在 Microsoft Azure 中部署 Microsoft 365 目录同步

  • 项目

Microsoft Entra Connect (以前称为目录同步工具、目录同步工具或 DirSync.exe 工具) 是安装在已加入域的服务器上以将本地 Active Directory 域服务 (AD DS) 用户同步到Microsoft EntraMicrosoft 365 订阅的租户。 Microsoft 365 对其目录服务使用 Microsoft Entra ID。 Microsoft 365 订阅包括Microsoft Entra租户。 此租户还可用于管理组织与其他云工作负载(包括 Azure 中的其他 SaaS 应用程序和应用)的标识。

可以在本地服务器上安装 Microsoft Entra Connect,但也可以出于以下原因将其安装在 Azure 中的虚拟机上:

  • 可以更快地预配和配置基于云的服务器,使服务更快地提供给用户使用。
  • Azure 可以更轻松地提供更好的网站可用性。
  • 可以减少组织中本地服务器的数量。

此解决方案需要本地网络与 Azure 虚拟网络之间的连接。 有关详细信息,请参阅 将本地网络连接到 Microsoft Azure 虚拟网络

注意

本文介绍了单个林中单个域的同步。 Microsoft Entra Connect 会将 Active Directory 林中的所有 AD DS 域与 Microsoft 365 同步。 如果有多个 Active Directory 林要与 Microsoft 365 同步,请参阅 多林目录同步与单个 Sign-On 方案

在 Azure 中部署 Microsoft 365 目录同步的概述

下图显示了在 Azure 中的虚拟机上运行Microsoft Entra Connect (将本地 AD DS 林同步到 Microsoft 365 订阅的目录同步服务器) 。

Microsoft Entra Azure 中虚拟机上的连接工具,将本地帐户同步到具有流量流的 Microsoft 365 订阅的Microsoft Entra租户。

在图中,有两个网络通过站点到站点 VPN 或 ExpressRoute 连接进行连接。 有一个 AD DS 域控制器所在的本地网络,还有一个包含目录同步服务器的 Azure 虚拟网络,该服务器是运行 Microsoft Entra Connect 的虚拟机。 有两个main流量流源自目录同步服务器:

  • Microsoft Entra Connect 查询本地网络上的域控制器以更改帐户和密码。
  • Microsoft Entra Connect 会将对帐户和密码的更改发送到 Microsoft 365 订阅的 Microsoft Entra 实例。 由于目录同步服务器位于本地网络的扩展部分,因此这些更改通过本地网络的代理服务器发送。

注意

本解决方案说明单个 Active Directory 林中单个 Active Directory 域的同步。 Microsoft Entra Connect 会将 Active Directory 林中的所有 Active Directory 域与 Microsoft 365 同步。 如果有多个 Active Directory 林要与 Microsoft 365 同步,请参阅 多林目录同步与单个 Sign-On 方案

部署此解决方案时有两个主要步骤:

  1. 创建 Azure 虚拟网络,并建立与本地网络的站点到站点 VPN 连接。 有关详细信息,请参阅 将本地网络连接到 Microsoft Azure 虚拟网络

  2. 在 Azure 中已加入域的虚拟机上安装 Microsoft Entra Connect,然后将本地 AD DS 同步到 Microsoft 365。 这包括:

    配置 Microsoft Entra Connect 需要凭据 (用户名和密码) Microsoft Entra管理员帐户和 AD DS 企业管理员帐户。 Microsoft Entra Connect 会立即持续运行,以将本地 AD DS 林同步到 Microsoft 365。

在生产环境中部署此解决方案之前,可以使用 模拟企业基础配置 中的说明将此配置设置为概念证明、演示或试验。

重要

Microsoft Entra Connect 配置完成后,它不会保存 AD DS 企业管理员帐户凭据。

注意

此解决方案介绍如何将单个 AD DS 林同步到 Microsoft 365。 本文中讨论的拓扑只是表示实现此解决方案的一种方法。 组织的拓扑可能因独特的网络要求和安全注意事项而异。

规划在 Azure 中托管 Microsoft 365 的目录同步服务器

先决条件

开始操作之前,请查看此解决方案的以下先决条件。

  • 查阅规划你的 Azure 虚拟网络中有关规划的内容。

  • 确保满足配置 Azure 虚拟网络的所有先决条件

  • 拥有包含 Active Directory 集成功能的 Microsoft 365 订阅。 有关 Microsoft 365 订阅的信息,请转到 Microsoft 365 订阅页

  • 预配一个运行 Microsoft Entra Connect 的 Azure 虚拟机,以将本地 AD DS 林与 Microsoft 365 同步。

    必须具有 AD DS 企业管理员帐户和Microsoft Entra管理员帐户的凭据 (名称和密码) 。

解决方案体系结构设计假设

下面列出了此解决方案需做出的设计选择。

  • 此解决方案使用具有站点间 VPN 连接的单个 Azure 虚拟网络。 Azure 虚拟网络托管具有一个服务器的单个子网,即运行 Microsoft Entra Connect 的目录同步服务器。

