配置Azure AD同步详解

Azure AD简介：

Azure Active Directory (Azure AD) 是 Microsoft 提供的多租户、基于云的目录和标识管理服务。 Azure AD 将核心目录服务、应用程序访问管理和标识保护组合到一个解决方案中，提供基于标准的平台，帮助开发人员根据集中策略和规则为其应用程序提供访问控制。

Azure AD 的优势

Azure AD 可帮助你：

·        为整个企业中的每个用户创建和管理单一标识，使用户和组与 Azure AD Connect 保持同步。

·        通过对本地应用和云应用强制执行基于规则的多重身份验证，启用应用程序访问安全性。

谁使用 Azure AD

Azure AD 适用于应用开发人员以及 Office 365、Azure 用户。

·        面向应用开发人员。 Azure AD 通过提供与全球数百万组织所用的标识管理解决方案的集成，帮助你专注于构建应用。

·        面向 Office 365 客户和 Azure 客户。 你已在使用 Azure AD。 每个 Office 365 和 Azure 租户实际上是 Azure AD 租户，因此你可以立即开始管理用户对集成云应用的访问。

Azure AD 的可靠性如何？

Azure AD 的多租户、地理分布、高可用性设计意味着可以依赖它来解决最关键的业务需求。 Azure AD 通过自动故障转移在全球 28 个数据中心中运行。 这意味着即使数据中心出现故障，目录数据的副本也会存在于至少另外两个区域分散的数据中心中，并且可供即时访问。

有关服务级别协议的详细信息，请参阅服务级别协议。

 

使用Azure VM搭建AD域控

1.      在Azure门户对虚拟机进行相应配置；

私有IP地址需为静态

更改DNS为虚拟机私有地址；

2.      通过服务器管理器，选择“添加角色和功能”；

3.      “下一步”；

4.      默认选择“基于角色或基于功能的安装”，并按“下一步”；

5.      选择相应的服务器，按“下一步”；

6.      勾选“Active Directory域服务”角色；

7.      在弹出对话框中，点击“添加功能”；

8.      回到角色页面点击“下一步”；

9.      继续点击“下一步”；

10.   点击“下一步”；

11.   勾选自动重启服务器，并点击“安装”；

12.   当安装完毕时，点击“关闭”；

13.   在服务器管理器中点击右上角符号，并选择“将此服务器提升为域控制器”；

14.   选择“添加新林”并输入根域名，点击下一步；

15.   配置AD域还原模式密码，点击“下一步”；

16.   点击“下一步”；

17.   确认域名，点击“下一步”；

18.   点击“下一步”；

19.   点击“下一步”；

20.   通过先决条件检查后，点击“安装”；

配置验证自定义域名

1.      在Azure门户中选择“Azure Active Directory”选项卡，点击自定义域名；

2.      点击“添加自定义域”；

3.      输入域名，点击“添加域”；

4.      到DNS域名服务提供商中，添加相应TXT记录；

5.      回到Azure门户页面，点击“验证”按钮；

6.      提示验证成功；

当新添加的域验证通过以后，即可把新添加的域作为主域名，新创建的账号就可以使用所添加的域名来进行登录。

安装并配置Azure AD Connect

此步骤是为了把Azure AD与本地AD做结合，并同步本地域用户账号

1.      以域管理员账号登录Azure虚拟机；

2.      下载Azure AD Connect；

3.      运行Azure AD Connect；

4.      可以选择自定义/使用快速设置，这里文档选择“自定义”；

5.      选择所需要安装的组件，并点击“安装”；

6.      配置登录验证方式，点击“下一步”；

7.      配置Azure AD管理员，点击“下一步”；

8.      按“添加目录”，连接到本地AD；

9.      输入与管理员账号，进行AD连接验证；

10.   通信验证通过后，点击“下一步”；

11.   验证AD登录配置；

12.   选择需要同步的域和OU，点击“下一步”；

13.   点击“下一步”；

14.   筛选需要同步的内容；

15.   点击“下一步”；

16.   完成配置验证后，点击“安装”；

17.   配置完成，点击“退出”

账号同步

返回Azure门户，打开Azure Active Directory服务选项卡，点击所有用户，即可看到本地的AD账号已经同步到Azure AD中。

Azure AD Connect默认为每15分钟同步一次，如需要手动进行同步，可以在本地域控打开“Synchronization Service Manager”工具进行手动同步。

删除经过AD同步的自定义域名

如果组织不再使用某个自定义域名，或者需要在另一个 Azure AD 中使用该域名，可以从 Azure AD 中删除该域名。

要删除自定义域名，则必须先确保目录中没有任何资源依赖域名。 在以下情况下，，无法从目录删除域名：

·        任何用户都有包含域名的用户名、电子邮件地址或代理地址。

·        任何组都有包含域名的电子邮件地址或代理地址。

·        Azure AD 中的任何应用程序都具有包含域名的应用 ID URI。

必须更改或删除 Azure AD 目录中的任何此类资源，才能删除自定义域名。

当按照删除的要求，依然不能正常删除自定义的域名，请参考如下操作：

1.       安装Azure AD管理模块

Install-Module AzureAD

2.       安装MSOnline 模块

Install-Module -Name MSOnline

3.       连接AzureAD

Connect-AzureAD -AzureEnvironmentName AzureChinaCloud

4.       运行命令Connect-MsolService -AzureEnvironment AzureChinaCloud

5.       运行命令(Get-MsolCompanyInformation).DirectorySynchronizationEnabled

6.       运行命令Set-MsolDirSyncEnabled -EnableDirSync $false

7.       再次运行命令(Get-MsolCompanyInformation).DirectorySynchronizationEnabled

8.       在正式删除域名前，需要把与之关联的账号删除或更改登录域名；

9.       打开Azure门户，进入Azure Active Directory选项卡，并导航到“自定义域名”，选择相应的域名进行删除操作；

至此，自定义域名成功删除~~！！