将Azure AD连接到Office 365：安装Azure AD Connect – techsyncer

最终，您的组织正在转向 Office 365！这听起来既令人兴奋又令人畏惧。但现在的任务是将 Azure AD 连接到 Office 365。您知道如何连接 Azure AD 到 Office 365 吗？

Not a reader? Watch this related video.

你可能首先想到的是如何确保用户只使用一个凭据访问本地和云资源。这就是Azure AD Connect发挥作用的地方。

通过 Azure AD Connect，您的用户帐户将同步到 Office 365，包括他们的密码。这意味着无论您的用户是访问网络打印机还是在 Office 365 中访问电子邮件，他们只需使用一个凭据。

在本文中，您将学习如何安装 Azure AD Connect 并为 Office 365 租户启用目录同步。

要求

由于这是一篇逐步指南文章，如果您计划按照示例进行操作，需要一些准备工作。

Azure AD 租户。如果您还没有租户，可以申请免费试用。
访问本地活动目录。如果您没有本地活动目录，还可以使用 Azure 试用订阅构建测试服务器。
A server where Azure AD Connect will be installed.
下载 Azure AD Connect安装程序。
A Global Administrator account in your Azure AD tenant.
企业管理员帐户位于您的本地Active Directory中。
确保在您的网络中允许Azure AD Connect和Azure AD端口。
您的管理PC上必须安装MSOnline模块。

有关要求的详细列表，请访问Azure AD Connect的先决条件

检查预安装目录同步状态

在开始Azure AD Connect设置之前，让我们看看如何检查您租户中目录同步的当前状态。

使用PowerShell

要查看当前的DirSync状态，您首先必须连接到Azure AD。然后，使用下面的命令检索与您组织的目录同步状态相关的信息。

Get-MsolCompanyInformation

在运行上述命令后，你应该在PowerShell中看到类似的输出，如下所示。正如你在下面的图片中所看到的，DirectorySynchronizationEnabled 的值是 False。

Getting the Azure AD Connect status from PowerShell

其他属性，比如 DirSyncServiceAccount、LastDirSyncTime 和 LastPasswordSyncTime，不应该有任何值，因为目录同步从未运行过。

使用管理中心

你也可以在Azure Active Directory管理中心中检查当前的DirSync。

首先，登录到门户。然后，转到Azure Active Directory —> Azure AD Connect。在Azure AD Connect sync部分，你应该看到目录同步的当前状态。

正如你从下面的图片中看到的那样，它显示Azure AD Connect是未安装，最后同步状态值说明同步从未运行过。最后，Password Hash Sync的值是禁用的。

Getting the Azure AD Connect status from the Admin Center

安装Azure AD Connect

假设你已经满足了所有的要求，你可以在服务器上安装Azure AD Connect。

首先，登录到你计划安装Azure AD Connect的服务器。运行安装文件并按照提示进行操作。

以下图片显示了欢迎使用Azure AD Connect页面。注意所说的内容（或不注意），确保勾选我同意许可条款和隐私声明。然后，点击继续。

接下来的页面是您可以选择安装类型。您可以选择自定义或使用快速设置。在这个示例中，Azure AD Connect将使用快速设置进行安装。

选择快速安装将：

配置身份同步。
从本地AD到Azure AD的密码同步。
执行初始同步。
启用自动升级。

接下来，在连接到Azure AD页面中，输入全局管理员帐户的凭据。如前文所述，需要全局管理员帐户。

一旦输入了凭据，点击下一步。

Provide the Azure AD Global administrator account

如果安装程序可以使用您提供的全局管理员凭据，您将进入连接到AD DS页面。

您需要输入具有企业管理员权限的帐户凭据，用于您的本地Active Directory。然后，点击下一步。

Provide the Active Directory enterprise administrator account

确认凭据后，您将进入准备配置页面，您将看到将要执行的操作列表。这些操作包括：

安装同步引擎（本地SQL Express）。
配置Azure AD连接器。
配置<domain>连接器。
启用密码哈希同步。
启用自动升级。
配置同步服务。
执行初始同步过程。

要继续安装，请点击安装。

此时，您只需等待安装完成。

Azure AD Connect installation in progress

最后，在安装、配置和初始同步完成后，您将看到类似下图的状态页面。注意提醒和建议，然后点击退出。

验证Azure AD Connect安装

现在，您已在服务器上安装了Azure AD Connect，您需要确保安装成功，并且目录同步正常工作。在本节中，您将学习确认Azure AD Connect同步正常工作的几种方法。

在Microsoft 365管理中心验证Azure AD Connect

Azure AD Connect状态可以通过Microsoft 365管理中心中的默认卡片获得。

首先，登录到 Microsoft 365 管理中心门户。一旦登录成功，您应该在 用户管理 卡片下看到 Azure AD Connect 的状态。参考下面的截图。

Azure AD Connect status in the Microsoft 365 Admin Center

正如上面的截图所示，Azure AD Connect 状态显示最近一次 目录同步 是在 17 分钟前运行的。此外，密码同步 已启用。

在 Microsoft 365 管理中心验证用户帐户同步状态

您还可以检查您在本地活动目录中的帐户是否已与 Office 365 同步。

要检查用户帐户同步状态，请在 Microsoft 365 管理中心中转到 用户 -> 活动用户。查看用户列表时，您会看到 同步状态 列显示帐户是在云中还是从本地同步。

On-Premise and Cloud only account sync status

显然，云中的帐户是直接在 Office 365 中分配的帐户，而不存在于您的本地活动目录中。

而从本地同步的帐户存在于本地，并已同步到云中。

在 Azure AD 管理中心验证 Azure AD Connect

首先，登录到门户。然后，转到Azure Active Directory —> Azure AD Connect。在Azure AD Connect同步部分，您应该看到目录同步的当前状态。

正如您从下面的图像中所看到的那样，它显示Azure AD Connect 同步状态为已启用，上次同步状态值显示为不到1小时前。最后，密码哈希同步的值为已启用。

Azure AD Connect status in the Azure AD Admin Center

在Azure AD管理中心验证用户帐户来源

验证同步是否正常运行的另一种方法是检查用户帐户来源。

首先，登录到门户。然后，转到用户 —> 所有用户。在用户列表下，您将看到来源列下的帐户是否来自Windows Server AD – 这表示该帐户是从本地Active Directory同步的。

User account source in the Azure AD admin center

使用PowerShell验证目录同步状态

要查看当前Azure AD同步状态，您首先必须连接到Azure AD。然后，使用下面的命令检索与您组织的目录同步状态相关的信息。

Get-MsolCompanyInformation

运行上面的命令后，在 PowerShell 中应该会看到类似的输出，如下所示。正如下图所示：

DirectorySynchronizationEnabled 的值为 True。
已配置为同步服务帐户的帐户显示。
LastDirSyncTime 和 LastPasswordSyncTime 的 DateTime 值已填充。
PasswordSynchronizationEnabled 的值为 True。

验证 Azure AD Connect 同步周期计划

当您安装 Azure AD Connect 时，AdSync PowerShell 模块也会一同安装。使用 AdSync 模块，您还可以在服务器上检查当前 Azure AD Connect 同步状态。

首先，打开 PowerShell，然后运行以下命令。

Get-ADSyncScheduler

运行上述代码后，结果将显示以下内容：

计划的同步周期间隔 (AllowedSyncCycleInterval)
同步周期计划是否已启用 (SyncCycleEnabled)
下次同步计划时间 (NextSyncCycleStartTimeInUTC)
下次计划运行的同步类型 (NextSyncCyclePolicyType)

手动运行增量同步

手动运行增量同步是确定同步是否按预期工作的一种方法。增量同步意味着您仅同步自上次目录同步运行后所做的更改。

要测试增量同步，请从您的本地活动目录中选择一个帐户并更改其显示名称值。在此示例中，将使用用户帐户AdSync，并将显示名称更改为AdSync1。

然后，在 PowerShell 中运行以下命令。

Start-ADSyncSyncCycle -PolicyType Delta

运行上述命令后，请等待返回结果，如下图所示。

然后，转到 Azure AD 管理中心，确认显示名称已更改。下图显示了在运行增量同步之前和之后用户AdSync的显示名称。

删除 Azure AD Connect

可能会有一个时机，您决定删除 Azure AD Connect 并为您的组织禁用目录同步。

假设您有一个小组织，并且您已将所有用户迁移到云。您不再需要在数据中心维护任何服务器。这是删除 Azure AD Connect 的一个原因。

从服务器卸载 Azure AD Connect

要删除 Azure AD Connect，请按照以下步骤操作。首先，从您的服务器上卸载 Azure AD Connect。

Uninstall Microsoft Azure AD Connect from Programs and Features

当出现卸载 Azure AD Connect窗口时，请确保选择同时卸载支持组件。然后，单击删除。

等待卸载过程完成，然后您应该看到一个类似以下的确认页面。

Azure AD Connect uninstalled successfully

禁用目录同步

一旦从服务器中卸载了Azure AD Connect，最后的操作就是禁用 DirSync。

您必须首先使用 PowerShell 连接到 Azure AD。接下来，使用以下命令为您的 Azure AD 租户禁用目录同步。

Set-MsolDirSyncEnabled -EnableDirSync $false

运行命令后，您可能会遇到类似以下截图的错误。

Error when disabling directory synchronization

上面的错误意味着您尚未被允许禁用同步。在您可以禁用 DirSync 之前，可能需要几分钟到几天的时间，这取决于您的租户规模。

当这种情况发生时，您唯一能做的就是等待并再次尝试相同的命令。在本例中，等待大约 15 分钟。这次运行禁用 DirSync 命令成功了。

Command to disable dirsync successfully completed

禁用 DirSync 并移除 Azure AD Connect 后，来自本地 AD 到 Azure AD 的先前同步的帐户将转换为云帐户。这些转换后的帐户将不再显示为从本地同步。

帐户从本地转换为云可能需要几个小时。在本文中，禁用目录同步后，大约需要三十六 (36) 小时才能完成转换。请参见以下的之前和之后的对比。

结论

Azure AD Connect 是一个出色的工具，允许您将本地用户帐户与您的 Azure AD / Office 365 租户同步。当正确配置时，您的用户将不必使用单独的帐户访问本地资源和云资源。

在 Azure AD Connect 中可以进行的配置远远超出了本文介绍的范围。您可以自定义 Azure AD Connect 以更改同步周期的间隔，或在您希望更多地控制升级时禁用自动升级。

I hope that what you’ve learned in this article, although as basic as possible, could help you get a better understanding of how to install, configure and use Azure AD Connect for your Office 365 tenancy.

要求