本地我的AD域位corp.cn,而我对外的域名访问时basehome.com.cn,我申请了一个试用版的Office 365的账号,管理员账号为zhangjs@basehome.partner.onmschina.cn,Office 365 21V的登陆地址是https://portal.partner.microsoftonline.cn/

接下来我要实现是把本地的AD账户同步到Office 365的Azure AD里

clip_image001

首先我需要准备一台Windows Server 2012 R2的系统加域,作为Azure AD Connect的同步服务器

clip_image002

因为AD域是corp.cn,但内部和公网上希望用户使用basehome.com.cn域名登陆,因此首先在AD域里我添加一个UPN为basehome.com.cn,打开AD域和信任关系,选择属性

clip_image003

输入basehome.com.cn的域名,点击添加

clip_image004

点击应用和确定

clip_image005

如果要让内部的AD用户都使用basehome.com.cn来进行登陆验证,在添加完成后可以对AD用户进行修改(这里我不做修改,根据企业实际的环境来定义是否修改

备注:如果这里修改成@basehome.com.cn的域名后缀,那么第一次同步上去的该账户就是@basehome.com.cn后缀的Office365账户;如果是同步之后再去本地AD修改用户的后缀从corp.cn改成basehome.com.cn的话,也会在后面同步到Office365里的账户从basehome.partner.onmschina.cn变成basehome.com.cn的后缀。

clip_image006

接下来需要先做一件事,就是把我的basehome.com.cn验证绑定到Office 365中,如果不绑定那么默认情况下,一个 Azure AD 租户允许 5 万个对象。 在验证域后,该限制增加到 30 万个对象。 如果在 Azure AD 中需要更多的对象,则需要开具支持案例来请求增大此限制。 如果需要 50 万个以上的对象,则需要购买 Office 365或企业移动性和安全性等许可证。

那么首先登陆到Office 365:https://portal.partner.microsoftonline.cn/

点击管理员

clip_image007

展开安装点击域

clip_image008

默认我们有一个Office 365以partner.onmschina.cn的默认域,对于用户来讲肯定希望未来是使用公司的basehome.com.cn来登陆验证的,使用这里点击添加域

clip_image009

输入您公司对外的域名,下一步

clip_image010

提示需要验证域:意思就是证明这个域名的所有权是您公司的

clip_image011

在这里我的basehome.com.cn是租用域名商新网的,因此这里我以新网来举例,打开我域名管理,按照要求添加一条TXT的记录

clip_image012

可以在您电脑上验证添加的txt是否生效

clip_image013

添加完成后点击验证,如果验证失败,就多等10分钟再验证

clip_image014

验证通过后选择“我将管理自己的DNS记录,下一步

clip_image015

因为这里我只是做同步AD,没有其他服务,所以什么都不选择,下一步

clip_image016

搞定,完成

clip_image017

接下来就需要回到本地的AADConnect服务器来部署Azure AD Connect来把本地的AD目录同步到Office 365,在此之前需要说几个先决条件

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

本地 Active Directory

  • AD 架构版本与林功能级别必须是 Windows Server 2003 或更高版本。

  • Azure AD 使用的域控制器必须可写。 不支持使用 RODC(只读域控制器)

  • 不支持通过“以点分隔的”(名称包含句点“.”)NetBios 名称使用本地林/域

  • 建议启用 Active Directory 回收站

Azure AD Connect 服务器

  • 不能在 Small Business Server 或 Windows Server Essentials 上安装 Azure AD Connect。 该服务器必须使用 Windows Server Standard 或更高版本

  • 必须在 Azure AD Connect 服务器上安装完整的 GUI。 不支持 在服务器核心上安装 GUI。

  • Azure AD Connect 必须安装在 Windows Server 2008 或更高版本上。 如果使用快速设置,此服务器可以是域控制器或成员服务器。 如果使用自定义设置,服务器也可以是独立服务器,并且不需要加入域。

  • 如果在 Windows Server 2008 或 Windows Server 2008 R2 上安装 Azure AD Connect,请确保从 Windows 更新应用最新的修补程序。 在未修补的服务器上无法启动安装。

  • 如果打算使用 密码同步功能,则必须在 Windows Server 2008 R2 SP1 或更高版本上安装 Azure AD Connect 服务器。

  • 如果打算使用组托管服务帐户,则 Azure AD Connect 服务器必须位于 Windows Server 2012 或更高版本上。

  • Azure AD Connect 服务器必须安装 .NET Framework 4.5.1 或更高版本以及 Microsoft PowerShell 3.0 或更高版本。

  • Azure AD Connect 服务器不得启用 PowerShell 脚本组策略。

  • 如果正在部署 Active Directory 联合身份验证服务,则要安装 AD FS 或 Web 应用程序代理的服务器必须是 Windows Server 2012 R2 或更高版本。 Windows 远程管理 才能进行远程安装。

  • 若要部署 Active Directory 联合身份验证服务,需要使用 SSL 证书

  • 若要部署 Active Directory 联合身份验证服务,需要配置 名称解析

  • 如果全局管理员已启用 MFA,URL https://secure.aadcdn.microsoftonline-p.com 必须在受信任的站点列表中。 在显示 MFA 质询提示之前,系统会先提示将此 URL 添加到受信任的站点列表中(如果尚未添加)。 可以使用 Internet Explorer 将它添加到受信任站点。

Azure AD Connect 所使用的 SQL Server

  • Azure AD Connect 要求使用 SQL Server 数据库来存储标识数据。 默认安装 SQL Server 2012 Express LocalDB(轻量版本的 SQL Server Express)。 SQL Server Express 有 10GB 的大小限制,允许管理大约 100,000 个对象。 如果需要管理更多的目录对象,则需要将安装向导指向不同的 SQL Server 安装。

