将本地的AD信息同步到Azure AD

1
2
3
4
5
作者:李晓辉

微信联系:lxh_chat

联系邮箱: 939958092@qq.com

在现代企业环境中,很多组织已经拥有既定的本地AD系统,用于管理用户身份和访问控制。随着云计算和SaaS(软件即服务)应用的普及,越来越多的企业开始采用Azure AD来管理云端资源和服务。将本地AD用户同步到Azure AD,不仅可以实现统一的身份管理,还能简化用户访问各种应用和资源的流程。这样,用户无需记住多个不同的用户名和密码,提高了工作效率,减少了用户管理的复杂度。

什么是Azure Active Directory

Azure Active Directory(AAD)是微软的云端身份和访问管理服务。它提供单点登录、多重身份验证、和基于角色的访问控制,帮助企业管理用户对应用和资源的访问。主要功能包括:

  1. 用户和组管理:管理员可以创建和管理用户和组,设置访问权限。

  2. 单点登录(SSO):用户可以通过一次登录访问多个应用程序,提高工作效率。

  3. 多重身份验证(MFA):增加登录安全性,防止未经授权的访问。

  4. 设备管理:管理和保护连接到网络的设备。

  5. 应用集成:支持集成多种SaaS应用和本地应用。

  6. 安全报告和警报:提供安全事件的报告和警报,帮助监控和保护环境。

为什么将本地AD同步到Azure Active Directory?

在Exchange混合部署中,将本地Active Directory(AD)与Azure Active Directory(AAD)同步是非常重要的,原因如下:

  1. 统一身份验证

    • 同步后,用户可以使用相同的凭据登录本地和云端资源。这样用户不需要记住多个用户名和密码,简化了身份验证过程,提高了工作效率。

  2. 简化管理

    • 通过同步,本地AD和AAD用户信息保持一致,管理员只需在一个地方管理用户账号、组和权限。这减少了重复工作,降低了出错的几率。

  3. 邮件流和协作

    • 在混合部署中,本地Exchange服务器和Exchange Online可以无缝协作。同步用户和邮箱信息,确保邮件能在本地和云端正确路由,并提供统一的通讯录。

  4. 安全性

    • 通过Azure AD的多重身份验证和其他安全功能,提升用户账户的安全性,减少未经授权访问的风险。

  5. 持续性和兼容性

    • 在混合部署中,邮件系统迁移是逐步进行的。同步确保在迁移过程中本地和云端邮箱可以无缝交互,为最终完全迁移到云端做好准备。

总的来说,同步本地AD和AAD是为了提供一致的用户体验、简化管理流程、确保系统安全性以及实现平滑的迁移过程。

我们来看看具体怎么操作才能将本地的AD和云端的AAD同步

安装配置Azure用户同步

本次同步需要用到下面的工具

1
https://www.microsoft.com/en-us/download/details.aspx?id=47594

这个安装过程没有注意事项,全部下一步完成安装

同意协议后,点击继续

点击自定义

保持默认,点击安装

在这一页,我们需要选择用户的登录方法,这里保持默认,选择密码哈希同步,这样用户在本地修改了密码,将会把密码进行哈希,将哈希同步到azure ad用来验证用户身份

这里输入你在Azure中的全局管理员账号密码,在Microsoft365中创建用户也可以设置为AzureAD的全局管理员,不一定需要去AzureAD创建

在这一步需要点击添加目录四个字来连接到目录

在这里直接选择新建AD账户,并输入管理员密码,点击确定

添加目录完成后,会有绿色的勾,点击下一步

确认登录的本地属性,保持UPN作为默认值

在这里,保持默认将会同步所有域和OU,保持默认

这里保持默认

保持默认

在这里根据需要选择你想要的功能,我后期要做Exchange 混合部署,所以我勾选了这个功能

确认选中了在配置完成后启动同步流程,点击安装

确认正常配置完成后,点击退出

验证用户的同步

在以下网址上可验证在本地的用户

1
https://portal.azure.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers