我有一个多站点 Windows Server 2012 R2 AD 域。
到目前为止,我们一直在使用单独的办公许可证。
在一个特定站点,我们正在测试 Office 365 实施。
如何将 Office 365 帐户集成到本地 AD 结构中,以便用户不必记住另一组 Office 365 凭据?
我看过一些指南,它们似乎解释了如何做到这一点,但都涉及在域控制器上设置内容。我不清楚的是:
如何仅为我们正在进行推广的站点设置此集成?它仅适用于该站点和该站点的特定用户。
我应该在哪个 DC 设置集成?整个组织的主 DC(异地)?我们推出 Office 365 的站点的本地 DC?如果我在站点有两个 DC(最佳实践),我是否应该在两个 DC 上都设置集成?
这是另一个对我来说似乎模糊的部分:我们在多个(国际)站点上有一个 AD,但出于会计和许可原因,每个本地办事处都会为其本地用户购买和维护自己的 Office 365 帐户(这里我指的是组织帐户而不是用户帐户)。是否可以将多个组织 Office 365 集成到一个 AD 中?如何设置它以便 AD/Office 365 集成知道在哪里可以找到 Office 365 帐户?
答案1
您安装Azure AD 连接在您的本地环境中的服务器上,并将其连接到您的 Office 365 租户。用户、组和密码将同步到云,在云中创建镜像 AD(相同登录)。 *另一种选择是使用 ADFS 与 Office 365 联合 - 单点登录。
您可以在任何符合要求的服务器上安装 Azure AD Connect,不必是 DC。配置 AADC 时,您可以选择要同步的 OU。
将一个 AD 同步到多个 Office 365 帐户(称为“租户”)比较棘手,但受支持(有限制)。请参阅这个文件标题为“每个对象在 Azure AD 租户中仅出现一次”。基本上,您为每个租户安装一个 AADC 服务器,并配置 OU 过滤以将所需对象从 AD 同步到每个 Office 365 租户。
在此拓扑中,每个 Azure AD 租户都连接到一个 Azure AD Connect 同步服务器。必须配置 Azure AD Connect 同步服务器以进行筛选,以便每个服务器都有一组互斥的对象可供操作。例如,您可以将每个服务器的范围限定为特定域或组织单位。1
DNS 域只能在单个 Azure AD 租户中注册。本地 Active Directory 实例中的用户的 UPN 也必须使用单独的命名空间。