本地AD帐户同步到Office 365(21V)Azure AD

本地个人AD域位corp.cn，而我对外的域名访问时basehome.com.cn，我申请了一个试用版的Office 365的帐号，管理员帐号为zhangjs@basehome.partner.onmschina.cn，Office 365 21V的登录地址是https://portal.partner.microsoftonline.cn/

接下来我要实现是把本地的AD帐户同步到Office 365的Azure AD里

首先我须要准备一台Windows Server 2012 R2的系统加域，做为Azure AD Connect的同步服务器

由于AD域是corp.cn，但内部和公网上但愿用户使用basehome.com.cn域名登录，所以首先在AD域里我添加一个UPN为basehome.com.cn，打开AD域和信任关系，选择属性

输入basehome.com.cn的域名，点击添加

点击应用和肯定

若是要让内部的AD用户都使用basehome.com.cn来进行登录验证，在添加完成后能够对AD用户进行修改（这里我不作修改，根据企业实际的环境来定义是否修改）

备注：若是这里修改为@basehome.com.cn的域名后缀，那么第一次同步上去的该帐户就是@basehome.com.cn后缀的Office365帐户；若是是同步以后再去本地AD修改用户的后缀从corp.cn改为basehome.com.cn的话，也会在后面同步到Office365里的帐户从basehome.partner.onmschina.cn变成basehome.com.cn的后缀。

接下来须要先作一件事，就是把个人basehome.com.cn验证绑定到Office 365中，若是不绑定那么默认状况下，一个 Azure AD 租户容许 5 万个对象。 在验证域后，该限制增长到 30 万个对象。 若是在 Azure AD 中须要更多的对象，则须要开具支持案例来请求增大此限制。 若是须要 50 万个以上的对象，则须要购买 Office 365或企业移动性和安全性等许可证。

那么首先登录到Office 365：https://portal.partner.microsoftonline.cn/

点击管理员

展开安装点击域

默认咱们有一个Office 365以partner.onmschina.cn的默认域，对于用户来说确定但愿将来是使用公司的basehome.com.cn来登录验证的，使用这里点击添加域

输入您公司对外的域名，下一步

提示须要验证域：意思就是证实这个域名的全部权是您公司的

在这里个人basehome.com.cn是租用域名商新网的，所以这里我以新网来举例，打开我域名管理，按照要求添加一条TXT的记录

能够在您电脑上验证添加的txt是否生效

添加完成后点击验证，若是验证失败，就多等10分钟再验证

验证经过后选择“我将管理本身的DNS记录，下一步

由于这里我只是作同步AD，没有其余服务，因此什么都不选择，下一步

搞定，完成

接下来就须要回到本地的AADConnect服务器来部署Azure AD Connect来把本地的AD目录同步到Office 365，在此以前须要说几个先决条件

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

本地 Active Directory

• AD 架构版本与林功能级别必须是 Windows Server 2003 或更高版本。

• Azure AD 使用的域控制器必须可写。 不支持使用 RODC（只读域控制器）

• 不支持经过“以点分隔的”（名称包含句点“.”）NetBios 名称使用本地林/域

• 建议启用 Active Directory 回收站

Azure AD Connect 服务器

• 不能在 Small Business Server 或 Windows Server Essentials 上安装 Azure AD Connect。 该服务器必须使用 Windows Server Standard 或更高版本

• 必须在 Azure AD Connect 服务器上安装完整的 GUI。 不支持 在服务器核心上安装 GUI。

• Azure AD Connect 必须安装在 Windows Server 2008 或更高版本上。 若是使用快速设置，此服务器能够是域控制器或成员服务器。 若是使用自定义设置，服务器也能够是独立服务器，而且不须要加入域。

• 若是在 Windows Server 2008 或 Windows Server 2008 R2 上安装 Azure AD Connect，请确保从 Windows 更新应用最新的修补程序。 在未修补的服务器上没法启动安装。

• 若是打算使用 密码同步功能，则必须在 Windows Server 2008 R2 SP1 或更高版本上安装 Azure AD Connect 服务器。

• 若是打算使用组托管服务账户，则 Azure AD Connect 服务器必须位于 Windows Server 2012 或更高版本上。

• Azure AD Connect 服务器必须安装 .NET Framework 4.5.1 或更高版本以及 Microsoft PowerShell 3.0 或更高版本。

• Azure AD Connect 服务器不得启用 PowerShell 脚本组策略。

• 若是正在部署 Active Directory 联合身份验证服务，则要安装 AD FS 或 Web 应用程序代理的服务器必须是 Windows Server 2012 R2 或更高版本。 Windows 远程管理 才能进行远程安装。

• 若要部署 Active Directory 联合身份验证服务，须要使用 SSL 证书。

• 若要部署 Active Directory 联合身份验证服务，须要配置 名称解析。

• 若是全局管理员已启用 MFA，URL https://secure.aadcdn.microsoftonline-p.com 必须在受信任的站点列表中。 在显示 MFA 质询提示以前，系统会先提示将此 URL 添加到受信任的站点列表中（若是还没有添加）。 可使用 Internet Explorer 将它添加到受信任站点。

Azure AD Connect 所使用的 SQL Server

• Azure AD Connect 要求使用 SQL Server 数据库来存储标识数据。 默认安装 SQL Server 2012 Express LocalDB（轻量版本的 SQL Server Express）。 SQL Server Express 有 10GB 的大小限制，容许管理大约 100,000 个对象。 若是须要管理更多的目录对象，则须要将安装向导指向不一样的 SQL Server 安装。

