配置本地和Office 365联合信任

建议将DirSync tool和Windows Azure Active Directory 模块安装在ADFS服务器上，这样就不用去设置ADFS context。以域管理员登录DC服务器。

1. 1.转换自定义域为联合域

• 安装Microsoft Online Services Sign-In Assistant for IT Professionals (MOSSA version 7.0以上)，以下是下载链接，

http://www.microsoft.com/en-us/download/details.aspx?id=39267

• 安装.NET Framework 3.5和4.5,目的是为了安装Windows Azure Active Directory Module for Windows PowerShell

• 安装用于 Windows PowerShell 的 Windows Azure Active Directory 模块，该模块可以在Office 365中下载( 用户和组 > 活动用户 > 管理)

• Windows Azure Active Directory 模块安装完成后，以管理员身份运行Windows PowerShell 的 Windows Azure Active Directory，见下图：

• 输入 “Connect-MSOLService”，然后验证窗口中输入一个Office 365 global administrator account进行验证，见下图：

• 输入get-msoldomain ?domainname hphaobo.com | fl

查看下hphaobo.com这个域的验证方式为Managed，见下图：

• 转换hphaobo.com这个域的验证方式为联合验证，

输入Convert-MsolDomainToFederated ?DomainName “hphaobo.com”，转换后可以查看到hphaobo.com的Authentication已变成Federated，见下图：

• 最后我们可以打ADFS Management,我们能看到ADFS能为客户端提供单一登录服务(Single sign-on)，见下图：

2. 激活Active Directory(Office 365)

Windows Azure Active Directory (WAAD Sync tool能将本地(On-premises)的对象同步到Office 365上，本次Lab是将DirSync tool安装在DC上，以下是安装和配置的步骤。

• 激活Active Directory

使用订阅账户登录Office 365，导航至 用户和组 > 活动用户 > Active Directory 同步设置，见下图：

• 在设置并管理Active Directory同步页面中，点击“激活”，见下图：

• 在寻问是否要激活窗口中，点击“激活”，见下图：

• 刚激活后可能不会马上生效，有时需要等待长达24小时，以下是完成激活页面，见下图:

3. 安装和配置目录同步

• 建立一个Office 365 Tenant账户用于配置DirSync,在此建立的用户名为svc-dirsync@hphaobo.onmicrosoft.com,见下图：

设置该账户时，不分配许可证，见下图：

角色设置为“全局管理员”，见下图：

• 修改密码，并将svc-dirsync@hphaobo.onmicrosoft.com设置密码永不过期，需要使用用于 Windows PowerShell 的 Windows Azure Active Directory 模块，输入 “Connect-MSOLService”，然后验证窗口中输入一个Office 365 global administrator account进行验证。

未设置时PasswordNeverExpires为False ，见下图：

使用Set-MsolUser -UserPrincipalName "svc-dirsync@hphaobo.onmicrosoft.com" -PasswordNeverExpires $true 设置密码永不过期，见下图：

设置后查看svc-dirsync PasswordNeverExpires状态，见下图：

• 下载WAAD Sync Tool工具，在Office 365管理中心中下载，见下图：

• 开始安装，以管理员身份运行刚下载的dirsync-zh-hans工具，出现安装Welcome页，点next,见下图：

• 接受License Tems，见下图：

• Select Installation Folder,使用默认，点Next,见下图：

• 等待安装进程，直到完成，见下图：

• 勾选Start Configuration Wizard now,点击Finished. 见下图：

• 开始配置WAAD,在出现的WAAD Sync tool Configuration Wizard中，点Next,见下图：

• 在Windows Azure Active Directory Credentials页中，输入Office 365的订阅管理账号admin@hphaobo.onmicrosoft.com和密码，目的在同步时会以该服务账户连接Office 365服务,见下图：

• 在Active Directory Credentials页面中，输入本地AD管理员权限账户，见下图：

• 在Hybrid Deployment页中，根据需要进行选择，如果勾选”Enable Hybrid Deployment”，则允许从Azure Active Directory写数据到on-premises Active Directory，这个功能只修改已存在的对象，见下图：

• 在Password Synchronization页中，设置是否允许将密码同步到Office 365上，

• 按照向导配置，点击Next，见下图：

• 在Finished页面中，选择是否立即同步，在此我们选择”Synchronize your directories now”，见下图：

• 最后出现一个如何Verify directory synchronization的消息框，点击OK，完成。

• 同步完成后，登录Office 365后，可以看到on-premises账户已同步到Office 365中，见下图：

4. 检验AD对象同步

可以使用miisclient工具查看同步的状态，该工具位于C:Program FilesWindows Azure Active Directory SyncSYNCBUSSynchronization ServiceUIShell 下，见下图：

5.强制目录同步

在企业有些场景中，有时需要立即同步信息，我们可以Powershell命令来实现

在安装有DirSync Tool的服务器上打开Powershell,运行

import-module dirsync

Start-OnlineCoexistenceSync

见下图：

6.激活已同步的账户

选择已同步的账户，然后点击“激活已同步用户”，按向导完成激活。见下图：

演示Office 365单一登录

使用已同步到Office 365账户(localuser1@hphaobo.com) ，该账户在Office 365中分配了Exchange online许可

将portal.microsoftonline.com,login.microsoftonline.com,portal.office.com加入到IE Local Intranet可信任站点中

用Localuser1@hphaobo.com 登录客户端，IE中打开portal.microsoftonline.com,输入用户(UPN格式)：localuser1@hphaobo.com，见下图:

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!