Развертывание Office 365 синхронизации службы каталогов в Microsoft AzureDeploy Office 365 Directory Synchronization in Microsoft Azure

Сводка: Развертывание Azure AD подключение на виртуальной машине в среде Azure для синхронизации учетных записей между локального каталога и клиента Azure AD подписки Office 365.Summary: Deploy Azure AD Connect on a virtual machine in Azure to synchronize accounts between your on-premises directory and the Azure AD tenant of your Office 365 subscription.

Azure Active Directory (AD) подключение (ранее известных как средство синхронизации службы каталогов, средство синхронизации каталогов или средство DirSync.exe) — это на сервере, присоединенный к домену для установки приложения на стороне сервера для синхронизации локальной Windows Server Active Directory — пользователи к клиенту Azure Active Directory подписки Office 365. Подключение Azure AD можно установить на локальный сервер, но можно также установить его на виртуальную машину в Azure по следующим причинам:Azure Active Directory (AD) Connect (formerly known as the Directory Synchronization tool, Directory Sync tool, or the DirSync.exe tool) is a server-based application that you install on a domain-joined server to synchronize your on-premises Windows Server Active Directory users to the Azure Active Directory tenant of your Office 365 subscription. You can install Azure AD Connect on a on-premises server, but you can also install it on a virtual machine in Azure for the following reasons:

  • Вы можете быстрее подготовить и настроить облачные службы, чтобы сделать их доступными для пользователей.You can provision and configure cloud-based servers faster, making the services available to your users sooner.

  • Azure предлагает обеспечения большей доступности сайта меньше усилий.Azure offers better site availability with less effort.

  • Вы можете сократить количество локальных серверов в своей организации.You can reduce the number of on-premises servers in your organization.

Важно!

В этом решении необходимо подключение между локальной сетью и виртуальные сети Azure. Дополнительные сведения можно Подключить локальной сети для Microsoft Azure виртуальной сети.This solution requires connectivity between your on-premises network and your Azure Virtual Network. For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

Важно!

В этой статье описываются синхронизации из одного домена в одном лесу. Подключение Azure AD синхронизирует все Windows Server AD доменов в лесу Active Directory с Office 365. При наличии нескольких лесах Active Directory для синхронизации с Office 365, видеть Нескольких лесов синхронизации каталога с помощью сценария единого входа.This article describes synchronization of a single domain in a single forest. Azure AD Connect synchronizes all Windows Server AD domains in your Active Directory forest with Office 365. If you have multiple Active Directory forests to synchronize with Office 365, see Multi-forest Directory Sync with Single Sign-On Scenario.

Примечание

Office 365 с помощью Azure Active Directory (Azure AD) для его службы каталогов. Подписки Office 365 включает в себя клиента Azure AD. В этом клиента можно также для управления удостоверениями вашей организации с помощью других облачных рабочих нагрузок, включая других SaaS приложений и приложений в Azure.Office 365 uses Azure Active Directory (Azure AD) for its directory service. Your Office 365 subscription includes an Azure AD tenant. This tenant can also be used for management of your organization's identities with other cloud workloads, including other SaaS applications and apps in Azure.

Общие сведения о развертывании синхронизации каталогов Office 365 в AzureOverview of deploying Office 365 directory synchronization in Azure

На следующей схеме показана Azure AD подключение, запущенные на виртуальную машину в Azure (сервер синхронизации каталогов), которая синхронизирует локального леса Windows Server AD собой 365 подписку.The following diagram shows Azure AD Connect running on a virtual machine in Azure (the directory sync server) that synchronizes an on-premises Windows Server AD forest to anOffice 365 subscription.

Средство Azure AD Connect на виртуальной машине в Azure синхронизирует локальные учетные записи с клиентом Azure AD для Office 365

На схеме существует две сети, веб сайт VPN или ExpressRoute соединение. Существует в локальной сети, где расположены контроллеров домена Windows Server AD, и имеется виртуальная сеть Azure с сервер синхронизации каталогов, который является виртуальной машины под управлением Подключить Azure AD. Существует два основных трафика потоки, поступающих от сервера синхронизации каталогов.In the diagram, there are two networks connected by a site-to-site VPN or ExpressRoute connection. There is an on-premises network where Windows Server AD domain controllers are located, and there is an Azure virtual network with a directory sync server, which is a virtual machine running Azure AD Connect. There are two main traffic flows originating from the directory sync server:

  • Средство Azure AD Connect отправляет контроллеру домена в локальной сети запросы на изменение учетных записей и паролей.Azure AD Connect queries a domain controller on the on-premises network for changes to accounts and passwords.

