本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

在 Microsoft Azure 中部署 Office 365 目錄同步作業 (DirSync)

 

適用版本:Microsoft Azure

上次修改主題的時間:2017-09-07

摘要:在 Azure 中的虛擬機器上部署 Azure AD Connect (DirSync),以同步處理內部部署目錄和您 Office 365 訂閱下 Azure AD 租用戶之間的帳戶。

Azure Active Directory (AD) Connect (先前稱為目錄同步作業工具、目錄同步處理工具或 DirSync.exe 工具) 是一個在已加入網域之伺服器上安裝的伺服器型應用程式,可同步處理您的內部部署 Windows Server Active Directory 使用者以及與您 Office 365 訂閱的 Azure Active Directory。您可以在內部部署伺服器上安裝 Azure AD Connect,也可以在 Azure 中的虛擬機器上安裝它,原因如下:

  • 您可以更快速地佈建和設定雲端架構伺服器,以便讓您的使用者可以更早使用服務。

  • Azure 以更輕鬆的方式提供更佳的網站可用性。

  • 您可以減少組織中的內部部署伺服器數目。

本文內容:

重要事項 重要事項:
本解決方案需要內部部署網路與 Azure 虛擬網路之間的連線。如需詳細資訊,請參閱<使內部部署網路與 Microsoft Azure 虛擬網路連線>。
重要事項 重要事項:
本文說明單一樹系中單一網域的同步處理。Azure AD Connect 會將 Active Directory 樹系中的所有 Windows Server AD 與 Office 365 同步。如果您有多個 Active Directory 樹系要與 Office 365 進行同步處理,請參閱使用單一登入的多樹系目錄同步案例
注意事項 附註:
Office 365 使用 Azure Active Directory(Azure AD) 作為其目錄的服務。此 Office 365 訂閱包含 Azure AD 租用戶。此租用戶也可用於管理組織中具有其他雲端工作負載的身分,包括其他 SaaS 應用程式和 Azure 中的應用程式。

下圖顯示Azure (DirSync server) 同步處理至Office 365訂閱內部部署 Windows Server AD 樹系中的虛擬機器上執行的 Azure AD 連線。

Azure 同步處理內部部署帳戶中虛擬機器上的 Azure AD Connect 工具,至具有流量之 Office 365 訂閱的 Azure AD 租用戶

在圖表中,有兩個連接至網站 VPN 或 ExpressRoute 連接所連接的網路。沒有其中 Windows Server AD 網域控制站,且沒有 DirSync 伺服器,這是在虛擬機器Azure虛擬網路的內部網路執行Azure AD Connect。有兩個主要的流量流程源自 DirSync 伺服器:

  • Azure AD Connect 將內部部署網路上的網域控制器排入佇列,來處理帳戶和密碼的變更。

  • Azure AD Connect 將帳戶和密碼的變更傳送至 Office 365 訂閱的 Azure AD 執行個體。因為 DirSync 伺服器是內部部署網路的擴充部分,所以這些變更會透過內部部署網路的 Proxy 伺服器進行傳送。

注意事項 附註:
此解決方案說明單一 Active Directory 樹系中單一 Active Directory 網域的同步處理。 Azure AD Connect 會將 Active Directory 樹系中的所有 Active Directory 網域與 Office 365 同步處理。如果您有多個 Active Directory 樹系要與 Office 365 進行同步處理,請參閱使用單一登入的多樹系目錄同步案例

在這兩種情況下,在 Azure 虛擬機器上執行 Azure AD Connect 所產生的流量會被轉送至 Azure 虛擬網路上的閘道,此 VPN 閘道會接著將所有站台對站台 VPN 或 ExpressRoute 連線的流量轉送到內部部署網路上的 VPN 閘道裝置。內部部署網路的路由基礎結構接著會將流量轉送到目的地,例如網域控制站或 Proxy 伺服器。

部署此解決方案有兩個主要步驟:

  1. 建立 Azure 虛擬網路,以及建立您的內部部署網路的站台對站台 VPN 連線。如需詳細資訊,請參閱<使內部部署網路與 Microsoft Azure 虛擬網路連線>。

  2. 在 Azure 中已加入網域的虛擬機器上,安裝 Azure AD Connect,然後將內部部署 Windows Server AD 與 Office 365 同步處理。這涉及以下步驟:

    1. 建立 Azure 虛擬機器以執行 Azure AD Connect。

    2. 安裝和設定 Azure AD Connect

      設定 Azure AD Connect 需要 Azure AD 系統管理員帳戶和 Windows Server AD 企業系統管理員帳戶的認證 (使用者名稱和密碼)。Azure AD Connect 會立即執行,並持續將內部部署 Windows Server AD 樹系與 Office 365 進行同步處理。

您在實際執行此解決方案部署之前,請使用Office 365 開發人員/測試環境的 DirSync中的指示以這種組態設定概念證明、 試驗或的示範。

重要事項 重要事項:
當 Azure AD Connect 組態完成時,它不會儲存 Windows Server AD 企業系統管理員帳戶認證。
注意事項 附註:
此解決方案說明同步處理至 Office 365 的單一 Windows Server AD 樹系。本文所討論的拓撲代表只有一個方法可以實作此解決方案。貴組織的拓撲可能會根據您唯一的網路需求及安全性考量而有所不同。

開始之前,請先檢閱本解決方案的下列必要條件:

  • 檢閱規劃您的 Azure 虛擬網路中的相關規劃內容。

  • 確保您符合設定 Azure 虛擬網路的所有必要條件

  • 具備包括 Active Directory 整合功能的 Office 365 訂閱。如需 Office 365 訂閱的相關資訊,請前往 Office 365 訂閱頁面

  • 佈建一個執行 Azure AD Connect 的 Azure 虛擬機器,來您的內部部署 Windows Server AD 樹系與 Office 365 同步。

    您必須具有 Windows Server AD 企業系統管理員帳戶和 Azure Active Directory 系統管理員帳戶的認證 (名稱和密碼)。

下列清單描述此解決方案所做的設計選擇。

  • 本解決方案使用具備站台對站台 VPN 連線的單一 Azure 虛擬網路。Azure 虛擬網路會裝載單一子網路,內含一部執行 Azure AD Connect 的 DirSync 伺服器。

  • 在內部部署網路上會有網域控制站 和 DNS 伺服器。

  • Azure AD Connect 會執行密碼同步處理,而非單一登入。您不需要部署 Active Directory 同盟服務 (AD FS) 基礎結構。若要深入了解密碼同步處理與單一登入選項,請參閱 判斷要使用哪個目錄整合案例

在您的環境中部署此解決方案時,您可能會考慮的其他設計選擇。其中包含下列各項:

  • 如果現有的 Azure 虛擬網路中有現有的 DNS 伺服器,請判斷您的 DirSync 伺服器是否要使用它們 (而非使用內部部署網路的 DNS 伺服器) 來進行名稱解析。

  • 如果現有的 Azure 虛擬網路中有網域控制站,請判斷設定 Active Directory 網站及服務是否是較好的選擇。DirSync 伺服器可以將 Azure 虛擬網路的網域控制器排入佇列,來處理帳戶和密碼的變更,而非內部部署網路上的網域控制器。

在 Azure中的虛擬機器上部署 Azure AD Connect 由三個階段所組成:

  • 階段 1:建立及設定 Azure 虛擬網路

  • 階段 2:建立及設定 Azure 虛擬機器

  • 階段 3:安裝及設定 Azure AD Connect

部署之後,您也必須在 Office 365 中指派位置和新的使用者帳戶的授權。

提示 提示:
Azure 部署套件中的目錄同步伺服器 包含建置這個解決方案的所有 Azure PowerShell 區塊、Microsoft PowerPoint 和 Visio 格式的圖表,以及 Microsoft Excel 設定活頁簿,會產生針對您設定所自訂的 Azure PowerShell 命令區塊。

若要建立及設定 Azure 虛擬網路,請完成階段 1:準備內部部署網路階段 2:在 的部署藍圖中,建立 Azure 中跨單位部署的虛擬網路。

這是您產生的組態。

裝載於 Azure 中 Office 365 目錄同步伺服器的階段 1

本圖顯示使用站台對站台 VPN 或 ExpressRoute 連線方式,連線到 Azure 虛擬網路的內部部署網路。

在 Azure 中建立虛擬機器,請參閱<在 Azure 入口網站中建立第一個 Windows 虛擬機器>。使用下列設定:

  • 在 [基本概念] 窗格中,選取相同的訂閱、位置及資源群組做為您的虛擬網路,並在安全位置記錄使用者名稱和密碼。您稍後連線到虛擬機器時會需要這些資訊。

  • 在 [選擇大小] 窗格中,選擇 [A2 標準] 大小。

  • 在 [設定] 窗格中,請在 [儲存體] 區段中,選取 [標準] 儲存體類型。在 [網路] 區段中,選取您裝載 DirSync 伺服器 (不是閘道子網路) 的虛擬網路和子網路名稱。其他所有設定都保留預設值。

驗證 DirSync 伺服器正確使用 DNS,檢查內部 DNS 以確定已使用其 IP 位址,新增虛擬機器的位址 (A) 記錄。

請參閱<連線至虛擬機器並登入>以透過遠端桌面連線,連線到 DirSync 伺服器。登入之後,將虛擬機器加入到內部部署 Windows Server AD 網域。

若要讓 Azure AD Connect 取得存取網際網路資源的權限,您必須設定 DirSync 伺服器來使用內部部署網路的 Proxy 伺服器。您應該連絡您的網路系統管理員,以取得需要執行的其他設定步驟。

這是您產生的組態。

裝載於 Azure 中 Office 365 目錄同步伺服器的階段 2

本圖顯示在跨部署 Azure 虛擬網路中的 DirSync 伺服器虛擬機器。

完成下列程序:

  1. 透過具有本機系統管理員權限的 Windows Server AD 網域帳戶使用遠端桌面連線,連線到 DirSync 伺服器。請參閱<連線至虛擬機器並登入>。

  2. 在 DirSync 伺服器中開啟為 Office 365 設定目錄同步作業文章,並按照指示進行目錄和密碼的同步作業。

注意 注意:
安裝程式會在本機使用者組織單位 (OU) 中建立 AAD_xxxxxxxxxxxx 帳戶。請勿移動或移除此帳戶,否則同步處理將會失敗。

這是您產生的組態。

裝載於 Azure 中 Office 365 目錄同步伺服器的階段 3

本圖顯示在跨部署 Azure 虛擬網路中的 Azure AD Connect DirSync 伺服器。

Azure AD Connect 會從內部部署 Windows Server AD 新增帳戶至您的 Office 365 訂閱,但為了讓使用者登入 Office 365 並使用其服務,帳戶必須已設定位置及授權。若要新增位置,並啟用適當的使用者帳戶的授權,請執行下列步驟︰

  1. 登入 Office 365 入口網站頁面,然後按一下 [管理]。

  2. 在左方的導覽中,按一下 [使用者] > [作用中的使用者]。

  3. 在使用者帳戶清單中,選取您要啟動使用者旁的核取方塊。

  4. 在使用者的頁面上,按一下 [產品授權] 的 [編輯]。

  5. 產品授權頁面上,為 位置的使用者選取一個位置,然後啟用適用的適當授權。

  6. 完成時,按一下 儲存,然後按兩下 關閉

  7. 針對其他使用者請回到步驟 3。

https://technet.microsoft.com/zh-tw/library/dn786406.aspx
顯示: