Azure AD Connect的安装部署

这篇文章给大家分享的是Azure AD Connect的安装部署，相信大部分人都还不知道怎么安装部署，为了让大家学会，给大家总结了以下内容，话不多说，一起往下看吧。

部署Azure AD Connect之前，需要考虑以下7个考量点：

1.Azure AD
○ 你需要使用Azure Portal或者Office 365 Portal来管理Azure AD Connect
○ Domain，需要添加和验证一个有效的domain，不能使用default domain （contoso.onmicrosoft.com）
○ 一个Azure AD默认是50 K Objects，当你verify domain时，objects limit会达到300 k objects，如果你在Azure AD中需要更多的Objects，需要提交ticket为微软放开限制。
2.On-premise data
○ 在同步Azure AD和Office 365之前，建议使用IdFix来识别Active Directory中重复和格式化问题等错误
○ 确保Azure AD中启用了Sync Features
§ On Premises：Azure AD Connect sync（sync engine）
§ Azure AD：Azure AD Connect Sync Service
3.On-Premises Active Directory
○ AD Schema 版本和Forest functional level必须是Windows Server 2003以及以上版本
○ 如果你计划使用Password writeback，那么domain controller必须是Windows Server 2008 R2以及以上
○ 确保Azure AD使用的domain controller是可写入权限
○ 推荐启用Active Directory Recycle Bin
4.Azure AD Connect Server
○ Azure AD Connect不能安装在Small Business Server，必须是Windows Server 2012 standard或者以上，
○ 不推荐Azure AD Connect安装在Domain Controller上，需将部署Azure AD Connect的Server作为domain member
○ 如果部署ADFS，那么Server必须安装在Windows Server 2012以及以上版本
○ 如果部署ADFS，需要SSL Certificates以及配置，name resolution
○ 如果global admin启用了MFA，那么需要在浏览器的trusted site list里信任该URL
https://secure.aadcdn.microsoftonline-p.com
○ （单项同步，非必要步骤）Microsoft建议加强Azure AD Connect Server，降低安全***
§ Securing administrators groups
§ Securing built-in administrator accounts
§ Security improvement and sustainment by reducing attack surfaces
§ Reducing the Active Directory attack surface

5.Azure AD Connect 需要的SQL Server
○ Azure AD Connect 需要SQL Server Database用来存储identity data，我们也可以在部署时直接选用Express模式，会使用SQL Server Express做存储，有10 GB存储空间，可以管理100,000个objects。如果你需要管理更多的Directory objects，那么需要部署SQL Server（Microsoft SQL Server from 2012）
6.Accounts
○ Azure AD Global Administrator 账户
○ Active Directory Admin on premise（Exchange Admin）
7.Connectivity
○ DNS服务器必须能够解析到on-premises Active Directory和Azure AD endpoints的名称。
○ 如果你的内部网有防火墙，需要在Azure AD连接服务器和你的域控制器之间打开端口

    ○ Azure AD Connect 和 Azure AD通信协议和端口

部署Azure AD Connect 相关总结：

1.部署Azure AD Connect之前，需要在Azure AD （Office 365） Add and verify Domain （同时也需要Godaddy进行相关配置），否则在配置Azure AD Connect时 sign in Azure AD 会失效。

2.https://www.microsoft.com/en-us/download/details.aspx?id=47594 下载并安装Azure AD Connect
3.如果你是single-forest domain并且使用Password hash synchronize作为身份验证，那么可以使用默认的Express settings进行安装和部署Azure AD Connect

4.如果从On Premise Active Directory 同步用户+ attributes+organization时非全部同步，而是按照OU分批同步或者 user attribute 同步有特殊要求，那么需要在最终configure 步骤，取消勾选"start the synchronization process when Configuration completes"复选框

上文描述的就是安装部署Azure AD Connect的步骤，具体使用情况还需要大家自己动手实验使用过才能领会。如果想了解更多相关内容，欢迎关注行业资讯频道！