  • Подключение Azure AD отправляет изменения учетных записей и пароли в Azure AD экземпляр подписки Office 365. Поскольку сервер синхронизации каталогов в расширенной части в локальной сети, эти изменения, передаются через прокси-сервер в локальной сети.Azure AD Connect sends the changes to accounts and passwords to the Azure AD instance of your Office 365 subscription. Because the directory sync server is in an extended portion of your on-premises network, these changes are sent through the on-premises network's proxy server.

Примечание

В этом решении описание синхронизации одного домена Active Directory, в одном лесу Active Directory. Подключение Azure AD синхронизирует все домены Active Directory в лес Active Directory с Office 365. При наличии нескольких лесах Active Directory для синхронизации с Office 365, видеть Нескольких лесов синхронизации каталога с помощью сценария единого входа.This solution describes synchronization of a single Active Directory domain, in a single Active Directory forest. Azure AD Connect synchronizes all Active Directory domains in your Active Directory forest with Office 365. If you have multiple Active Directory forests to synchronize with Office 365, see Multi-forest Directory Sync with Single Sign-On Scenario.

В обоих случаях трафика с Azure AD подключение, работающим на виртуальная машина Azure будет переведен на шлюз виртуальной сети в Azure, который затем перенаправляет трафик через подключение через VPN или ExpressRoute веб сайта на устройство шлюза VPN на в локальной сети. Инфраструктуры маршрутизации в локальной сети нажмите перенаправляет трафик в место назначения, такие как контроллер домена или прокси-сервера.In both cases, the traffic originated by Azure AD Connect running on the Azure virtual machine is forwarded to a gateway on the virtual network in Azure, which then forwards the traffic across the site-to-site VPN or ExpressRoute connection to the VPN gateway device on the on-premises network. The routing infrastructure of the on-premises network then forwards the traffic to its destination, such as a domain controller or a proxy server.

Развертывание этого решения делится на два основных этапа:There are two major steps when you deploy this solution:

  1. Создайте Azure виртуальной сети и веб сайта VPN-подключение к локальной сети. Дополнительные сведения можно Подключить локальной сети для Microsoft Azure виртуальной сети.Create an Azure virtual network and establish a site-to-site VPN connection to your on-premises network. For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

  2. Установка Azure AD подключение на присоединенный к домену виртуальной машины в Azure, а затем синхронизировать Windows Server AD локальной в Office 365. Это включает в себя:Install Azure AD Connect on a domain-joined virtual machine in Azure, and then synchronize the on-premises Windows Server AD to Office 365. This involves:

    Создание виртуальной машины Azure для запуска подключить Azure AD.Creating an Azure Virtual Machine to run Azure AD Connect.

    Установка и настройка Подключить Azure AD.Installing and configuring Azure AD Connect.

    Настройка Azure AD подключения требуются учетные данные (имя пользователя и пароль) учетной записи администратора Azure AD и учетная запись администратора предприятия Windows Server AD. Подключение Azure AD выполняется немедленно и постоянно синхронизировать локального леса Windows Server AD в Office 365.Configuring Azure AD Connect requires the credentials (user name and password) of an Azure AD administrator account and a Windows Server AD enterprise administrator account. Azure AD Connect runs immediately and on an ongoing basis to synchronize the on-premises Windows Server AD forest to Office 365.

Перед развертыванием этого решения в рабочей среде, используйте инструкции в синхронизации службы каталогов для Office 365 dev/тестовой среды для настройки этой конфигурации как пробная версия, для демонстрации или для экспериментов.Before you deploy this solution in production, use the instructions in Directory synchronization for your Office 365 dev/test environment to set this configuration up as a proof of concept, for demonstrations, or for experimentation.

Важно!

После настройки средство Azure AD Connect не сохраняет учетные данные администратора предприятия Windows Server AD.When Azure AD Connect configuration completes, it does not save the Windows Server AD enterprise administrator account credentials.

Примечание

В этом решении описывается синхронизация одного леса Windows Server AD в Office 365. Топологии, описанные в этой статье представляет только один из способов внедрения такого решения. Топология организации могут различаться в зависимости от уникальные требования и рекомендации по безопасности.This solution describes synchronizing a single Windows Server AD forest to Office 365. The topology discussed in this article represents only one way to implement this solution. Your organization's topology might differ based on your unique network requirements and security considerations.

Планирование размещения сервер синхронизации каталогов для Office 365 в AzurePlan for hosting a directory sync server for Office 365 in Azure

Необходимые условияPrerequisites

Прежде чем приступать к работе, изучите необходимые условия для этого решения.Before you begin, review the following prerequisites for this solution:

  • Просмотрите соответствующий контент планирования в Планирование Azure виртуальной сети.Review the related planning content in Plan your Azure virtual network.

  • Убедитесь, что соблюдены все необходимые компоненты для настройки виртуальная сеть Azure.Ensure that you meet all prerequisites for configuring the Azure virtual network.

  • У подписки Office 365, которая включает в себя средство интеграции Active Directory. Сведения о подписках Office 365 перейдите на страницу подписки Office 365.Have an Office 365 subscription that includes the Active Directory integration feature. For information about Office 365 subscriptions, go to the Office 365 subscription page.

  • Подготовка одной виртуальной машины Azure, на котором выполняется Azure AD подключение для синхронизации локального леса Windows Server AD с Office 365.Provision one Azure Virtual Machine that runs Azure AD Connect to synchronize your on-premises Windows Server AD forest with Office 365.

    Необходимо иметь учетные данные (имена и пароли) для учетной записи администратора предприятия Windows Server AD и учетной записи администратора Azure Active Directory.You must have the credentials (names and passwords) for a Windows Server AD enterprise administrator account and an Azure Active Directory Administrator account.

Допущения по архитектуре решенияSolution architecture design assumptions

Ниже приведены принятые проектные решения.The following list describes the design choices made for this solution.

  • Это решение использует один виртуальная сеть Azure с VPN-подключения веб сайта. Виртуальная сеть Azure служит для размещения одной подсети, которая содержит один сервер, сервер синхронизации каталогов, на котором выполняется подключение Azure AD.This solution uses a single Azure virtual network with a site-to-site VPN connection. The Azure virtual network hosts a single subnet that contains one server, the directory sync server that is running Azure AD Connect.

  • В локальной сети размещены контроллер домена и DNS-серверы.On the on-premises network, a domain controller and DNS servers exist.

  • Подключение Azure AD выполняет хэш-функции синхронизации паролей вместо единого входа. Необходимо развернуть инфраструктуру служб федерации Active Directory (AD FS). Метод проверки подлинности вправо для решения identity гибридных Azure Active Directoryдля получения дополнительных сведений о синхронизации паролей хэш-функции и параметры единого входа, см.Azure AD Connect performs password hash synchronization instead of single sign-on. You do not have to deploy an Active Directory Federation Services (AD FS) infrastructure. To learn more about password hash synchronization and single sign-on options, see Choosing the right authentication method for your Azure Active Directory hybrid identity solution.

При развертывании этого решения в своей среде вы можете рассмотреть дополнительные варианты структуры. К ним относятся следующие:There are additional design choices that you might consider when you deploy this solution in your environment. These include the following:

  • Если существуют DNS-серверов в существующие Azure виртуальной сети, определяет, следует ли сервер синхронизации каталогов к их использования для разрешения имен, а не DNS-серверов в локальной сети.If there are existing DNS servers in an existing Azure virtual network, determine whether you want your directory sync server to use them for name resolution instead of DNS servers on the on-premises network.

  • Если в Azure виртуальной сети, контроллеры домена, определить, является ли Настройка Active Directory — сайты и службы может быть лучшим вариантом. Сервер синхронизации каталогов можно запросить контроллеры доменов в виртуальная сеть Azure для изменения в учетные записи и пароли, а не контроллеров домена в локальной сети.If there are domain controllers in an existing Azure virtual network, determine whether configuring Active Directory Sites and Services may be a better option for you. The directory sync server can query the domain controllers in the Azure virtual network for changes in accounts and passwords instead of domain controllers on the on-premises network.

План развертыванияDeployment roadmap

Развертывание Azure AD подключение на виртуальную машину в Azure состоит из трех этапов:Deploying Azure AD Connect on a virtual machine in Azure consists of three phases:

  • Этап 1. Создание и настройка виртуальной сети AzurePhase 1: Create and configure the Azure virtual network

  • Этап 2. Создание и настройка виртуальной машины AzurePhase 2: Create and configure the Azure virtual machine

  • Этап 3. Установка и настройка Azure AD ConnectPhase 3: Install and configure Azure AD Connect

После развертывания также необходимо назначить расположения и лицензии для новых учетных записей пользователей в Office 365.After deployment, you must also assign locations and licenses for the new user accounts in Office 365.

Совет

Сервер синхронизации каталогов в Azure Deployment Kit содержит все блоки Azure PowerShell для создания этого решения, схемы в формат Microsoft PowerPoint и Visio и конфигурации книги Microsoft Excel, которое создает Azure блоки команды PowerShell, настроенный для настройки.The Directory Synchronization Server in Azure Deployment Kit contains all of the Azure PowerShell blocks to build out this solution, the diagrams in Microsoft PowerPoint and Visio format, and a Microsoft Excel configuration workbook that generates Azure PowerShell command blocks customized for your settings.

Этап 1. Создание и настройка виртуальной сети AzurePhase 1: Create and configure the Azure virtual network

Для создания и настройки виртуальная сеть Azure, выполните Этап 1: Подготовка локальной сетью и Этап 2: Создание виртуальной сети между организациями в Azure в развертывании схема подключения локальной сети к Виртуальная сеть Microsoft Azure.To create and configure the Azure virtual network, complete Phase 1: Prepare your on-premises network and Phase 2: Create the cross-premises virtual network in Azure in the deployment roadmap of Connect an on-premises network to a Microsoft Azure virtual network.

Ниже показана итоговая конфигурация.This is your resulting configuration.

Этап 1 сервер синхронизации каталогов для Office 365, размещенных в Azure

На этом рисунке показана локальная сеть, подключенная к виртуальной сети Azure через подключение VPN типа "сеть-сеть" или ExpressRoute.This figure shows an on-premises network connected to an Azure virtual network through a site-to-site VPN or ExpressRoute connection.

Этап 2. Создание и настройка виртуальной машины AzurePhase 2: Create and configure the Azure virtual machine

Создайте виртуальную машину в Azure с использованием инструкций создать первый виртуальной машины для Windows Azure портала. Используйте следующие параметры:Create the virtual machine in Azure using the instructions Create your first Windows virtual machine in the Azure portal. Use the following settings:

  • В области основы выберите ту же группу подписки, расположение и ресурсов как виртуальной сети. Запишите имя пользователя и пароль в надежном месте. Они потребуются позднее, чтобы подключиться к виртуальной машине.On the Basics pane, select the same subscription, location, and resource group as your virtual network. Record the user name and password in a secure location. You will need these later to connect to the virtual machine.

  • В области выберите размер выберите команду A2 стандартный размер.On the Choose a size pane, choose the A2 Standard size.

  • В области Параметры в разделе хранения выберите стандартный тип хранилища. В разделе сети выберите имя виртуальной сети и подсети для размещения сервера синхронизации каталогов (не GatewaySubnet). Всех остальных параметров оставьте значения по умолчанию.On the Settings pane, in the Storage section, select the Standard storage type. In the Network section, select the name of your virtual network and the subnet for hosting the directory sync server (not the GatewaySubnet). Leave all other settings at their default values.

Убедитесь, что сервер синхронизации каталогов использует DNS правильно, проверьте внутренней DNS для убедитесь в том, что запись адреса (A) была добавлена для виртуальной машины с IP-адреса.Verify that your directory sync server is using DNS correctly by checking your internal DNS to make sure that an Address (A) record was added for the virtual machine with its IP address.

Используйте инструкции из статьи подключение к виртуальной машине и входа на подключение к серверу синхронизации каталогов с помощью подключения к удаленному рабочему столу. После входа в присоединиться к виртуальной машины Windows Server AD в локальный домен.Use the instructions in Connect to the virtual machine and sign on to connect to the directory sync server with a Remote Desktop Connection. After signing in, join the virtual machine to the on-premises Windows Server AD domain.

