Office 365系列之十二:ActiveDirectory同步

在实际企业环境中,绝大部分公司已经有域环境了,也有自己内部的域用户和用户组。如果使用O365服务后又是独立的一套账号和密码,这对用户来说非常不方便,对于企业管理员来说也不好管理,必须得管理2套不同的用户和策略。由此对于O365微软提供了以下解决方案,我们来看看这几种方案有何区别:

今天我们先一起了解和配置目录使用密码同步的目录同步方案,这样即可实现通过内部用户名和密码登录O365云服务。

目录同步方案- 用于将本地目录对象(用户、组、联系人)同步到云中,以帮助减少管理开销。在英文中,directory synchronization 有时简写为 directorysync。设置目录同步后,管理员便可以从本地 Active Directory 管理目录对象,所做的更改将同步到租户。在此方案中,你的用户将使用不同的用户名与密码来访问你的云和本地资源。

使用密码同步的目录同步方案- 如果要让用户使用他们在登录企业网络和资源时所用的相同用户名和密码来登录 Azure AD 和其他服务,请使用此方案。密码同步是目录同步工具的一个功能。

1.  系统要求和先决条件

1.1 在开始目录同步之前我们先来看看基本的系统要求和前提条件。为了实现目录同步必须准备一台AD同步计算机,具体要求如下:

·  它必须使用 Windows Server 作为操作系统。支持以下版本的 WindowsServer 操作系统:

  • 64 位版本的 Windows Server 2008 Standard、Enterprise 或 Datacenter 版 SP1 或更高版本
  • Windows Server 2008 R2 Standard、Enterprise 或 Datacenter 版 SP1 或更高版本
  • Windows Server 2012 Standard 或 Datacenter
  • Windows Server 2012 R2 Standard 或 Datacenter

·  它必须加入到 Active Directory

·  它必须运行 Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 4.5.1

·  它必须运行 Windows PowerShell

·  活动目录同步工具不能安装在域控制器上

 

更多详细的要求可参考Technet官方文档:

http://technet.microsoft.com/zh-cn/library/jj151831

1.2 必须添加自定义域并完成验证,具体可参考本系列的第四部分,完成后即可按照以下步骤进行具体的配置。

2.  激活 Active Directory 同步

2.1 登录O365管理中心,点击“设置”

2.2 点击“激活”

2.3 在提示对话框中确认后点击“激活”

2.4 确认状态已经激活

3.  配置活动目录同步服务器

3.1 将活动目录服务器加入域后,通过服务器管理器安装Microsoft .NET Framework 3.5(Microsoft .NET Framework4.5在Windows Server 2012 R2默认已经安装好了)勾选“.NET Framework 3.5功能”,点击“下一步”

3.2 点击“指定备用源路径”指定系统所在路径(D:\sources\sxs\)点击“确定”---“安装”(在Windows Server2012 R2 安装.Net 3.5必须指定源光盘路径)

3.3 安装活动目录同步工具(可从O365管理中心下载),运行安装程序,点击“下一步”

3.4 选择“我接受”,点击“下一步”

3.5 选择安装路径,点击“下一步”

3.6 等待同步工具的安装

3.7 安装完成后,点击“下一步”

3.8 勾选“立即启动配置向导”点击“完成”(也可通过桌面快捷方式开始配置向导)

3.9 点击“下一步”

3.10 输入O365具有全局管理员的凭据,点击“下一步”

3.11 输入内部组织AD企业管理员凭据,点击“下一步”

3.12 如需将Azure AD属性写回到本地AD,勾选“启用混合部署”

3.13 如需将本地AD用户密码同步至Azure AD,勾选“启用密码同步”,点击“下一步”

3.14 等待配置

3.15 配置完成后,点击“下一步”

3.16 若需立即同步,勾选“立即同步目录”,点击“完成”

此时配置成功后会自动将本地AD新创建的所有用户和安全组同步至Azure AD,那么在实际环境中一般只需要同步特定的OU中的用户。可以通过以下步骤修改。

4.  自定义同步特定OU中的用户和组

4.1 在Active Directory 用户和计算机中创建好OU,并将需要同步至AzureAD的用户存放在此OU中;

4.2 在目录同步计算机上打开miisclient, 默认路径在”C:\Program Files\Windows Azure Active DirectorySync\SYNCBUS\Synchronization Service\UIShell” 切换到“Management Agents”,右键“Active DirectoryConnector”选择“Properties”

4.3 点击“ConfigureDirectory Partitions”---“Containers”

4.4 输入本地AD管理员账号密码,点击“OK”

4.5 勾选需要同步的特定OU点击“OK”

4.6 点击“OK”

4.7 以管理员身份运行WindowsPowerShell,运行命令“Import-Module dirsync”导入模块,接着运行命令“Start-OnlineCoexistenceSync-fullsync”重新完全同步;

5.  激活已同步用户

5.1 登录O365管理中心,切换到“活动用户”,可看到已经成功从本地AD中同步了3个用户,且状态为“已与Active Directory同步”(如果同步了本地的安全组,可在“安全组”选项中看到)

5.2 同步完成后并没有分配许可和电子邮件地址,点击“激活已同步用户”

5.3 选择用户位置和分配许可证,点击”激活”

5.4 在结果页面点击“完成”,此步骤不会生成密码,使用的是本地AD的密码

5.5 分配许可和电子邮件地址后,发现地址并非是Wangld.com,而是默认的域名,此时想到通过点击编辑按钮进行修改,点击“编辑”

5.6 提示有些详细信息只能通过本地AD进行编辑

5.7 点击“电子邮件地址”—“设置为主要电子邮件地址”

5.8 点击“保存”

5.9 保存后出现错误,说明只能通过本地AD修改后再同步过来。当然此时可能会有人说,刚才配置的时候不是勾选了“启用混合部署”吗。勾选此“启用混合部署”的作用是将Office365云端的用户部分属性同步到本地AD,并不是可以实现在云端进行编辑更改用户属性。

5.10 回到本地active directory 用户和计算机,编辑用户LocalUser01属性,在电子邮件地址处输入[email protected],点击确定。

5.11 等待同步完成后,回到O365管理中心可发现主要电子邮件地址已经更改过来了,如图

以上是活动目录同步的整个配置过程,也是后期配置单一登陆(SSO)的前提条件,希望能帮到大家,感谢大家的支持和关注。IT之光交流群 397506426

时间: 2024-10-20 02:14:17

Office 365系列之十二:ActiveDirectory同步的相关文章

从Exchange 通往Office 365系列(十二)发布Outlook Anywhere

最后把Outlook Anywhere发布出去,这样在外网即使不连接VPN也可以以MAPI的方式连回Exchange,要注意的是Outlook Anywhere默认是不会启用的,还需要单独开启 1. 登录到ECP中,点击服务器,双击ExchangeCAS01 2. 点击Outlook Anywhere,然后输入相应的内外网的地址,身份验证方式选择基本,点击保存 3. 同样的方法将ExchangeCAS02设置一遍,生效是需要一段时间的,可以直接重启两台服务器 4. 右键防火墙策略,选择新建->E

Office 365系列之十六:配置Outlook POP3方式连接Exchange Online

1.  前提条件 1.1  确保已经创建并启用用户的邮箱,关于如何创建用户请参考黄锦辉专栏 Office 365系列之五:创建新用户 http://stephen1991.blog.51cto.com/8959108/1597912 Office 365 系列之六:通过管理中心批量导入用户 http://stephen1991.blog.51cto.com/8959108/1605202 Office 365系列之十一:使用Windows PowerShell 批量导入用户 http://ste

Office 365系列之十五:配置Outlook MAPI方式连接Exchange Online

1. 前提条件 1.1  确保已经创建并启用用户的邮箱,关于如何创建用户请参考黄锦辉专栏 Office 365系列之五:创建新用户 http://stephen1991.blog.51cto.com/8959108/1597912 Office 365 系列之六:通过管理中心批量导入用户 http://stephen1991.blog.51cto.com/8959108/1605202 Office 365系列之十一:使用Windows PowerShell 批量导入用户 http://step

