在 Microsoft Azure 中部署Microsoft 365目錄同步處理

文章
05/27/2022

Azure Active Directory (Azure AD) 連線 (先前稱為目錄同步處理工具、目錄同步處理工具或DirSync.exe工具) 是您安裝在已加入網域之伺服器上的應用程式，可將內部部署的 Active Directory網域服務 (AD DS) 使用者同步至您 Azure AD 租使用者Microsoft 365訂用帳戶。 Microsoft 365使用 Azure AD 作為其目錄服務。您的Microsoft 365訂用帳戶包含 Azure AD 租使用者。此租使用者也可以用來管理貴組織的身分識別與其他雲端工作負載，包括 Azure 中的其他 SaaS 應用程式和應用程式。

您可以在內部部署伺服器上安裝 Azure AD 連線，但您也可以將它安裝在 Azure 中的虛擬機器上，原因如下：

您可以更快速地佈建和設定雲端架構伺服器，以讓您的使用者可以更早使用服務。
Azure 以更輕鬆的方式提供更佳的網站可用性。
您可以減少組織中的內部部署伺服器數目。

本解決方案需要內部部署網路與 Azure 虛擬網路之間的連線。如需詳細資訊，請參閱使內部部署網路與 Microsoft Azure 虛擬網路連線。

注意

本文說明在單一樹系中同步處理單一網域。 Azure AD 連線將 Active Directory 樹系中的所有 AD DS 網域與Microsoft 365同步處理。如果您有多個 Active Directory 樹系要與Microsoft 365同步，請參閱使用單一Sign-On案例進行多樹系目錄同步處理。

在 Azure 中部署Microsoft 365目錄同步處理的概觀

下圖顯示 Azure AD 連線在 Azure 中的虛擬機器上執行， (將內部部署 AD DS 樹系同步處理至Microsoft 365訂用帳戶的目錄同步伺服器) 。

Azure 中虛擬機器上的 Azure AD 連線工具，將內部部署帳戶與Microsoft 365訂用帳戶的 Azure AD 租使用者同步處理流量。

在圖表中，有兩個網路是由站對站 VPN 或 ExpressRoute 連線所連線。有一個內部部署網路，AD DS 網域控制站位於其中，而且有一個具有目錄同步伺服器的 Azure 虛擬網路，這是執行Azure AD 連線的虛擬機器。有兩個主要流量流源自目錄同步伺服器：

Azure AD Connect 將內部部署網路上的網域控制器排入佇列，來處理帳戶和密碼的變更。
Azure AD 連線會將帳戶和密碼的變更傳送至Microsoft 365訂用帳戶的 Azure AD 實例。因為目錄同步伺服器位於內部部署網路的延伸部分，所以這些變更會透過內部部署網路的 Proxy 伺服器傳送。

注意

此解決方案描述在單一 Active Directory 樹系中同步處理單一 Active Directory 網域。 Azure AD 連線會將 Active Directory 樹系中的所有 Active Directory 網域與Microsoft 365同步處理。如果您有多個 Active Directory 樹系要與Microsoft 365同步，請參閱使用單一Sign-On案例進行多樹系目錄同步處理。

部署此解決方案有兩個主要步驟：

建立 Azure 虛擬網路，以及建立您的內部部署網路的站對站 VPN 連線。如需詳細資訊，請參閱＜使內部部署網路與 Microsoft Azure 虛擬網路連線＞。
在 Azure 中已加入網域的虛擬機器上安裝Azure AD 連線，然後將內部部署 AD DS 同步至 Microsoft 365。這涉及以下步驟：

建立 Azure 虛擬機器以執行 Azure AD Connect。

安裝及設定 Azure AD Connect。

設定 Azure AD 連線需要 Azure AD 系統管理員帳戶和 AD DS 企業系統管理員帳戶的認證 (使用者名稱和密碼) 。 Azure AD 連線會立即執行，並持續執行，以將內部部署 AD DS 樹系同步至Microsoft 365。

在生產環境中部署此解決方案之前，您可以使用模擬企業基本設定中的指示，將此設定設定為概念證明、示範或實驗。

重要

當 Azure AD Connect 組態完成時，它不會儲存 AD DS 企業系統管理員帳戶認證。

注意

此解決方案描述將單一 AD DS 樹系同步處理至Microsoft 365。本文中討論的拓撲只代表實作此解決方案的一種方式。貴組織的拓撲可能會根據您獨特的網路需求和安全性考慮而有所不同。

規劃在 Azure 中裝載適用于Microsoft 365的目錄同步伺服器

必要條件

開始之前，請先檢閱本解決方案的下列必要條件：

檢閱＜規劃您的 Azure 虛擬網路＞中的相關規劃內容。
確保您符合設定 Azure 虛擬網路的所有必要條件。
擁有包含 Active Directory 整合功能的Microsoft 365訂用帳戶。如需Microsoft 365訂用帳戶的相關資訊，請移至Microsoft 365訂用帳戶頁面。
布建一個執行 Azure AD 連線的 Azure 虛擬機器，以同步處理內部部署 AD DS 樹系與 Microsoft 365。

您必須具有 AD DS 企業系統管理員帳戶和 Azure AD 系統管理員帳戶的認證 (名稱和密碼)。

解決方案架構設計假設

下列清單描述此解決方案所採用的設計選擇。

這個解決方案使用具備站對站 VPN 連線的單一 Azure 虛擬網路。Azure 虛擬網路會裝載單一子網路，其具有一部執行 Azure AD Connect 的目錄同步處理伺服器。
在內部部署網路上會有網域控制站和 DNS 伺服器。
Azure AD 連線執行密碼雜湊同步處理，而不是單一登入。您不需要部署 Active Directory 同盟服務 (AD FS) 基礎結構。若要深入瞭解密碼雜湊同步處理和單一登入選項，請參閱為Azure Active Directory混合式身分識別解決方案選擇正確的驗證方法。

當您在環境中部署此解決方案時，您可能會考慮其他設計選項。包括下列各項：

如果現有的 Azure 虛擬網路中有現有的 DNS 伺服器，請判斷您的目錄同步處理伺服器是否要使用它們 (而非使用內部部署網路的 DNS 伺服器) 來進行名稱解析。
如果現有的 Azure 虛擬網路中有網域控制站，請判斷設定 Active Directory 網站及服務是否是較好的選擇。目錄同步處理伺服器可以將 Azure 虛擬網路的網域控制器排入佇列，來處理帳戶和密碼的變更，而非內部部署網路上的網域控制器。

部署藍圖

在 Azure 中的虛擬機器上部署 Azure AD Connect 由三個階段所組成：

階段 1：建立及設定 Azure 虛擬網路
階段 2：建立及設定 Azure 虛擬機器
階段 3：安裝及設定 Azure AD Connect

部署之後，您也必須在 Microsoft 365 中指派新使用者帳戶的位置和授權。

階段 1：建立及設定 Azure 虛擬網路

若要建立及設定 Azure 虛擬網路，請完成＜使內部部署網路與 Microsoft Azure 虛擬網路連線＞中的＜階段 1：準備內部部署網路＞和＜階段 2：在 Azure 中建立跨單位的虛擬網路＞。

這是您產生的組態。

Azure 中裝載之Microsoft 365的目錄同步伺服器階段 1。

本圖顯示使用站對站 VPN 或 ExpressRoute 連線方式，連線到 Azure 虛擬網路的內部部署網路。

階段 2：建立及設定 Azure 虛擬機器

使用＜在 Azure 入口網站中建立第一個 Windows 虛擬機器＞中的指示，在 Azure 中建立虛擬機器。使用下列設定：

在 [基本概念] 窗格中，選取相同的訂閱、位置及資源群組做為您的虛擬網路，並在安全位置記錄使用者名稱和密碼。您稍後連線到虛擬機器時會需要這些資訊。
在 [選擇大小] 窗格中，選擇 [A2 標準] 大小。
在 [設定] 窗格中，請在 [儲存體] 區段中，選取 [標準] 儲存體類型。在 [網路] 區段中，選取您裝載目錄同步處理伺服器 (不是閘道子網路) 的虛擬網路和子網路名稱。其他所有設定都保留預設值。

驗證目錄同步處理伺服器正確使用 DNS，檢查內部 DNS 以確定已使用其 IP 位址，新增虛擬機器的位址 (A) 記錄。

使用連線到虛擬機器並且登入中的指示，使用遠端桌面連線以連線到目錄同步處理伺服器。登入之後，將虛擬機器加入到內部部署 AD DS 網域。

若要讓 Azure AD Connect 取得存取網際網路資源的權限，您必須設定目錄同步處理伺服器來使用內部部署網路的 Proxy 伺服器。您應該連絡您的網路系統管理員，以取得需要執行的其他設定步驟。

這是您產生的組態。

Azure 中裝載之Microsoft 365的目錄同步伺服器階段 2。