Для подключения Azure AD для получения доступа к ресурсам Интернета необходимо настроить сервер синхронизации каталогов для использования прокси-сервера в локальной сети. Следует обратитесь к администратору сети для дополнительных действий по настройке для выполнения.For Azure AD Connect to gain access to Internet resources, you must configure the directory sync server to use the on-premises network's proxy server. You should contact your network administrator for any additional configuration steps to perform.

Ниже показана итоговая конфигурация.This is your resulting configuration.

Этап 2 сервер синхронизации каталогов для Office 365, размещенных в Azure

На этом рисунке показана виртуальной машины сервер синхронизации каталогов в нескольких организациях виртуальная сеть Azure.This figure shows the directory sync server virtual machine in the cross-premises Azure virtual network.

Этап 3. Установка и настройка Azure AD ConnectPhase 3: Install and configure Azure AD Connect

Выполните следующие действия:Complete the following procedure:

  1. Подключение к серверу синхронизации каталогов с помощью подключения к удаленному рабочему столу с учетной записью домена Windows Server AD с правами локального администратора. В разделе подключение к виртуальной машине и входа в систему.Connect to the directory sync server using a Remote Desktop Connection with a Windows Server AD domain account that has local administrator privileges. See Connect to the virtual machine and sign on.

  2. Сервер синхронизации каталогов откройте в статье Настройка синхронизации службы каталогов в Office 365 и следуйте инструкциям для синхронизации службы каталогов с помощью хэш-функции синхронизации паролей.From the directory sync server, open the Set up directory synchronization in Office 365 article and follow the directions for directory synchronization with password hash synchronization.

Внимание!

Программа установки создает учетную запись AAD_xxxxxxxxxxxx в локальные пользователи подразделение (OU). Не перемещать и удалить эту учетную запись или синхронизации завершится с ошибкой.Setup creates the AAD_xxxxxxxxxxxx account in the Local Users organizational unit (OU). Do not move or remove this account or synchronization will fail.

Ниже показана итоговая конфигурация.This is your resulting configuration.

Этап 3 сервера синхронизации каталогов для Office 365, размещенных в Azure

На этом рисунке показана сервер синхронизации каталогов с Azure AD подключение в нескольких организациях виртуальная сеть Azure.This figure shows the directory sync server with Azure AD Connect in the cross-premises Azure virtual network.

Назначение расположений и лицензий пользователям в Office 365Assign locations and licenses to users in Office 365

Средство Azure AD Connect добавляет учетные записи из локального леса Windows Server AD в подписку на Office 365, но чтобы пользователи могли входить в Office 365 и использовать службы, необходимо настроить расположение и лицензии. Чтобы добавить расположение и активировать лицензии для соответствующих учетных записей пользователей, сделайте следующее:Azure AD Connect adds accounts to your Office 365 subscription from the on-premises Windows Server AD, but in order for users to sign in to Office 365 and use its services, the accounts must configured with a location and licenses. Use these steps to add the location and activate licenses for the appropriate user accounts:

  1. Вход на странице портала Office 365и нажмите кнопку администрирования.Sign in to the Office 365 portal page, and then click Admin.

  2. На панели навигации слева выберите элементы Пользователи > Активные пользователи.In the left navigation, click Users > Active users.

  3. В списке учетных записей пользователей установите флажок рядом с нужным пользователем.In the list of user accounts, select the check box next to the user you want to activate.

  4. На странице для пользователя нажмите кнопку Изменить для лицензий на продукт.On the page for the user, click Edit for Product licenses.

  5. На странице " число лицензий на продукт " выберите расположение для пользователя для расположенияи включите соответствующие лицензии для пользователя.On the Product licences page, select a location for the user for Location, and then enable the appropriate licences for the user.

  6. Закончив настройку, нажмите кнопку Сохранитьи дважды нажмите кнопку Закрыть .When complete, click Save, and then click Close twice.

  7. Вернитесь к шагу 3, чтобы повторить эти действия для других пользователей.Go back to step 3 for additional users.

ПонятияSee Also

Освоение облака и гибридные решенияCloud adoption and hybrid solutions

Подключение локальной сети к виртуальной сети Microsoft AzureConnect an on-premises network to a Microsoft Azure virtual network

Подключение загрузки Azure ADDownload Azure AD Connect

Настройка синхронизации службы каталогов в Office 365Set up directory synchronization in Office 365

Сервер синхронизации каталогов в Azure Deployment KitDirectory Synchronization server in Azure Deployment Kit