Azure AD User 同步_部署Azure AD Co
Blog Address:https://blog.51cto.com/14669127
自2010年以来,随着云平台的不断推广和完善,很多企业都走上了云服务,保证了数据在公有云上管理的安全、可扩展的同时也减少了IT运维和维护的相关工作。
近几年来越来越多的企业先后把用户从本地Domain Controller 和Exchange服务器等平台都迁移到云端平台管理,为了方便管理员对实施方案的理解和部署实施的透明清晰化,这里分享一下相关经验,供大家学习和讨论。
本文以部署Azure AD Connect (免费的工具,包含在Azure 订阅中)作为用户从On Premise Server 同步到Azure AD的解决方案,为什么要选择Azure AD Connect 作为交付的解决方案呢?是因为Azure AD connect是微软为满足和实现Hybrid 身份而设计的工具,它取代了老版本的身份集成工具,比如DirSync和Azure AD Sync,它可以将On Premise的Active Directory与Azure AD集成,用户访问Cloud或者On Premise资源时提供公共标识从而提高用户的工作效率,比如用户可以使用单一身份访问本地应用程序和云服务,比如Office 365.
部署Azure AD Connect之前,需要考虑以下7个考量点:
1.Azure AD
○ 你需要使用Azure Portal或者Office 365 Portal来管理Azure AD Connect
○ Domain,需要添加和验证一个有效的domain,不能使用default domain (contoso.onmicrosoft.com)
○ 一个Azure AD默认是50 K Objects,当你verify domain时,objects limit会达到300 k objects,如果你在Azure AD中需要更多的Objects,需要提交ticket为微软放开限制。
2.On-premise data
○ 在同步Azure AD和Office 365之前,建议使用IdFix来识别Active Directory中重复和格式化问题等错误
○ 确保Azure AD中启用了Sync Features
§ On Premises:Azure AD Connect sync(sync engine)
§ Azure AD:Azure AD Connect Sync Service
3.On-Premises Active Directory
○ AD Schema 版本和Forest functional level必须是Windows Server 2003以及以上版本
○ 如果你计划使用Password writeback,那么domain controller必须是Windows Server 2008 R2以及以上
○ 确保Azure AD使用的domain controller是可写入权限
○ 推荐启用Active Directory Recycle Bin
4.Azure AD Connect Server
○ Azure AD Connect不能安装在Small Business Server,必须是Windows Server 2012 standard或者以上,
○ 不推荐Azure AD Connect安装在Domain Controller上,需将部署Azure AD Connect的Server作为domain member
○ 如果部署ADFS,那么Server必须安装在Windows Server 2012以及以上版本
○ 如果部署ADFS,需要SSL Certificates以及配置,name resolution
○ 如果global admin启用了MFA,那么需要在浏览器的trusted site list里信任该URL
https://secure.aadcdn.microsoftonline-p.com
○ (单项同步,非必要步骤)Microsoft建议加强Azure AD Connect Server,降低安全***
§ Securing administrators groups
§ Securing built-in administrator accounts
§ Security improvement and sustainment by reducing attack surfaces
§ Reducing the Active Directory attack surface
5.Azure AD Connect 需要的SQL Server
○ Azure AD Connect 需要SQL Server Database用来存储identity data,我们也可以在部署时直接选用Express模式,会使用SQL Server Express做存储,有10 GB存储空间,可以管理100,000个objects。如果你需要管理更多的Directory objects,那么需要部署SQL Server(Microsoft SQL Server from 2012)
6.Accounts
○ Azure AD Global Administrator 账户
○ Active Directory Admin on premise(Exchange Admin)
7.Connectivity
○ DNS服务器必须能够解析到on-premises Active Directory和Azure AD endpoints的名称。
○ 如果你的内部网有防火墙,需要在Azure AD连接服务器和你的域控制器之间打开端口
○ Azure AD Connect 和 Azure AD通信协议和端口
部署Azure AD Connect 相关总结:
1.部署Azure AD Connect之前,需要在Azure AD (Office 365) Add and verify Domain (同时也需要Godaddy进行相关配置),否则在配置Azure AD Connect时 sign in Azure AD 会失效。
2.https://www.microsoft.com/en-us/download/details.aspx?id=47594 下载并安装Azure AD Connect
3.如果你是single-forest domain并且使用Password hash synchronize作为身份验证,那么可以使用默认的Express settings进行安装和部署Azure AD Connect
4.如果从On Premise Active Directory 同步用户+ attributes+organization时非全部同步,而是按照OU分批同步或者 user attribute 同步有特殊要求,那么需要在最终configure 步骤,取消勾选"start the synchronization process when Configuration completes"复选框
参考文章:
- https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-ports
- https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sync-recycle-bin
- https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-prerequisites
- https://docs.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs
- https://docs.microsoft.com/en-us/azure/active-directory/hybrid/tshoot-connect-connectivity
