本地AD帳戶同步到Office 365(21V)Azure AD

本地個人AD域位corp.cn，而我對外的域名訪問時basehome.com.cn，我申請了一個試用版的Office 365的帳號，管理員帳號爲zhangjs@basehome.partner.onmschina.cn，Office 365 21V的登錄地址是https://portal.partner.microsoftonline.cn/

接下來我要實現是把本地的AD帳戶同步到Office 365的Azure AD裏

首先我須要準備一臺Windows Server 2012 R2的系統加域，做爲Azure AD Connect的同步服務器

由於AD域是corp.cn，但內部和公網上但願用戶使用basehome.com.cn域名登錄，所以首先在AD域裏我添加一個UPN爲basehome.com.cn，打開AD域和信任關係，選擇屬性

輸入basehome.com.cn的域名，點擊添加

點擊應用和肯定

若是要讓內部的AD用戶都使用basehome.com.cn來進行登錄驗證，在添加完成後能夠對AD用戶進行修改（這裏我不作修改，根據企業實際的環境來定義是否修改）

備註：若是這裏修改爲@basehome.com.cn的域名後綴，那麼第一次同步上去的該帳戶就是@basehome.com.cn後綴的Office365帳戶；若是是同步以後再去本地AD修改用戶的後綴從corp.cn改爲basehome.com.cn的話，也會在後面同步到Office365裏的帳戶從basehome.partner.onmschina.cn變成basehome.com.cn的後綴。

接下來須要先作一件事，就是把個人basehome.com.cn驗證綁定到Office 365中，若是不綁定那麼默認狀況下，一個 Azure AD 租戶容許 5 萬個對象。 在驗證域後，該限制增長到 30 萬個對象。 若是在 Azure AD 中須要更多的對象，則須要開具支持案例來請求增大此限制。 若是須要 50 萬個以上的對象，則須要購買 Office 365或企業移動性和安全性等許可證。

那麼首先登錄到Office 365：https://portal.partner.microsoftonline.cn/

點擊管理員

展開安裝點擊域

默認咱們有一個Office 365以partner.onmschina.cn的默認域，對於用戶來說確定但願將來是使用公司的basehome.com.cn來登錄驗證的，使用這裏點擊添加域

輸入您公司對外的域名，下一步

提示須要驗證域：意思就是證實這個域名的全部權是您公司的

在這裏個人basehome.com.cn是租用域名商新網的，所以這裏我以新網來舉例，打開我域名管理，按照要求添加一條TXT的記錄

能夠在您電腦上驗證添加的txt是否生效

添加完成後點擊驗證，若是驗證失敗，就多等10分鐘再驗證

驗證經過後選擇「我將管理本身的DNS記錄，下一步

由於這裏我只是作同步AD，沒有其餘服務，因此什麼都不選擇，下一步

搞定，完成

接下來就須要回到本地的AADConnect服務器來部署Azure AD Connect來把本地的AD目錄同步到Office 365，在此以前須要說幾個先決條件

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

本地 Active Directory

• AD 架構版本與林功能級別必須是 Windows Server 2003 或更高版本。

• Azure AD 使用的域控制器必須可寫。 不支持使用 RODC（只讀域控制器）

• 不支持經過「以點分隔的」（名稱包含句點「.」）NetBios 名稱使用本地林/域

• 建議啓用 Active Directory 回收站

Azure AD Connect 服務器

• 不能在 Small Business Server 或 Windows Server Essentials 上安裝 Azure AD Connect。 該服務器必須使用 Windows Server Standard 或更高版本

• 必須在 Azure AD Connect 服務器上安裝完整的 GUI。 不支持 在服務器核心上安裝 GUI。

• Azure AD Connect 必須安裝在 Windows Server 2008 或更高版本上。 若是使用快速設置，此服務器能夠是域控制器或成員服務器。 若是使用自定義設置，服務器也能夠是獨立服務器，而且不須要加入域。

• 若是在 Windows Server 2008 或 Windows Server 2008 R2 上安裝 Azure AD Connect，請確保從 Windows 更新應用最新的修補程序。 在未修補的服務器上沒法啓動安裝。

• 若是打算使用 密碼同步功能，則必須在 Windows Server 2008 R2 SP1 或更高版本上安裝 Azure AD Connect 服務器。

• 若是打算使用組託管服務賬戶，則 Azure AD Connect 服務器必須位於 Windows Server 2012 或更高版本上。

• Azure AD Connect 服務器必須安裝 .NET Framework 4.5.1 或更高版本以及 Microsoft PowerShell 3.0 或更高版本。

• Azure AD Connect 服務器不得啓用 PowerShell 腳本組策略。

• 若是正在部署 Active Directory 聯合身份驗證服務，則要安裝 AD FS 或 Web 應用程序代理的服務器必須是 Windows Server 2012 R2 或更高版本。 Windows 遠程管理 才能進行遠程安裝。

• 若要部署 Active Directory 聯合身份驗證服務，須要使用 SSL 證書。

• 若要部署 Active Directory 聯合身份驗證服務，須要配置 名稱解析。

• 若是全局管理員已啓用 MFA，URL https://secure.aadcdn.microsoftonline-p.com 必須在受信任的站點列表中。 在顯示 MFA 質詢提示以前，系統會先提示將此 URL 添加到受信任的站點列表中（若是還沒有添加）。 可使用 Internet Explorer 將它添加到受信任站點。

Azure AD Connect 所使用的 SQL Server

• Azure AD Connect 要求使用 SQL Server 數據庫來存儲標識數據。 默認安裝 SQL Server 2012 Express LocalDB（輕量版本的 SQL Server Express）。 SQL Server Express 有 10GB 的大小限制，容許管理大約 100,000 個對象。 若是須要管理更多的目錄對象，則須要將安裝嚮導指向不一樣的 SQL Server 安裝。

• 若是使用獨立的 SQL Server，則這些要求適用：

• Azure AD Connect 支持從 SQL Server 2008（包含最新的 Service Pack）到 SQL Server 2016 SP1 的全部版本 Microsoft SQL Server。 不支持將 Azure SQL 數據庫用做數據庫。

• 必須使用不區分大小寫的 SQL 排序規則。 可經過名稱中的 _CI_ 識別這些排序規則。 不支持使用區分大小寫的排序規則，該規則可經過其名稱中的 _CS_ 識別。

• 每一個 SQL 實例只能有一個同步引擎。 不支持 與 FIM/MIM Sync、DirSync 或 Azure AD Sync 共享 SQL 實例。

帳戶

• 要集成的 Azure AD 租戶的 Azure AD 全局管理員賬戶。 該賬戶必須是學校或組織賬戶，而不能是 Microsoft 賬戶。

• 若是使用快速設置或者從 DirSync 升級，必須建立本地 Active Directory 的企業管理員賬戶。

• 若是使用自定義設置安裝路徑，賬戶應在 Active Directory 中。

其餘更爲詳細的先決條件請參見：https://docs.azure.cn/zh-cn/active-directory/connect/active-directory-aadconnect-prerequisites

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

在同步以前咱們須要先使用ID Fix工具檢查AD裏的帳號是否符合Azure AD的規範要求，該工具能夠直接放在域控上容許，域控須要先安裝好.NET Framework 4.0

到 Microsoft 下載網站 for IdFix 目錄同步錯誤修復工具。

默認狀況下，IdFix 對整個目錄搜索錯誤。根據您的目錄的大小，運行查詢可能須要一段。您能夠觀看該工具主窗口底部的進度。若是單擊取消，您須要從新啓動從頭開始，IdFix 完成查詢以後，且目錄中沒有錯誤，則能夠繼續同步目錄。若是您的目錄中有錯誤，建議您在同步以前先修復這些錯誤。

備註：若是您贊成「UPDATE」列中的更改建議，請在「ACTION」列中選擇 IdFix 要實現此更改應執行的操做，而後單擊「應用」。當您單擊「應用」*時，該工具會在目錄中作出更改。詳細的使用方法參見：https://docs.microsoft.com/zh-cn/office365/enterprise/install-and-run-idfix?redirectSourcePath=%252farticle%252fInstall-and-run-the-Office-365-IdFix-tool-f4bd2439-3e41-4169-99f6-3fabdfa326ac

您無需在每一個更新後單擊應用。相反，能夠解決幾個錯誤以前單擊應用，IdFix 將全部在同時更改它們。能夠經過單擊錯誤頂部列出了錯誤類型的列的排序錯誤類型的錯誤

那麼接下來先在AADConnect服務器安裝.NET Framework 4.5.1 和 Microsoft PowerShell 3.0

接下來下載Microsoft Azure Active Directory Connect

http://www.microsoft.com/en-us/download/details.aspx?id=47594

開始安裝

選擇贊成，點擊繼續

選擇使用快速設置

輸入Office 365全局管理員帳戶和密碼

輸入本地域具有企業管理員組的帳戶

接下來勾選，下一步

點擊安裝，而後自動啓動同步流程

安裝會自動先安裝一個SQL 2012 Express版本，最後安裝完成，退出

過一會能夠看到Office 365上有從本地AD同步上去的帳戶了

在這裏能夠看到把整個AD目錄的全部對象都同步上去了，若是隻須要同步指定的OU那該怎麼作呢？回到AADConnect服務器，點擊Azure AD Connect，點擊配置

選擇自定義同步選項，下一步

輸入Office 365全局管理員帳戶

下一步

好比這裏我只同步用戶所在OU——「Users」，就只勾選它

備註：若是隻是同步Users裏OU的帳戶，一旦這些帳戶同步到Office 365後您把該OU裏的全部帳戶移動到其餘OU裏，那麼下次同步時會自動把Office 365上屬於Users裏OU裏的帳戶所有刪除

下一步（密碼寫回目前只有國際版的Azure AD高級版纔有的功能，國內21V暫時沒有，使用同步只能是從本地到Azure AD的單向同步，所以修改用戶屬性和密碼只能在本地AD裏完成，不然就算你在Office 365修改了也不會同步回本地AD）

點擊配置

退出，完成

默認同步週期爲30分鐘同步一次，若是您須要當即執行同步，請在本地AADConnect服務器的Powershell執行

增量同步Start-ADSyncSyncCycle -PolicyType Delta

徹底同步Start-ADSyncSyncCycle -PolicyType Initial

等一會後就同步好了，能夠看到Office 365上只有Users的用戶了

但這裏看到同步上來的都是partner.onmschina.cn後綴的帳戶名，若是要修改爲basehome.com.cn後綴的帳戶名怎麼辦呢？由於是AADConnect同步上來，所以就須要在本地AD裏去修改用戶的屬性便可，等待下一次同步就會所有變動

最後給用戶分配一個許可證驗證登錄，這裏選擇須要分配許可證的用戶，點擊編輯

選擇國家和許可證類型，保存

須要等待一會，而後用戶就能夠登錄測試了https://portal.partner.microsoftonline.cn/

輸入密碼

選擇否

這樣就搞定能夠登錄了

點擊Outlook，郵箱也可使用了

由於是從本地AD同步上去的，所以若是您想在Office 365上直接刪除同步上去的帳戶是不行的

哪些帳戶是從本地AD同步上去的均可以看到

到這裏從本地AD同步上Office 365的Azure AD就介紹到這了。