Azure AD (5) 在单一目录下，使用Azure AD单点登录

　　《Windows Azure Platform 系列文章目录》

 

　　本文介绍的是，在单一目录下，使用Azure AD Connect，打通本地Domain Controller

 

　　我们需要准备的环境有：

　　1.Azure China订阅

　　2.在本地或者在微软云端，创建1台Windows VM，安装Domain Controller域控制器服务。

　　这里我们的测试环境为在云端创建1台Domain Controller机器，命名为CorpDC，安装的Domain Name为：leicorp.biz

　　3.注册一个公网的域名，名称为leicorp.biz，注意需要和上面的Domain Name一致

 

　　具体的步骤分为三个：

　　第一步：在Azure AD增加自定义域名，在公网域名增加TXT记录

　　第二步：使用Azure AD Connect，将本地的Domain Controller用户名，Hash加密后的密码，同步到云端的Azure AD

　　第三步：使用本地的Domain Controller的用户名和密码，访问Azure Portal

 

　　第一步：在Azure AD增加自定义域名，在公网域名增加TXT记录

　　1.首先我们登录Azure China Portal: https://portal.azure.cn

　　2.在Azure AD里面，选择Custom Domain Name，点击Add Custom Domain，如下图：

　　

　　

　　3.增加完毕后，页面会显示TXT记录，如下图：

　　

 

　　4.我们在域名服务商那里，增加对leicorp.biz的的TXT记录。这里我用的是海外的Azure App Service Domain服务

　　把步骤3中的信息，输入到下图中：

　　(1)Name输入@

　　(2)Type为TXT

　　(3)TTL使用默认的1 Hour，对应步骤3中的3600秒

　　(4)Value输入上面步骤3的记录：MS=ms27412766

 

　　5.设置完毕后，我们稍微等待TXT生效，然后回到步骤3中，点击Verify按钮。如下图所示：

　　

 

　　6.验证通过后，Custom domain names会显示验证通过：

　　

 

　　

 

　　第二步：使用Azure AD Connect，将本地的Domain Controller用户名，Hash加密后的密码，同步到云端的Azure AD

　　1.我们已经在云端创建了1台Domain Controller机器，命名为CorpDC，安装的Domain Name为：leicorp.biz

　　

　　2.我们在DC上创建3个用户：

　　

　　

　　3.在弹出的窗口中，输入用户信息，命名为user01, user02, user03

　　

 

　　4.微软官方建议在另外一台机器上，安装Azure AD Connect，该机器可以访问到Domain Controller域控制器

　　为了演示方便，我们在云端的DC上，安装Azure AD Connect服务，下载地址：https://www.microsoft.com/en-us/download/details.aspx?id=47594

　　安装完毕后，选择I agree

　　

 

　　5.根据自己的需求，我们这里选择Express

　　

 

　　6.在Connect to Azure AD栏目中，输入登录https://portal.azure.cn的用户名和密码

　　

 

　　7.在Connect to AD DS中，输入域控制器管理员的用户名和密码

　　

 

　　8.验证完毕后，我们先不勾选Start the Synchronization

　　

 

　　9.安装完毕后，界面显示Azure AD Connect同步尚未开始。如下图红色部分

　　

　

　　9.安装完毕后。我点击桌面的图表Azure AD Connect，进行配置和同步

　　

 

　　10.配置里面有很多内容，笔者简单举几个例子，比如：

　　

 

　　11.然后输入信息：

　　

 

　　12.选择Domain和OU

　　

 

　　13.设置AD属性，同时我们注意AD密码是哈希加密

　　

 

　　14.选择需要同步的AD属性

　　

　　

　　15.配置完毕后，选择开始同步Azure AD Connect

　　

 

　　16.同步开始后，我们访问portal.azure.cn，可以查看到本地Domain Controller里面的账户都被同步到微软云Azure AD里

　　请注意：Source为Windows Server AD，表示这些账户是从Windows Server AD同步过来的

　　

　　

　　

　　第三步：使用本地的Domain Controller的用户名和密码，访问Azure Portal

　　1.我们打开一个新的浏览器，输入https://portal.azure.cn/

　　2.输入域控制器里面的用户名：user01@leicorp.biz，和对应的密码

　　

 

　　3.登录后，就可以访问Azure Portal了，如下图：

　　

 

　　最后请注意：Azure AD的账户user01@leicorp.biz是没有任何订阅的权限，也不能访问任何资源

　　我们需要把一个资源组的权限，分配给AD账户：user01@leicorp.biz，如下图