目录集成
更新时间:2015 年 6 月 24 日
适用于:Azure、Office 365、Windows Intune
如果组织具有本地目录服务,则可以将其与 Microsoft Azure Active Directory (Microsoft Azure AD) 目录集成,并采用 Microsoft 企业级云服务、IT 治理和自助服务功能,从而提高最终用户的工作效率、启用合规性并降低管理成本。
将本地目录扩展到 Azure AD 具有以下优势:
简化基于云的管理任务
为用户提供更简化的登录体验
实现针对所有基于云的应用程序的单一登录
以统一的方式,安全无缝地管理用户身份和设备标识,无论是在云中还是本地都是如此
以统一的方式,管理第一方和第三方应用程序、SaaS 和其他现有的企业云应用程序和本地应用程序
有关详细信息,请参阅 Active Directory 与 Azure AD 之间的相似性。
本部分内容
支持的目录集成方案
目录集成工具
AAD Connect
支持的目录集成方案
重要
规划混合标识基础结构 (将本地目录扩展到 Azure AD) 的一个重要部分是确定如何管理目录,以及用户如何登录到 Microsoft 云服务。 有关详细信息以及其中每个方案提供的优势和功能的高级别矩阵,请参阅 确定要使用的目录集成方案。
Azure AD 支持以下四种目录集成方案:
目录同步也称为目录同步。设置目录同步后,管理员可以从本地 Active Directory管理目录对象,这些更改将同步到租户。 在此方案中,你的用户将使用不同的用户名与密码来访问你的云和本地资源。
使用密码同步的 DirSync - 当希望让用户使用与登录到公司网络和资源相同的用户名和密码登录到 Azure AD 和其他服务时使用。 密码同步是目录同步工具的一个功能。
使用单一登录的 DirSync - 用于为用户提供在登录到公司网络时访问 Microsoft 云服务时最无缝的身份验证体验。 若要设置单一登录,组织需要在本地部署安全令牌服务,例如 Active Directory 联合身份验证服务 (AD FS)。 设置单一登录后,用户可以使用其 Active Directory 企业凭据(用户名和密码)访问云中的服务及其现有的本地资源。
多林 - 使用单一登录的 DirSync - 用于在用户登录到公司网络时访问 Microsoft 云服务时为用户提供最无缝的身份验证体验。 若要设置单一登录,组织需要在本地部署 Active Directory 联合身份验证服务 (AD FS) 作为安全令牌服务。 设置单一登录后,用户可以使用其 Active Directory 企业凭据(用户名和密码)访问云中的服务及其现有的本地资源。
目录集成工具
将本地目录扩展到 Azure AD 目录的操作可使用以下工具完成。
Azure Active Directory 同步工具 (DirSync)
Azure Active Directory 同步服务 (AAD Sync)
Forefront Identity Manager 2010 R2
有关详细信息,请参阅 目录集成工具。
AAD Connect
注意
AAD Connect 目前已发布公共预览版。
AAD Connect 简化了将本地目录扩展到 Azure AD 中的体验,因此只需较少的工具即可进行安装;该解决方案将引导你完成整个体验,使你不需要阅读多页文档;此外,它还减少了本地内存占用,因为你不需要部署很多服务器。
AAD Connect 是一个向导,将 Windows Server Active Directory 连接到 Azure Active Directory 时,可使用该向导执行所有步骤,否则必须手动完成这些步骤:
下载并安装必备组件,比如 .NET Framework、Azure Active Directory PowerShell 模块和 Microsoft Online Services 登录助手
下载、安装和配置 Dirsync(或 AAD Sync),并在 Azure AD 目录中启用它。
配置密码同步或单一登录方案,具体取决于你的首选登录选项,包括 Azure 中所需的任何配置。
检查以确保你的配置工作正常!
有关详细信息,请参阅Azure Active Directory 连接。