本地我的AD域位corp.cn,而我对外的域名访问时basehome.com.cn,我申请了一个试用版的Office 365的账号,管理员账号为[email protected],Office 365 21V的登陆地址是https://portal.partner.microsoftonline.cn/
接下来我要实现是把本地的AD账户同步到Office 365的Azure AD里
首先我需要准备一台Windows Server 2012 R2的系统加域,作为Azure AD Connect的同步服务器
因为AD域是corp.cn,但内部和公网上希望用户使用basehome.com.cn域名登陆,因此首先在AD域里我添加一个UPN为basehome.com.cn,打开AD域和信任关系,选择属性
输入basehome.com.cn的域名,点击添加
点击应用和确定
如果要让内部的AD用户都使用basehome.com.cn来进行登陆验证,在添加完成后可以对AD用户进行修改(这里我不做修改,根据企业实际的环境来定义是否修改)
备注:如果这里修改成@basehome.com.cn的域名后缀,那么第一次同步上去的该账户就是@basehome.com.cn后缀的Office365账户;如果是同步之后再去本地AD修改用户的后缀从corp.cn改成basehome.com.cn的话,也会在后面同步到Office365里的账户从basehome.partner.onmschina.cn变成basehome.com.cn的后缀。
接下来需要先做一件事,就是把我的basehome.com.cn验证绑定到Office 365中,如果不绑定那么默认情况下,一个 Azure AD 租户允许 5 万个对象。 在验证域后,该限制增加到 30 万个对象。 如果在 Azure AD 中需要更多的对象,则需要开具支持案例来请求增大此限制。 如果需要 50 万个以上的对象,则需要购买 Office 365或企业移动性和安全性等许可证。
那么首先登陆到Office 365:https://portal.partner.microsoftonline.cn/
点击管理员
展开安装点击域
默认我们有一个Office 365以partner.onmschina.cn的默认域,对于用户来讲肯定希望未来是使用公司的basehome.com.cn来登陆验证的,使用这里点击添加域
输入您公司对外的域名,下一步
提示需要验证域:意思就是证明这个域名的所有权是您公司的
在这里我的basehome.com.cn是租用域名商新网的,因此这里我以新网来举例,打开我域名管理,按照要求添加一条TXT的记录
可以在您电脑上验证添加的txt是否生效
添加完成后点击验证,如果验证失败,就多等10分钟再验证
验证通过后选择“我将管理自己的DNS记录,下一步
因为这里我只是做同步AD,没有其他服务,所以什么都不选择,下一步
搞定,完成
接下来就需要回到本地的AADConnect服务器来部署Azure AD Connect来把本地的AD目录同步到Office 365,在此之前需要说几个先决条件
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
本地 Active Directory
AD 架构版本与林功能级别必须是 Windows Server 2003 或更高版本。
Azure AD 使用的域控制器必须可写。 不支持使用 RODC(只读域控制器)
不支持通过“以点分隔的”(名称包含句点“.”)NetBios 名称使用本地林/域
建议启用 Active Directory 回收站
Azure AD Connect 服务器
不能在 Small Business Server 或 Windows Server Essentials 上安装 Azure AD Connect。 该服务器必须使用 Windows Server Standard 或更高版本
必须在 Azure AD Connect 服务器上安装完整的 GUI。 不支持 在服务器核心上安装 GUI。
Azure AD Connect 必须安装在 Windows Server 2008 或更高版本上。 如果使用快速设置,此服务器可以是域控制器或成员服务器。 如果使用自定义设置,服务器也可以是独立服务器,并且不需要加入域。
如果在 Windows Server 2008 或 Windows Server 2008 R2 上安装 Azure AD Connect,请确保从 Windows 更新应用最新的修补程序。 在未修补的服务器上无法启动安装。
如果打算使用 密码同步功能,则必须在 Windows Server 2008 R2 SP1 或更高版本上安装 Azure AD Connect 服务器。
如果打算使用组托管服务帐户,则 Azure AD Connect 服务器必须位于 Windows Server 2012 或更高版本上。
Azure AD Connect 服务器必须安装 .NET Framework 4.5.1 或更高版本以及 Microsoft PowerShell 3.0 或更高版本。
Azure AD Connect 服务器不得启用 PowerShell 脚本组策略。
如果正在部署 Active Directory 联合身份验证服务,则要安装 AD FS 或 Web 应用程序代理的服务器必须是 Windows Server 2012 R2 或更高版本。 Windows 远程管理 才能进行远程安装。
若要部署 Active Directory 联合身份验证服务,需要使用 SSL 证书。
若要部署 Active Directory 联合身份验证服务,需要配置 名称解析。
如果全局管理员已启用 MFA,URL https://secure.aadcdn.microsoftonline-p.com 必须在受信任的站点列表中。 在显示 MFA 质询提示之前,系统会先提示将此 URL 添加到受信任的站点列表中(如果尚未添加)。 可以使用 Internet Explorer 将它添加到受信任站点。
Azure AD Connect 所使用的 SQL Server
