在实际企业环境中,绝大部分公司已经有域环境了,也有自己内部的域用户和用户组。如果使用O365服务后又是独立的一套账号和密码,这对用户来说非常不方便,对于企业管理员来说也不好管理,必须得管理2套不同的用户和策略。由此对于O365微软提供了以下解决方案,我们来看看这几种方案有何区别:
今天我们先一起了解和配置目录使用密码同步的目录同步方案,这样即可实现通过内部用户名和密码登录O365云服务。
目录同步方案- 用于将本地目录对象(用户、组、联系人)同步到云中,以帮助减少管理开销。在英文中,directory synchronization 有时简写为 directorysync。设置目录同步后,管理员便可以从本地 Active Directory 管理目录对象,所做的更改将同步到租户。在此方案中,你的用户将使用不同的用户名与密码来访问你的云和本地资源。
使用密码同步的目录同步方案- 如果要让用户使用他们在登录企业网络和资源时所用的相同用户名和密码来登录 Azure AD 和其他服务,请使用此方案。密码同步是目录同步工具的一个功能。
1. 系统要求和先决条件
1.1 在开始目录同步之前我们先来看看基本的系统要求和前提条件。为了实现目录同步必须准备一台AD同步计算机,具体要求如下:
· 它必须使用 Windows Server 作为操作系统。支持以下版本的 WindowsServer 操作系统:
- 64 位版本的 Windows Server 2008 Standard、Enterprise 或 Datacenter 版 SP1 或更高版本
- Windows Server 2008 R2 Standard、Enterprise 或 Datacenter 版 SP1 或更高版本
- Windows Server 2012 Standard 或 Datacenter
- Windows Server 2012 R2 Standard 或 Datacenter
· 它必须加入到 Active Directory。
· 它必须运行 Microsoft .NET Framework 3.5 SP1 和 Microsoft .NET Framework 4.5.1
· 它必须运行 Windows PowerShell
· 活动目录同步工具不能安装在域控制器上
更多详细的要求可参考Technet官方文档:
http://technet.microsoft.com/zh-cn/library/jj151831
1.2 必须添加自定义域并完成验证,具体可参考本系列的第四部分,完成后即可按照以下步骤进行具体的配置。
2. 激活 Active Directory 同步
2.1 登录O365管理中心,点击“设置”
2.2 点击“激活”
2.3 在提示对话框中确认后点击“激活”
2.4 确认状态已经激活
3. 配置活动目录同步服务器
3.1 将活动目录服务器加入域后,通过服务器管理器安装Microsoft .NET Framework 3.5(Microsoft .NET Framework4.5在Windows Server 2012 R2默认已经安装好了)勾选“.NET Framework 3.5功能”,点击“下一步”
3.2 点击“指定备用源路径”指定系统所在路径(D:\sources\sxs\)点击“确定”---“安装”(在Windows Server2012 R2 安装.Net 3.5必须指定源光盘路径)
3.3 安装活动目录同步工具(可从O365管理中心下载),运行安装程序,点击“下一步”
3.4 选择“我接受”,点击“下一步”
3.5 选择安装路径,点击“下一步”
3.6 等待同步工具的安装
3.7 安装完成后,点击“下一步”
3.8 勾选“立即启动配置向导”点击“完成”(也可通过桌面快捷方式开始配置向导)
3.9 点击“下一步”
3.10 输入O365具有全局管理员的凭据,点击“下一步”
3.11 输入内部组织AD企业管理员凭据,点击“下一步”
3.12 如需将Azure AD属性写回到本地AD,勾选“启用混合部署”
3.13 如需将本地AD用户密码同步至Azure AD,勾选“启用密码同步”,点击“下一步”
3.14 等待配置
3.15 配置完成后,点击“下一步”
3.16 若需立即同步,勾选“立即同步目录”,点击“完成”
此时配置成功后会自动将本地AD新创建的所有用户和安全组同步至Azure AD,那么在实际环境中一般只需要同步特定的OU中的用户。可以通过以下步骤修改。
4. 自定义同步特定OU中的用户和组
4.1 在Active Directory 用户和计算机中创建好OU,并将需要同步至AzureAD的用户存放在此OU中;
4.2 在目录同步计算机上打开miisclient, 默认路径在”C:\Program Files\Windows Azure Active DirectorySync\SYNCBUS\Synchronization Service\UIShell” 切换到“Management Agents”,右键“Active DirectoryConnector”选择“Properties”
4.3 点击“ConfigureDirectory Partitions”---“Containers”
4.4 输入本地AD管理员账号密码,点击“OK”
4.5 勾选需要同步的特定OU点击“OK”
4.6 点击“OK”
4.7 以管理员身份运行WindowsPowerShell,运行命令“Import-Module dirsync”导入模块,接着运行命令“Start-OnlineCoexistenceSync-fullsync”重新完全同步;
5. 激活已同步用户
5.1 登录O365管理中心,切换到“活动用户”,可看到已经成功从本地AD中同步了3个用户,且状态为“已与Active Directory同步”(如果同步了本地的安全组,可在“安全组”选项中看到)
5.2 同步完成后并没有分配许可和电子邮件地址,点击“激活已同步用户”
5.3 选择用户位置和分配许可证,点击”激活”
5.4 在结果页面点击“完成”,此步骤不会生成密码,使用的是本地AD的密码
5.5 分配许可和电子邮件地址后,发现地址并非是Wangld.com,而是默认的域名,此时想到通过点击编辑按钮进行修改,点击“编辑”
5.6 提示有些详细信息只能通过本地AD进行编辑
5.7 点击“电子邮件地址”—“设置为主要电子邮件地址”
5.8 点击“保存”
5.9 保存后出现错误,说明只能通过本地AD修改后再同步过来。当然此时可能会有人说,刚才配置的时候不是勾选了“启用混合部署”吗。勾选此“启用混合部署”的作用是将Office365云端的用户部分属性同步到本地AD,并不是可以实现在云端进行编辑更改用户属性。
5.10 回到本地active directory 用户和计算机,编辑用户LocalUser01属性,在电子邮件地址处输入[email protected],点击确定。
5.11 等待同步完成后,回到O365管理中心可发现主要电子邮件地址已经更改过来了,如图
以上是活动目录同步的整个配置过程,也是后期配置单一登陆(SSO)的前提条件,希望能帮到大家,感谢大家的支持和关注。IT之光交流群 397506426