如何设置 Azure AD Connect 多租户同步

Azure AD Connect 多租户同步刚刚在全球范围内推出。这意味着您现在可以将 Active Directory 中的同一对象同步到多个 Azure Active Directory 租户。在这篇文章中，我们将讨论 Azure AD Connect、新的多租户同步功能以及您可能希望实现此功能的一些场景。

页面内容

新的 Azure AD Connect 多租户同步功能

应使用 Azure AD Connect 多租户同步的场景

实施 Azure AD Connect 多租户同步

概括

新的 Azure AD Connect 多租户同步功能

Azure AD Connect 多租户同步允许您在同一个本地 Active Directory 中安装多个 Azure AD Connect 服务器，并将对象同步到多个 Azure AD 租户。

以前，您只能将本地 Active Directory 与单个 Azure AD 租户同步。还有各种其他受支持的拓扑，包括：单个本地 AD 到单个 Azure AD 租户或多个本地 AD 到单个 Azure AD 租户。

新的 Azure AD Connect 多租户同步功能将允许您将本地 Active Directory 上的同一对象同步到多个 Azure Active Directory 租户。如果将 Azure AD Connect 设置为连接到多个租户，则只能创建与主 Azure AD 租户的双向同步。后续的 Azure AD 租户将是单向同步。

应使用 Azure AD Connect 多租户同步的场景

场景 1

您有一个本地 Active Directory 租户，该租户通过 Azure AD Connect 同步到 Azure Active Directory 租户。所有同步用户的主要 UPN 是 ourcloudnetwork.com。您希望使用主域 ocndemo.com 创建一个新的 Azure AD 租户，以便向潜在客户演示新的第 3 方产品。您希望通过单个 Active Directory 林管理所有公司和演示用户帐户。

在这种情况下，您可以购买 ocndemo 的新域并将其添加到本地 Active Directory。然后，可以使用 Azure AD Connect 多租户同步功能将这些用户帐户同步到演示租户。

场景 2

您有一个本地 Active Directory 租户，该租户通过 Azure AD Connect 同步到 Azure Active Directory 租户。所有同步用户的主要 UPN 是 ourcloudnetwork.com。您的公司最近购买了另一个名为 ocndemo.com 的组织。您最近已将其所有本地设备集成到您的 Active Directory，来自 ocndemo.com 的每个用户也已在您的 Active Directory 中创建了一个本地用户帐户，并获得了 ocndemo.com 的主 UPN。

ocndemo.com 拥有完善的 Microsoft 365 和 Azure Active Directory 租户，无法移动。您希望确保 ocndemo 用户的所有本地用户帐户密码与其现有的 Azure Active Directory 租户同步。同样，在这种情况下，您可以使用 Azure Active Directory 多租户同步功能将每个用户的本地 Active Directory 帐户与其 Azure Active Directory 用户帐户配对并同步。

实施 Azure AD Connect 多租户同步

你应该知道的事情！

• 如果要将同一对象同步到多个 Azure AD 租户，则可以使用同一源锚点将本地对象与 Azure 中的对象进行配对。
• 您可以将同一对象同步到不同的 Azure 环境，例如 Azure 商业版、Azure 政府版或 Azure 中国版。
• 您无法使用单个 Azure AAD Connect 服务器将同一对象同步到多个租户。需要在同一 Active Directory 中使用单独的 AAD Connect 服务器。这意味着每个 AAD Connect 服务器都必须加入域。
• 如果您要同步到不同的租户，则与主 AD Connect 服务器相比，您可以选择不同的范围和规则。
• 不能在多个 Azure AD 租户中使用相同的自定义域。请参阅本文顶部的图片，其中我们显示了具有多个域或别名的相同本地活动目录。
• 将同一对象同步到多个 Azure AD 租户时，可以使用密码哈希同步和密码写回。通过更改一个租户的密码，它只会覆盖另一个租户的密码。
• 不支持在多个租户中配置无缝 SSO 和混合 Azure AD 加入。
• 您可以将设备对象同步到多个 Azure 租户，但只能同步一个租户并配置为信任该设备。

首先，您需要确保为 Azure AD Connect 配置了单个本地 AD 同步服务器和单个 Azure AD 租户。如果您不熟悉安装和配置 Azure AD Sync，请查看我们关于安装 Azure AD Connect 的文章。确保您安装了最新版本的 AAD Connect！

一旦准备就绪，您就可以进行后续步骤了，请确保您已准备好以下内容：

• 添加到您的本地 Active Directory 的任何其他自定义域
• 添加了所需自定义域的第二个 Azure Active Directory 租户
• 第二台加入域的成员服务器

概括

Azure AD Connect 可用于将本地 AD 林中的同一对象同步到多个 Azure Active Directory 租户。目前该功能处于公共预览阶段，不建议在生产中使用。但是，该功能在多种场景中都很有用，有助于满足您的混合身份要求。