Azure AD User 同步_部署Azure AD Connect考量点

Azure AD User 同步_部署Azure AD Connect考量点

Blog Address：Controller 和Exchange服务器等平台都迁移到云端平台管理，为了方便管理员对实施方案的理解和部署实施的透明清晰化，这里分享一下相关经验，供大家学习和讨论。

本文以部署Azure AD Connect （免费的工具，包含在Azure 订阅中）作为用户从On Premise Server 同步到Azure AD的解决方案，为什么要选择Azure AD Connect 作为交付的解决方案呢？是因为Azure AD connect是微软为满足和实现Hybrid 身份而设计的工具，它取代了老版本的身份集成工具，比如DirSync和Azure AD Sync，它可以将On Premise的Active Directory与Azure AD集成，用户访问Cloud或者On Premise资源时提供公共标识从而提高用户的工作效率，比如用户可以使用单一身份访问本地应用程序和云服务，比如Office 365.

部署Azure AD Connect之前，需要考虑以下7个考量点：

1.Azure AD○ 你需要使用Azure Portal或者Office 365 Portal来管理Azure AD Connect○ Domain，需要添加和验证一个有效的domain，不能使用default domain （contoso.onmicrosoft.com）○ 一个Azure AD默认是50 K Objects，当你verify domain时，objects limit会达到300 k objects，如果你在Azure AD中需要更多的Objects，需要提交ticket为微软放开限制。2.On-premise data○ 在同步Azure AD和Office 365之前，建议使用IdFix来识别Active Directory中重复和格式化问题等错误○ 确保Azure AD中启用了Sync Features§ On Premises：Azure AD Connect sync（sync engine）§ Azure AD：Azure AD Connect Sync Service3.On-Premises Active Directory○ AD Schema 版本和Forest functional level必须是Windows Server 2003以及以上版本○ 如果你计划使用Password writeback，那么domain controller必须是Windows Server 2008 R2以及以上○ 确保Azure AD使用的domain controller是可写入权限○ 推荐启用Active Directory Recycle Bin4.Azure AD Connect Server○ Azure AD Connect不能安装在Small Business Server，必须是Windows Server 2012 standard或者以上，○ 不推荐Azure AD Connect安装在Domain Controller上，需将部署Azure AD Connect的Server作为domain member○ 如果部署ADFS，那么Server必须安装在Windows Server 2012以及以上版本○ 如果部署ADFS，需要SSL Certificates以及配置，name resolution○ 如果global admin启用了MFA，那么需要在浏览器的trusted site list里信任该URL○ （单项同步，非必要步骤）Microsoft建议加强Azure AD Connect Server，降低安全***§ Securing administrators groups§ Securing built-in administrator accounts§ Security improvement and sustainment by reducing attack surfaces§ Reducing the Active Directory attack surface

○ Azure AD Connect 和 Azure AD通信协议和端口

部署Azure AD Connect 相关总结：

4.如果从On Premise Active Directory 同步用户+ attributes+organization时非全部同步，而是按照OU分批同步或者 user attribute 同步有特殊要求，那么需要在最终configure 步骤，取消勾选“start the synchronization process when Configuration completes”复选框

参考文章：

https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-ports https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sync-recycle-bin https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-prerequisites https://docs.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs https://docs.microsoft.com/en-us/azure/active-directory/hybrid/tshoot-connect-connectivity

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。