如何安装和设置 Azure AD Connect

要将本地 Active Directory 用户同步到 Azure AD，您需要安装 Azure AD Connect 工具。此工具安装在网络中加入域的服务器上，并将您的本地 Active Directory 与 Azure Active Directory 同步。

使用Azure AD Connect工具，我们可以创建一个混合环境。这样做的优点之一是我们的用户可以在 Microsoft 365 中使用单点登录或密码重置。

在本文中，我们将安装和设置 Azure AD Connect。

Azure AD Connect 的要求

在安装 Azure AD Connect 之前，最好先了解一下该工具的要求。如果您有大型租户，请确保检查所需的服务器规格。其他重要要求是：

• Azure AD Connect 必须安装在 Windows Server 2016 或更高版本上。

• 不支持 Windows Server Core

• 确保安装了 .Net Framework 4.6.2 或更高版本

• 在同步之前运行 IdFix 以识别错误和重复项

在安装过程中，我们需要使用 Azure AD 全局管理员帐户登录。如果您为该帐户启用了 MFA（您应该已启用），那么您需要将以下 URL 添加到受信任的站点：

• https://login.microsoftonline.com

• https://aadcdn.msauth.net

• https://aadcdn.msftauth.net

如果您没有预先将 URL 添加到受信任站点列表中，系统将提示您在安装过程中添加它们。

您可以直接从 Microsoft 下载中心或通过 Azure AD Connect 下的 Azure Active Directory 下载该工具的最新版本：

安装 Azure AD 连接

所需时间：10 分钟

我们将安装和配置 Azure AD Connect 工具。在安装过程中，我们将需要我们的 Azure AD 全局管理员帐户（帐户名称以 .onmicrsoft.com 结尾）。

在安装开始时，您可以在自定义设置和快速设置之间进行选择。 90% 的部署非常完美。如果您有一个 AD 林且 AD 中的对象少于 100.000 个，则可以使用它。

快速设置启用单点登录的密码哈希同步，同步所有用户、组、联系人和设备， （您可以在最后一步中更改它），并启用 Azure AD Connect 自动更新。

1. 开始安装 Azure AD Connect

   打开我们下载的.msi 文件并接受协议以继续

2. 选择快速设置

   选择快速设置以快速安装 Azure Active Directory Connect 工具

   

3. 连接到 Azure AD

   您现在需要输入我们的 Azure AD 全局管理员帐户。该帐户的用户名以 .onmicrosoft.com 结尾，因此不是您的本地域管理员帐户！

   

4. （可选）接受受信任站点错误

   如果您在全局管理员帐户上使用 MFA，您可能会收到内容被阻止的错误。单击添加...并将建议的 URL 添加到受信任的站点列表中。您最多可能会收到此错误 3 次。

   

5. 登录 Microsoft 365

   现在，系统会提示您登录 Microsoft 365。使用 Azure AD 全局管理员的凭据登录。

6. 输入本地域管理员帐户

   下一步是使用您的本地域管理员帐户登录。此帐户用于创建将用于同步的本地 AD 帐户。

   

7. 验证域

   确保您的域在 Microsoft 365 中经过验证。否则，用户将需要使用 [email 用户名登录。
   
   如果您列出了多个域，并且主域已通过验证，那么您可以选择“继续而不将所有 UPN 后缀与已验证的域匹配”

   

8. 完成安装

   最后一步是实际安装 Azure AD Connect 工具。如果您使用了 Express 选项并且不想同步所有 OU，则取消选中“开始同步”并单击安装。
   
   稍后我将解释如何更改 OU 并开始同步。

   

9. 等待安装完成

   安装和配置可能需要几分钟时间。

   

10. 验证同步的用户和组

    有两种方法可以验证同步是否成功。我们可以登录 Microsoft Admin Center，您将在仪表板上看到 Azure AD Connect 状态。如果您导航到用户，您将看到列出的本地 Active Directory 用户。

    

11. 验证 Azure AD 中的用户

    同样在Azure AD中，我们可以验证同步。打开 Portal.azure.com 并打开 Azure Active Directory。如果单击用户，您将看到列出的所有目录同步用户。

    

筛选 OU 以进行同步

如果您不想将所有用户和组同步到 Azure AD，则需要自定义同步选项。为此，我们需要重新打开 Azure AD Connect 工具。

1. 打开Azure AD Connect并单击配置

2. 选择自定义同步选项

1. 输入 Azure AD 全局管理员帐户的密码以继续

2. 点击下一步进入域/OU过滤

3. 选择同步选定的域和 OU

4. 展开您的域树并选择要同步的 OU

1. 单击下一步并保留所有可选功能不变。

2. 单击配置以应用更改

查找同步错误

如果同步不起作用或者您在 Azure AD 中缺少用户或组，那么我们可以使用 Azure AD Connect Health 工具来查找任何错误。 Connect Health 工具可以在 Azure AD 中找到，也可以通过此链接直接访问。

如果有任何错误，请使用 IdFix 工具解决问题。

包起来

通过快速设置，安装 Azure AD Connect 变得非常容易。确保在开始同步之前使用 IdFix 工具来查找任何错误。

可以在域控制器上安装 Azure AD Connect，但前提是您的租户较小且服务器具有足够的性能。否则，最好在单独的域加入服务器上安装 Azure AD Connect 工具。

我希望您觉得这篇文章有用。如果您有任何疑问，请在下面发表评论。