Azure AD Connect 要求使用 SQL Server 数据库来存储标识数据。 默认安装 SQL Server 2012 Express LocalDB(轻量版本的 SQL Server Express)。 SQL Server Express 有 10GB 的大小限制,允许管理大约 100,000 个对象。 如果需要管理更多的目录对象,则需要将安装向导指向不同的 SQL Server 安装。
如果使用独立的 SQL Server,则这些要求适用:
Azure AD Connect 支持从 SQL Server 2008(包含最新的 Service Pack)到 SQL Server 2016 SP1 的所有版本 Microsoft SQL Server。 不支持将 Azure SQL 数据库用作数据库。
必须使用不区分大小写的 SQL 排序规则。 可通过名称中的 _CI_ 识别这些排序规则。 不支持使用区分大小写的排序规则,该规则可通过其名称中的 _CS_ 识别。
每个 SQL 实例只能有一个同步引擎。 不支持 与 FIM/MIM Sync、DirSync 或 Azure AD Sync 共享 SQL 实例。
账户
要集成的 Azure AD 租户的 Azure AD 全局管理员帐户。 该帐户必须是学校或组织帐户,而不能是 Microsoft 帐户。
如果使用快速设置或者从 DirSync 升级,必须创建本地 Active Directory 的企业管理员帐户。
如果使用自定义设置安装路径,帐户应在 Active Directory 中。
其他更为详细的先决条件请参见:https://docs.azure.cn/zh-cn/active-directory/connect/active-directory-aadconnect-prerequisites
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
在同步之前我们需要先使用ID Fix工具检查AD里的账号是否符合Azure AD的规范要求,该工具可以直接放在域控上允许,域控需要先安装好.NET Framework 4.0
到 Microsoft 下载网站 for IdFix 目录同步错误修复工具。
默认情况下,IdFix 对整个目录搜索错误。根据您的目录的大小,运行查询可能需要一段。您可以观看该工具主窗口底部的进度。如果单击取消,您需要重新启动从头开始,IdFix 完成查询之后,且目录中没有错误,则可以继续同步目录。如果您的目录中有错误,建议您在同步之前先修复这些错误。
备注:如果您同意“UPDATE”列中的更改建议,请在“ACTION”列中选择 IdFix 要实现此更改应执行的操作,然后单击“应用”。当您单击“应用”*时,该工具会在目录中做出更改。详细的使用方法参见:https://docs.microsoft.com/zh-cn/office365/enterprise/install-and-run-idfix?redirectSourcePath=%252farticle%252fInstall-and-run-the-Office-365-IdFix-tool-f4bd2439-3e41-4169-99f6-3fabdfa326ac
您无需在每个更新后单击应用。相反,可以解决几个错误之前单击应用,IdFix 将所有在同时更改它们。可以通过单击错误顶部列出了错误类型的列的排序错误类型的错误
那么接下来先在AADConnect服务器安装.NET Framework 4.5.1 和 Microsoft PowerShell 3.0
接下来下载Microsoft Azure Active Directory Connect
http://www.microsoft.com/en-us/download/details.aspx?id=47594
开始安装
选择同意,点击继续
选择使用快速设置
输入Office 365全局管理员账户和密码
输入本地域具备企业管理员组的账户
接下来勾选,下一步
点击安装,然后自动启动同步流程
安装会自动先安装一个SQL 2012 Express版本,最后安装完成,退出
过一会可以看到Office 365上有从本地AD同步上去的账户了
在这里可以看到把整个AD目录的所有对象都同步上去了,如果只需要同步指定的OU那该怎么做呢?回到AADConnect服务器,点击Azure AD Connect,点击配置
选择自定义同步选项,下一步
输入Office 365全局管理员账户
下一步
比如这里我只同步用户所在OU——“Users”,就只勾选它
备注:如果只是同步Users里OU的账户,一旦这些账户同步到Office 365后您把该OU里的所有账户移动到其他OU里,那么下次同步时会自动把Office 365上属于Users里OU里的账户全部删除
下一步(密码写回目前只有国际版的Azure AD高级版才有的功能,国内21V暂时没有,使用同步只能是从本地到Azure AD的单向同步,因此修改用户属性和密码只能在本地AD里完成,否则就算你在Office 365修改了也不会同步回本地AD)
点击配置
退出,完成
默认同步周期为30分钟同步一次,如果您需要立即执行同步,请在本地AADConnect服务器的Powershell执行
增量同步Start-ADSyncSyncCycle -PolicyType Delta
完全同步Start-ADSyncSyncCycle -PolicyType Initial
等一会后就同步好了,可以看到Office 365上只有Users的用户了
但这里看到同步上来的都是partner.onmschina.cn后缀的账户名,如果要修改成basehome.com.cn后缀的账户名怎么办呢?因为是AADConnect同步上来,因此就需要在本地AD里去修改用户的属性即可,等待下一次同步就会全部变更
最后给用户分配一个许可证验证登陆,这里选择需要分配许可证的用户,点击编辑
选择国家和许可证类型,保存
需要等待一会,然后用户就可以登陆测试了https://portal.partner.microsoftonline.cn/
输入密码
选择否
这样就搞定可以登陆了
点击Outlook,邮箱也可以使用了
因为是从本地AD同步上去的,因此如果您想在Office 365上直接删除同步上去的账户是不行的
哪些账户是从本地AD同步上去的都可以看到
到这里从本地AD同步上Office 365的Azure AD就介绍到这了。