在 Microsoft Azure 中部署 Microsoft 365 目錄同步處理

  • 發行項

Microsoft Entra Connect (之前稱為目錄同步處理工具、目錄同步處理工具或 DirSync.exe 工具) 是您在已加入網域的伺服器上安裝的應用程式,可將 內部部署的 Active Directory Domain Services (AD DS) 使用者同步至 Microsoft EntraMicrosoft 365 訂閱的租使用者。 Microsoft 365 會針對其目錄服務使用 Microsoft Entra ID。 您的 Microsoft 365 訂閱包含 Microsoft Entra 租使用者。 此租使用者也可以用來管理貴組織的身分識別與其他雲端工作負載,包括 Azure 中的其他 SaaS 應用程式和應用程式。

您可以在內部部署伺服器上安裝 Microsoft Entra Connect,但您也可以將它安裝在 Azure 中的虛擬機上,原因如下:

  • 您可以更快速地佈建和設定雲端架構伺服器,以讓您的使用者可以更早使用服務。
  • Azure 以更輕鬆的方式提供更佳的網站可用性。
  • 您可以減少組織中的內部部署伺服器數目。

此解決方案需要內部部署網路與 Azure 虛擬網路之間的連線。 如需詳細資訊,請 參閱將內部部署網路連線到 Microsoft Azure 虛擬網路

注意事項

本文說明在單一樹系中同步處理單一網域。 Microsoft Entra Connect 會同步處理 Active Directory 樹系中的所有 AD DS 網域與 Microsoft 365。 如果您有多個 Active Directory 樹系要與 Microsoft 365 同步處理,請參閱 多樹系目錄同步處理與單一 Sign-On 案例

在 Azure 中部署 Microsoft 365 目錄同步處理的概觀

下圖顯示 Microsoft Entra 連線在 Azure 中的虛擬機上執行, (將內部部署 AD DS 樹系同步處理至 Microsoft 365 訂用帳戶的目錄同步伺服器) 。

Microsoft Entra Azure 中虛擬機上的連線工具,將內部部署帳戶同步處理至具有流量的 Microsoft 365 訂用帳戶 Microsoft Entra 租使用者。

在圖表中,有兩個網路是由站對站 VPN 或 ExpressRoute 連線所連線。 AD DS 域控制器所在的內部部署網路,以及具有目錄同步伺服器的 Azure 虛擬網路,也就是執行 Microsoft Entra Connect 的虛擬機。 有兩個主要流量流源自目錄同步伺服器:

  • Microsoft Entra Connect 會查詢內部部署網路上的域控制器,以取得帳戶和密碼的變更。
  • Microsoft Entra Connect 會將帳戶和密碼的變更傳送至 Microsoft 365 訂閱的 Microsoft Entra 實例。 因為目錄同步伺服器位於內部部署網路的延伸部分,所以這些變更會透過內部部署網路的 Proxy 伺服器傳送。

注意事項

此解決方案描述在單一 Active Directory 樹系中同步處理單一 Active Directory 網域。 Microsoft Entra Connect 會同步處理 Active Directory 樹系中的所有 Active Directory 網域與 Microsoft 365。 如果您有多個 Active Directory 樹系要與 Microsoft 365 同步處理,請參閱 多樹系目錄同步處理與單一 Sign-On 案例

部署此解決方案有兩個主要步驟:

  1. 建立 Azure 虛擬網路,並建立內部部署網路的站對站 VPN 連線。 如需詳細資訊,請 參閱將內部部署網路連線到 Microsoft Azure 虛擬網路

  2. 在 Azure 中已加入網域的虛擬機上安裝 Microsoft Entra Connect,然後將內部部署 AD DS 同步至 Microsoft 365。 這涉及以下步驟:

    設定 Microsoft Entra Connect 需要認證 (Microsoft Entra 系統管理員帳戶和 AD DS 企業系統管理員帳戶的使用者名稱和密碼) 。 Microsoft Entra Connect 會立即並持續執行,以將內部部署 AD DS 樹系同步至 Microsoft 365。

在生產環境中部署此解決方案之前,您可以使用 模擬企業基本 設定中的指示,將此設定設定為概念證明、示範或實驗。

重要事項

當 Microsoft Entra Connect 設定完成時,它不會儲存 AD DS 企業系統管理員帳戶認證。

注意事項

此解決方案描述如何將單一 AD DS 樹系同步處理至 Microsoft 365。 本文中討論的拓撲只代表實作此解決方案的一種方式。 貴組織的拓撲可能會根據您獨特的網路需求和安全性考慮而有所不同。

規劃在 Azure 中裝載 Microsoft 365 的目錄同步伺服器

必要條件

開始之前,請先檢閱本解決方案的下列必要條件:

  • 檢閱<規劃您的 Azure 虛擬網路>中的相關規劃內容。

  • 確保您符合設定 Azure 虛擬網路的所有必要條件

  • 擁有包含 Active Directory 整合功能的 Microsoft 365 訂閱。 如需 Microsoft 365 訂閱的相關信息,請移至 Microsoft 365 訂閱頁面

  • 布建一個執行 Microsoft Entra Connect 的 Azure 虛擬機,以同步處理內部部署 AD DS 樹系與 Microsoft 365。

    您必須擁有 AD DS 企業系統管理員帳戶的認證 (名稱和密碼) ,以及 Microsoft Entra 系統管理員帳戶。

解決方案架構設計假設

下列清單描述此解決方案所採用的設計選擇。

  • 本解決方案使用具備站台對站台 VPN 連線的單一 Azure 虛擬網路。 Azure 虛擬網路裝載單一子網,其中有一部伺服器,也就是執行 Microsoft Entra Connect 的目錄同步伺服器。

  • 在內部部署網路上會有網域控制站和 DNS 伺服器。

  • Microsoft Entra Connect 會執行密碼哈希同步處理,而不是單一登錄。 您不需要部署 Active Directory 同盟服務 (AD FS) 基礎結構。 若要深入了解密碼哈希同步處理和單一登錄選項,請參閱為 Microsoft Entra 混合式身分識別解決方案選擇正確的驗證方法

當您在環境中部署此解決方案時,您可能會考慮其他設計選項。 包括下列各項:

  • 如果現有的 Azure 虛擬網路中有現有的 DNS 伺服器,請判斷您的目錄同步處理伺服器是否要使用它們 (而非使用內部部署網路的 DNS 伺服器) 來進行名稱解析。

  • 如果現有的 Azure 虛擬網路中有域控制器,請判斷設定 Active Directory 月臺和服務是否可能是更好的選項。 目錄同步伺服器可以查詢 Azure 虛擬網路中的域控制器,以取得帳戶和密碼的變更,而不是內部部署網路上的域控制器。

部署藍圖

在 Azure 中的虛擬機上部署 Microsoft Entra Connect 包含三個階段:

  • 階段 1:建立及設定 Azure 虛擬網路

  • 階段 2:建立及設定 Azure 虛擬機器

  • 階段3:安裝和設定 Microsoft Entra Connect

部署之後,您也必須為 Microsoft 365 中的新用戶帳戶指派位置和授權。

階段 1:建立及設定 Azure 虛擬網路

若要建立及設定 Azure 虛擬網路,請完成<使內部部署網路與 Microsoft Azure 虛擬網路連線>中的<階段 1:準備內部部署網路>和<階段 2:在 Azure 中建立跨單位的虛擬網路>。

這是您產生的組態。

裝載於 Azure 中之 Microsoft 365 的目錄同步伺服器階段 1。

本圖顯示使用站對站 VPN 或 ExpressRoute 連線方式,連線到 Azure 虛擬網路的內部部署網路。

階段 2:建立及設定 Azure 虛擬機器

使用在 Azure 中建立第一個 Windows 虛擬機的指示,在 Azure 中建立 Azure 入口網站。 使用下列設定:

  1. 在 [ 基本] 窗格中,選取與虛擬網路相同的訂用帳戶、位置和資源群組。 在安全的位置中記錄使用者名稱和密碼。 您稍後將需要這些項目來連線到虛擬機。

  2. 在 [選擇大小] 窗格中,選擇 [A2 標準] 大小。

  3. 在 [ 設定] 窗格的 [ 記憶體 ] 區段中,選取 [標準 記憶體類型]。 在 [ 網络] 區段中,選取虛擬網路的名稱和用於裝載目錄同步伺服器的子網, (不是 GatewaySubnet) 。 Leave all other settings at their default values.

驗證目錄同步處理伺服器正確使用 DNS,檢查內部 DNS 以確定已使用其 IP 位址,新增虛擬機器的位址 (A) 記錄。

使用 連線到虛擬機並登 入中的指示,使用遠端桌面連線連線到目錄同步伺服器。 登入之後,將虛擬機加入內部部署AD DS網域。

若要讓 Microsoft Entra Connect 存取因特網資源,您必須將目錄同步伺服器設定為使用內部部署網路的 Proxy 伺服器。 您應該連絡網路管理員,以取得要執行的任何其他設定步驟。

這是您產生的組態。

裝載於 Azure 中之 Microsoft 365 的目錄同步伺服器階段 2。

本圖顯示在跨部署 Azure 虛擬網路中的目錄同步處理伺服器虛擬機器。

階段3:安裝和設定 Microsoft Entra Connect

完成下列程序:

  1. 使用具有本機系統管理員許可權之 AD DS 網域帳戶的遠端桌面連線,連線到目錄同步伺服器。 請參閱 連線到虛擬機並登入

  2. 從目錄同步伺服器開啟 設定 Microsoft 365 的目錄同步 處理一文,並遵循使用密碼哈希同步處理進行目錄同步處理的指示。

注意

安裝程式會在 機用戶組織單位 (OU) 中建立AAD_xxxxxxxxxxxx帳戶。 請勿移動或移除此帳戶,否則同步處理將會失敗。

這是您產生的組態。

裝載於 Azure 中之 Microsoft 365 的目錄同步伺服器階段 3。

此圖顯示在跨單位 Azure 虛擬網路中使用 Microsoft Entra Connect 的目錄同步處理伺服器。

將位置和授權指派給 Microsoft 365 中的使用者

Microsoft Entra Connect 會從內部部署 AD DS 將帳戶新增至您的 Microsoft 365 訂閱,但為了讓使用者登入 Microsoft 365 並使用其服務,帳戶必須設定位置和授權。 使用下列步驟來新增位置,並啟用適當用戶帳戶的授權:

  1. 登入 Microsoft 365 系統管理中心,然後按兩下 [管理員]。

  2. 在左側導覽中,按兩下 [使用者>] [作用中使用者]

  3. 在使用者帳戶清單中,選取您要啟動使用者旁的核取方塊。

  4. 在使用者的頁面上,按一下 [產品授權] 的 [編輯]

  5. 在 [產品授權] 頁面上,為位置的使用者選取一個位置,然後為使用者啟用適當授權。

  6. 完成時,按一下 [儲存],然後按兩下 [關閉]

  7. 針對其他使用者回到步驟 3。

另請參閱

Microsoft 365 解決方案與架構中心

使內部部署網路與 Microsoft Azure 虛擬網路連線

下載 Microsoft Entra Connect

設定 Microsoft 365 的目錄同步處理