Office 365 AD 同步設定的逐步指南
組織會使用 Active Directory 來集中管理 Windows 電腦和使用者。在 Windows Server 上設定 Active Directory 網域控制器 (ADDC) 相當方便,管理員可以利用這台伺服器來驗證使用者、設定權限,以及管理對共用資源的存取權限。
許多原本使用 Windows 的企業,已遷移至 Microsoft 雲平台,例如 Microsoft 365(前身為 Office 365)或 Azure。 在此情況下,系統管理員必須在 Microsoft 365 中為使用者建立帳戶。有時組織傾向於讓本地使用者帳戶與雲使用者帳戶使用相同的憑證。管理員可將本地網域的使用者與 Office 365 及 Azure Active Directory (Azure AD) 進行同步,以便在本地端和雲端驗證時使用相同的使用者帳戶。 此架構稱為混合部署,在使用 Microsoft 軟體產品的組織中相當普及。
本文將探討 Office 365 AD 同步機制,並說明如何執行 Office 365 Active Directory 同步,以整合 Microsoft 產品的本地端與雲端使用者帳戶。
Office 365 與 Azure AD
Office 365 是 Azure Active Directory 中的租戶,並透過入口網站儲存用於驗證的資料,以及設定存取 Microsoft 雲端環境的權限。 Office 365 租戶的管理員可透過 Azure 入口網站管理權限並設定其他設定。若您在本地端擁有正在運作的 ADDC(Active Directory 網域控制器),即可將 Office 365 與 AD 同步(將您的本地端 Active Directory 與 Azure Active Directory 同步至 Office 365),從而實現 Office 365 與 Active Directory 的整合。
此方法可提供混合式身分識別,讓使用者能使用相同的憑證存取 Office 365 服務以及您辦公室或資料中心內的本地資源。在此情況下,Active Directory 中的資料(例如使用者、群組和聯絡人)將會進行同步。若您希望建立混合式環境,目錄同步是邁向雲端的重要步驟。
什麼是 Azure AD Connect?
Azure AD Connect 是一款安裝在本地伺服器上的輕量級工具,其功能類似於 ADDC。Azure AD Connect 會將您的本地 Active Directory 身分識別資料與雲端 Office 365 所使用的 Azure Active Directory 進行同步。此工具可安裝在網域控制器上,或安裝在身為網域成員的 Windows Server 上。Azure AD Connect 已取代已停用的目錄同步工具 (DirSync)。
Azure AD Connect 支援以下功能性:
- 密碼雜湊值的同步
- 直通驗證
- 聯合驗證。客戶端電腦可向其他身分識別供應商請求驗證。
預設情況下,目錄同步是從本地 Active Directory 同步至 Office 365 所使用的 Azure AD。不過,您可以將 Active Directory 同步設定為反向進行,將變更從 Azure AD 同步至您的本地 Active Directory。預設情況下,同步排程每 30 分鐘執行一次。 您可以在 PowerShell 中編輯排程設定,並強制執行 Office 365 目錄同步。您可以設定增量同步,僅同步自上次 Office 365 AD 同步以來變更的資料。建議應在最後一次同步後的 7 天內執行增量同步。
需求
要安裝並執行 Azure AD Connect,請確認以下事項:
- 必須在本地端安裝並設定一台執行 Windows Server 作業系統的 Active Directory 網域控制器。
- 本地 Active Directory 的功能性層級必須為 Windows Server 2003 或更新版本。
- 您必須擁有網域管理員權限,或具備身為網域成員之電腦上的本機管理員權限。
支援的作業系統:Windows Server 2012、Windows Server 2016、Windows Server 2019(需具備圖形使用者介面)。不支援 Windows Server Core。 Windows Server 版本必須為 Standard 或更高版本。Essentials 版本不支援。
執行 Azure AD Connect 的 Windows Server 電腦上必須安裝 .NET Framework 4.5.1 或更高版本。
PowerShell 3.0 或更高版本。腳本執行原則必須允許您執行腳本。建議的原則是 RemoteSigned.
您的 Office 365 租戶必須已關聯外部網域。
您需要具備 Azure 租戶的存取權限(適用於您的 Office 365 租戶/管理員帳戶)。必須具備全域管理員權限。
必須在 Azure AD 中建立一個目錄。必須將 Azure AD 中的網域控制站設定為可寫入狀態。
網路需求:
- 發往 Microsoft 伺服器的出站 HTTPS 連線
- TCP 80。HTTP 協定用於下載憑證撤銷清單,以驗證 TLS/SSL 憑證
- TCP 443。HTTPS 用於與 Azure Active Directory 同步資料
- 在 Windows 電腦上必須啟用 TLS 1.2。
環境準備
請檢查本地 Active Directory 所使用的本地域的 UPN(或使用者主體名稱)後綴。本地域必須可路由,且本地域後綴不應為 .local, .test, 等等。具有此類後綴的網域被歸類為不可路由的,且這些網域僅能與 .onmicrosoft.com 網域。例如,如果您擁有 .nakivo.test 您在本地 Active Directory 中的網域以及 nakivo.onmicrosoft.com 在 Azure Active Directory 中, user1@nakivo.test 應與……同步 user1@nakivo.onmicrosoft.com。 如果你有 domain.net 您在本地 Active Directory 中的名稱,以及在 Office 365 和 Azure 中使用的外部網域名稱也是 domain.net, 然後 user1@domain.net 來自本地 Active Directory 的資料可與 user1@domain.net 在 Azure AD 中,此網域名稱用於 Office 365 的驗證及權限設定。因此,該網域名稱必須有效,且必須具備正確的後綴,例如 .com、.net、.uk、.us、.edu、 等等,以實現完全同步並確保名稱一致。您 Active Directory 中本機使用者的 UPN 可與 Azure AD 及 Office 365 進行同步。
Note: 本部落格文章中使用的網域名稱僅供示範之用。請根據您的環境設定,使用正確的網域名稱。
您可以在 Microsoft 365 管理中心. 前往 Settings > Domains 查看可連結至您的 Office 365 租戶的可用網域。
將網域設為可路由
您可以編輯本地網域的設定,透過新增所需的 UPN 後綴,使網域可路由,以提升同步功能。請在現有的本地網域中新增 UPN 後綴,以使本地端與 Microsoft 365 (Azure) 中的使用者名稱保持一致。首先,請註冊一個新的後綴,然後更新本地端的 Active Directory 使用者,使其使用更新後的後綴。
新增 UPN 後綴
前往 Active Directory 網域與信任關係 在您的本地網域控制器上。要執行此操作,請開啟 Server Manager,點擊 Tools,然後在彈出的選單中,點擊 Active Directory Domains and Trusts. 或者,執行 domain.msc 在"執行"選單中(按下 Win+R (在"執行"選單中)或在命令提示字元(CMD)中。
"Active Directory 網域與信任"視窗隨即開啟。按右鍵 Active Directory Domains and Trusts 然後,在快顯選單中,按一下 Properties.
請輸入正確的標準化網域名稱及正確的後綴,例如: id.com,或 nakivo.com. 點擊 Add,然後點擊 OK 儲存設定並關閉此視窗。
編輯現有使用者的 UPN
現在,您應在本地 Active Directory 網域控制器上編輯現有使用者的 UPN 後綴。
前往 Active Directory Users and Computers 請開啟"伺服器管理員",然後前往"工具"功能表(就像您之前所做的那樣)。或者,您也可以按下 Win+R 要開啟"執行"功能表,請輸入 dsa.msc 在"執行"對話方塊中,然後按一下 Enter.
在 Active Directory 使用者和電腦 視窗中,展開您的網域,然後點擊 Users 目錄。選取一位網域使用者,按右鍵點擊該使用者,然後按下 Properties 在右鍵選單中。
請選擇 Account 使用者屬性視窗中的"標籤"。在下拉式選單中,選取具有正確後綴的正確網域名稱。按下 OK 以儲存設定並關閉視窗。
請針對所有屬於您本地網域的用戶(即您希望為其執行 Office 365 AD 同步的用戶)重複此操作。若您的本地 Active Directory 中有大量用戶,請使用 PowerShell 進行批次編輯,而非手動編輯每個用戶的屬性。請使用上述指令來達成此目的:
$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*domain.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@domain.local","@domain.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}
請設定正確的網域名稱,而非 domain.local 以及 domain.com 根據您環境中的設定。
您可以在 PowerShell 中使用 MSOnline PowerShell 模組(Azure AD PowerShell 模組)。
Set-MsolUserPrincipalName -UserPrincipalName user@olddomain.com -NewUserPrincipalName user@newdomain.com
更新 UPN 後,您即可開始將本地 Active Directory 網域服務與 Microsoft 365 及 Azure Active Directory 進行同步。
編輯email代理伺服器屬性
編輯每位使用者的 email 屬性,並設定 SMTP 代理伺服器的電子郵件地址。
若要顯示 屬性編輯器 (在"使用者屬性"視窗中)可設定 SMTP 代理伺服器的分頁,在 Active Directory 使用者與電腦 視窗,點擊 View > Advanced Features.