  • 在本地网络中,存在域控制器和 DNS 服务器。

  • Microsoft Entra Connect 执行密码哈希同步,而不是单一登录。 无需部署Active Directory 联合身份验证服务 (AD FS) 基础结构。 若要详细了解密码哈希同步和单一登录选项,请参阅为Microsoft Entra混合标识解决方案选择正确的身份验证方法

在环境中部署此解决方案时,可以考虑其他设计选项。 其中包括以下项:

  • 如果现有的 Azure 虚拟网络中已有 DNS 服务器,请确定是否希望目录同步服务器取代本地网络的 DNS 服务器将其用于名称解析。

  • 如果现有 Azure 虚拟网络中存在域控制器,请确定配置 Active Directory 站点和服务是否适合你。 目录同步服务器可以查询 Azure 虚拟网络中的域控制器,了解帐户和密码的更改,而不是本地网络上的域控制器。

部署路线图

在 Azure 中的虚拟机上部署 Microsoft Entra Connect 包括三个阶段:

  • 阶段 1:创建和配置 Azure 虚拟网络

  • 阶段 2:创建和配置 Azure 虚拟机

  • 阶段 3:安装和配置 Microsoft Entra Connect

部署后,还必须为 Microsoft 365 中的新用户帐户分配位置和许可证。

第 1 阶段:创建和配置 Azure 虚拟网络

要创建和配置 Azure 虚拟网络,请完成将本地网络连接到 Microsoft Azure 虚拟网络部署路线图中的阶段 1:准备你的本地网络阶段 2:在 Azure 中创建跨界虚拟网络

这是生成的配置。

Azure 中托管的 Microsoft 365 的目录同步服务器阶段 1。

该图显示了通过站点间 VPN 或 ExpressRoute 连接来连接到 Azure 虚拟网络的本地网络。

阶段 2:创建和配置 Azure 虚拟机

按照在 Azure 门户 中创建第一个 Windows 虚拟机的说明在 Azure 中创建虚拟机。 使用以下设置:

  1. 在“基本信息”窗格中,选择与虚拟网络相同的订阅、位置和资源组。 在安全的位置记录用户名和密码。 稍后需要使用它们来连接到虚拟机。

  2. 在“选择大小”窗格中,请选择“A2 标准”大小。

  3. 在“设置”窗格的“存储”部分中,选择“标准”存储类型。 在“ 网络 ”部分中,选择用于托管目录同步服务器的虚拟网络和子网的名称, (而不是 GatewaySubnet) 。 其他所有设置都保留默认值。

通过检查内部 DNS 验证目录同步服务器是否正确使用 DNS,以确保为具有其 IP 地址的虚拟机添加地址 (A) 记录。

使用 连接到虚拟机并登录 中的说明使用远程桌面连接连接到目录同步服务器。 登录后,将虚拟机加入本地 AD DS 域。

若要Microsoft Entra Connect 访问 Internet 资源,必须将目录同步服务器配置为使用本地网络的代理服务器。 有关要执行的其他配置步骤,你应与网络管理员联系。

这是生成的配置。

Azure 中托管的 Microsoft 365 的目录同步服务器阶段 2。

该图显示跨界 Azure 虚拟网络中的目录同步服务器虚拟机。

阶段 3:安装和配置 Microsoft Entra Connect

请完成以下过程:

  1. 使用具有本地管理员权限的 AD DS 域帐户的远程桌面连接连接到目录同步服务器。 请参阅 连接到虚拟机并登录

  2. 在目录同步服务器中,打开 为 Microsoft 365 设置目录同步 一文,并按照使用密码哈希同步进行目录同步的说明进行操作。

警告

安装程序在本地用户组织单位 (OU) 中创建 AAD_xxxxxxxxxxxx 帐户。 请勿移动或删除该帐户,否则同步将失败。

这是生成的配置。

Azure 中托管的 Microsoft 365 的目录同步服务器阶段 3。

此图显示了跨界 Azure 虚拟网络中具有 Microsoft Entra Connect 的目录同步服务器。

将位置和许可证分配给 Microsoft 365 中的用户

Microsoft Entra Connect 将帐户从本地 AD DS 添加到 Microsoft 365 订阅,但若要让用户登录到 Microsoft 365 并使用其服务,必须使用位置和许可证配置帐户。 使用下列步骤为适当的用户帐户添加位置和激活许可证:

  1. 登录到Microsoft 365 管理中心,然后单击“管理员”。

  2. 在左侧导航栏中,单击“ 用户>”“活动用户”。

  3. 在用户帐户列表中,选中你想要激活的用户旁的复选框。

  4. 在用户页面上,单击“产品许可证”的“编辑”

  5. 在“产品许可证”页上,为“位置”选择一个用户位置,然后为用户启用合适的许可证。

  6. 完成后,单击“保存”,然后单击“关闭”两次。

  7. 对于其他用户,请返回步骤 3。

另请参阅

Microsoft 365 解决方案和体系结构中心

将本地网络连接到 Microsoft Azure 虚拟网络

下载 Microsoft Entra Connect

为 Microsoft 365 设置目录同步