本地我的AD域位corp.cn,而我對外的域名訪問時basehome.com.cn,我申請了一個試用版的Office 365的賬號,管理員賬號爲[email protected],Office 365 21V的登陸地址是https://portal.partner.microsoftonline.cn/
接下來我要實現是把本地的AD賬戶同步到Office 365的Azure AD裏
首先我需要準備一臺Windows Server 2012 R2的系統加域,作爲Azure AD Connect的同步服務器
因爲AD域是corp.cn,但內部和公網上希望用戶使用basehome.com.cn域名登陸,因此首先在AD域裏我添加一個UPN爲basehome.com.cn,打開AD域和信任關係,選擇屬性
輸入basehome.com.cn的域名,點擊添加
點擊應用和確定
如果要讓內部的AD用戶都使用basehome.com.cn來進行登陸驗證,在添加完成後可以對AD用戶進行修改(這裏我不做修改,根據企業實際的環境來定義是否修改)
備註:如果這裏修改成@basehome.com.cn的域名後綴,那麼第一次同步上去的該賬戶就是@basehome.com.cn後綴的Office365賬戶;如果是同步之後再去本地AD修改用戶的後綴從corp.cn改成basehome.com.cn的話,也會在後面同步到Office365裏的賬戶從basehome.partner.onmschina.cn變成basehome.com.cn的後綴。
接下來需要先做一件事,就是把我的basehome.com.cn驗證綁定到Office 365中,如果不綁定那麼默認情況下,一個 Azure AD 租戶允許 5 萬個對象。 在驗證域後,該限制增加到 30 萬個對象。 如果在 Azure AD 中需要更多的對象,則需要開具支持案例來請求增大此限制。 如果需要 50 萬個以上的對象,則需要購買 Office 365或企業移動性和安全性等許可證。
那麼首先登陸到Office 365:https://portal.partner.microsoftonline.cn/
點擊管理員
展開安裝點擊域
默認我們有一個Office 365以partner.onmschina.cn的默認域,對於用戶來講肯定希望未來是使用公司的basehome.com.cn來登陸驗證的,使用這裏點擊添加域
輸入您公司對外的域名,下一步
提示需要驗證域:意思就是證明這個域名的所有權是您公司的
在這裏我的basehome.com.cn是租用域名商新網的,因此這裏我以新網來舉例,打開我域名管理,按照要求添加一條TXT的記錄
可以在您電腦上驗證添加的txt是否生效
添加完成後點擊驗證,如果驗證失敗,就多等10分鐘再驗證
驗證通過後選擇“我將管理自己的DNS記錄,下一步
因爲這裏我只是做同步AD,沒有其他服務,所以什麼都不選擇,下一步
搞定,完成
接下來就需要回到本地的AADConnect服務器來部署Azure AD Connect來把本地的AD目錄同步到Office 365,在此之前需要說幾個先決條件
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
本地 Active Directory
AD 架構版本與林功能級別必須是 Windows Server 2003 或更高版本。
Azure AD 使用的域控制器必須可寫。 不支持使用 RODC(只讀域控制器)
不支持通過“以點分隔的”(名稱包含句點“.”)NetBios 名稱使用本地林/域
建議啓用 Active Directory 回收站
Azure AD Connect 服務器
不能在 Small Business Server 或 Windows Server Essentials 上安裝 Azure AD Connect。 該服務器必須使用 Windows Server Standard 或更高版本
必須在 Azure AD Connect 服務器上安裝完整的 GUI。 不支持 在服務器核心上安裝 GUI。
Azure AD Connect 必須安裝在 Windows Server 2008 或更高版本上。 如果使用快速設置,此服務器可以是域控制器或成員服務器。 如果使用自定義設置,服務器也可以是獨立服務器,並且不需要加入域。
如果在 Windows Server 2008 或 Windows Server 2008 R2 上安裝 Azure AD Connect,請確保從 Windows 更新應用最新的修補程序。 在未修補的服務器上無法啓動安裝。
如果打算使用 密碼同步功能,則必須在 Windows Server 2008 R2 SP1 或更高版本上安裝 Azure AD Connect 服務器。
如果打算使用組託管服務帳戶,則 Azure AD Connect 服務器必須位於 Windows Server 2012 或更高版本上。
Azure AD Connect 服務器必須安裝 .NET Framework 4.5.1 或更高版本以及 Microsoft PowerShell 3.0 或更高版本。
Azure AD Connect 服務器不得啓用 PowerShell 腳本組策略。
如果正在部署 Active Directory 聯合身份驗證服務,則要安裝 AD FS 或 Web 應用程序代理的服務器必須是 Windows Server 2012 R2 或更高版本。 Windows 遠程管理 才能進行遠程安裝。
若要部署 Active Directory 聯合身份驗證服務,需要使用 SSL 證書。
若要部署 Active Directory 聯合身份驗證服務,需要配置 名稱解析。
如果全局管理員已啓用 MFA,URL https://secure.aadcdn.microsoftonline-p.com 必須在受信任的站點列表中。 在顯示 MFA 質詢提示之前,系統會先提示將此 URL 添加到受信任的站點列表中(如果尚未添加)。 可以使用 Internet Explorer 將它添加到受信任站點。
Azure AD Connect 所使用的 SQL Server
Azure AD Connect 要求使用 SQL Server 數據庫來存儲標識數據。 默認安裝 SQL Server 2012 Express LocalDB(輕量版本的 SQL Server Express)。 SQL Server Express 有 10GB 的大小限制,允許管理大約 100,000 個對象。 如果需要管理更多的目錄對象,則需要將安裝嚮導指向不同的 SQL Server 安裝。
如果使用獨立的 SQL Server,則這些要求適用:
Azure AD Connect 支持從 SQL Server 2008(包含最新的 Service Pack)到 SQL Server 2016 SP1 的所有版本 Microsoft SQL Server。 不支持將 Azure SQL 數據庫用作數據庫。
必須使用不區分大小寫的 SQL 排序規則。 可通過名稱中的 _CI_ 識別這些排序規則。 不支持使用區分大小寫的排序規則,該規則可通過其名稱中的 _CS_ 識別。
每個 SQL 實例只能有一個同步引擎。 不支持 與 FIM/MIM Sync、DirSync 或 Azure AD Sync 共享 SQL 實例。
賬戶
要集成的 Azure AD 租戶的 Azure AD 全局管理員帳戶。 該帳戶必須是學校或組織帳戶,而不能是 Microsoft 帳戶。
如果使用快速設置或者從 DirSync 升級,必須創建本地 Active Directory 的企業管理員帳戶。
如果使用自定義設置安裝路徑,帳戶應在 Active Directory 中。
其他更爲詳細的先決條件請參見:https://docs.azure.cn/zh-cn/active-directory/connect/active-directory-aadconnect-prerequisites
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
在同步之前我們需要先使用ID Fix工具檢查AD裏的賬號是否符合Azure AD的規範要求,該工具可以直接放在域控上允許,域控需要先安裝好.NET Framework 4.0
到 Microsoft 下載網站 for IdFix 目錄同步錯誤修復工具。
默認情況下,IdFix 對整個目錄搜索錯誤。根據您的目錄的大小,運行查詢可能需要一段。您可以觀看該工具主窗口底部的進度。如果單擊取消,您需要重新啓動從頭開始,IdFix 完成查詢之後,且目錄中沒有錯誤,則可以繼續同步目錄。如果您的目錄中有錯誤,建議您在同步之前先修復這些錯誤。
備註:如果您同意“UPDATE”列中的更改建議,請在“ACTION”列中選擇 IdFix 要實現此更改應執行的操作,然後單擊“應用”。當您單擊“應用”*時,該工具會在目錄中做出更改。詳細的使用方法參見:https://docs.microsoft.com/zh-cn/office365/enterprise/install-and-run-idfix?redirectSourcePath=%252farticle%252fInstall-and-run-the-Office-365-IdFix-tool-f4bd2439-3e41-4169-99f6-3fabdfa326ac
您無需在每個更新後單擊應用。相反,可以解決幾個錯誤之前單擊應用,IdFix 將所有在同時更改它們。可以通過單擊錯誤頂部列出了錯誤類型的列的排序錯誤類型的錯誤
那麼接下來先在AADConnect服務器安裝.NET Framework 4.5.1 和 Microsoft PowerShell 3.0
接下來下載Microsoft Azure Active Directory Connect
http://www.microsoft.com/en-us/download/details.aspx?id=47594
開始安裝
選擇同意,點擊繼續
選擇使用快速設置
輸入Office 365全局管理員賬戶和密碼
輸入本地域具備企業管理員組的賬戶
接下來勾選,下一步
點擊安裝,然後自動啓動同步流程
安裝會自動先安裝一個SQL 2012 Express版本,最後安裝完成,退出
過一會可以看到Office 365上有從本地AD同步上去的賬戶了
在這裏可以看到把整個AD目錄的所有對象都同步上去了,如果只需要同步指定的OU那該怎麼做呢?回到AADConnect服務器,點擊Azure AD Connect,點擊配置
選擇自定義同步選項,下一步
輸入Office 365全局管理員賬戶
下一步
比如這裏我只同步用戶所在OU——“Users”,就只勾選它
備註:如果只是同步Users裏OU的賬戶,一旦這些賬戶同步到Office 365後您把該OU裏的所有賬戶移動到其他OU裏,那麼下次同步時會自動把Office 365上屬於Users裏OU裏的賬戶全部刪除
下一步(密碼寫回目前只有國際版的Azure AD高級版纔有的功能,國內21V暫時沒有,使用同步只能是從本地到Azure AD的單向同步,因此修改用戶屬性和密碼只能在本地AD裏完成,否則就算你在Office 365修改了也不會同步回本地AD)
點擊配置
退出,完成
默認同步週期爲30分鐘同步一次,如果您需要立即執行同步,請在本地AADConnect服務器的Powershell執行
增量同步Start-ADSyncSyncCycle -PolicyType Delta
完全同步Start-ADSyncSyncCycle -PolicyType Initial
等一會後就同步好了,可以看到Office 365上只有Users的用戶了
但這裏看到同步上來的都是partner.onmschina.cn後綴的賬戶名,如果要修改成basehome.com.cn後綴的賬戶名怎麼辦呢?因爲是AADConnect同步上來,因此就需要在本地AD裏去修改用戶的屬性即可,等待下一次同步就會全部變更
最後給用戶分配一個許可證驗證登陸,這裏選擇需要分配許可證的用戶,點擊編輯
選擇國家和許可證類型,保存
需要等待一會,然後用戶就可以登陸測試了https://portal.partner.microsoftonline.cn/
輸入密碼
選擇否
這樣就搞定可以登陸了
點擊Outlook,郵箱也可以使用了
因爲是從本地AD同步上去的,因此如果您想在Office 365上直接刪除同步上去的賬戶是不行的
哪些賬戶是從本地AD同步上去的都可以看到
到這裏從本地AD同步上Office 365的Azure AD就介紹到這了。