現在請選取一位使用者,開啟使用者屬性,然後按一下 Attribute Editor 標籤頁,然後雙擊 proxyAddresses 屬性。
應在本地網域控制器上,將 Office 365 電子郵件地址設定為 Active Directory 使用者的 SMTP 代理地址,例如:
SMTP:user2@nakivo.com
主要email地址必須包含 SMTP 以大寫字母開頭。其他email的代理伺服器地址可以以 SMTP 請使用小寫字母。
次點擊 Add 輸入數值後,按下 OK 以儲存設定。
請針對每個需要進行 Office 365 同步的使用者重複此操作。
在 Office 365 管理中心檢查使用者名稱
開啟 Microsoft 365 管理中心,前往 Users > Active 使用者,並檢查其名稱中使用的使用者名稱及網域後綴。如果您擁有自訂網域,例如 nakivo.com, 請選擇使用這些使用者主體名稱,而非包含 nakivo.onmicrosoft.com 網域。
點擊目標使用者旁的三個點,然後在彈出的選單中點選 Manage username and email 以選取使用者名稱所需的網域。最理想的情況是,Office 365 中的網域名稱與使用者名稱能與本地 Active Directory 中的使用者名稱相符。
開啟 Groups 在 Microsoft 365 管理中心中,您可以像編輯使用者 email 地址一樣,編輯群組的地址。
安裝 Azure AD Connect
請透過以下連結從 Microsoft 網站下載 Azure AD Connect:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
您可以查看 Azure Connect 的狀態,並從 Azure AD Connect Microsoft Azure 入口網站中的頁面。要執行此操作,請前往 Azure Active Directory > Azure AD Connect 在 Azure 入口網站中。
請將 Azure AD Connect 安裝程式檔案儲存於您打算安裝此工具的伺服器上,例如網域控制站。
執行 Azure AD Connect 安裝程式檔案 (AzureADConnect.msi)。Azure AD Connect 精靈隨即開啟。
Welcome. 在"歡迎"畫面中,請選擇 “I agree to the license terms and privacy notice” 然後點擊 Continue.
Express Settings. 請從以下兩個選項中選擇一個 – Customize 或 Use express settings. 該 Customize 此選項可讓您在設定 Office 365 Active Directory 同步時擁有更多控制權。
Required Components. 選取要安裝的元件,並為選定的選項設定配置設定。
- 指定自訂安裝位置
- 使用現有的 SQL Server
- 使用現有的服務帳戶
- 指定自訂同步群組
- 匯入同步設定
點擊 Install 繼續。
User Sign-In. 請選擇一種可用的登入方式。部分選項需要額外的設定步驟。
- 密碼雜湊同步。來自本地 Active Directory 的使用者密碼雜湊值會與 Azure Active Directory 進行同步。
- 穿透式驗證。使用者可在本地 AD 和雲端(Office 365、Azure)中使用相同的密碼,且無需額外建置基礎架構或聯邦環境。
- 與 AD FS 進行聯邦整合。應透過在本地端部署的 Active Directory 和 Active Directory 聯邦服務來設定混合環境。此環境支援憑證更新以及額外的 AD FS 伺服器部署。
- 透過 PingFederate 進行聯邦化。若您的基礎架構中已部署 Enterprise 級 PingFederate 伺服器,以提供用於使用者驗證的單一登入功能,則可使用此選項。
- 請勿進行設定。您可以使用非由此精靈管理的解決方案來進行聯邦登入。當您將 Office 365 與 AD 同步後,已登入 Enterprise 網路的使用者即可存取雲端資源,無需再次輸入密碼。
閱讀這篇關於……的部落格文章 Active Directory 聯邦服務.
選取 Password Hash Synchronization 或 Do not configure 如果您不確定該怎麼做,這是一個推薦的選項。
Connect to Azure AD. 請輸入您在 Microsoft Azure/Office 365 中具有全域管理員權限的 Microsoft 365 使用者帳戶名稱及密碼(Office 365 管理員憑證)。此管理員帳戶是用於設定 Azure AD Connect,以便讓應用程式能夠執行 Office 365 AD 同步。按下 Next 在每個步驟中繼續。
Connect Directories. 輸入您在本地網域環境中使用的現行 Active Directory 相關資訊。選擇目錄類型(Active Directory),指定網域林,然後按一下 Add Directory,並輸入網域管理員的憑證。若需同步網域林,請使用Enterprise管理員的憑證。
Azure AD sign-in. 檢查您的網域和 Active Directory UPN 後綴。選擇要在 Azure AD 和 Office 365 中用作使用者名稱的本地屬性。我們選擇 userPrincipalName. 選取 Continue without any verified domains 如果您的網域尚未驗證,請勾選此核取方塊。您稍後可完成驗證程序,以便使用者登入 Azure AD 和 Office 365。
Domain and OU filtering. 若要同步整個 Active Directory 資料,請保留此畫面上的預設設定。若需自訂設定,請選取特定網域及組織單位。您可以取消選取不希望同步的網域或組織單位。
Identifying users. 建議您在此步驟保留預設設定,以進行 Active Directory 與 Office 365 的基本同步設定(適用於一個 Azure AD、一個網域及一個 AD 林)。若需進行更複雜的設定,請針對跨目錄的使用者身分選擇自訂選項。在 SOURCE ANCHOR 使用者識別選項,請選擇預設值 objectGUID 生成 ID 並將使用者進行對應的選項。
Filtering. 您可以選擇同步所有使用者和裝置,或選取特定物件進行同步。您可使用基於群組的篩選功能。
Optional Features. 如有需要,請選取其他特點。將滑鼠懸停在各特點名稱旁的"?"圖示上,即可查看提示,協助您做出正確的決定。
Ready to configure. 選取 配置完成後啟動同步程序 若您希望在完成此精靈後立即開始同步,請勾選此核取方塊。您也可以取消勾選此核取方塊,並在需要時手動開始同步。按下 Install 以完成設定。
請等待安裝與設定完成。當您看到 設定完成 訊息,您可以點擊 Exit 以關閉應用程式。關於已完成的 Office 365 AD 同步程序的簡要資訊將顯示於 設定完成 畫面。接著開啟 Microsoft 365 管理中心,並確認 Active Directory 與 Office 365 的同步是否已成功完成。開啟 同步錯誤 中的""部分 Azure AD Connect 狀態 請前往 Azure 入口網站的該頁面,查看錯誤的詳細資訊。若出現錯誤,請閱讀提供的建議,這些建議可協助您解決問題。
如果 Office 365 與 Active Directory 的同步已成功完成,您即可將授權指派給在 Office 365 與本地 Active Directory 同步完成後新增的 Office 365 使用者。
匯出 Azure AD Connect 設定
您可以透過"快速模式"或"自訂模式"部署 Azure AD Connect。若有多個部署環境使用相同的 Azure AD Connect 設定來同步本地端的 Active Directory 與 Office 365 / Azure,以及同步多個 AD 林,請考慮匯出/匯入 Azure AD Connect 設定。
在您透過精靈在 GUI 中設定 Azure AD Connect 後,該設定會儲存至位於 %ProgramData%AADConnect 資料夾。JSON 檔案名稱的格式如下: Applied-SynchronizationPolicy-*.JSON 其中 * 代表日期/時間戳記,有助於識別設定的儲存時間。在 GUI 中所做的變更會自動匯出。然而,透過 PowerShell 進行的變更則應在需要時手動匯出。
若要匯入設定,請執行 Azure AD Connect,然後選取 Customize 選項,位於 安裝所需組件 螢幕上,選擇 Import synchronization settings,點擊 Browse,然後選取 JSON 設定檔。
透過匯入設定,使用者只需進行最少的手動資料輸入,即可在短時間內完成 Azure AD Connect 的設定,並將相同的設定複製到多台伺服器上。
配置遷移工具
有工具可將 Azure AD Connect 的設定從一台伺服器匯出並匯入至另一台伺服器,以便在執行 Office 365 Active Directory 同步時,確保兩者設定完全一致。
複製 MigrateSettings.ps1 檔案來自 C:Program FilesMicrosoft Azure Active Directory ConnectTools 或將 Azure AD Connect 安裝在第一台伺服器上的自訂位置,例如: C:Programs.
執行 MigrateSettings.ps1 在第一個(現有)伺服器上的腳本。若您看到輸出訊息指出找不到接受"True"參數的參數,請編輯該腳本並移除 $true 出自劇本。
執行此指令碼,並查看輸出中的目錄。Azure AD 同步設定已匯出至此資料夾。請複製此 Exported-ServerConfiguration-* 將該資料夾及其內容複製到第二台(新)伺服器。
在第二台伺服器上執行 Azure AD Connect,並在 安裝所需元件 螢幕選取至 匯入同步設定 並選取 MigratedPolicy.json (如上所述)位置在已複製的 已匯出的伺服器設定-* 資料夾。
其他 Office 365 AD 同步選項
如果您無法等待 30 分鐘(這是同步操作之間的標準間隔),請使用 PowerShell 指令強制執行 Office 365 AD 同步。Azure Active Directory PowerShell 模組通常會隨 Azure AD Connect 工具一併安裝。
匯入 ADSync PowerShell 模組:
Import-Module ADSync
請檢查您目前的 Office 365 AD 同步設定:
Get-ADSyncScheduler
強制執行增量同步,僅同步自上次成功同步以來所做的變更:
Start-ADSyncSyncCycle -PolicyType Delta
強制執行完整同步以同步所有資料:
Start-ADSyncSyncCycle -PolicyType Initial
將 Office 365 AD 同步間隔設定為 10 分鐘:
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00
請注意,手動的 Office 365 AD 同步功能不會同步使用者密碼。若發生此情況,請嘗試在執行 Azure AD Connect 的本地伺服器上重新啟動 Office 365 AD 同步服務,然後確認憑證是否正確。
設定建議
保護已安裝 Azure AD Connect 的伺服器。限制非管理員使用者對執行 Azure AD Connect 的伺服器的存取權限。使用程式碼密碼來保護此 Active Directory 同步工具所使用的服務帳戶。鑑於此工具的強大功能,當有人取得執行 AD 同步的伺服器存取權時,程式碼密碼至關重要。您可以將受信任的使用者新增至 ADSyncAdmins 群組,以便於存取管理。
檢查您打算從本地 AD 同步至 Azure AD 和 Office 365 的群組。並非所有群組都應進行同步。某些群組在雲端可能毫無用處,或基於安全性或生產力考量而無需同步。請過濾掉與 Microsoft 365 及 Azure 雲端環境無關的安全性群組和分發群組。請將所有管理員群組排除在 Office 365 Active Directory 同步之外。
請勿將 Office 365 Active Directory 與 Azure AD 的同步視為備份解決方案。雲端中物件的某些屬性具有獨特性,例如 Office 365 使用者的授權資訊。若此特定資訊在雲端中被刪除,您無法透過從本地 Active Directory 執行 Office 365 Active Directory 同步來恢復此資訊。 將本地 Active Directory 與 Azure 進行同步,不等同於 Active Directory 和網域控制器的備份。請使用專用工具和備份解決方案,以保護您在本地端運行的 Active Directory 網域控制器,以及雲端中的 Office 365 資料。
Office 365 備份與 Active Directory 備份
您應定期執行 Office 365 備份,並將這些備份儲存於安全之處。Office 365 備份應包含來自 Office 應用程式的必要資料,例如 Exchange Online 電子郵件、OneDrive 及 SharePoint。雖然 Office 365 資料儲存於雲端,但若部分資料遭勒索軟體損毀或意外刪除,擁有備份可能是恢復該資料的唯一途徑,尤其是當您發現資料遺失時已為時已晚的情況。
Active Directory 是 Windows 網路中的集中式管理系統。若 Active Directory 網域控制器無法運作,可能會導致整個公司的營運停擺。請備份在本地端運行的 Active Directory 網域控制器,以便在發生災難時能夠恢復資料。在備份正在運行應用程式的主機時,建議優先使用支援"應用程式感知備份"功能的專用第三方備份解決方案。
NAKIVO Backup & Replication 是一款適用於中小企業及Enterprise級的資料保護解決方案,支援 Office 365 雲端備份,包括 Exchange Online、SharePoint Online、Microsoft Teams 和 OneDrive for Business 等應用程式。您可以備份多個 Office 365 租戶,選取所有使用者或自訂使用者,並以細粒度層級還原所需的項目。
NAKIVO Backup & Replication 支援實體伺服器備份,包括擔任 Active Directory 網域控制器的 Windows 伺服器,並可執行 Active Directory 備份. 支援 應用程式感知備份 讓您能夠備份網域控制器,並在備份中獲得應用程式一致性的資料。物理伺服器備份亦支援細粒度還原。
結論
遷移至雲端的組織僅進行了部分遷移。他們仍持續在本地端使用 Active Directory 服務,並與雲端服務結合使用。這被稱為混合環境。 透過將 Office 365 與 AD 同步的功能,組織可配置混合環境,並在本地 AD 與 Azure AD 之間同步使用者帳戶及驗證選項。
Office 365 與 Active Directory 的同步可透過 Azure AD Connect 實現,這是由微軟開發的原生工具。 您必須先準備好本地端的 Active Directory,為本地端網域以及與您的 Office 365 租戶連結的外部網域設定網域設定,並在 AD Connect 中設定 Office 365 目錄同步選項。透過 Office 365 與 Active Directory 的整合,使用者可在本地端的 Windows 環境與 Office 365 中使用相同的憑證。
