Подключение Azure AD к Office 365: Установка Azure AD Connect

Наконец, ваша организация переходит на Office 365! Это звучит захватывающе и одновременно вызывает тревогу. Но теперь перед вами стоит задача подключения Azure AD к Office 365. Знаете ли вы, как подключить Azure AD к Office 365?

Not a reader? Watch this related video.

Одна из первых мыслей, которая, вероятно, приходит в голову, – как убедиться, что пользователи используют только один учетный данные для доступа к ресурсам как локальной сети, так и облачным. И здесь на сцену выходит Azure AD Connect.

С помощью Azure AD Connect учетные записи пользователей будут синхронизированы с Office 365, включая их пароли. Это означает, что ваши пользователи, будь то доступ к сетевым принтерам или электронной почте в Office 365, смогут использовать только один учетный данные.

В этой статье вы узнаете, как установить Azure AD Connect и включить синхронизацию каталога для вашего арендатора Office 365.

Требования

Поскольку это пошаговая статья, у вас должны быть некоторые предварительные условия, если вы планируете следовать примерам.

• Тенант Azure AD. Вы можете запросить бесплатную пробную версию, если у вас еще нет тенанта.
• Доступ к локальному каталогу активных директорий. Если у вас его нет, вы также можете использовать пробную подписку Azure для создания тестового сервера.
• A server where Azure AD Connect will be installed.
• Загрузите установщик Azure AD Connect.
• A Global Administrator account in your Azure AD tenant.
• Учетная запись администратора предприятия в вашей локальной службе каталогов Active Directory.
• Убедитесь, что порты Azure AD Connect и Azure AD разрешены в вашей сети.
• На вашем ПК управления должен быть установлен модуль MSOnline.

Для полного списка требований вы можете посетить Требования к Azure AD Connect

Проверка состояния предварительной установки синхронизации каталога

Перед началом настройки Azure AD Connect давайте посмотрим, как проверить текущий статус синхронизации каталога в вашем арендаторе.

Использование PowerShell

Для просмотра текущего статуса DirSync сначала необходимо подключиться к Azure AD. Затем используйте следующую команду для получения информации, относящейся к статусу синхронизации каталога вашей организации.

Get-MsolCompanyInformation

После выполнения указанной выше команды вы должны увидеть аналогичный вывод в PowerShell, как показано ниже. Как видите на изображении ниже, значение DirectorySynchronizationEnabled равно False.

Другие атрибуты, такие как DirSyncServiceAccount, LastDirSyncTime и LastPasswordSyncTime, не ожидается, что будут иметь какие-либо значения, так как синхронизация каталога никогда не запускалась.

Используя Центр администрирования

Вы также можете проверить текущую синхронизацию каталога в Центре администрирования Azure Active Directory.

Сначала, войдите в портал. Затем перейдите к Azure Active Directory —> Azure AD Connect. В разделе Синхронизация Azure AD Connect вы должны увидеть текущий статус синхронизации каталога.

Как видно на изображении ниже, указано, что Azure AD Connect Не установлен, значение последнего статуса синхронизации говорит о том, что Синхронизация никогда не запускалась. Наконец, значение Синхронизации хешей паролей отключено.

Установка Azure AD Connect

Предполагая, что вы уже выполнели все необходимые требования, вы готовы установить Azure AD Connect на вашем сервере.

Сначала войдите на сервер, где вы планируете установить Azure AD Connect. Запустите файл установки и следуйте представленным инструкциям.

На изображении ниже показана страница Добро пожаловать в Azure AD Connect. Обратите внимание на то, что говорится (или не обращайте внимания) и обязательно поставьте галочку Я согласен с условиями лицензионного соглашения и уведомлением о конфиденциальности. Затем нажмите на Продолжить.

На следующей странице вы можете выбрать тип установки. Вы можете выбрать Настроить или Использовать экспресс-настройки. В этом примере Azure AD Connect будет установлен с использованием экспресс-настроек.

Выбор экспресс-установки позволит:

• Настроить синхронизацию идентификаторов.
• Настроить синхронизацию паролей из локального AD в Azure AD.
• Выполнить начальную синхронизацию.
• Включить автоматическое обновление.

Далее, на странице Подключение к Azure AD, введите учетные данные учетной записи глобального администратора. Как было упомянуто ранее в этой статье, требуется учетная запись глобального администратора.

После ввода учетных данных нажмите Далее.

Если установщик сможет использовать предоставленные вами учетные данные глобального администратора, вы будете перенаправлены на страницу Подключение к AD DS.

