Azure 配置管理系列 AD Connect(PART1)
设置Office 365环境时,如果要使用自己的Active Directory域,则需要使用Azure AD设置同步服务。过去我们需要在此处设置DirSync的地方,现在需要安装和配置后继Azure AD Sync 或Azure AD Connect同步服务。可以通过下载此工具或通过下载Microsoft Azure Active Directory Connect来做到这一点,在安装过程中简化,也比较好上手。
AAD Connect概述
Azure AD Connect是一个向导,可自动执行以下步骤
- 安装先决条件,例如Azure Active Directory PowerShell模块和Microsoft Online Services登录助手。
- 安装并配置Azure AD Sync作为同步引擎,并在客户的Azure租户中启用目录同步
- 根据客户喜欢的登录选项配置密码同步或AD FS,并在Azure中包括所有必需的配置
随着Azure AD Connect的发布,我们现在拥有三个工具,这些工具将提供与Azure AD / Office 365的目录同步。
- Microsoft Azure Active Directory同步工具(DirSync)–该同步工具最终将退出,但目前没有ETA。
- Azure AD同步– Azure AD Connect正式发布时,此工具的“独立”版本将停用。
- Azure AD Connect – DirSync停用后,此同步工具将是唯一可用的工具。它包括Azure AD Sync作为同步引擎。
其他同步选项的Azure AD Connect,从DirSync的无缝迁移,不再有单独的Azure AD Sync和Azure AD Connect版本。而且我们没有计划的DirSync的未来版本。Azure AD Connect现在是您的一站式商店,用于同步,登录以及混合连接的所有组合。
在陈述设置时,Microsoft Azure Active Directory Connect工具会通过安装必备组件来帮助您,这些必备组件才能将用户AD和组从本地AD同步到Azure AD。如果以下产品不存在,它将自动安装;
- 适用于IT专业人员的Microsoft Online Services登录助手
- 适用于Windows PowerShell的Windows Azure Active Directory模块
- Microsoft Visual C ++ 2013可再发行组件包
安装先决条件
在准备好先决条件之后,将安装Azure AD Connect同步服务。Azure AD Connect同步服务需要一个SQL数据库,可以配置一个现有数据库,否则将自动安装一个SQL Express版本。接下来,我们需要提供作为全局管理员角色成员的Azure AD用户的用户名。
连接到Azure AD
在安装了同步服务并将其与Azure AD连接之后,我们可以自定义Azure AD Connect同步服务的配置,以及其他功能。因此,如果我们不选择使用如下所示的快速设置,我们可以
通过密码配置单一登录与AD FS同步,联合。
使用自定义选项
我将选择“联合AD FS”并连接我的Active Directory。Microsoft Azure Active Directory Connect允许您同步多个目录。
下一步是您可以按DN或组成员过滤用户和组。
筛选或同步所有内容
接下来,您需要配置如何标识本地目录中的用户。用户在多个目录中仅代表一次还是在多个目录中存在用户身份。根据属性,您可以配置必须如何匹配用户。如果仅将一个Active Directory用作源,则可以轻松使用默认值,如下所示。
选择属性
如您所见,Microsoft Azure Active Directory Connect工具在很大程度上帮助您设置同步服务。除此之外,您还可以配置以下功能:
Exchange混合部署
Exchange混合部署功能通过将一组特定的属性从Azure AD同步回您自己的Active Directory,从而允许Exchange邮箱在本地和Azure*存。
密码回写
如果密码在Azure AD中发生更改,它将被写回到您自己的Active Directory中。
用户写回
如果在Azure AD中创建用户,它将被写回到您自己的Active Directory中。
和:
- Azure AD应用程序和属性筛选
- 组重写
- 设备同步
- 目录扩展名属性同步
选择以下两个选项,如下所示,我们可以在本地Active Directory中配置写回位置。
附加选项
接下来,您需要配置一个新的AD FS服务器场Windows Server 2012 R2。指定用于保护客户端和AD FS之间的通信的SSL证书。证书文件应位于pfx中。
由于ADFS利用SSL,因此我们需要具有SSL证书。您可以尝试三种选择,但只有一种可行:
- 自签名证书
- 内部PKI颁发的证书
- 来自第三方公共CA的证书
Office 365需要在ADFS基础结构上看到有效的服务通信证书,因此您将不得不从公共CA购买证书。Office 365将不信任自签名的或来自内部CA的服务通信证书。对于令牌解密和令牌签名证书,我们可以使用自签名证书。这些与服务通信证书是分开的。
请遵循所选CA的文档以请求,安装并完成证书。所需的步骤因供应商而异,并且随时间而变化。确保您没有丢失任何更新的中间证书!
我们将部署初始的ADFS服务器,并在将来添加另一个ADFS服务器以实现冗余。
添加联合身份验证服务器在Windows Server 2012 R2上,指定安装AD FS服务的位置
添加代理服务器在Windows Server 2012 R2上,指定安装Web应用程序代理服务器的位置
接下来,指定代理信任凭证。Web应用程序代理需要凭据才能从联合服务器请求证书。
可以将GMSA用作ADFS服务帐户。GMSA将自动更新服务帐户的凭据,管理员也将忽略其密码。
在这种情况下,将使用标准服务帐户。
选择Azure AD域以与本地目录联合。托管域转换为联合域
真正出色的向导中的最后一步是安装和配置同步服务,AD FS和WAP服务器。
完成配置
目前,请确保您已创建DNS记录,以使客户端可以从内部和外部解析您的联合身份验证服务。
附加步骤
本主题介绍在安装第一个联合身份验证服务器之后配置AD FS的其他步骤,包括:
有关如何部署AD FS的详细信息,请参阅如何在Windows Server 2012 R2中部署AD FS。