Azure AD Connect：安装和设置指南

---

在本指南中，您将了解如何安装和配置 Azure AD Connect。

Azure AD Connect 允许您将本地 Active Directory 用户同步到 Microsoft 365。然后，您的用户将能够使用其本地用户 ID 和密码登录您网络上的计算机以及 Microsoft 365。

注意：本文假设您已经拥有本地 Active Directory 域和 Microsoft 365 租户。

本文主题：

1. Azure AD Connect 的要求
2. 下载 Azure AD 连接
3. Azure AD Connect Express 与自定义安装（安装类型）
4. 安装和配置 Azure AD Connect
5. 验证 Azure AD Connect 同步状态
6. 从 Azure AD Connect 中排除用户
7. 故障排除

Azure AD Connect 的要求

使用 Azure AD Connect 有几个要求，我总结如下。

1. 您需要拥有 Azure AD 租户和经过验证的域。
2. 您的本地 AD 域需要具有可路由域，或者用户帐户需要与 Azure 中经过验证的域匹配的注册 UPN 后缀。例如，如果您的本地域是 .local，那么您就会遇到问题。这不是可路由的域，并且与您注册的 Azure 域名不同。
3. Active Directory 架构版本和林功能级别必须是 Windows Server 2003 或更高版本。
4. Azure AD 连接使用的域控制器必须是可写的。
5. Azure AD Connect 必须安装在运行 Windows Server 2016 或更高版本的已加入域的服务器上。不支持 Windows Server Core。
6. 对您的租户禁用软匹配。此选项允许您将 Azure 中的现有云用户与本地用户进行匹配。如果您不需要此功能，则应将其禁用。我将向您展示如何在下面的安装步骤中检查这一点。
7. 安装过程中您将需要 Azure AD 全局管理员帐户。

有关更多详细信息，请参阅 Microsoft 先决条件文档。

下载 Azure AD 连接

要下载 Azure AD Connect 客户端，请访问下面的链接。

https://www.microsoft.com/en-US/download/details.aspx?id=47594

选择您的语言并单击下载按钮。

Azure AD Connect Express 与自定义安装

在安装过程中，您可以选择快速安装和自定义安装，默认使用快速安装，这是最常见的。查看下面的列表可帮助您选择安装类型。

表达

• 您有一个 Active Directory 林。
• 您的本地 Active Directory 中的对象少于 100,000 个。
• Express 将启用从本地到 Azure 的密码哈希同步以进行单点登录。

风俗

• 您拥有多个 Active Directory 林。
• 您计划使用联合或通过身份验证。
• 您拥有超过 100,000 个对象。
• 您想要使用基于组的过滤。

有关更多详细信息，请参阅选择您的安装类型文档。

安装和配置 Azure AD Connect

在此示例中，我将在 Windows 2022 Server 上安装 Azure AD Connect 并使用快速安装类型。

步骤 1. 启动 Azure AD Connect 安装

打开下载的 azure msi 文件。

同意条款并单击继续。

步骤 2. 选择安装类型

默认为express，如果您需要使用自定义安装，请单击自定义按钮。在此示例中，我将使用快速安装。

步骤 3. 连接到 Azure AD

输入 Azure AD 全局管理员的用户名和密码。

您可能会收到如下多个错误。您需要通过单击“添加”按钮将 URL 添加到受信任的站点区域。我在 3 个不同的 URL 上收到了这个弹出窗口 3 次，添加后我收到了 Microsoft 登录框。

步骤 4. 连接到 AD DS（本地 Active Directory）

现在，您将输入本地 Active Directory 的企业管理员帐户的凭据。这些凭据用于创建用于同步的本地 Active Directory 帐户。

步骤 5.Azure AD 登录配置

屏幕显示在本地 Active Directory 中检测到的 UPN 后缀。具有多个 UPN 后缀是很常见的。如果您想使用单点登录，则需要有一个与您在 Microsoft 365 中验证的域相匹配的 UPN 后缀。例如，我的域是 activedirectorypro.com，该域在 365 租户中进行了验证。

但安装未检测到匹配的 UPN 后缀。我将选择“继续而不将所有 UPN 后缀与已验证的域进行匹配”并稍后修复此问题。

下面的截图显示了我在365管理中心验证的域名。

步骤 6. 准备配置

最后一步将实际安装 Azure AD Connect 工具并使用提供的设置对其进行配置。

提示：如果您不想同步所有 OU，请取消选中“配置完成后启动同步过程”。如果您保持选中此选项，它将同步本地 Active Directory 中的所有对象。您可以稍后更改此设置，但需要执行额外的步骤才能从 Azure 中删除同步对象。我稍后将在本指南中介绍这一点。

安装可能需要几分钟才能完成。

如果您收到一条消息“未为您的林启用 Active Directory 回收站”，那么我强烈建议您启用它。请参阅我的文章启用广告回收站以获取分步说明。

如何检查 Azure AD Connect 同步状态

您可以通过登录 Microsoft 365 管理中心并查看 Azure AD Connect 仪表板来查看同步状态。

您可以单击同步状态以获取更多详细信息。

使用 Powershell 检查 Azure 广告连接同步状态

要使用 Powershell 检查同步状态，可以使用以下命令。这需要安装 MSOnline 模块。

Get-MsolCompanyInformation

在365管理中心查看同步用户

您还可以通过单击“用户”->“活动用户”来验证用户是否在 Azure 中同步。添加同步状态列，它将显示用户是从本地同步还是仅云用户。

从 Azure AD Connect 同步中排除用户

如果您不想将用户或组同步到 Azure 云怎么办？

最简单的选项是使用 Azure AD 连接域和 OU 筛选。如果您需要更多高级选项（例如根据属性排除用户），您可以使用同步规则编辑器。

以下步骤将逐步说明从同步中排除 OU。

1. 打开 Azure AD Connect。

2. 单击“配置”

3. 单击自定义同步选项，然后单击下一步

4. 输入您的 Azure AD 全局管理员凭据。

5. 选择您的林，它应该已经被选择，然后单击下一步。

6. 选择“同步选定的域和 OU”。

接下来，取消选中要从同步到 Azure 中排除的任何域或 OU。

在此示例中，我将取消选中 west.ad.activedirectorypro.com 域。该域名仅用于测试，不需要同步。在我的 ad.activedirectorypro.com 域下，我将取消选中我的测试 OU。这些 OU 是不需要同步的测试帐户。

完成后，单击下一步按钮。

7. 在选项功能页面上，保留默认选项，然后单击下一步。

在准备配置屏幕上单击配置。

如果 Azure 中的帐户已同步，会发生什么情况？

如果帐户已同步到 Azure，然后您将其排除，它们将从 Azure 中删除。在本指南中，我最初将整个域（超过 8,000 个帐户）同步到 Azure。然后，我排除了几个拥有大约 5,000 个帐户的 OU。当我排除这些 OU 和用户帐户时，它们将从 Azure 中删除。默认情况下，意外删除的阈值为 500 次。请参阅以下步骤了解更多详细信息。

从 Azure AD Connect 中排除 5,000 多名用户后，我收到以下电子邮件警报。

如果您想继续删除帐户，请按照以下步骤操作。

1. 使用以下命令禁用 Azure AD Connect 同步删除阈值。

Disable-ADSyncExportDeletionThreshold

2.强制启动Azure AD Connect Sync

使用以下命令启动同步过程。

Start-ADSyncSyncCycle -PolicyType Initial

3.检查同步服务状态

打开同步服务工具。

在配置文件名称中查找导出。单击它并查看导出统计信息和状态。我的显示正在进行 1320 次删除。

如果您有很多帐户，删除过程可能需要一段时间。您还可能会收到一封电子邮件通知，告知删除阈值已解决。

4. 删除帐户后，将阈值设置回 500 个对象。

Enable-ADSyncExportDeletionThreshold -DeletionThreshold 50

有关更多详细信息，请参阅文章 Azure AD Connect Sync：防止意外删除。

故障排除

将本地用户同步到 Azure 时，可能会出现各种不同的问题。以下是一些选项，可帮助您排除故障并获取有关您可能遇到的问题的更多详细信息。

1.Azure Active Directory 连接健康

在 Azure 中，可以使用 Azure Health Connect 工具检查同步错误。

2.Azure AD Connect 故障排除

故障排除向导可以帮助解决以下问题：

• 如果对象同步到 Azure AD，则检测用户主体名称 (UPN) 不匹配。
• 检查对象是否因域过滤而被过滤。
• 检查对象是否因组织单位 (OU) 过滤而被过滤。
• 检查对象同步是否因链接邮箱而被阻止。
• 检查对象是否位于不打算同步的动态通讯组中。

https://learn.microsoft.com/en-us/azure/active-directory/hybrid/connect/tshoot-connect-objectsync#troubleshooting-task

系统将提示您要执行的故障排除步骤。

有关更多详细信息，请参阅 Microsoft 文章使用 Azure AD Connect 同步排除对象同步问题。

3.Azure AD Connect 连接问题

许多同步问题可能与网络连接问题有关。以下是两个最常见的连接问题。

• 连接到本地 Active Directory（域控制器）：运行 Azure AD Connect 的服务器需要与域控制器完全连接。确保以下 Active Directory 防火墙端口在服务器之间打开。

  • 53（TCP/UDP）
• 88（TCP/UDP）
• 135（TCP/UDP）
• 389（TCP）
• 445（TCP）
• 49152 - 65535 TCP/UDP

连接到 Azure AD：运行 Azure AD Connect 的服务器需要通过 Internet 访问各种 Azure 和 Microsoft URL。请参阅文档 Office 365 URL 和 IP 地址范围以获取完整列表。

结论

如果您有一些使用本地 Active Directory 和 Azure 的经验，那么使用 Azure AD Connect 就非常简单了。如果您是这些技术的新手，那么这可能具有挑战性。希望本指南能够帮助您安装和配置 Azure AD Connect 并将本地帐户同步到 Azure。

相关文章

• 如何使用 PowerShell 强制同步 Azure AD Connect