如何安装和管理用于目录同步的 Azure AD Connect

Azure AD Connect 允许您将本地 Active Directory 身份同步到 Azure AD 或 Microsoft 365。这使您可以在一个位置管理用户设置和身份，以及我们将在博文中讨论的许多其他好处。在这里，我们将介绍如何在本地和 Azure 云环境中安装和管理 Azure AD Connect。

页面内容

什么是 Azure AD Connect 及其工作原理？

使用 Azure AD Connect 的好处

如何安装 Azure AD Connect

如何管理 Azure AD Connect

如何从环境中删除 Azure AD Connect

概括

什么是 Azure AD Connect 及其工作原理

Azure AD Connect 允许您将本地 Active Directory 用户的属性与 Azure Active Directory 同步。这些属性包括用户名、UserPrincipleName（或用户名）、电子邮件地址和别名、密码和联系/个人信息。 Azure AD Connect 应用程序安装在本地域控制器或成员服务器上，然后在本地目录和云之间匹配用户，然后启用同步。

使用 Azure AD Connect 的好处

如果您希望开始使用 Azure AD Connect，那么您可能拥有本地 Active Directory 环境，并且还拥有（或希望实施）Azure Active Directory 环境。还有一种情况是，如果您不使用 Microsoft 电子邮件或 Azure 服务，则可能会使用 Microsoft 365 进行应用程序许可，此时实施 Azure AD Connect 也很有意义。如果您想了解有关 Azure Active Directory 的更多信息，我推荐您阅读什么是 Azure Active Directory？

Active Directory 管理员的好处

Azure AD Connect 允许管理员从一个位置（即本地 Active Directory）管理其环境。它将允许您从单个 Active Directory 页面创建用户、设置属性、创建组和共享邮箱。与动态组成员身份相结合将真正最大限度地减少登录 Azure AD 的需要。

由于密码可以同步到 Azure AD，因此您的密码策略也将从本地扩展到 Azure。您可以通过阅读：创建和了解 Microsoft 365 组来了解组成员身份模式。

对最终用户的好处

对于最终用户来说，将他们的身份从本地同步到 Azure AD 意味着只需记住一个密码即可用于其 Windows 登录配置文件和 Azure AD（或 Microsoft 365）。这将简化管理 Outlook 电子邮件、授权 Office 365 应用程序以及远程登录 Office.com 以在线访问 SharePoint 或 OneDrive 等任务。

如何安装 Azure AD Connect

先决条件

为了让 Azure AD 连接按照您期望的方式运行，您需要在本地 Active Directory 中做一些准备工作。首先，您需要确保已将客户域添加到 Active Directory，并且要同步的用户属性正确。

首先打开Active Directory 域和信任，右键单击“Active Directory 域和信任”，然后输入外部域的备用 UPN 后缀。在我的例子中，它将是 ourcloudnetwork.com ，然后单击“确定”。

现在转到Active Directory 用户和计算机，右键单击您的用户，然后单击属性。确保电子邮件字段填写正确，然后转到帐户选项卡并将用户登录名域更改为您添加的新域。

如果您希望为此用户添加别名电子邮件地址，请转到“Active Directory 用户和计算机”页面顶部的查看，然后选择高级功能。再次右键单击您的用户并选择属性，这次选择属性编辑器选项卡并向下滚动到代理地址。添加主电子邮件地址采用以下格式 SMTP:*EMAIL ADDRESSES*，然后使用小写 smtp 添加任何别名地址，如下所示。

此外，为了在安装应用程序后登录 Azure AD Connect，您还需要在服务器管理器中暂时禁用 IE 增强安全配置。

安装 Azure AD 连接

首先，请确保从 Microsoft 官方网站下载最新版本的 Azure AD Connect：https://www.microsoft.com/en-us/download/details.aspx?id=47594。

Azure AD Connect 版本 2 要求您运行 Windows Server 2016 或更高版本。如果您运行的不是 Server 2016 或更高版本，则需要获取 Azure AD Connect 版本 1。版本 2 还使用 TLS1.2 加密同步引擎和 Azure AD 之间的通信，因此您需要确保启用此功能。版本 1 使用 TLS1.1。

下载应用程序后，运行安装程序并接受 EULA。

在快速设置页面上，单击自定义，因为我们不想使用默认的安装和同步设置。

在安装所需组件中，您可以更改安装位置、使用现有 SQL Server、使用现有服务帐户、指定同步组或导入设置。我们将取消选中所有设置并单击安装。

用户登录页面允许我们为同步用户选择登录方法。我们将选择密码哈希同步，这将允许我们的用户使用相同的密码及其本地帐户登录云。

接下来使用全局管理员帐户连接到 Azure AD。完成后，您将直接进入连接您的目录页面。确保选择您的林并单击添加目录。在弹出窗口中选择创建新的 AD 帐户并在下面输入您的域管理员帐户信息，然后单击确定。

对于 Azure AD 登录配置，我可以看到我选择的 ourcloudnetwork.com UPN 后缀已得到验证，我将选择 userPrincipleName 属性用作同步帐户的 Azure AD 用户名。我还选中了继续的复选框，而不将所有 UPN 后缀与已验证的域进行匹配。

在域和 OU 过滤下，仅同步您希望同步的指定 OU 非常重要，否则您将面临删除 Azure AD 中已有数据或用户帐户的风险。我选择了包含单个用户 James Blue 的 Office 365 OU。

在唯一标识您的用户页面上，我将所有设置保留为默认，然后单击“下一步”。由于这是 Azure AD Connect 的新安装，我将允许 Azure AD Connect 为我选择默认推荐的同步属性。 我还将对“过滤用户和设备”页面执行相同的操作。

可选功能页面最后将显示您可以启用的任何其他功能。我将启用密码写回功能。这意味着，如果我在 Azure AD 中更改用户密码，该密码将写回与其同步的本地目录用户，从而允许在 Azure AD 或本地更新用户密码。

在最后一页上，您可以选中启用暂存模式选项。通过使用暂存模式，您可以查看启用同步后 Azure AD 中将发生的任何更改，而无需实际进行更改。通过此设置，您可以在上线前检查您所做的更改是否正确并且不会产生任何不利影响。我简单地选择安装而不启用暂存模式。

最后，您可以在 Microsoft 365 门户中检查用户的状态。在这里您可以看到我的用户 James Blue 已使用正确的用户名/电子邮件添加，并且他的同步状态为“目录已同步”。

如何管理 Azure AD Connect

从以上信息出发，可以推断出如何添加/删除用户以及更改用户信息。在本地用户帐户上更改的大多数设置都将同步到 Azure AD。 Microsoft 在此处提供了有用的链接：https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-sync-attributes-synchronized，它将列出所有存在和不存在的用户属性已同步。

管理 Azure AD Connect 最有用的工具之一是随站点 Azure AD Connect 安装的同步服务器管理器。打开应用程序，您将看到如下屏幕。

如果您选择列表中的连接器操作之一，您将看到导出统计数据显示在底部。在这里，我选择了第一个导出，您可以看到我的 Azure Active Directory 中已添加了 1 个导出。

如果您单击我在上面圈出的这个 1，然后双击专有名称，您将看到排除故障或管理任何更改所需的所有信息。这正是我们使用暂存模式功能的方式。您将能够看到此信息，而无需将更改实际复制到 Azure AD。

如何从环境中删除 Azure AD Connect

删除 Azure AD Connect 涉及关键步骤。第一步是将您的所有帐户从目录同步转换为仅在云中。这将从云环境中删除任何指向 Azure AD Connect 的链接。很高兴知道在此过程中本地或云中的密码都不会更改。

接下来的步骤只是通过控制面板从服务器卸载 Azure AD Connect（我现在将在此处与您一起完成该操作，因为它应该是相当不言自明的）。

让我们重点关注从 Azure AD 租户禁用 Azure AD Connect。我们将使用 PowerShell 来完成此过程。

首先以管理员身份运行 PowerShell 并使用以下代码安装 MSOnline PowerShell 模块，根据提示选择“是”。

install-module msonline

安装模块后，您需要连接到 Microsoft 云环境。运行以下代码，系统将提示您使用全局管理员帐户登录。

connect-msolservice

要查看当前的同步状态，请执行以下操作。您将看到结果仅显示True。

(Get-MsolCompanyInformation).DirectorySynchronizationEnabled

要禁用目录同步，请运行以下命令并选择是。

Set-MsolDirSyncEnabled -EnableDirSync $false

现在，目录同步最多需要 72 小时才能完全禁用。您可以运行上面的命令再次查看状态，此时它将显示为 false。您还可以在 Microsoft 365 门户中查看用户的同步状态列，完成后它将显示云符号。

概括

我们希望您发现这篇文章内容丰富，现在您应该能够安装 Azure AD Connect、管理 Azure AD Connect，并且如果不再需要它，也可以将其从您的环境中删除。如果您有任何疑问，请随时在下面留言，我们会回复。