect Health 页面中打开 同步错误 部分以查看有关错误的详细信息。如果有错误,请阅读提供的建议,以帮助您修复错误。
如果 Office 365 AD 同步成功完成,您可以为在 Office 365 与本地 Active Directory 同步之后添加的新 Office 365 用户分配许可证。
导出 Azure AD Connect 配置
您可以使用快速模式或自定义模式部署 Azure AD Connect。如果要使用相同的 Azure AD Connect 配置进行多次部署,以同步本地 Active Directory 和 Office 365 / Azure,以及同步多个 AD 森林,请考虑导出/导入 Azure AD Connect 配置。
在 GUI 中使用向导配置 Azure AD Connect 后,配置将保存到存储在 %ProgramData%\AADConnect 文件夹中的 JSON 文件中。JSON 文件的名称类似于 Applied-SynchronizationPolicy-*.JSON,其中 * 表示帮助识别配置保存时间的日期/时间戳。在 GUI 中进行的更改会自动导出。但是,使用 PowerShell 进行的更改应在需要时手动导出。
要导入设置,请运行 Azure AD Connect,选择 自定义 选项,在 安装所需组件 屏幕上,选择 导入同步设置,单击 浏览,然后选择 JSON 配置文件。
配置导入允许用户在短时间内进行最少量的手动数据输入,以配置 Azure AD Connect,并在多个服务器上复制相同的配置。
配置迁移工具
有工具可将 Azure AD Connect 的配置从一台服务器导出并导入另一台服务器,以在执行 Office 365 Active Directory 同步时拥有相同的配置。
將 MigrateSettings.ps1 檔案從 C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ 或安裝 Azure AD Connect 的自訂文件夾複製到第一台伺服器的自訂位置,例如, C:\Programs\。
在第一(現有)伺服器上執行 MigrateSettings.ps1 腳本。 如果您看到接受「True」參數的參數不存在的輸出訊息,請編輯腳本並從腳本中刪除 $true。
執行腳本並檢查輸出中的目錄。 Azure AD 同步設定將匯出到此資料夾。 複製此 Exported-ServerConfiguration-* 資料夾及其內容到第二(新)伺服器。
在第二台伺服器上執行 Azure AD Connect 並在 安裝所需元件 螢幕上選擇 匯入同步設定,並選擇位於複製的 Exported-ServerConfiguration-* 資料夾中的 MigratedPolicy.json 配置檔案(如上所述)。
其他 Office 365 AD 同步選項
如果您無法等待 30 分鐘,這是同步操作之間的標準間隔,請使用 PowerShell 命令強制執行 Office 365 AD 同步。 Azure Active Directory PowerShell 模組通常與 Azure AD Connect 工具一起安裝。
匯入 ADSync PowerShell 模組:
Import-Module ADSync
檢查您目前的 Office 365 AD 同步設定:
Get-ADSyncScheduler
強制執行增量同步,僅同步自上次成功同步以來所做的更改:
Start-ADSyncSyncCycle -PolicyType Delta
強制執行完整同步以同步所有數據:
Start-ADSyncSyncCycle -PolicyType Initial
將 Office 365 AD 同步間隔更改為 10 分鐘:
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00
請記住,手動 Office 365 AD 同步不會同步用戶密碼。在這種情況下,請嘗試重新啟動在運行 Azure AD Connect 的本地服務器上的 AD 同步 Office 365 服務,然後驗證憑據是否正確。
配置建議
保護安裝了 Azure AD Connect 的服務器。限制非管理員用戶對運行 Azure AD Connect 的服務器的訪問。使用強密碼來保護此 Active Directory 同步工具使用的服務帳戶。了解此工具的強大功能,強密碼在某人獲得運行 AD 同步的服務器訪問權限時至關重要。您可以將受信任的用戶添加到 ADSyncAdmins 組以便進行方便的訪問管理。
檢查您打算從本地 AD 同步到 Azure AD 和 Office 365 的群組。並非所有群組都應該同步。可能有些群組在雲端中是無用的,或者出於安全或生產力原因無需同步。過濾對 Microsoft 365 和 Azure 雲環境不相關的安全群組和分發群組。從 Office 365 Active Directory 同步中排除所有管理員群組。
請勿將Office 365 Active Directory與Azure AD同步視為備份解決方案。雲端中物件的某些屬性是唯一的,例如Office 365使用者的授權資訊。如果這些特定資訊在雲端中被刪除,則無法透過在本地Active Directory上運行Office 365 Active Directory同步來恢復此資訊。在本地Active Directory同步到Azure的同步並非與Active Directory和網域控制器備份相同。使用專用工具和備份解決方案來保護在本地運行的Active Directory網域控制器和雲端中的Office 365資料。
Office 365備份和Active Directory備份
您應該定期運行Office 365備份並將這些備份存儲在安全的位置。Office 365備份應該包含來自Office應用程序的所需資料,例如Exchange Online郵件、OneDrive和SharePoint。Office 365資料存儲在雲端中,但如果其中一些資料受到勒索軟件損壞或意外刪除,備份可能是恢復該資料的唯一途徑,特別是當您發現資料損失時已經太晚時。
Active Directory是Windows網絡中的集中式管理系統。若缺少Active Directory網域控制器,可能會導致公司各項運營停滯。將在本地運行的Active Directory網域控制器備份,以便在災難發生時能夠恢復資料。在備份運行應用程序的運行服務器時,請優先使用支持應用程序感知備份的專用第三方備份解決方案。
NAKIVO 備份與重新部署是一套支援 Office 365 雲端備份 的 SMB 和企業數據保護解決方案,包括 Exchange Online、SharePoint Online、Microsoft Teams 和 OneDrive for Business。您可以備份多個 Office 365 租戶,選擇所有用戶或自定義用戶,並在必要時以細粒度方式恢復所需的項目。
NAKIVO 備份與重新部署支持物理服務器備份,包括擔任 Active Directory 網域控制器的 Windows 服務器,並可執行 Active Directory 備份。支持 應用程序感知備份,使您能夠備份網域控制器並在備份中具有應用程序一致的數據。物理服務器備份也支持細粒度恢復。
結論
組織遷移到雲端時,通常只會部分遷移。他們在現場 continue 使用 Active Directory 服務,結合雲端服務。這被稱為混合環境。Office 365 與 AD 同步選項允許組織配置混合環境,並在現場 AD 和 Azure AD 之間同步用戶帳戶和驗證選項。
Office 365 Active Directory同步可使用Microsoft開發的Azure AD Connect完成。您需要準備本地Active Directory,設定與本地網域及連結到Office 365租戶的外部網域的網域設定,並在AD Connect中設定Office 365目錄同步選項。Office 365 Active Directory整合可讓使用者在本地Windows環境和Office 365中使用相同的認證。
Source:
https://www.nakivo.com/blog/a-step-by-step-guide-to-setting-up-office-365-ad-sync/