Przewodnik krok po kroku dotyczący konfiguracji synchronizacji usługi Office 365 z usługą Active Directory
Organizacje wykorzystują usługę Active Directory do scentralizowanego zarządzania komputerami z systemem Windows i użytkownikami. Konfiguracja kontrolera domeny Active Directory (ADDC) w systemie Windows Server jest wygodna, a administratorzy mogą wykorzystywać ten serwer do uwierzytelniania użytkowników, konfigurowania uprawnień oraz zarządzania dostępem do zasobów współdzielonych.
Wiele firm korzystających już z systemu Windows przeszło na platformę chmurową Microsoftu, taką jak Microsoft 365 (wcześniej Office 365) lub Azure. W takim przypadku administrator systemu musi utworzyć konta dla użytkowników w usłudze Microsoft 365. Czasami organizacje wolą używać tych samych poświadczeń dla lokalnych kont użytkowników i kont użytkowników w chmurze. Administratorzy mogą zsynchronizować użytkowników lokalnej domeny lokalnie z usługą Office 365 i usługą Azure Active Directory (Azure AD), aby używać tego samego konta użytkownika zarówno do uwierzytelniania lokalnego, jak i w chmurze. Jest to znane jako wdrażanie hybrydowe i jest popularne wśród organizacji korzystających z oprogramowania Microsoft.
Ten wpis na blogu dotyczy synchronizacji Office 365 AD i wyjaśnia, jak przeprowadzić synchronizację Office 365 Active Directory w celu zsynchronizowania lokalnych i chmurowych kont użytkowników dla produktów Microsoft.
Office 365 i Azure AD
Office 365 jest dzierżawcą w usłudze Azure Active Directory i korzysta z portalu do przechowywania danych służących do uwierzytelniania oraz do konfigurowania uprawnień dostępu do środowiska chmury Microsoft. Administrator dzierżawcy Office 365 może uzyskać dostęp do portalu Azure w celu zarządzania uprawnieniami i konfiguracji innych ustawień. Jeśli lokalnie działa kontroler domeny Active Directory (ADDC), można zsynchronizować Office 365 z usługą AD (zsynchronizować lokalną usługę Active Directory i usługę Azure Active Directory z Office 365), a w rezultacie osiągnąć integrację usługi Office 365 z usługą Active Directory.
Takie podejście zapewnia tożsamość hybrydową i pozwala użytkownikom korzystać z tych samych poświadczeń w celu uzyskania dostępu do usług Office 365 oraz lokalnych zasobów w biurze/centrum danych. W tym przypadku synchronizowane są dane Active Directory, takie jak użytkownicy, grupy i kontakty. Synchronizacja katalogów jest ważnym krokiem w procesie przenoszenia się do chmury, jeśli chcesz mieć środowisko hybrydowe.
Czym jest Azure AD Connect?
Azure AD Connect to lekkie narzędzie instalowane na serwerze lokalnym, które działa jako ADDC. Azure AD Connect synchronizuje lokalne dane tożsamości Active Directory z usługą Azure Active Directory używaną przez Office 365 w chmurze. To narzędzie można zainstalować na kontrolerze domeny lub na serwerze Windows Server, który jest członkiem domeny. Azure AD Connect zastąpiło narzędzie Directory Synchronization Tool (DirSync), które zostało wycofane.
Azure AD Connect obsługuje następujące funkcje:
- Synchronizacja skrótów haseł
- Uwierzytelnianie typu pass-through
- Uwierzytelnianie federacyjne. Komputer kliencki może zażądać uwierzytelnienia dla innego dostawcy tożsamości.
Domyślnie synchronizacja katalogów odbywa się z lokalnej usługi AD do usługi Azure AD używanej przez Office 365. Można jednak skonfigurować synchronizację usługi Active Directory w odwrotnym kierunku i synchronizować zmiany z usługi Azure AD do lokalnej usługi AD. Domyślnie synchronizacja jest zaplanowana co 30 minut. Można edytować konfigurację harmonogramu i wymusić synchronizację katalogu Office 365 w PowerShell. Można skonfigurować synchronizację różnicową, aby synchronizować tylko dane zmienione od poprzedniej synchronizacji usługi AD Office 365. Zaleca się, aby synchronizacja różnicowa została przeprowadzona w ciągu 7 dni od ostatniej synchronizacji.
Wymagania
Aby zainstalować i uruchomić usługę Azure AD Connect, należy upewnić się, że:
- W środowisku lokalnym musi być zainstalowany i skonfigurowany kontroler domeny Active Directory z systemem operacyjnym Windows Server.
- Poziom funkcji lokalnej usługi Active Directory musi odpowiadać systemowi Windows Server 2003 lub nowszemu.
- Użytkownik musi posiadać uprawnienia administratora domeny lub uprawnienia administratora lokalnego na komputerze należącym do domeny.
Obsługiwane systemy operacyjne: Windows Server 2012, Windows Server 2016, Windows Server 2019 z interfejsem graficznym. Windows Server Core nie jest obsługiwany. Edycja systemu Windows Server musi być Standard lub wyższa. Edycje Essentials nie są obsługiwane.
.NET Framework 4.5.1 lub nowszy musi być zainstalowany na komputerze z systemem Windows Server, na którym działa Azure AD Connect.
PowerShell 3.0 lub nowszy. Zasady wykonywania skryptów muszą zezwalać na uruchamianie skryptów. Zalecane zasady to RemoteSigned.
Musisz mieć domenę zewnętrzną powiązaną z dzierżawcą usługi Office 365.
Musisz mieć dostęp do dzierżawcy platformy Azure (dla swojego konta dzierżawcy/administratora usługi Office 365). Wymagane są uprawnienia administratora globalnego.
Należy utworzyć katalog w usłudze Azure AD. Kontroler domeny w usłudze Azure AD musi być skonfigurowany jako nadający uprawnienia do zapisu.
Wymagania sieciowe:
- Połączenie wychodzące HTTPS z serwerami Microsoftu
- TCP 80. Protokół HTTP służy do pobierania list unieważnionych certyfikatów w celu weryfikacji certyfikatów TSL/SSL
- TCP 443. Protokół HTTPS służy do synchronizacji danych z usługą Azure Active Directory
- Na komputerze z systemem Windows musi być włączony protokół TLS 1.2.
Przygotowanie środowiska
Sprawdź sufiksy UPN (lub User Principal Name) dla domeny lokalnej używanej lokalnie przez usługę Active Directory. Domena lokalna musi być routowalna, a jej sufiks nie powinien mieć postaci .local, .test, itp. Domeny z tego typu sufiksami są klasyfikowane jako nieroutowalne i można je synchronizować wyłącznie z domeną .onmicrosoft.com . Na przykład, jeśli lokalnie w usłudze Active Directory znajduje się domena .nakivo.test , a w usłudze Azure Active Directory — nakivo.onmicrosoft.com , należy zsynchronizować user1@nakivo.test z user1@nakivo.onmicrosoft.com. Jeśli w lokalnej usłudze Active Directory znajduje się nazwa domain.net , a nazwa domeny zewnętrznej używanej w usłudze Office 365 i platformie Azure to również domain.net, , wówczas user1@domain.net z lokalnej usługi Active Directory można zsynchronizować z adresami , user1@domain.net oraz w usłudze Azure AD, wykorzystywanej przez Office 365 do uwierzytelniania i konfigurowania uprawnień. W związku z tym nazwa domeny musi być prawidłowa i zawierać odpowiednie końcówki, takie jak , .com, .net, .uk, .us, .edu, itp., aby zapewnić pełną synchronizację i zgodność nazw. Nazwy UPN użytkowników lokalnych w usłudze Active Directory można zsynchronizować z usługą Azure AD i Office 365.
Note: Nazwy domen użyte w tym wpisie na blogu służą jako przykłady. Proszę używać prawidłowych nazw domen zgodnie z konfiguracją swojego środowiska.
Można sprawdzić nazwy domen dla Office 365 w Centrum administracyjne Microsoft 365. Przejdź do Settings > Domains , aby zobaczyć dostępne domeny, które można powiązać z dzierżawcą Office 365.
Umożliwianie routingu domeny
Można edytować ustawienia domeny lokalnej, aby umożliwić routing domeny w celu uzyskania lepszych możliwości synchronizacji poprzez dodanie wymaganych sufiksów UPN. Dodaj sufiksy UPN do istniejącej domeny lokalnej, aby dopasować nazwy użytkowników lokalnie i w usłudze Microsoft 365 (Azure). Najpierw zarejestruj nowy sufiks, a następnie zaktualizuj użytkowników usługi Active Directory lokalnie, aby korzystali ze zaktualizowanego sufiks.
Dodawanie nowego sufiks UPN
Przejdź do Domeny i relacje zaufania usługi Active Directory na lokalnym kontrolerze domeny. Aby to zrobić, otwórz Server Manager, kliknij Tools, a następnie w menu, które się otworzy, kliknij Active Directory Domains and Trusts. Alternatywnie uruchom domain.msc w menu Uruchom (naciśnij Win+R , aby otworzyć menu Uruchom) lub w wierszu poleceń (CMD).
Otworzy się okno Domeny i relacje zaufania usługi Active Directory. Kliknij prawym przyciskiem myszy Active Directory Domains and Trusts i w menu kontekstowym kliknij Properties.
Wprowadź poprawną, znormalizowaną nazwę domeny z odpowiednim sufiksem, na przykład id.com lub nakivo.com . Kliknij Add, a następnie kliknij OK , aby zapisać ustawienia i zamknąć to okno.
Edytowanie nazw UPN dla istniejących użytkowników
Teraz należy edytować sufiksy UPN dla istniejących użytkowników lokalnie na kontrolerze domeny Active Directory.
Przejdź do Active Directory Users and Computers , otwierając Menedżera serwera i przechodząc do menu Narzędzia (tak jak poprzednio). Alternatywnie naciśnij Win+R , aby otworzyć menu Uruchom, wpisz dsa.msc w oknie dialogowym Uruchom i kliknij Enter.
W oknie Użytkownicy i komputery usługi Active Directory rozwiń swoją domenę i kliknij katalog Users . Wybierz użytkownika domeny, kliknij go prawym przyciskiem myszy i wybierz Properties z menu kontekstowego.
Wybierz kartę Account w oknie właściwości użytkownika. W menu rozwijanym wybierz poprawną nazwę domeny z odpowiednim sufiksem. Kliknij OK , aby zapisać ustawienia i zamknąć okno.
Powtórz tę czynność dla wszystkich użytkowników należących do lokalnej domeny (użytkowników, dla których chcesz przeprowadzić synchronizację z usługą Office 365 AD). Jeśli w lokalnej usłudze Active Directory znajduje się duża liczba użytkowników, zamiast ręcznej edycji właściwości każdego użytkownika skorzystaj z programu PowerShell do edycji zbiorczej. W tym celu użyj powyższych poleceń:
$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*domain.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@domain.local","@domain.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}
Ustaw prawidłowe nazwy domen zamiast domain.local oraz domain.com zgodnie z konfiguracją w Twoim środowisku.
Możesz zmienić UPN i adres w PowerShell za pomocą modułu PowerShell MSOnline (moduł Azure AD PowerShell).
Set-MsolUserPrincipalName -UserPrincipalName user@olddomain.com -NewUserPrincipalName user@newdomain.com
Po zaktualizowaniu UPN możesz zsynchronizować lokalne usługi domenowe Active Directory z Microsoft 365 i Azure Active Directory.
Edytowanie atrybutów proxy poczty e-mail
Edytuj atrybut poczty e-mail dla każdego użytkownika i ustaw adres e-mail proxy SMTP.
Aby wyświetlić Edytor atrybutów kartę, na której można ustawić proxy SMTP (w oknie właściwości użytkownika), w Użytkownicy i komputery usługi Active Directory oknie kliknij View > Advanced Features.
Teraz wybierz użytkownika, otwórz właściwości użytkownika, kliknij kartę Attribute Editor , a następnie kliknij dwukrotnie atrybut proxyAddresses .
Adresy e-mail Office 365 powinny być zdefiniowane jako adresy proxy SMTP dla użytkowników Active Directory lokalnie na kontrolerze domeny, na przykład:
SMTP:user2@nakivo.com
Główny adres e-mail musi zawierać SMTP pisane wielkimi literami. Inne adresy proxy dla wiadomości e-mail mogą zaczynać się od smtp pisane małymi literami.
Kliknij Add , aby dodać wartość, a następnie kliknij OK , aby zapisać ustawienia.
Powtórz tę czynność dla każdego użytkownika, który ma być synchronizowany z Office 365.
Sprawdzanie nazw użytkowników w centrum administracyjnym Office 365
Otwórz centrum administracyjne Microsoft 365, przejdź do Users > Active użytkownicy i sprawdź nazwy użytkowników oraz sufiksy domen używane w ich nazwach. Jeśli posiadasz domenę niestandardową, taką jak nakivo.com , wybierz użycie tych nazw głównych użytkowników zamiast nazw z domeną nakivo.onmicrosoft.com .
Kliknij trzy kropki obok odpowiedniego użytkownika, a w menu, które się otworzy, wybierz Manage username and email , aby wybrać potrzebną domenę dla nazwy użytkownika. Idealna sytuacja ma miejsce, gdy nazwy domen i nazwy użytkowników w Office 365 są zgodne z nazwami użytkowników lokalnie w usłudze Active Directory.
Otwórz Groups w centrum administracyjnym Microsoft 365 i edytuj adresy grup tak samo, jak edytowałeś adresy e-mail użytkowników.
Instalacja Azure AD Connect
Pobierz narzędzie Azure AD Connect ze strony internetowej firmy Microsoft, korzystając z linku:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
Stan narzędzia Azure AD Connect oraz link do pobrania można sprawdzić na stronie Azure AD Connect w portalu Microsoft Azure. W tym celu przejdź do Azure Active Directory > Azure AD Connect w portalu Azure.
Zapisz plik instalatora Azure AD Connect na serwerze, na którym zamierzasz zainstalować to narzędzie, na przykład na kontrolerze domeny.
Uruchom plik instalatora Azure AD Connect ( AzureADConnect.msi ). Otworzy się kreator Azure AD Connect.
Welcome. Na etapie powitalnym wybierz “I agree to the license terms and privacy notice” i kliknij Continue.
Express Settings. Wybierz jedną z dwóch dostępnych opcji – Customize lub Use express settings. Opcja Customize zapewnia większą kontrolę podczas konfiguracji synchronizacji Office 365 Active Directory.
Required Components. Wybierz wymagane komponenty do zainstalowania i zdefiniuj ustawienia konfiguracyjne dla wybranych opcji.
- Określ niestandardową lokalizację instalacji
- Użyj istniejącego serwera SQL Server
- Użyj istniejącego konta usługi
- Określ niestandardowe grupy synchronizacji
- Importuj ustawienia synchronizacji
Kliknij Install , aby kontynuować.
User Sign-In. Wybierz jedną z dostępnych metod logowania. Niektóre opcje wymagają dodatkowych kroków w celu skonfigurowania.
- Synchronizacja skrótu hasła. Skrót hasła użytkownika lokalnie jest synchronizowany z usługą Azure Active Directory.