• 若是使用独立的 SQL Server，则这些要求适用：

• Azure AD Connect 支持从 SQL Server 2008（包含最新的 Service Pack）到 SQL Server 2016 SP1 的全部版本 Microsoft SQL Server。 不支持将 Azure SQL 数据库用做数据库。

• 必须使用不区分大小写的 SQL 排序规则。 可经过名称中的 _CI_ 识别这些排序规则。 不支持使用区分大小写的排序规则，该规则可经过其名称中的 _CS_ 识别。

• 每一个 SQL 实例只能有一个同步引擎。 不支持 与 FIM/MIM Sync、DirSync 或 Azure AD Sync 共享 SQL 实例。

帐户

• 要集成的 Azure AD 租户的 Azure AD 全局管理员账户。 该账户必须是学校或组织账户，而不能是 Microsoft 账户。

• 若是使用快速设置或者从 DirSync 升级，必须建立本地 Active Directory 的企业管理员账户。

• 若是使用自定义设置安装路径，账户应在 Active Directory 中。

其余更为详细的先决条件请参见：https://docs.azure.cn/zh-cn/active-directory/connect/active-directory-aadconnect-prerequisites

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

在同步以前咱们须要先使用ID Fix工具检查AD里的帐号是否符合Azure AD的规范要求，该工具能够直接放在域控上容许，域控须要先安装好.NET Framework 4.0

到 Microsoft 下载网站 for IdFix 目录同步错误修复工具。

默认状况下，IdFix 对整个目录搜索错误。根据您的目录的大小，运行查询可能须要一段。您能够观看该工具主窗口底部的进度。若是单击取消，您须要从新启动从头开始，IdFix 完成查询以后，且目录中没有错误，则能够继续同步目录。若是您的目录中有错误，建议您在同步以前先修复这些错误。

备注：若是您赞成“UPDATE”列中的更改建议，请在“ACTION”列中选择 IdFix 要实现此更改应执行的操做，而后单击“应用”。当您单击“应用”*时，该工具会在目录中作出更改。详细的使用方法参见：https://docs.microsoft.com/zh-cn/office365/enterprise/install-and-run-idfix?redirectSourcePath=%252farticle%252fInstall-and-run-the-Office-365-IdFix-tool-f4bd2439-3e41-4169-99f6-3fabdfa326ac

您无需在每一个更新后单击应用。相反，能够解决几个错误以前单击应用，IdFix 将全部在同时更改它们。能够经过单击错误顶部列出了错误类型的列的排序错误类型的错误

那么接下来先在AADConnect服务器安装.NET Framework 4.5.1 和 Microsoft PowerShell 3.0

接下来下载Microsoft Azure Active Directory Connect

http://www.microsoft.com/en-us/download/details.aspx?id=47594

开始安装

选择赞成，点击继续

选择使用快速设置

输入Office 365全局管理员帐户和密码

输入本地域具有企业管理员组的帐户

接下来勾选，下一步

点击安装，而后自动启动同步流程

安装会自动先安装一个SQL 2012 Express版本，最后安装完成，退出

过一会能够看到Office 365上有从本地AD同步上去的帐户了

在这里能够看到把整个AD目录的全部对象都同步上去了，若是只须要同步指定的OU那该怎么作呢？回到AADConnect服务器，点击Azure AD Connect，点击配置

选择自定义同步选项，下一步

输入Office 365全局管理员帐户

下一步

好比这里我只同步用户所在OU——“Users”，就只勾选它

备注：若是只是同步Users里OU的帐户，一旦这些帐户同步到Office 365后您把该OU里的全部帐户移动到其余OU里，那么下次同步时会自动把Office 365上属于Users里OU里的帐户所有删除

下一步（密码写回目前只有国际版的Azure AD高级版才有的功能，国内21V暂时没有，使用同步只能是从本地到Azure AD的单向同步，所以修改用户属性和密码只能在本地AD里完成，不然就算你在Office 365修改了也不会同步回本地AD）

点击配置

退出，完成

默认同步周期为30分钟同步一次，若是您须要当即执行同步，请在本地AADConnect服务器的Powershell执行

增量同步Start-ADSyncSyncCycle -PolicyType Delta

彻底同步Start-ADSyncSyncCycle -PolicyType Initial

等一会后就同步好了，能够看到Office 365上只有Users的用户了

但这里看到同步上来的都是partner.onmschina.cn后缀的帐户名，若是要修改为basehome.com.cn后缀的帐户名怎么办呢？由于是AADConnect同步上来，所以就须要在本地AD里去修改用户的属性便可，等待下一次同步就会所有变动

最后给用户分配一个许可证验证登录，这里选择须要分配许可证的用户，点击编辑

选择国家和许可证类型，保存

须要等待一会，而后用户就能够登录测试了https://portal.partner.microsoftonline.cn/

输入密码

选择否

这样就搞定能够登录了

点击Outlook，邮箱也可使用了

由于是从本地AD同步上去的，所以若是您想在Office 365上直接删除同步上去的帐户是不行的

哪些帐户是从本地AD同步上去的均可以看到

到这里从本地AD同步上Office 365的Azure AD就介绍到这了。