将Azure AD连接到Office 365：安装Azure AD Connect – techsyncer

終於，您的組織要遷移到Office 365了！這聽起來既令人興奮又令人生畏。但現在的問題是如何將Azure AD連接到Office 365。您知道如何將Azure AD連接到Office 365嗎？

Not a reader? Watch this related video.

您可能會想到的其中一個問題是如何確保用戶只使用一個憑據來訪問本地和雲端資源。這就是Azure AD Connect的作用。

使用Azure AD Connect，您的用戶帳戶將與Office 365同步，包括其密碼。這意味著無論您的用戶是訪問網絡打印機還是在Office 365中訪問電子郵件，他們只需使用一個憑據。

在本文中，您將學習如何安裝Azure AD Connect並為您的Office 365租戶啟用目錄同步。

要求

由於這是一篇逐步操作的文章，如果您打算跟著示例進行操作，您需要滿足一些要求。

一個Azure AD租戶。如果您還沒有租戶，您可以申請一個免費試用。
可以訪問本地Active Directory。如果您沒有，您也可以使用Azure試用訂閱建立一個測試伺服器。
A server where Azure AD Connect will be installed.
下載Azure AD Connect安裝程式。
A Global Administrator account in your Azure AD tenant.
在您的本地Active Directory中有一个企业管理员帐户。
确保在您的网络中允许Azure AD Connect和Azure AD端口。
您的管理计算机上必须安装MSOnline模块。

有关要求的详细列表，请访问Azure AD Connect的先决条件

检查预安装目录同步状态

在开始Azure AD Connect设置之前，让我们看看如何检查租户中目录同步的当前状态。

使用PowerShell

要查看当前的DirSync状态，您首先必须连接到Azure AD，然后使用下面的命令检索与您组织的目录同步状态相关的信息。

Get-MsolCompanyInformation

執行上述命令後，在PowerShell中，您應該看到類似的輸出，如下所示。如下圖所示，可以看到DirectorySynchronizationEnabled的值為False。

Getting the Azure AD Connect status from PowerShell

其他屬性，如DirSyncServiceAccount、LastDirSyncTime和LastPasswordSyncTime，不應該有任何值，因為從未運行過目錄同步。

使用管理中心

您還可以在Azure Active Directory管理中心中檢查當前的DirSync。

首先，登錄到門戶。然後，進入Azure Active Directory -> Azure AD Connect。在Azure AD Connect sync部分，您應該看到目錄同步的當前狀態。

如下圖所示，顯示Azure AD Connect為未安裝，最後同步狀態值顯示從未運行同步。最後，Password Hash Sync值為禁用</diy15。

Getting the Azure AD Connect status from the Admin Center

安裝Azure AD Connect

假設您已經滿足所有要求，您可以在伺服器上安裝Azure AD Connect。

首先，登錄到計劃安裝Azure AD Connect的伺服器。運行安裝文件並按照提示進行操作。

下面的圖片顯示了歡迎使用 Azure AD Connect頁面。注意所說的內容（或不注意），並確保勾選我同意許可條款和隱私通知。然後，點擊繼續。

下一個頁面是您可以選擇安裝類型的地方。您可以選擇自定義或使用快速設定。在此示例中，將使用快速設定安裝 Azure AD Connect。

選擇快速安裝將：

配置身份同步。
從本地 AD 配置密碼同步到 Azure AD。
執行初始同步。
啟用自動升級。

接下來，在連接到 Azure AD頁面上，輸入全域管理員帳戶的憑據。如本文早先提到的，需要一個全域管理員帳戶。

輸入憑據後，點擊下一步。

Provide the Azure AD Global administrator account

如果安裝程式可以使用您提供的全域管理員憑據，您將進入連接到 AD DS頁面。

您需要輸入具有企業管理員權限的帳戶憑據，以連接到本地 Active Directory。然後，點擊下一步。

Provide the Active Directory enterprise administrator account

確認憑證後，您將進入準備配置頁面，在該頁面上您將看到要執行的操作清單。這些操作包括：

安裝同步引擎（本地 SQL express）。
配置 Azure AD 連接器。
配置<domain> 連接器。
啟用密碼雜湊同步。
啟用自動升級。
配置同步服務。
執行初始同步過程。

要繼續安裝，請點擊安裝。

此時，您只需要等待安裝完成。

Azure AD Connect installation in progress

最後，在安裝、配置和初始同步完成後，您將看到一個類似下方圖像的狀態頁面。請記下提醒和建議，然後點擊退出。

驗證 Azure AD Connect 安裝

現在，您已在伺服器上安裝了 Azure AD Connect，您將希望確保安裝成功並且目錄同步正常運作。在本節中，您將學習到確認 Azure AD Connect 同步功能正常的幾種方法。

在 Microsoft 365 管理中心中驗證 Azure AD Connect

在 Microsoft 365 管理中心中，Azure AD Connect 狀態可通過預設卡片獲取。

首先，登入到 Microsoft 365 管理中心门户。登录后，在用户管理卡片下，您应该能看到Azure AD Connect的状态。请参考下面的截图。

Azure AD Connect status in the Microsoft 365 Admin Center

根据上面的截图，Azure AD Connect的状态显示最近一次目录同步是在17分钟前运行的。此外，密码同步已启用。

在Microsoft 365管理中心验证用户账户同步状态

您还可以检查您本地的活动目录账户是否同步到Office 365。

要检查用户账户同步状态，请在Microsoft 365管理中心中转到用户 —> 活动用户。当您查看用户列表时，您会看到同步状态列显示该账户是在云中还是从本地同步

On-Premise and Cloud only account sync status

显然，云中的账户是直接在Office 365中配置的账户，不在您本地的活动目录中存在。

从本地同步的账户存在于本地，并同步到云中。

在Azure AD管理中心验证Azure AD Connect

首先，登入入口網站。然後，前往Azure Active Directory —> Azure AD Connect。在Azure AD Connect 同步部分，您應該會看到目錄同步的目前狀態。

從下面的圖片中可以看到，它顯示 Azure AD Connect 同步狀態為已啟用，最後同步狀態值顯示為不到 1 小時前。最後，密碼雜湊同步值為已啟用。

Azure AD Connect status in the Azure AD Admin Center

在 Azure AD 管理中心驗證使用者帳戶來源

另一種驗證同步是否正常運作的方法是檢查使用者帳戶來源。

首先，登入入口網站。然後，前往使用者 —> 所有使用者。在使用者列表下，您會在來源欄位下看到帳戶是否來自Windows Server AD，這表示該帳戶是從本地的 Active Directory 同步過來的。

User account source in the Azure AD admin center

使用 PowerShell 驗證目錄同步狀態

要檢視目前的 Azure AD 同步狀態，您必須先連線到 Azure AD。然後，使用以下命令擷取與組織的目錄同步狀態相關的資訊。

Get-MsolCompanyInformation

執行上述命令後，在 PowerShell 中應該會看到類似的輸出，如下所示。如下圖所示：

DirectorySynchronizationEnabled 的值為 True。
顯示配置為同步服務帳戶的帳戶。
LastDirSyncTime 和 LastPasswordSyncTime 的日期時間值已填入。
PasswordSynchronizationEnabled 的值為 True。

驗證 Azure AD Connect 同步週期排程

安裝 Azure AD Connect 時，也會安裝 AdSync PowerShell 模組。使用 AdSync 模組，您也可以在伺服器上檢查當前的 Azure AD Connect 同步狀態。

首先，打開 PowerShell，然後執行以下命令。

Get-ADSyncScheduler

執行上述代碼後，結果將顯示以下內容：

已排定的同步週期間隔（AllowedSyncCycleInterval）
同步週期排程是否已啟用（SyncCycleEnabled）
下一次同步排程的時間（NextSyncCycleStartTimeInUTC）
下一次要執行的同步類型（NextSyncCyclePolicyType）

手動執行增量同步

執行手動增量同步是確定同步是否正常運作的一種方法。增量同步意味著您只同步在上次目錄同步運行後進行的更改。

為了測試增量同步，請從您的本地 Active Directory 中選擇一個帳戶並更改其顯示名稱的值。在這個例子中，將使用用戶帳戶 AdSync，並將顯示名稱更改為 AdSync1。

然後，請在 PowerShell 中執行以下命令。

Start-ADSyncSyncCycle -PolicyType Delta

執行上述命令後，請等待它返回結果，如下圖所示。

然後，前往 Azure AD 管理中心確認顯示名稱是否已更改。下圖顯示了在執行增量同步之前和之後，用戶 AdSync 的顯示名稱。

移除 Azure AD Connect

在某些情況下，您可能會決定移除 Azure AD Connect，並停用組織的目錄同步。

假設您有一個小型組織，並且已將所有用戶都遷移到雲端。您不再需要在資料中心維護任何伺服器。這是移除 Azure AD Connect 的一個原因。

從伺服器中解除安裝 Azure AD Connect

要移除 Azure AD Connect，請按照以下步驟操作。首先，從您的伺服器上解除安裝 Azure AD Connect。

Uninstall Microsoft Azure AD Connect from Programs and Features

當顯示 解除安裝 Azure AD Connect 視窗時，請確保選擇 同時解除安裝支援元件。然後，點擊移除。

等待卸載過程完成，您應該會看到一個類似下面的確認頁面。

Azure AD Connect uninstalled successfully

停用目錄同步

一旦從伺服器中卸載了 Azure AD Connect，最後的操作是停用 DirSync。

您必須首先使用 PowerShell 連接到 Azure AD。然後，使用下面的命令停用您的 Azure AD 租用戶的目錄同步。

Set-MsolDirSyncEnabled -EnableDirSync $false

執行該命令後，可能會出現類似於下面截圖的錯誤。

Error when disabling directory synchronization

上述錯誤表示您尚未被允許停用同步。根據您的租用戶大小，可能需要幾分鐘到幾天的時間，才能停用 DirSync。

在這種情況下，您只能等待並再次嘗試相同的命令。在本例中，等待了約 15 分鐘。這次執行停用 DirSync 的命令成功了。

Command to disable dirsync successfully completed

停用 DirSync 並卸載 Azure AD Connect 後，之前從本地 AD 同步到 Azure AD 的帳戶將轉換為雲端帳戶。這些轉換後的帳戶將不再顯示為從本地同步。

帳戶從本地轉換為雲端可能需要數小時的時間。在本文中，停用目錄同步後，約花了三十六（36）小時才完成轉換。請參考以下的前後對比。

結論

Azure AD Connect是一個優秀的工具，允許您將本地用戶帳戶與您的Azure AD / Office 365租用戶同步。當配置正確時，您的用戶將無需使用單獨的帳戶來訪問本地和雲端資源。

Azure AD Connect可以進行比本文中介紹的更多配置。當您希望對升級進行更多控制時，可以自定義Azure AD Connect以更改同步週期的間隔或禁用自動升級。

I hope that what you’ve learned in this article, although as basic as possible, could help you get a better understanding of how to install, configure and use Azure AD Connect for your Office 365 tenancy.

要求