将本地目录与 Azure Active Directory 集成

Azure AD Connect 会将本地目录与 Azure Active Directory 集成。 这样便可以为集成到 Azure AD 的 Office 365、Azure 和 SaaS 应用程序的用户提供一个通用标识。 本主题将指导用户完成规划、部署和操作步骤。 其中统合了与这些操作相关的主题的链接。

什么是 Azure AD Connect

为何使用 Azure AD Connect

将本地目录与 Azure AD 集成可提供通用标识用于访问云和本地资源,从而提高用户的生产率。 用户和组织可以享受到以下好处:

  • 用户可以使用单个标识来访问本地应用程序和云服务,例如 Office 365。
  • 单个工具即可提供轻松同步和登录的部署体验。

Azure AD Connect 工作原理

Azure Active Directory Connect 由三个主要组件构成:同步服务、可选的 Active Directory 联合身份验证服务组件。

Azure AD Connect 堆栈
  • 同步 - 此组件负责创建用户、组和其他对象。 它还负责确保本地用户和组的标识信息与云匹配。
  • AD FS - 联合身份验证是 Azure AD Connect 的可选部件,可用于使用本地 AD FS 基础结构配置混合环境。 组织可以使用此部件来解决复杂的部署,例如域加入 SSO、实施 AD 登录策略以及智能卡或第三方 MFA。

安装 Azure AD Connect

可以在 Microsoft 下载中心找到 Azure AD Connect 的下载文件。

解决方案 方案
开始之前 - 硬件和先决条件
  • 开始安装 Azure AD Connect 之前所要完成的步骤。
  • 快速设置
  • 如果只有一个林 AD,我们建议使用此选项。
  • 使用密码同步以同一密码进行用户登录。
  • 自定义设置
  • 有多个林时使用。 支持许多本地拓扑
  • 自定义登录选项,例如用于联合身份验证的 ADFS,或使用第三方标识提供者。
  • 自定义同步功能,例如筛选和写回。
  • 从 DirSync 升级
  • 在已有 DirSync 服务器运行的情况下使用。
  • 从 Azure AD Sync 或 Azure AD Connect 升级
  • 可以根据偏好选择多种不同的方法。
  • 安装后,应该验证程序是否按预期工作,并将许可证分配给用户。

    Azure AD Connect 安装后续步骤

    主题 链接
    下载 Azure AD Connect 下载 Azure AD Connect
    使用快速设置安装 Azure AD Connect 的快速安装
    使用自定义设置安装 Azure AD Connect 的自定义安装
    从 DirSync 升级 从 Azure AD 同步工具 (DirSync) 升级
    安装后 验证安装并分配许可证

    了解有关安装 Azure AD Connect 的详细信息

    还要预先了解 操作 注意事项。 可能要部署一台待机服务器,以便在发生灾难时轻松故障转移。 如果要频繁进行配置更改,应该计划部署一台暂存模式服务器。

    主题 链接
    支持的拓扑 Azure AD Connect 的拓扑
    设计概念 Azure AD Connect 设计概念
    用于安装的帐户 有关 Azure AD Connect 凭据和权限的详细信息
    操作规划 Azure AD Connect 同步:操作任务和注意事项
    用户登录选项 Azure AD Connect 用户登录选项

    配置同步功能

    Azure AD Connect 随附了多个可以选择启用或已按默认启用的功能。 在某些方案和拓扑中,有些功能可能需要进行其他配置。

    如果要限制同步到 Azure AD 的对象,可以使用筛选。 默认同步所有用户、联系人、组和 Windows 10 计算机。 可以根据域、OU 或属性更改筛选设置。

    密码同步可将 Active Directory 中的密码哈希同步到 Azure AD。 最终用户可以在本地与云中使用相同的密码,且只需在一个位置管理此密码。 由于它使用本地 Active Directory,因此用户还可以使用自己的密码策略。

    防止意外删除功能默认处于打开状态,它可以保护云目录,避免同时进行多次删除。 默认情况下,每运行一次可以进行 500 次删除。 可以根据组织大小更改此设置。

    使用快速设置安装时,将默认启用自动升级,确保 Azure AD Connect 始终保持最新版本。

    同步功能配置后续步骤

    主题 链接
    配置筛选 Azure AD Connect 同步:配置筛选
    密码同步 Azure AD Connect 同步:实现密码同步
    防止意外删除 Azure AD Connect 同步:防止意外删除
    自动升级 Azure AD Connect:自动升级

    自定义 Azure AD Connect 同步

    Azure AD Connect 同步随附一个适用于大部分客户和拓扑的默认配置。 但总存在默认配置不适用的情况,因此必须进行调整。 可以根据本部分和链接主题中所述进行更改。

    如果以前没有用过同步拓扑,请先了解技术概念中所述的基本概念和术语。 Azure AD Connect 是在 MIIS2003、ILM2007 和 FIM2010 基础上演进而来的。 即使有些功能相同,但改变的部分也有很多。

    默认配置假设配置中可能存在多个林。 在这些拓扑中,用户对象可能表示为另一个林中的联系人。 用户还可能具有另一个资源林中的链接邮箱。 用户和联系人中介绍了默认配置的行为。

    同步的配置模型称为声明性预配。 高级属性流程使用函数来表示属性转换。 可以使用 Azure AD Connect 随附的工具来检查整个配置。 如果需要进行配置更改,请确保遵循最佳做法,以便可以更轻松地采用新版本。

    自定义 Azure AD Connect 同步的后续步骤

    主题 链接
    所有 Azure AD Connect 同步文章 Azure AD Connect 同步
    技术概念 Azure AD Connect 同步:技术概念
    了解默认配置 Azure AD Connect 同步:了解默认配置
    了解用户和联系人 Azure AD Connect 同步:了解用户和联系人
    声明性预配 Azure AD Connect 同步:了解声明性预配表达式
    更改默认配置 更改默认配置的最佳做法

    配置联合身份验证功能

    可将 ADFS 配置为支持多个域。 例如,在联合身份验证功能中可能需要使用多个顶级域。

    如果 ADFS 服务器未配置为自动更新 Azure AD 中的证书,或者如果使用非 ADFS 解决方案,则在需要更新证书时会收到通知。

    配置联合身份验证功能的后续步骤

    主题 链接
    所有 AD FS 文章 Azure AD Connect 和联合身份验证
    配置带有子域的 ADFS 与 Azure AD 联合的多域支持
    管理 AD FS 场 使用 Azure AD Connect 管理和自定义 AD FS
    手动更新联合身份验证证书 续订 Office 365 和 Azure AD 的联合身份验证证书

    详细信息和参考

    主题 链接
    版本历史记录 版本历史记录
    Azure AD 的非 ADFS 兼容性列表 Azure AD 联合身份验证兼容性列表
    同步的属性 同步的属性
    常见问题解答 Azure AD Connect 常见问题解答

    其他资源

    有关将本地目录扩展到云的 Ignite 2015 演示文稿。