Azure AD User 同步 _ 部署Azure AD Connect考量点

博客园博客地址：https://www.cnblogs.com/Nancy1983/

 

自2020年以来，随着云平台的不断推广和完善，很多企业都走上了云服务，保证了数据在公有云上管理的安全、可扩展的同时也减少了IT运维和维护的相关工作。

近几年越来越多的企业先后把用户从本地Domain Controller和Exchange服务器等平台都迁移到云端平台管理，为了方便管理员对实施方案的理解和部署实施的透明清晰化，这里分享一下相关经验，供大家学习和讨论。

本文以部署Azure AD Connect（免费工具，包含在Azure订阅中）作为用户从On Premise Server同步到Azure AD的解决方案，为什么要选择Azure AD Connect作为交付的解决方案呢？是因为Azure AD Connect是微软为满足和实现Hybrid身份而设计的工具，它取代了老版本的身份集成工具，比如DirSync和Azure AD Sync，它可以将On Premise的Active Directory与Azure AD集成，用户访问Cloud或者On Premise资源时提供公共标识从而提高用户的工作效率，比如用户可以使用单一身份访问本地应用程序和云服务，比如Microsoft 365.

部署Azure AD Connect之前，需要考虑以下7个考量点：

1. Azure AD

• • 你需要使用Azure Portal或者Microsoft 365 Portal来管理Azure AD Connect
  • Domain，需要添加和验证一个有效的Domain，不能使用Default domain (Contoso.onmicrosoft.com)
  • 一个Azure AD中需要更多的objects，需要提交ticket为微软放开限制。

2. On-Premise Data

• • 在同步Azure AD和Microsoft 365之前，建议使用IDFix来识别Active Directory中重复和格式化问题等错误。
  • 确保Azure AD中启用了Sync Features
    • On Premises：Azure AD Connect Sync（Sync Engine）
    • Azure AD：Azure AD Connect Sync Service

3. On-Premises Activity Directory

• • AD Schema 版本和Forest Funtional level 必须是Windows Server 2003 以及以上版本
  • 如果你计划使用Password writeback，那么domain controller必须是WindowsServer 2008 R2以及以上
  • 确保Azure AD 使用的domain controller是可写入权限
  • 推荐启用Active Directory Recycle Bin

4. Azure AD Connect Server

• • Azure AD Connect 不能安装在Small Business Server，必须是Windows Server 2012 standard或者以上
  • 不推荐Azure AD Connect安装在Domain Controller上，需将部署Azure AD Connect的Server作为Domain Member
  • 如果部署ADFS，那么Server必须安装在Windows Server 2012以及以上版本
  • 如果部署ADFS，需要SSL Certification以及配置Name resolution
  • 如果Global Admin启用了MFA，那么需要在浏览器的trusted site list里信任该URL：https://secure.aadcdn.microsoftonline-p.com
  • （单项同步，非必要步骤）Microsoft建议加强Azure AD Connect Server，降低安全攻击：
    • Securing Administrators Groups
    • Securing built-in Administrator accounts
    • Security improvement and sustainment by reducing attack surfaces
    • Reducing the Active Directory Attack surface

5. Azure AD Connect 需要的SQL Server

• • Azure AD Connect需要SQL Server Database用来存储identity data，我们也可以在部署时直接选用Express模式，会使用SQL Server Express做存储，有10GB存储空间，可以管理100，000个objects。如果你需要管理更多的Directory Objects，那么需要部署SQL Server（Microsoft SQL Server from 2012）

6. Accounts

• • Azure AD Global Administrator账户
  • Azure Directory Admin On Premise（Exchange Admin）

7. Connectivity

• • DNS服务器必须能够解析到On-Premises Active Directory和Azure AD endpoints的名称
  • 如果你的内部同时有防火墙，需要在Azure AD链接服务器和你的域控制器之间打开端口。

 

• •  Azure AD Connect和Azure AD通信协议和端口

 

 

部署Azure AD Connect相关总结：

1. 部署Azure Connect之前，需要在Azure AD（Microsoft 365）Add and Verify Domain（同时也需要Godaddy进行相关配置），否则在配置Azure AD Connect时sign in Azure AD会失效。

 

 

 2. https://www.microsoft.com/en-us/download/details.aspx?id=47594 下载并安装Azure AD Connect

 3. 如果你是Single-forest domain并且使用password hash synchronize作为身份验证，那么可以使用默认的Express settings进行安装和部署Azure AD Connect

 

 

4. 如果从On premises Active Directory同步用户+attributes+organization时非全部同步，而是按照OU分批同步或者User attribute同步有特殊要求，那么需要在最终Configure步骤，取消勾选“start the synchronization process when configuration completes”复选框

 

 

参考文章

• https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-ports
• https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sync-recycle-bin
• https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-prerequisites
• https://docs.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs
• https://docs.microsoft.com/en-us/azure/active-directory/hybrid/tshoot-connect-connectivity