使用 Microsoft Entra Connect 安装和配置目录同步
Microsoft Entra Connect 需要一个加入域的计算机来托管同步服务。 大多数组织会部署专用的同步服务器。
要求
使用 Active Directory 租户设置 Azure 之后,需要使用以下步骤完成主要任务以部署目录同步:
将 AD DS 域添加到 Azure 中,验证域,然后将域设置为主域。
下载并安装 Microsoft Entra Connect。
运行“Microsoft Entra Connect 配置向导”。 (也可选择将 Microsoft Entra Connect 配置为同步本地 AD DS 环境中的特定 OU)。
启用可选功能,如密码哈希同步、密码写回和 Exchange 混合部署。
运行 Microsoft Entra Connect,为目录同步配置环境
验证同步结果。
设置 Microsoft Entra Connect 并执行初始同步之后,可以根据需要重新配置同步选项。 Microsoft Entra Connect 软件安装包括多个与目录同步相关的应用程序。 运行 Microsoft Entra Connect 时,可选择使用快速安装设置,以使用最常用的设置来设置目录同步,也可选择自定义设置选项。
如果选择使用自定义安装,在安装开始时,可以选择使用自定义 SQL Server 而不是本地数据库。 还可以选择使用现有的服务帐户,而不是自动安装过程所创建的帐户。 此外,还可以指定自定义同步组。 默认情况下,Microsoft Entra Connect 将创建“管理员”、“操作员”、“浏览”和“密码重置”组,但你可根据需要选择使用自己的自定义组。
默认情况下,Microsoft Entra Connect 会为目录同步模式设置密码哈希同步。 如果选择自定义安装,还可以选择“使用 AD FS 进行联合身份验证”选项或直通身份验证。 或者,如果有非 Microsoft 联合服务器或部署了另一个现有解决方案,可以手动配置目录同步。
如果选择自定义 Microsoft Entra Connect 安装,还可选择标识用户的方式。 默认情况下,安装程序假定你的用户在所有目录中只出现一次。 但是,如果需要多个目录中均存在用户标识,需要选择匹配属性。 可以在下表所述的选项中进行选择。
| 选项 | 描述 |
|---|---|
| 邮件属性 | 如果邮件属性在不同的林中具有相同的值,此选项将联接用户和联系人。 |
| ObjectSID 和 msExchangeMasterAccountSID | 此选项将帐户林中的已启用用户与 Exchange 资源林中的已禁用用户进行联接。 在 Exchange 中,这也称为“链接邮箱”。 |
| sAMAccountName 和 mailNickname | 此选项在目录中用户登录 ID 所在的位置链接额外的属性。 |
| 我自己的属性 | 此选项允许选择自己的属性。 |
| 源定位点 | 此属性是一个在用户对象生存期内不会改变的属性。 换句话说,此属性是将本地用户对象与 Microsoft Entra ID 中的用户对象链接在一起的主键。 由于以后无法更改此属性,应仔细选择要用于此目的的属性。 默认选择为 objectGUID,因为除非在林和域之间移动用户帐户,否则此属性不会更改。 |
可在同一个窗口中配置 UserPrincipalName 属性。 这是用户登录到 Microsoft Entra ID 时使用的属性。 在同步用户对象之前,应在 Microsoft Entra ID 中验证用于此目的的域(也称为 UPN 后缀)。
在某些情况下,你可能只想从本地 AD DS 同步用户的子集。 Microsoft Entra Connect 使你可选择想要同步到 Azure AD 的特定用户组。 应在运行 Microsoft Entra Connect 之前创建此组。 完成安装后,可在此组中添加或删除用户,以维护应在 Microsoft Entra ID 中显示的用户对象列表。 还可以将复制范围设为本地 AD DS 中的 OU。 在最后一步中,你可通过 Microsoft Entra Connect 在 Microsoft Entra ID P1 或 P2 中设置一些可选功能。