Вам нужно ввести учетные данные учетной записи с правами администратора предприятия для вашего локального Active Directory. Затем нажмите Далее.

После подтверждения учетных данных вы будете перенаправлены на страницу готова к настройке, где вы увидите список действий, которые будут выполнены. Эти действия включают:

• Установка движка синхронизации (локального SQL Express).
• Настройка коннектора Azure AD.
• Настройка коннектора <domain>.
• Включение синхронизации хешей паролей.
• Включение автоматического обновления.
• Настройка служб синхронизации.
• Выполнение начального процесса синхронизации.

Чтобы продолжить установку, нажмите Установить.

На этом этапе вам остается лишь дождаться завершения установки.

Наконец, после завершения установки, настройки и начальной синхронизации вы увидите страницу статуса, подобную изображенной на рисунке ниже. Обратите внимание на напоминания и рекомендации, затем нажмите Выход.

Проверка установки Azure AD Connect

Теперь, когда вы установили Azure AD Connect на своем сервере, вам захочется убедиться, что установка прошла успешно, и что синхронизация каталога работает. В этом разделе вы узнаете несколько способов подтвердить, что синхронизация Azure AD Connect функционирует.

Проверка Azure AD Connect в Центре администрирования Microsoft 365

Состояние Azure AD Connect доступно через карточку по умолчанию в центре администрирования Microsoft 365.

Сначала войдите в портал администратора Microsoft 365. После входа вы увидите состояние Azure AD Connect под разделом Управление пользователями. См. скриншот ниже для справки.

Как видно на скриншоте выше, статус Azure AD Connect показывает, что последняя Синхронизация каталога была выполнена 17 минут назад. Кроме того, включена Синхронизация паролей.

Проверка статуса синхронизации учетных записей пользователей в Центре администрирования Microsoft 365

Вы также можете проверить, синхронизированы ли учетные записи в вашем локальном каталоге Active Directory с Office 365.

Чтобы проверить статус синхронизации учетных записей пользователей, перейдите в центр администрирования Microsoft 365, затем перейдите в раздел Пользователи —> Активные пользователи. При просмотре списка пользователей вы увидите столбец Статус синхронизации, показывающий, находится ли учетная запись В облаке или Синхронизирована из локального каталога.

Очевидно, что учетные записи, которые находятся в облаке, это учетные записи, созданные непосредственно в Office 365 и отсутствуют в вашем локальном каталоге Active Directory.

В то время как учетные записи, синхронизированные из локального каталога, существуют локально и синхронизированы с облаком.

Проверка Azure AD Connect в Центре администрирования Azure AD

Сначала войдите в портал. Затем перейдите к Active Directory Azure —> Подключение к Azure AD. В разделе Синхронизация Azure AD Connect вы должны увидеть текущий статус синхронизации каталога.

Как видно на изображении ниже, отображается, что статус синхронизации Azure AD Connect Включен, значение последнего статуса синхронизации указывает, что это было Менее 1 часа назад. Наконец, значение Синхронизация хэша пароля Включена.

Проверка источника учетной записи пользователя в центре администрирования Azure AD

Другой способ проверки работоспособности синхронизации – проверить источник учетной записи пользователя.

Сначала войдите в портал. Затем перейдите к Пользователи —> Все пользователи. В списке пользователей вы увидите в столбце Источник, откуда учетная запись – от Сервера Windows AD, что указывает на то, что учетная запись синхронизирована из локального активного каталога.

Проверка статуса синхронизации каталога с помощью PowerShell

Чтобы просмотреть текущий статус синхронизации Azure AD, сначала необходимо подключиться к Azure AD. Затем используйте следующую команду для получения информации, относящейся к статусу синхронизации каталога вашей организации.

Get-MsolCompanyInformation

После выполнения вышеуказанной команды вы должны увидеть аналогичный вывод в PowerShell, как показано ниже. Как видно на изображении ниже:

• Значение DirectorySynchronizationEnabled равно True.
• Отображается учетная запись, настроенная как учетная запись службы синхронизации.
• Значения DateTime для LastDirSyncTime и LastPasswordSyncTime заполнены.
• Значение PasswordSynchronizationEnabled равно True.

Проверка расписания цикла синхронизации Azure AD Connect

При установке Azure AD Connect также устанавливается модуль PowerShell AdSync. С помощью модуля AdSync вы также можете проверить текущий статус синхронизации Azure AD Connect на своем сервере.

