为 Microsoft 365 设置目录同步
此文章适用于 Microsoft 365 企业版和 Office 365 企业版。
Microsoft 365 使用 Microsoft Entra 租户来存储和管理身份验证标识以及访问基于云的资源的权限。
如果你有本地 Active Directory 域服务 (AD DS) 域或林,则可以将 AD DS 用户帐户、组和联系人与 Microsoft 365 订阅的 Microsoft Entra 租户同步。 这是 Microsoft 365 的混合标识。 下面是其组件。
Microsoft Entra Connect 在本地服务器上运行,并将 AD DS 与 Microsoft Entra 租户同步。 除了目录同步,还可以指定以下身份验证选项:
密码哈希同步 (PHS)
Microsoft Entra ID 本身执行身份验证。
直通身份验证 (PTA)
Microsoft Entra ID 具有 AD DS 执行身份验证。
联合身份验证
Microsoft Entra ID 将请求身份验证的客户端计算机引用到另一个标识提供者。
有关详细信息 ,请参阅混合标识 。
1. 查看Microsoft Entra Connect 的先决条件
Microsoft 365 订阅可获得免费的 Microsoft Entra 订阅。 设置目录同步时,会在其中一台本地服务器上安装 Microsoft Entra Connect。
对于 Microsoft 365,需要:
- 验证本地域。 Microsoft Entra Connect 向导将指导你完成此操作。
- 获取 Microsoft 365 租户和 AD DS 的管理员帐户的用户名和密码。
对于安装 Microsoft Entra Connect 的本地服务器,需要:
服务器 OS | 其他软件 |
---|---|
Windows Server 2012 R2 及更高版本 | - 默认情况下安装 PowerShell,无需执行任何操作。 - Net 4.5.1 及更高版本通过 Windows 更新提供。 请确保已在控制面板中安装了 Windows Server 的最新更新。 |
Windows Server 2008 R2 Service Pack 1 (SP1) ** 或 Windows Server 2012 | - Windows Management Framework 4.0 中提供了最新版本的 PowerShell。
在下载中心Microsoft搜索它。 - Microsoft 下载中心提供 .NET 4.5.1 及更高版本。 |
Windows Server 2008 | - Windows Management Framework 3.0 中提供了最新受支持的 PowerShell 版本, Microsoft下载中心提供。 - Microsoft 下载中心提供 .NET 4.5.1 及更高版本。 |
有关 Microsoft Entra Connect 的硬件、软件、帐户和权限要求、SSL 证书要求和对象限制的详细信息,请参阅 Microsoft Entra Connect 的先决条件。
还可以查看Microsoft Entra Connect 版本发布历史记录 ,了解每个版本中包含和修复的内容。
2. 安装 Microsoft Entra Connect 并配置目录同步
在开始之前,请确保:
- 启用了混合标识管理员角色的 Microsoft 365 帐户的用户名和密码
- AD DS 域管理员的用户名和密码
- 哪种身份验证方法 (PHS、PTA、联合)
- 是否要使用 Microsoft Entra 无缝单一登录 (SSO)
请按照下列步骤操作:
- () 登录到 Microsoft 365 管理中心https://admin.microsoft.com ,然后在左侧导航栏中选择“ 用户>活动用户 ”。
- 在 “活动用户 ”页上,选择“ 更多 (三个点) >目录同步。
- 在 “Microsoft Entra 准备 ”页上,选择“ 转到下载中心以获取Microsoft Entra Connect 工具 ”链接以开始使用。
- 按照 Microsoft Entra Connect 和 Microsoft Entra Connect Health 安装路线图中的步骤操作。
3. 完成域设置
按照管理 DNS 记录时为 Microsoft 365 创建 DNS 记录中的步骤完成域设置。