什么是 Azure AD Connect？

Azure AD Connect 是一种同步工具，可将本地 Active Directory 与 Office 365 Azure Active Directory 连接起来。将本地域与 Office 365 Azure Active Directory 集成将允许您的用户使用统一身份（即单个用户名和密码）访问 Office 365 资源。

本文将使您更好地了解 Azure AD Connect，并帮助您成功实施和管理这一重要的 Office 365 集成工具。

涵盖以下部分：

1. 准备 Azure AD Connect 安装
2. 安装和配置 Azure AD Connect
3. 同步 Azure AD Connect
4. 验证您的安装

1. 准备 Azure AD Connect 安装

首先，您需要一个 Azure 订阅，您将从本地 Active Directory 同步选定的用户和组。

为了确保 Azure AD Connect 可以无故障地执行本地帐户同步，您需要确保帐户遵守某些要求。需要修复的最常见错误如下：

• 没有不可路由的邮件地址（例如，在邮件地址中不使用 .local 邮件后缀）
• 没有重复的邮件地址
• 没有非法字符（例如邮件地址中的尾随空格）

使用 Microsoft 的 IdFix 工具可以快速有效地检查用户属性的合规性。 IdFix 工具将识别任何问题并建议自动化解决方案。在应用建议的解决方案之前，请务必对其进行彻底审查。

• 提示！我们强烈建议在使用 IdFix 进行任何更改之前导出所有 proxyAddresses 属性。使用类似以下 PowerShell 脚本的内容进行完整导出：

Import-Module ActiveDirectory
"sAMAccountName;proxyAddress" | Out-File ".\proxyAddressesBackup.txt"
$Users = Get-ADUser -LDAPFilter "(proxyAddresses=*)" -Properties proxyAddresses
ForEach ($User In $Users) {
  ForEach ($proxyAddress in $User.proxyAddresses) {
    $Output = $User.sAMAccountName + ";" + $proxyAddress
    Write-Host $Output
    $Output | Out-File ".\proxyAddressesBackup.txt" -Append
  }
}

如果出现问题，您可以使用输出来恢复受影响的用户属性。

您还应该设置所有用户帐户的国家/地区信息。这不是 IdFix 和 Azure AD Connect 的要求，但稍后当您想要为用户启用 Office 365 许可证时需要这样做。

2. 安装和配置 Azure AD Connect

一切准备就绪后，就可以在本地 Active Directory 和 Office 365 Azure Active Directory 之间设置同步了。按照文章开头的下载链接下载 Azure AD Connect 并运行安装。

Azure AD Connect 向导将指导您完成非常简单的安装。我建议您选择自定义安装（而不是使用快速设置）。

这些是安装过程中需要解决的最重要的事情：

• 选择所需的登录选项 - 对于大多数基本设置，这将是“密码同步”和“单点登录”
• 为您的 Office 365 Azure AD 提供全局管理员帐户凭据
• 提供本地 Active Directory 的企业管理员帐户凭据
• 选择所需的本地 AD 进行同步（大多数组织只有一个，因此很容易）
• 选择要同步的 OU（最初您应该选择一个包含一些测试用户的测试 OU 来验证同步）

以上基本设置适合大多数场景。向导完成后，您可以开始同步。

3. 同步 Azure AD Connect

Azure AD Connect 有自己的数据存储，称为Metaverse。当 Azure AD Connect 将本地 AD 与 Office 365 Azure AD 同步时，它实际上：

1. 将本地 Active Directory 同步到 Azure AD Connect Metaverse
2. 将 Azure AD Connect Metaverse 同步到 Office 365 Azure AD

Metaverse 由初始同步填充，可以从 Azure AD Connect 安装向导启动或使用以下 PowerShell 命令触发：

Import-Module ADSync
Start-ADSyncSyncCycle -PolicyType Initial

填充 Metaverse 后，未来的同步可以作为增量同步运行，仅同步自上次同步以来所做的更改：

Start-ADSyncSyncCycle -PolicyType Delta

• 提示！确保 Azure AD Connect 配置工具未打开（在任何服务器上） - 否则 Start-ADSyncSyncCycle 将被阻止执行同步。

触发 Azure AD 同步的最简单方法是使用 Easy365Manager。

使用 Easy365Manager，您可以直接从 AD 用户属性开始同步（在进行要同步的更改后立即启动）：

默认情况下，Azure AD Connect 上的同步将每 30 分钟运行一次。

下面显示了如何将示例属性从本地 Active Directory 复制到 Azure AD Connect Meta Verse 到 Office 365 Azure AD：

请务必注意，某些属性名称在同步期间可能会发生变化。否则，这可能会导致一些混乱。

另一个潜在的混淆点是 Azure AD Connect 同步中有时会出现延迟。 Azure AD Connect 仅与 Active Directory 中的一个域控制器连接。因此，在任何其他域控制器上进行的属性更改必须首先复制到连接到 Azure AD Connect 的域控制器，然后才能同步到 Office 365 Azure AD。

在线路的“另一端”，您可能还会遇到延迟：某些属性从 Azure AD 复制到 Azure/Office 365 服务，例如 Exchange、Sharepoint 等。因此，在 Azure 对象属性最终复制到 Azure/Office 365 服务之前，您可能会看到进一步的延迟例如交换。

• 提示！有关 Azure AD Connect 同步的专家级详细信息，请阅读本文

4. 验证您的安装

当 Azure AD Connect 成功将对象同步到 Azure 后，您应该开始看到在 Microsoft 管理门户（或 Azure 门户）中创建的用户和组。验证是否已创建所有相关对象并设置了正确的属性值。

您可以通过尝试登录 Office.com 来确认用户密码。当一切顺利时，您可以通过在 Azure AD Connect 配置的同步范围中包含更多 OU 来扩大用户同步的范围。

迁移所有相关用户和组后，您可以开始规划电子邮件迁移，其中包括分配 Office 365 邮箱/许可证以及迁移电子邮件、日历和联系人信息。数百或数千个 Exchange 邮箱（包括共享邮箱和通讯组）的全面迁移需要广泛的规划和协调。您的迁移团队需要大量技能才能最大限度地减少或完全避免用户停机时间。

概括

我希望您对本网站的访问能够为您提供有关 Azure AD Connect、其工作原理以及如何设置的所需信息。

混合环境（本地 AD 和 Office 365 并存）中的用户和邮箱管理是一个非常分散的设置，需要许多不同的管理工具。

• 提示！通过整合 Office 365 和本地用户及邮箱管理，您可以节省大量时间和精力 - Easy365Manager 正是这样做的。

• 下载功能齐全的 Easy365Manager 30 天试用版，亲自体验用户和邮箱管理有多么简单。