maduka的技術日記

要建立本地端與雲端AD的同步方法非常的簡單，依照下面的步驟，很快就可以把本地端的AD與雲端的AD進行同步

在Azure上，建立一個新的Active Directory，要建立Active Directory的話，必須連到舊版的Azure入口網站頁面才能建立與管理

在建立Active Directory的畫面，輸入想要建立的AD的名稱

建立完成後，就可以在Active Directory的清單中看到這個AD目錄

接著進入這個目錄，建立一個新的使用者

建立使用者時，由於這個使用者帳號是用來讓本地端AD進行同步驗證所使用的，所以請在角色的地方，選擇"全域管理員"

建立完成後，Azure會先在頁面上顯示這個帳號的暫時密碼，請先把這個密碼記起來，因為等一下要修改這個帳號的密碼，修改完成後才能進行同步的驗證

接著，開啟一個無痕式視窗，並輸入Azure的網址，登入帳號就輸入剛剛建立的帳號，並加上網域的名稱，密碼則是輸入剛剛記下來的暫時密碼

若是成功登入後，會出現第一次登入時必須進行密碼的修改，就輸入新的密碼，把舊密碼作一個取代的動作

更改好密碼後，回到Azure AD上，點開要同步的Azure AD，進入"目錄整合"的功能，並將"目錄同步作業"更改為"已啟用"

到這裡，雲端的Azure AD就已經準備好與本地端AD同步整合的動作了，接下來請到本地端AD中的伺服器，可以是DC，也可以是任何一台電腦，下載Azure AD Connect這個應用程式

下載完成後安裝起來，並執行Azure AD Connect這個應用程式，請點選"自訂"的功能

由於Azure AD Connect會使用到SQL Server作為同步用的資料庫，所以在自訂的畫面中可以選擇現有資料庫，若是希望安裝新的SQL Express LocalDB，就不要打勾，讓Azure AD Connect自行安裝

安裝基本需要使用的資料庫與服務之後，會詢問登入的方式，請在這裡選擇"密碼同步處理"

在這個步驟中執行連線到Azure AD的動作時，必須在這裡輸入剛剛建立好的全域管理員的帳號與密碼，以提供本地端AD進行驗證的動作

按下下一步會出現這個訊息，不過不用擔心，再按一次下一步就可以

接著在連線您的目錄畫面中，選擇要同步到雲端的AD網域，並輸入可以讀取AD網域資訊的帳號與密碼，在這裡不一定要輸入Administrator，只要能夠讀取網域資訊的帳號就可以，輸入完成後，請點選"新增目錄"的按鈕，這個動作會在Azure AD中，建立要同步的本地端AD目錄，建立完成後，點選下一步的動作

接著，可以選擇要與Azure AD同步的項目，可以整個網域與OU都進行同步，或是可以自行選擇要同步的網域或是OU

在專門識別您的使用者頁面中，可以設定使用者帳號存在兩個網域的狀態，在這裡就先選擇預設值不進行變更

由於AD中除了網域使用者帳號外，還有電腦以及其他裝置的內容，所以接下來的頁面可以讓管理者選擇是否也要將裝置同步至Azure AD上

接著可以設定其他的細部功能，像是是否要與Exchange進行混合部暑，或是本地端AD是否有更多的延伸屬性需要寫入至Azure AD，密碼回寫等等的功能，都可以在這個畫面中進行設定

接下來按下完成，就會開始進行本地端AD與Azure AD的同步

同步完成後，就可以在Azure AD上看到多了一個新的使用者帳號"on-premises directory synchronization service account"，這個帳號就是用來同步Azure AD與Local AD用的帳號

在群組中也可以看到新增加了一些本地端AD的群組資訊了

在安裝了Azure AD Connect的伺服器上，可以看到同時也安裝了Synchronization Rules Editor、Synchronization Service、Synchronization Service Key Management三個應用程式
​

Synchronization Rules Editor可以用來設定要與Azure AD同步的觸發原則

Synchronization Service可以查看同步的歷程記錄與狀態

Synchronization Service Key Management則是可以匯出同步用的管理加密金鑰

同步本地端AD的帳號至Azure AD上，除了可以提供雲端服務進行帳號驗證外，也可以作為應用程式的授權，帳號密碼管理的第一道門，延伸了企業內應用程式被區網局限的問題，也簡化了帳號與密碼管理的難度