Сначала откройте PowerShell, а затем выполните следующую команду.

Get-ADSyncScheduler

После выполнения указанного выше кода результат покажет вам следующее:

• Интервал запланированного синхронизационного цикла (AllowedSyncCycleInterval)
• Включено ли расписание синхронизационного цикла (SyncCycleEnabled)
• Когда запланирована следующая синхронизация (NextSyncCycleStartTimeInUTC)
• Тип синхронизации, который запланирован на запуск далее (NextSyncCyclePolicyType)

Запуск ручной дельта-синхронизации

Запуск ручной дельта-синхронизации – один из способов определить, работает ли синхронизация, как ожидалось. Дельта-синхронизация означает, что вы синхронизируете только изменения, внесенные после последней синхронизации каталога.

Для тестирования дельта-синхронизации выберите учетную запись из своего локального каталога Active Directory и измените значение отображаемого имени. В этом примере будет использоваться учетная запись пользователя AdSync, и отображаемое имя будет изменено на AdSync1.

Затем выполните эту команду в PowerShell.

Start-ADSyncSyncCycle -PolicyType Delta

После выполнения вышеуказанной команды дождитесь возвращения результата, как показано на изображении ниже.

Затем перейдите в центр администрирования Azure AD, чтобы подтвердить изменение отображаемого имени. На изображении ниже показано отображаемое имя пользователя AdSync до и после выполнения дельта-синхронизации.

Удаление Azure AD Connect

Возможно, когда-то вы решите удалить Azure AD Connect и отключить синхронизацию каталога для вашей организации.

Предположим, у вас маленькая организация, и вы уже перенесли всех пользователей в облако. Вам больше не нужно поддерживать серверы в своем центре обработки данных. Это одна из причин для удаления Azure AD Connect.

Удаление Azure AD Connect с сервера

Чтобы удалить Azure AD Connect, выполните следующие шаги. Сначала удалите Azure AD Connect с вашего сервера.

Когда появится окно Удаление Azure AD Connect, убедитесь, что выбран пункт Также удалить вспомогательные компоненты. Затем нажмите Удалить.

Ждите завершения процесса удаления, и вы должны увидеть страницу подтверждения, аналогичную приведенной ниже.

Отключение синхронизации каталога

После удаления Azure AD Connect с сервера последним действием будет отключение DirSync.

Сначала вам нужно подключиться к Azure AD с помощью PowerShell. Затем используйте команду ниже, чтобы отключить синхронизацию каталога для вашего арендатора Azure AD.

Set-MsolDirSyncEnabled -EnableDirSync $false

После выполнения команды может возникнуть ошибка, подобная скриншоту ниже.

Ошибка означает, что вам еще не разрешено отключить синхронизацию. Это может занять несколько минут или несколько дней, в зависимости от размера вашего арендатора, прежде чем вы сможете отключить DirSync.

Когда это произойдет, все, что вам остается, это подождать и повторить ту же команду. В этом примере на ожидание ушло около 15 минут. В этот раз выполнение команды по отключению DirSync прошло успешно.

После отключения DirSync и удаления Azure AD Connect ранее синхронизированные учетные записи из вашего локального AD в Azure AD будут преобразованы в учетную запись облака. Эти преобразованные учетные записи больше не будут отображаться как синхронизированные с локального AD.

Это может занять несколько часов, чтобы учетные записи полностью преобразовались из локального в облачное хранилище. В данной статье на преобразование ушло примерно тридцать шесть (36) часов после отключения синхронизации каталога. См. сравнение до и после ниже.

Заключение

Azure AD Connect – отличный инструмент, который позволяет синхронизировать учетные записи пользователей с вашего локального сервера с вашим Azure AD / Office 365. При правильной настройке ваши пользователи не будут нуждаться в создании отдельных учетных записей для доступа к ресурсам локальной сети и облачным ресурсам.

Больше настроек можно выполнить с помощью Azure AD Connect, чем охвачено в данной статье. Azure AD Connect можно настроить по индивидуальным требованиям, изменить интервал синхронизации или отключить автоматическое обновление, если вы хотите иметь больше контроля над обновлениями.

I hope that what you’ve learned in this article, although as basic as possible, could help you get a better understanding of how to install, configure and use Azure AD Connect for your Office 365 tenancy.

Дополнительное чтение

• Настройка гибридного присоединения к Azure AD
• Как включить корзину мусора Active Directory (Server 2016)
• Полное удаление Microsoft Azure AD Connect
• Правильный способ удаления Azure AD Connect