- Uwierzytelnianie typu pass-through. Użytkownicy mogą używać tego samego hasła w lokalnej usłudze AD i w chmurze (Office 365, Azure), ale nie jest wymagana żadna dodatkowa infrastruktura ani środowisko federacyjne.
- Federacja z usługą AD FS. Środowisko hybrydowe należy skonfigurować przy użyciu usługi Active Directory i usług federacyjnych Active Directory wdrożonych lokalnie. Obsługiwane jest odnawianie certyfikatów oraz dodatkowe wdrażanie serwerów AD FS.
- Federacja z PingFederate. Z tej opcji można skorzystać, jeśli w infrastrukturze odbywa się wdrażanie korporacyjnego serwera PingFederate w celu zapewnienia logowania jednokrotnego do uwierzytelniania użytkowników.
- Nie konfiguruj. Do logowania federacyjnego można użyć rozwiązania, które nie jest zarządzane przez ten kreator. Użytkownicy zalogowani do sieci korporacyjnej mogą uzyskać dostęp do zasobów w chmurze po zsynchronizowaniu Office 365 z usługą AD bez konieczności ponownego wprowadzania haseł.
Przeczytaj wpis na blogu dotyczący Usługi federacyjne Active Directory.
Wybierz Password Hash Synchronization lub Do not configure jako zalecaną opcję, jeśli nie masz pewności, co zrobić. 
Connect to Azure AD. Wprowadź nazwę użytkownika i hasło do konta użytkownika Microsoft 365, które posiada uprawnienia administratora globalnego w usłudze Microsoft Azure/Office 365 (dane logowania administratora Office 365). To konto administratora jest potrzebne do skonfigurowania usługi Azure AD Connect, aby umożliwić aplikacji synchronizację z usługą Active Directory w Office 365. Na każdym etapie kliknij przycisk „ Next ”, aby kontynuować.
Connect Directories. Wprowadź informacje dotyczące aktualnej usługi Active Directory używanej lokalnie. Wybierz typ katalogu (Active Directory), określ las domen, kliknij Add Directoryi wprowadź poświadczenia administratora domeny. Jeśli chcesz zsynchronizować las domen, użyj poświadczeń administratora Enterprise.
Azure AD sign-in. Sprawdź swoje domeny i sufiksy UPN usługi Active Directory. Wybierz atrybut lokalny, który ma być używany jako nazwa użytkownika w usłudze Azure AD i Office 365. Wybieramy userPrincipalName. Zaznacz pole wyboru Continue without any verified domains , jeśli Twoja domena nie jest zweryfikowana. Możesz zakończyć proces weryfikacji później, aby umożliwić użytkownikom logowanie się do usługi Azure AD i Office 365.
Domain and OU filtering. Pozostaw domyślne ustawienia na tym ekranie, aby przeprowadzić synchronizację Active Directory dla wszystkich danych AD. Wybierz domeny niestandardowe i jednostki organizacyjne, jeśli chcesz dostosować ustawienia. Możesz odznaczyć domeny lub jednostki organizacyjne, których nie chcesz synchronizować.
Identifying users. Zaleca się pozostawienie ustawień domyślnych na tym etapie w celu podstawowej konfiguracji synchronizacji Active Directory z Office 365 (dla jednego Azure AD, jednej domeny i jednego lasu AD). Jeśli chcesz przeprowadzić bardziej skomplikowaną konfigurację, wybierz opcje niestandardowe dla tożsamości użytkowników w różnych katalogach. W opcjach identyfikacji użytkowników SOURCE ANCHOR wybierz domyślną opcję objectGUID w celu wygenerowania identyfikatorów i mapowania użytkowników.
Filtering. Wybierz synchronizację wszystkich użytkowników i urządzeń lub wybierz niestandardowe obiekty do synchronizacji. Możesz skorzystać z filtrowania opartego na grupach.
Optional Features. Wybierz dodatkowe funkcje, jeśli są potrzebne. Najedź kursorem na ikonę „?” obok nazwy każdej funkcji, aby uzyskać wskazówki, które pomogą Ci podjąć właściwą decyzję.
Ready to configure. Zaznacz pole wyboru Rozpocznij proces synchronizacji po zakończeniu konfiguracji , jeśli chcesz rozpocząć synchronizację natychmiast po zakończeniu pracy tego kreatora. Możesz odznaczyć to pole wyboru i rozpocząć synchronizację ręcznie, gdy zajdzie taka potrzeba. Kliknij Install , aby zakończyć konfigurację.
Poczekaj, aż instalacja i konfiguracja się zakończą. Gdy zobaczysz komunikat Konfiguracja zakończona , możesz kliknąć Exit , aby zamknąć aplikację. Krótka informacja o zakończonym procesie synchronizacji Active Directory z Office 365 jest wyświetlana na ekranie Konfiguracja zakończona . Następnie otwórz Centrum administracyjne Microsoft 365 i sprawdź, czy synchronizacja Active Directory z Office 365 zakończyła się pomyślnie. Otwórz sekcję Błędy synchronizacji na stronie Stan usługi Azure AD Connect w portalu Azure, aby wyświetlić szczegółowe informacje o błędach. Jeśli wystąpią błędy, zapoznaj się z podanymi zaleceniami, które mogą pomóc w ich usunięciu.
Jeśli synchronizacja Office 365 AD zakończyła się pomyślnie, możesz przypisać licencje nowym użytkownikom Office 365, którzy zostali dodani po synchronizacji Office 365 z lokalną usługą Active Directory.
Eksportowanie konfiguracji Azure AD Connect
Możesz wdrożyć usługę Azure AD Connect w trybie Express lub w trybie niestandardowym. W przypadku wielu wdrażania korzystających z tej samej konfiguracji usługi Azure AD Connect do synchronizacji lokalnej usługi Active Directory z usługą Office 365 / platformą Azure, a także do synchronizacji wielu lasów usługi AD, warto rozważyć wyeksportowanie i zaimportowanie konfiguracji usługi Azure AD Connect.
Po skonfigurowaniu usługi Azure AD Connect w interfejsie graficznym za pomocą kreatora konfiguracja jest zapisywana w pliku JSON przechowywanym w folderze %ProgramData%AADConnect . Nazwa pliku JSON wygląda następująco: Applied-SynchronizationPolicy-*.JSON , gdzie * oznacza znacznik daty i godziny, który pomaga zidentyfikować moment zapisania konfiguracji. Zmiany wprowadzone w interfejsie graficznym są eksportowane automatycznie. Jednak zmiany wprowadzone za pomocą PowerShell należy w razie potrzeby eksportować ręcznie.
Aby zaimportować ustawienia, uruchom Azure AD Connect, wybierz opcję Customize , na ekranie Install required components wybierz Import synchronization settings, kliknij Browsei wybierz plik konfiguracyjny JSON.
Import konfiguracji pozwala użytkownikom na wprowadzenie minimalnej ilości danych ręcznie, aby skonfigurować usługę Azure AD Connect w krótkim czasie i odtworzyć identyczną konfigurację na wielu serwerach.
Narzędzia do migracji konfiguracji
Dostępne są narzędzia do eksportowania i importowania konfiguracji usługi Azure AD Connect z jednego serwera na drugi, aby uzyskać identyczną konfigurację podczas synchronizacji usługi Office 365 Active Directory.
Skopiuj plik MigrateSettings.ps1 z C:Program FilesMicrosoft Azure Active Directory ConnectTools lub niestandardowego folderu, w którym zainstalowano usługę Azure AD Connect na pierwszym serwerze, do niestandardowej lokalizacji, na przykład C:Programs .
Uruchom skrypt MigrateSettings.ps1 na pierwszym (istniejącym) serwerze. Jeśli pojawi się komunikat o tym, że nie znaleziono parametru przyjmującego wartość „True”, edytuj skrypt i usuń z niego $true .
Uruchom skrypt i sprawdź katalog podany w wynikach. Konfiguracja synchronizacji z usługą Azure AD zostanie wyeksportowana do tego folderu. Skopiuj ten folder Exported-ServerConfiguration-* wraz z zawartością na drugi (nowy) serwer.
Uruchom Azure AD Connect na drugim serwerze, a na ekranie Zainstaluj wymagane składniki wybierz opcję importuj ustawienia synchronizacji i wybierz plik konfiguracyjny MigratedPolicy.json (jak wyjaśniono powyżej) znajdujący się w skopiowanym folderze Exported-ServerConfiguration-* .
Inne opcje synchronizacji Office 365 AD
Jeśli nie możesz czekać 30 minut, co stanowi standardowy odstęp między operacjami synchronizacji, wymuś synchronizację Office 365 AD za pomocą poleceń PowerShell. Moduł Azure Active Directory PowerShell jest zazwyczaj instalowany wraz z narzędziem Azure AD Connect.
Zaimportuj moduł ADSync PowerShell:
Import-Module ADSync
Sprawdź aktualne ustawienia synchronizacji Office 365 AD:
Get-ADSyncScheduler
Wymuś synchronizację różnicową, aby zsynchronizować tylko zmiany wprowadzone od poprzedniej pomyślnej synchronizacji:
Start-ADSyncSyncCycle -PolicyType Delta
Wymuś pełną synchronizację, aby zsynchronizować wszystkie dane:
Start-ADSyncSyncCycle -PolicyType Initial
Zmień interwał synchronizacji Office 365 AD na 10 minut:
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00
Pamiętaj, że ręczna synchronizacja Office 365 AD nie synchronizuje haseł użytkowników. W takim przypadku spróbuj ponownie uruchomić usługę synchronizacji AD Office 365 na lokalnym serwerze z uruchomionym programem Azure AD Connect, a następnie sprawdź, czy poświadczenia są poprawne.
Zalecenia dotyczące konfiguracji
Zabezpiecz serwer, na którym zainstalowano program Azure AD Connect. Ogranicz dostęp użytkowników niebędących administratorami do serwera z uruchomionym programem Azure AD Connect. Używaj haseł kodowych, aby chronić konta usługowe używane przez to narzędzie do synchronizacji Active Directory. Znając możliwości tego narzędzia, hasła kodowe mają kluczowe znaczenie w przypadkach użycia, gdy ktoś uzyska dostęp do serwera, na którym działa synchronizacja AD. Możesz dodać zaufanych użytkowników do grupy ADSyncAdmins w celu wygodnego zarządzania dostępem.
Sprawdź grupy, które zamierzasz zsynchronizować lokalnie z AD do Azure AD i Office 365. Nie wszystkie grupy powinny być synchronizowane. Mogą istnieć grupy, które są bezużyteczne w chmurze lub które nie mają powodu, aby być synchronizowane ze względów bezpieczeństwa lub wydajności. Odfiltruj grupy zabezpieczeń i grupy dystrybucyjne, które nie są istotne dla środowisk chmurowych Microsoft 365 i Azure. Wyklucz wszystkie grupy administratorów z synchronizacji Active Directory w Office 365. Nie należy traktować synchronizacji usługi Active Directory w Office 365 z usługą Azure AD jako rozwiązania do wykonywania kopii zapasowych. Niektóre atrybuty obiektów w chmurze mają charakter unikalny, na przykład informacje licencyjne dotyczące użytkowników Office 365. Jeśli te konkretne informacje zostaną usunięte w chmurze, nie będzie można ich odzyskać poprzez uruchomienie synchronizacji usługi Active Directory w Office 365 lokalnie. Synchronizacja lokalnej usługi Active Directory z platformą Azure nie jest tym samym, co wykonywanie kopii zapasowej usługi Active Directory i kontrolerów domeny. Aby chronić kontrolery domeny usługi Active Directory działające lokalnie oraz dane usługi Office 365 w chmurze, należy korzystać ze specjalnych narzędzi i rozwiązań do wykonywania kopii zapasowych.