  • 如果使用独立的 SQL Server,则这些要求适用:

  • Azure AD Connect 支持从 SQL Server 2008(包含最新的 Service Pack)到 SQL Server 2016 SP1 的所有版本 Microsoft SQL Server。 不支持将 Azure SQL 数据库用作数据库。

  • 必须使用不区分大小写的 SQL 排序规则。 可通过名称中的 _CI_ 识别这些排序规则。 不支持使用区分大小写的排序规则,该规则可通过其名称中的 _CS_ 识别。

  • 每个 SQL 实例只能有一个同步引擎。 不支持 与 FIM/MIM Sync、DirSync 或 Azure AD Sync 共享 SQL 实例。

账户

  • 要集成的 Azure AD 租户的 Azure AD 全局管理员帐户。 该帐户必须是学校或组织帐户,而不能是 Microsoft 帐户。

  • 如果使用快速设置或者从 DirSync 升级,必须创建本地 Active Directory 的企业管理员帐户。

  • 如果使用自定义设置安装路径,帐户应在 Active Directory 中

其他更为详细的先决条件请参见:https://docs.azure.cn/zh-cn/active-directory/connect/active-directory-aadconnect-prerequisites

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

在同步之前我们需要先使用ID Fix工具检查AD里的账号是否符合Azure AD的规范要求,该工具可以直接放在域控上允许,域控需要先安装好.NET Framework 4.0

到 Microsoft 下载网站 for IdFix 目录同步错误修复工具

clip_image018

默认情况下,IdFix 对整个目录搜索错误。根据您的目录的大小,运行查询可能需要一段。您可以观看该工具主窗口底部的进度。如果单击取消,您需要重新启动从头开始,IdFix 完成查询之后,且目录中没有错误,则可以继续同步目录。如果您的目录中有错误,建议您在同步之前先修复这些错误。

clip_image019

备注:如果您同意“UPDATE”列中的更改建议,请在“ACTION”列中选择 IdFix 要实现此更改应执行的操作,然后单击“应用”。当您单击“应用”*时,该工具会在目录中做出更改。详细的使用方法参见:https://docs.microsoft.com/zh-cn/office365/enterprise/install-and-run-idfix?redirectSourcePath=%252farticle%252fInstall-and-run-the-Office-365-IdFix-tool-f4bd2439-3e41-4169-99f6-3fabdfa326ac

您无需在每个更新后单击应用。相反,可以解决几个错误之前单击应用,IdFix 将所有在同时更改它们。可以通过单击错误顶部列出了错误类型的列的排序错误类型的错误

那么接下来先在AADConnect服务器安装.NET Framework 4.5.1Microsoft PowerShell 3.0

clip_image020

接下来下载Microsoft Azure Active Directory Connect

http://www.microsoft.com/en-us/download/details.aspx?id=47594

开始安装

clip_image021

选择同意,点击继续

clip_image022

选择使用快速设置

clip_image023

输入Office 365全局管理员账户和密码

clip_image024

输入本地域具备企业管理员组的账户

clip_image025

接下来勾选,下一步

clip_image026

点击安装,然后自动启动同步流程

clip_image027

安装会自动先安装一个SQL 2012 Express版本,最后安装完成,退出

clip_image028

过一会可以看到Office 365上有从本地AD同步上去的账户了

clip_image029

在这里可以看到把整个AD目录的所有对象都同步上去了,如果只需要同步指定的OU那该怎么做呢?回到AADConnect服务器,点击Azure AD Connect,点击配置

clip_image030

选择自定义同步选项,下一步

clip_image031

输入Office 365全局管理员账户

clip_image032

下一步

clip_image033

比如这里我只同步用户所在OU——“Users”,就只勾选它

备注:如果只是同步Users里OU的账户,一旦这些账户同步到Office 365后您把该OU里的所有账户移动到其他OU里,那么下次同步时会自动把Office 365上属于Users里OU里的账户全部删除

clip_image034

下一步(密码写回目前只有国际版的Azure AD高级版才有的功能,国内21V暂时没有,使用同步只能是从本地到Azure AD的单向同步,因此修改用户属性和密码只能在本地AD里完成,否则就算你在Office 365修改了也不会同步回本地AD)

clip_image035

点击配置

clip_image036

退出,完成

clip_image037

默认同步周期为30分钟同步一次,如果您需要立即执行同步,请在本地AADConnect服务器的Powershell执行

增量同步Start-ADSyncSyncCycle -PolicyType Delta

完全同步Start-ADSyncSyncCycle -PolicyType Initial

clip_image038

等一会后就同步好了,可以看到Office 365上只有Users的用户了

clip_image039

但这里看到同步上来的都是partner.onmschina.cn后缀的账户名,如果要修改成basehome.com.cn后缀的账户名怎么办呢?因为是AADConnect同步上来,因此就需要在本地AD里去修改用户的属性即可,等待下一次同步就会全部变更

clip_image006[1]

最后给用户分配一个许可证验证登陆,这里选择需要分配许可证的用户,点击编辑

clip_image040

选择国家和许可证类型,保存

clip_image041

需要等待一会,然后用户就可以登陆测试了https://portal.partner.microsoftonline.cn/

clip_image042

输入密码

clip_image043

选择否

clip_image044

这样就搞定可以登陆了

clip_image045

点击Outlook,邮箱也可以使用了

clip_image046

因为是从本地AD同步上去的,因此如果您想在Office 365上直接删除同步上去的账户是不行的

clip_image047

哪些账户是从本地AD同步上去的都可以看到

clip_image048

到这里从本地AD同步上Office 365的Azure AD就介绍到这了。