配置本地和Office 365联合信任
建议将DirSync tool和Windows Azure Active Directory 模块安装在ADFS服务器上,这样就不用去设置ADFS context。以域管理员登录DC服务器。
-
1.转换自定义域为联合域
-
安装Microsoft Online Services Sign-In Assistant for IT Professionals (MOSSA version 7.0以上),以下是下载链接,
http://www.microsoft.com/en-us/download/details.aspx?id=39267
-
安装.NET Framework 3.5和4.5, 目的是为了安装Windows Azure Active Directory Module for Windows PowerShell
-
安装用于 Windows PowerShell 的 Windows Azure Active Directory 模块,该模块可以在Office 365中下载( 用户和组 > 活动用户 > 管理)
-
Windows Azure Active Directory 模块安装完成后,以管理员身份运行Windows PowerShell 的 Windows Azure Active Directory,见下图:
-
输入 “Connect-MSOLService”,然后验证窗口中输入一个Office 365 global administrator account进行验证,见下图:
-
输入get-msoldomain –domainname hphaobo.com | fl
查看下hphaobo.com这个域的验证方式为Managed,见下图:
-
转换hphaobo.com这个域的验证方式为联合验证,
输入Convert-MsolDomainToFederated –DomainName “hphaobo.com”,转换后可以查看到hphaobo.com的Authentication已变成Federated,见下图:
-
最后我们可以打ADFS Management,我们能看到ADFS能为客户端提供单一登录服务(Single sign-on),见下图:
2. 激活Active Directory(Office 365)
Windows Azure Active Directory (WAAD Sync tool能将本地(On-premises)的对象同步到Office 365上,本次Lab是将DirSync tool安装在DC上,以下是安装和配置的步骤。
-
激活Active Directory
使用订阅账户登录Office 365,导航至 用户和组 > 活动用户 > Active Directory 同步设置,见下图:
-
在设置并管理Active Directory同步页面中,点击“激活”,见下图:
-
在寻问是否要激活窗口中,点击“激活”,见下图:
-
刚激活后可能不会马上生效,有时需要等待长达24小时,以下是完成激活页面,见下图:
3. 安装和配置目录同步
-
建立一个Office 365 Tenant账户用于配置DirSync, 在此建立的用户名为svc-dirsync@hphaobo.onmicrosoft.com, 见下图:
设置该账户时,不分配许可证,见下图:
角色设置为“全局管理员”,见下图:
-
修改密码,并将svc-dirsync@hphaobo.onmicrosoft.com设置密码永不过期,需要使用用于 Windows PowerShell 的 Windows Azure Active Directory 模块,输入 “Connect-MSOLService”,然后验证窗口中输入一个Office 365 global administrator account进行验证。
未设置时PasswordNeverExpires为False ,见下图:
使用Set-MsolUser -UserPrincipalName "svc-dirsync@hphaobo.onmicrosoft.com" -PasswordNeverExpires $true 设置密码永不过期,见下图:
设置后查看svc-dirsync PasswordNeverExpires状态,见下图:
-
下载WAAD Sync Tool工具,在Office 365管理中心中下载,见下图:
-
开始安装,以管理员身份运行刚下载的dirsync-zh-hans工具,出现安装Welcome页,点next, 见下图:
-
接受License Tems,见下图:
-
Select Installation Folder, 使用默认,点Next, 见下图:
-
等待安装进程,直到完成,见下图:
-
勾选Start Configuration Wizard now, 点击Finished. 见下图:
-
开始配置WAAD, 在出现的WAAD Sync tool Configuration Wizard中,点Next, 见下图:
-
在Windows Azure Active Directory Credentials页中,输入Office 365的订阅管理账号admin@hphaobo.onmicrosoft.com和密码,目的在同步时会以该服务账户连接Office 365服务, 见下图:
-
在Active Directory Credentials页面中,输入本地AD管理员权限账户,见下图:
-
在Hybrid Deployment页中,根据需要进行选择,如果勾选”Enable Hybrid Deployment”,则允许从Azure Active Directory写数据到on-premises Active Directory,这个功能只修改已存在的对象,见下图:
-
在Password Synchronization页中,设置是否允许将密码同步到Office 365上,
-
按照向导配置,点击Next,见下图:
-
在Finished页面中,选择是否立即同步,在此我们选择”Synchronize your directories now”,见下图:
-
最后出现一个如何Verify directory synchronization的消息框,点击OK,完成。
-
同步完成后,登录Office 365后,可以看到on-premises账户已同步到Office 365中,见下图:
4. 检验AD对象同步
可以使用miisclient工具查看同步的状态,该工具位于C:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell 下,见下图:
5.强制目录同步
在企业有些场景中,有时需要立即同步信息,我们可以Powershell命令来实现
在安装有DirSync Tool的服务器上打开Powershell, 运行
import-module dirsync
Start-OnlineCoexistenceSync
见下图:
6.激活已同步的账户
选择已同步的账户,然后点击“激活已同步用户”,按向导完成激活。见下图:
演示Office 365单一登录
使用已同步到Office 365账户(localuser1@hphaobo.com) ,该账户在Office 365中分配了Exchange online许可
将portal.microsoftonline.com, login.microsoftonline.com, portal.office.com加入到IE Local Intranet可信任站点中
用Localuser1@hphaobo.com 登录客户端,IE中打开portal.microsoftonline.com, 输入用户(UPN格式):localuser1@hphaobo.com,见下图:
本文转自ljb_job 51CTO博客,原文链接:http://blog.51cto.com/liujb/1789227,如需转载请自行联系原作者
