配置Azure AD同步詳解

Azure AD簡介：

Azure Active Directory (Azure AD) 是 Microsoft 提供的多租戶、基於雲的目錄和標識管理服務。 Azure AD 將核心目錄服務、應用程序訪問管理和標識保護組合到一個解決方案中，提供基於標準的平臺，幫助開發人員根據集中策略和規則爲其應用程序提供訪問控制。

Azure AD 的優勢

Azure AD 可幫助你：

·        爲整個企業中的每個用戶創建和管理單一標識，使用戶和組與 Azure AD Connect 保持同步。

·        通過對本地應用和雲應用強制執行基於規則的多重身份驗證，啓用應用程序訪問安全性。

誰使用 Azure AD

Azure AD 適用於應用開發人員以及 Office 365、Azure 用戶。

·        面向應用開發人員。 Azure AD 通過提供與全球數百萬組織所用的標識管理解決方案的集成，幫助你專注於構建應用。

·        面向 Office 365 客戶和 Azure 客戶。 你已在使用 Azure AD。 每個 Office 365 和 Azure 租戶實際上是 Azure AD 租戶，因此你可以立即開始管理用戶對集成雲應用的訪問。

Azure AD 的可靠性如何？

Azure AD 的多租戶、地理分佈、高可用性設計意味着可以依賴它來解決最關鍵的業務需求。 Azure AD 通過自動故障轉移在全球 28 個數據中心中運行。 這意味着即使數據中心出現故障，目錄數據的副本也會存在於至少另外兩個區域分散的數據中心中，並且可供即時訪問。

有關服務級別協議的詳細信息，請參閱服務級別協議。

 

使用Azure VM搭建AD域控

1.      在Azure門戶對虛擬機進行相應配置；

私有IP地址需爲靜態

更改DNS爲虛擬機私有地址；

2.      通過服務器管理器，選擇“添加角色和功能”；

3.      “下一步”；

4.      默認選擇“基於角色或基於功能的安裝”，並按“下一步”；

5.      選擇相應的服務器，按“下一步”；

6.      勾選“Active Directory域服務”角色；

7.      在彈出對話框中，點擊“添加功能”；

8.      回到角色頁面點擊“下一步”；

9.      繼續點擊“下一步”；

10.   點擊“下一步”；

11.   勾選自動重啓服務器，並點擊“安裝”；

12.   當安裝完畢時，點擊“關閉”；

13.   在服務器管理器中點擊右上角符號，並選擇“將此服務器提升爲域控制器”；

14.   選擇“添加新林”並輸入根域名，點擊下一步；

15.   配置AD域還原模式密碼，點擊“下一步”；

16.   點擊“下一步”；

17.   確認域名，點擊“下一步”；

18.   點擊“下一步”；

19.   點擊“下一步”；

20.   通過先決條件檢查後，點擊“安裝”；

配置驗證自定義域名

1.      在Azure門戶中選擇“Azure Active Directory”選項卡，點擊自定義域名；

2.      點擊“添加自定義域”；

3.      輸入域名，點擊“添加域”；

4.      到DNS域名服務提供商中，添加相應TXT記錄；

5.      回到Azure門戶頁面，點擊“驗證”按鈕；

6.      提示驗證成功；

當新添加的域驗證通過以後，即可把新添加的域作爲主域名，新創建的賬號就可以使用所添加的域名來進行登錄。

安裝並配置Azure AD Connect

此步驟是爲了把Azure AD與本地AD做結合，並同步本地域用戶賬號

1.      以域管理員賬號登錄Azure虛擬機；

2.      下載Azure AD Connect；

3.      運行Azure AD Connect；

4.      可以選擇自定義/使用快速設置，這裏文檔選擇“自定義”；

5.      選擇所需要安裝的組件，並點擊“安裝”；

6.      配置登錄驗證方式，點擊“下一步”；

7.      配置Azure AD管理員，點擊“下一步”；

8.      按“添加目錄”，連接到本地AD；

9.      輸入與管理員賬號，進行AD連接驗證；

10.   通信驗證通過後，點擊“下一步”；

11.   驗證AD登錄配置；

12.   選擇需要同步的域和OU，點擊“下一步”；

13.   點擊“下一步”；

14.   篩選需要同步的內容；

15.   點擊“下一步”；

16.   完成配置驗證後，點擊“安裝”；

17.   配置完成，點擊“退出”

賬號同步

返回Azure門戶，打開Azure Active Directory服務選項卡，點擊所有用戶，即可看到本地的AD賬號已經同步到Azure AD中。

Azure AD Connect默認爲每15分鐘同步一次，如需要手動進行同步，可以在本地域控打開“Synchronization Service Manager”工具進行手動同步。

刪除經過AD同步的自定義域名

如果組織不再使用某個自定義域名，或者需要在另一個 Azure AD 中使用該域名，可以從 Azure AD 中刪除該域名。

要刪除自定義域名，則必須先確保目錄中沒有任何資源依賴域名。 在以下情況下，，無法從目錄刪除域名：

·        任何用戶都有包含域名的用戶名、電子郵件地址或代理地址。

·        任何組都有包含域名的電子郵件地址或代理地址。

·        Azure AD 中的任何應用程序都具有包含域名的應用 ID URI。

必須更改或刪除 Azure AD 目錄中的任何此類資源，才能刪除自定義域名。

當按照刪除的要求，依然不能正常刪除自定義的域名，請參考如下操作：

1.       安裝Azure AD管理模塊

Install-Module AzureAD

2.       安裝MSOnline 模塊

Install-Module -Name MSOnline

3.       連接AzureAD

Connect-AzureAD -AzureEnvironmentName AzureChinaCloud

4.       運行命令Connect-MsolService -AzureEnvironment AzureChinaCloud

5.       運行命令(Get-MsolCompanyInformation).DirectorySynchronizationEnabled

6.       運行命令Set-MsolDirSyncEnabled -EnableDirSync $false

7.       再次運行命令(Get-MsolCompanyInformation).DirectorySynchronizationEnabled

8.       在正式刪除域名前，需要把與之關聯的賬號刪除或更改登錄域名；

9.       打開Azure門戶，進入Azure Active Directory選項卡，並導航到“自定義域名”，選擇相應的域名進行刪除操作；

至此，自定義域名成功刪除~~！！