Wykonywanie kopii zapasowej usługi Office 365 i usługi Active Directory
Należy regularnie wykonywać kopie zapasowe usługi Office 365 i przechowywać je w bezpiecznym miejscu. Kopia zapasowa Office 365 powinna zawierać potrzebne dane z aplikacji pakietu Office, takich jak poczta e-mail Exchange Online, OneDrive i SharePoint. Dane Office 365 są przechowywane w chmurze, ale jeśli część z nich zostanie uszkodzona przez oprogramowanie wymuszające okup lub przypadkowo usunięta, posiadanie kopii zapasowej może być jedynym sposobem na odzyskanie tych danych, zwłaszcza jeśli zauważysz utratę danych, gdy będzie już za późno.
Active Directory to scentralizowany system zarządzania w sieci Windows. Niedostępność kontrolera domeny Active Directory może spowodować zatrzymanie operacji w całej firmie. Twórz kopie zapasowe kontrolerów domeny Active Directory działających lokalnie, aby umożliwić odzyskanie danych w razie awarii. Podczas wykonywania kopii zapasowych działających serwerów z uruchomionymi aplikacjami zalecamy korzystanie z dedykowanych rozwiązań do wykonywania kopii zapasowych innych firm, które zapewniają spójność z aplikacją.
NAKIVO Backup & Replication to rozwiązanie do ochrony danych dla małych i średnich przedsiębiorstw oraz dużych firm, które obsługuje Kopia zapasowa w chmurze Office 365, w tym takie aplikacje jak Exchange Online, SharePoint Online, Microsoft Teams i OneDrive dla Firm. Można wykonać kopię zapasową dla wielu dzierżawców Office 365, wybierać wszystkich użytkowników lub użytkowników niestandardowych oraz odzyskiwać potrzebne elementy na poziomie szczegółowym.
NAKIVO Backup & Replication obsługuje tworzenie kopii zapasowej serwerów fizycznych, w tym serwerów Windows pełniących rolę kontrolerów domeny Active Directory, i umożliwia wykonanie kopii zapasowej Wykonywanie kopii zapasowej usługi Active Directory. Wsparcie dla kopia zapasowa spójna z aplikacją pozwala na wykonanie kopii zapasowej kontrolerów domeny oraz uzyskanie danych spójnych z aplikacjami w kopii zapasowej. Odzyskiwanie na poziomie szczegółowym jest obsługiwane również w przypadku fizycznych kopii zapasowych.
Wnioski
Organizacje migrujące do chmury robią to tylko częściowo. Nadal korzystają z usług Active Directory lokalnie w połączeniu z usługami w chmurze. Jest to znane jako środowisko hybrydowe. Opcja synchronizacji usługi Office 365 z usługą AD umożliwia organizacjom konfigurowanie środowisk hybrydowych oraz synchronizowanie kont użytkowników i opcji uwierzytelniania między lokalną usługą AD a usługą Azure AD.
Synchronizację usługi Office 365 z usługą Active Directory można przeprowadzić za pomocą narzędzia Azure AD Connect, które jest natywnym narzędziem opracowanym przez firmę Microsoft. Należy przygotować lokalną usługę Active Directory, skonfigurować ustawienia domeny lokalnej oraz domeny zewnętrznej powiązanej z dzierżawcą usługi Office 365, a także skonfigurować opcje synchronizacji katalogu Office 365 w narzędziu AD Connect. Integracja usługi Office 365 z usługą Active Directory umożliwia użytkownikom korzystanie z tych samych poświadczeń w lokalnych środowiskach Windows oraz w usłudze Office 365.
