У меня есть многосайтовый домен AD Windows Server 2012 R2.
До сих пор мы использовали индивидуальные офисные лицензии.
На одном конкретном сайте мы тестируем реализацию Office 365.
Как интегрировать учетные записи Office 365 в локальную структуру AD, чтобы пользователям не приходилось запоминать другой набор учетных данных для Office 365?
Я встречал несколько руководств, которые, кажется, объясняют, как это сделать, но все они включают настройку на Контроллере домена. Что мне непонятно:
Как мне настроить эту интеграцию только для сайта, на котором мы делаем развертывание? Это применимо только к этому сайту и конкретным пользователям на этом сайте.
На каком DC мне настроить интеграцию? Основной ЦОД (выездной) для всей организации? Локальный DC на сайте, где мы развертываем Office 365? Если у меня есть два контроллера домена (как рекомендуется), могу ли я настроить интеграцию на обоих контроллерах домена?
Это еще одна часть, которая мне кажется туманной: у нас есть одна AD на нескольких (международных) сайтах, но каждый локальный офис будет покупать и поддерживать свои собственные учетные записи Office 365 (здесь я говорю об учетных записях организации, а не учетных записях пользователей) для своих собственных локальные пользователи по причинам бухгалтерского учета и лицензирования. Можно ли интегрировать несколько корпоративных Office 365 в одну AD? Как настроить его так, чтобы интеграция AD / Office 365 знала, где найти учетную запись Office 365?
Вы устанавливаете Azure AD Connect на сервере в локальной среде и подключите его к своему клиенту Office 365. Пользователи, группы и пароли синхронизируются с облаком, создавая зеркальную AD в облаке (тот же вход). * Альтернативный вариант - использовать ADFS для интеграции с Office 365 - единый вход.
Вы можете установить Azure AD Connect на любой сервер, который соответствует требованиям, это не обязательно должен быть контроллер домена. При настройке AADC вы можете выбрать, какие подразделения нужно синхронизировать.
Синхронизация одного AD с несколькими учетными записями Office 365 (называемыми «клиентами») сложнее, но поддерживается (с ограничениями). См. Раздел в этот документ под названием «Каждый объект только один раз в клиенте Azure AD». Обычно вы устанавливаете один сервер AADC для каждого клиента и настраиваете фильтрацию подразделений для синхронизации необходимых объектов из AD с каждым клиентом Office 365.
В этой топологии один сервер синхронизации Azure AD Connect подключен к каждому клиенту Azure AD. Серверы синхронизации Azure AD Connect должны быть настроены для фильтрации, чтобы у каждого из них был взаимоисключающий набор объектов для работы. Вы можете, например, привязать каждый сервер к определенному домену или организационной единице.
Домен DNS можно зарегистрировать только в одном клиенте Azure AD. UPN пользователей в локальном экземпляре Active Directory также должны использовать отдельные пространства имен.