微软又改名了!这次是Azure AD变成了Entra ID,微软官方说是市场调研下来AAD容易和本地AD混淆,不便于推广。

企业为什么要用Entra ID呢?说白了就是尽可能保证本地AD与云端AD的一致性,包括账号名字和密码等等原因。

背景参考信息

Azure Active Directory 的新名称 - Microsoft Entra | Microsoft Learn

停用 Azure AD Connect V1 - Microsoft Entra ID | Microsoft Learn

M365(由世纪互联21Vianet运营)云端配置(下面的真是企业信息我已经匿名化处理)

操作租户:admin@myorg.partner.onmschina.cn

Microsoft 365 > Identity > Microsoft Entra Connect > 下载 Micorosoft Entra Connect v2

Direct download: Download Azure AD Connect V2 from Official Microsoft Download Center

On-premise服务器端配置

操作域控DC:SRV08.myorg.net Windows Server 2019级别的域功能级别,本地Active Directory域控。

安装M365网站下载的 AzureADConnect.msi,过程如下:

(上图说明使用快速设置则不指定使用现有SQL Server服务器,会安装SQL Server Express)

上图提示登录Microsoft 365全局管理员的账号凭据。

上图是需要连接到本地AD DS服务,所以在本地DC上创建具有Enterprise Admins组的域账号: MYORG\adm.aadservice

上图表示AAD管理中心没有添加本地域的域名,所以无法使用本地域的用户账号来登录AAD域,详细参考:

添加和验证自定义域名 - Microsoft Entra ID | Microsoft Learn

快速操作方法:AAD > 设置 > 域名 > 添加自定义域:myorg.net,并到云服务商网站添加如下域名解析记录:

下图是完成解析记录添加后刷新验证 myorg.net已通过(由于gz.myorg.net子域已弃用我们勾选底部的忽略选项):

上图表明由于存在过期子域 gz.myorg.net 问题,仍旧无法通过准备阶段,需要从头开始使用自定义设置。重新配置需要卸载AAD Connect如下图:

结果:重装后重新自定义配置仍旧失败,判断原因应该是存在过期孤立无效的子域记录。于是展开进行排错操作,查看我的另一篇文章。

2024/1/6排错成功重新返回开头进行操作,运行结果成功,如下图:

上图黄色提醒提示①建议开启本地AD的回收站功能,说明文章: Microsoft Entra Connect Sync: Enable AD recycle bin - Microsoft Entra ID | Microsoft Learn

提示②说明无法安装Entra ID Connect Health健康度代理,说明文章: 在 Microsoft Entra ID 中安装 Microsoft Entra Connect Health 代理 - Microsoft Entra ID | Microsoft Learn

自我估计的原因可能有:未购买Entra ID P1或P2套餐、世纪互联尚不支持。

需要关注特例①:在我公司的M365租户中存在旧有的Exchange Online独立电子邮箱账号,但是本地AD上的域账号中又维护了相同邮箱地址。于是Entra ID成功与本地AD服务器同步后,会比对本地AD域账号与M365租户内账号属性中的邮箱地址字段,如果地址相同的话,会将AD域账号同步覆盖掉旧有的独立M365账号。结果:原M365账号消失,以本地AD账号替换。需要关注特例②:继特例①,如果本地AD域的域名和对外使用邮箱域名不同怎么办?其实很好解决,只需要将邮箱域名添加到M365后台,并做好相关解析生效设置,即可随意选择用户登录M365的是本地AD域名还是对外使用邮箱域名。如下图所示:

关于同步间隔:管理员会发现本地AD账号修改后不会立即同步到Entra ID

Microsoft Entra Connect Sync:计划程序 - Microsoft Entra ID | Microsoft Learn

验证

① 验证登录标识 在M365网站:https://microsoft365.microsoftonline.cn 使用本地域账号+域账号密码登录成功。 如果在M365 Identity中修改了账号属性的标识名称,比如改成了使用对外邮箱地址,则需要改用对外邮箱地址+域账号密码登录M365网站,原先的本地域标识就不能登录了(提示找不到改用户账号)。② 验证密码同步 用户是否可以在M365网站自助修改密码并同步到本地域? 实测默认是不允许的,如用户在M365网站上修改密码会出现如下提示:

根据微软官方文章,必须要购买Entra ID P1订阅套餐才支持将Entra ID账号密码写回本地AD域实测发现:如果是从M365 Admin新建的账号,即使选择是本地域的域名myorg.net,并不会把账号写回本地AD域,而且这类账号可以自助修改密码。

相关文章

评论可见,请评论后查看内容,谢谢!!!
 您阅读本篇文章共花了: