Azure AD Connect的安裝部署

這篇文章給大家分享的是Azure AD Connect的安裝部署，相信大部分人都還不知道怎么安裝部署，為了讓大家學會，給大家總結了以下內容，話不多說，一起往下看吧。

部署Azure AD Connect之前，需要考慮以下7個考量點：

1.Azure AD
○ 你需要使用Azure Portal或者Office 365 Portal來管理Azure AD Connect
○ Domain，需要添加和驗證一個有效的domain，不能使用default domain （contoso.onmicrosoft.com）
○ 一個Azure AD默認是50 K Objects，當你verify domain時，objects limit會達到300 k objects，如果你在Azure AD中需要更多的Objects，需要提交ticket為微軟放開限制。
2.On-premise data
○ 在同步Azure AD和Office 365之前，建議使用IdFix來識別Active Directory中重復和格式化問題等錯誤
○ 確保Azure AD中啟用了Sync Features
§ On Premises：Azure AD Connect sync（sync engine）
§ Azure AD：Azure AD Connect Sync Service
3.On-Premises Active Directory
○ AD Schema 版本和Forest functional level必須是Windows Server 2003以及以上版本
○ 如果你計劃使用Password writeback，那么domain controller必須是Windows Server 2008 R2以及以上
○ 確保Azure AD使用的domain controller是可寫入權限
○ 推薦啟用Active Directory Recycle Bin
4.Azure AD Connect Server
○ Azure AD Connect不能安裝在Small Business Server，必須是Windows Server 2012 standard或者以上，
○ 不推薦Azure AD Connect安裝在Domain Controller上，需將部署Azure AD Connect的Server作為domain member
○ 如果部署ADFS，那么Server必須安裝在Windows Server 2012以及以上版本
○ 如果部署ADFS，需要SSL Certificates以及配置，name resolution
○ 如果global admin啟用了MFA，那么需要在瀏覽器的trusted site list里信任該URL
https://secure.aadcdn.microsoftonline-p.com
○ （單項同步，非必要步驟）Microsoft建議加強Azure AD Connect Server，降低安全***
§ Securing administrators groups
§ Securing built-in administrator accounts
§ Security improvement and sustainment by reducing attack surfaces
§ Reducing the Active Directory attack surface

5.Azure AD Connect 需要的SQL Server
○ Azure AD Connect 需要SQL Server Database用來存儲identity data，我們也可以在部署時直接選用Express模式，會使用SQL Server Express做存儲，有10 GB存儲空間，可以管理100,000個objects。如果你需要管理更多的Directory objects，那么需要部署SQL Server（Microsoft SQL Server from 2012）
6.Accounts
○ Azure AD Global Administrator 賬戶
○ Active Directory Admin on premise（Exchange Admin）
7.Connectivity
○ DNS服務器必須能夠解析到on-premises Active Directory和Azure AD endpoints的名稱。
○ 如果你的內部網有防火墻，需要在Azure AD連接服務器和你的域控制器之間打開端口

    ○ Azure AD Connect 和 Azure AD通信協議和端口

部署Azure AD Connect 相關總結：

1.部署Azure AD Connect之前，需要在Azure AD （Office 365） Add and verify Domain （同時也需要Godaddy進行相關配置），否則在配置Azure AD Connect時 sign in Azure AD 會失效。
 

2.https://www.microsoft.com/en-us/download/details.aspx?id=47594 下載并安裝Azure AD Connect
3.如果你是single-forest domain并且使用Password hash synchronize作為身份驗證，那么可以使用默認的Express settings進行安裝和部署Azure AD Connect
 

4.如果從On Premise Active Directory 同步用戶+ attributes+organization時非全部同步，而是按照OU分批同步或者 user attribute 同步有特殊要求，那么需要在最終configure 步驟，取消勾選“start the synchronization process when Configuration completes”復選框

上文描述的就是安裝部署Azure AD Connect的步驟，具體使用情況還需要大家自己動手實驗使用過才能領會。如果想了解更多相關內容，歡迎關注億速云行業資訊頻道！