Office 365系列之十:批量部署O365客户端

转眼间已经到整个系列的第十部分了,购买了O365订阅服务后,为了给用户更好的体验需要为用户部署客户端,之前我们提到的用户通过O365管理中心使用即点即用技术自助完成安装,但是这样客户端是直接通过Internet下载安装源.这样给企业网络带来了很大的问题,今天在此跟大家分享怎么批量去部署O365客户端,让客户端到公司内部的共享路径去安装. 1. 下载即点即用安装源文件 新建用于存放O365安装源的文件夹"Office15" 右键选择"共享"-"特定用户&qu

从Exchange 通往Office 365系列(十九)迁移方法简介

如果想将一个其他平台的邮件服务器迁移到Office 365中,根据不同的场景可以有几种不同的迁移方式,基本可以分为以下几种     #IMAP迁移     #PST迁移     #暂存Exchange迁移(SEM)     #直接转换Exchange迁移(CEM)     #远程移动迁移(混合部署) 以下是一些详细的介绍 IMAP迁移 在 IMAP 迁移中,IMAP 邮件系统上的用户邮箱内容被迁移到 Exchange Online 邮箱. 下面是使用 IMAP 迁移的一些要求和注意事项: l 

从Exchange 通往Office 365系列(十八)通过csv文件批量创建用户

之前已经讲过在Office 365中创建用户一种方法是通过活动目录同步工具将本地AD同步到Office 365中,其实这也就是同步到Office 365后台的Windows Azure中,这是在企业已经有本地的AD架构之后的做法,如果小型机构可能内部并没有AD的架构,那么这时候可以通过csv格式的文件在Office 365中直接创建用户,之前已经讲过如何通过活动目录同步工具将本地AD同步到Office 365中,想看的可以去看一下http://mxyit.blog.51cto.com/43088

Office 365系列之十四:配置自定义URL访问个人Portal和网页版Outlook

在之前的文章中我们已经通过添加自定义域名实现将用户登录名和电子邮件地址修改为公司的域名.但是如何实现通过自定义的URL访问Office 365 Portal和Exchange OWA. 1.  配置自定义URL 1.1  在开始本章节之前请确保已经在Office 365管理中心添加好了自定义域,关于如何添加自定义域请参考黄锦辉专栏,链接:http://stephen1991.blog.51cto.com/8959108/1596060 1.2 实现通过portal.wangld.com访问Off

从Exchange 通往Office 365系列(十四)配置部署边缘传输服务器

    接下来我们完成边缘传输服务器的部署和配置,边缘传输服务器的作用一般是反垃圾邮件,虽然一般企业的反垃圾邮件都是用的第三方的产品,微软也一度在Exchange 2013推出时去掉了边缘传输这个角色,不过在之后的更新中边缘传输的角色又回来了,我们来看一下边缘传输角色在Exchange 2013中部署和配置,其实这和Exchange 2010的边缘传输并没有太大区别 PS:部署边缘传输服务器需要注意的是 1.边缘服务器不要加域 2.放在DMZ区 3.添加域名DNS后缀 4.添加边缘传输服务器的A

从Exchange 通往Office 365系列(十)配置电子邮件地址策略

默认情况下,因为我们的内外网的域名是不一样的,所以Exchange即使其他配置都正确也收不到邮件,因为我们的邮件后缀不同,因此我们需要将外网的域名加入到Exchange的接受域里 1. 首先登录到EAC(ECP)中,选择邮件流,点击接受的域,点击加号添加接受域 2. 输入相应名称,输入外网域名,选择权威域,最后保存 3. 这样接受域就已经被添加到Exchange中了,但是要注意,用户的电子邮件后缀是不会直接发生变化的,这时候如果查看用户属性的话,会发现电子邮件地址还是之前的用户名@contoso