1. Azure AD Connect 概述
Azure AD Connect 是微软提供的混合身份解决方案,用于将本地 AD 与 Azure AD 同步。
| 同步方式 | 说明 | 用户可见性 |
|---|---|---|
| 密码哈希同步 | 同步密码哈希到云端 | 云端登录 |
| 直通过滤 | 通过 PTA 进行身份验证 | 云端登录 |
| 联合认证 | 使用 AD FS | 本地登录 |
2. 密码哈希同步
PowerShell - 安装 Azure AD Connect
# 下载 Azure AD Connect
Invoke-WebRequest -Uri "https://aka.ms/AADConnect" -OutFile "C:\Temp\AADConnect.msi"
# 安装(快速模式)
& ".\AADConnect.MSI" /quiet /norestart
# 使用快速设置安装
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSync\AdSync.psm1"
New-ADSyncConnector -ConnectorTypeName "Active Directory"
# 启用密码哈希同步
Set-ADSyncPasswordHashSyncConfiguration -SourceConnector "iehang.cn" -Enable $true3. AD FS 联合认证
PowerShell - 安装 AD FS
# 安装 AD FS 角色
Install-WindowsFeature "ADFS-Federation" -IncludeManagementTools
# 配置 AD FS 场
Install-ADFSFarm `
-CertificateThumbprint "ABC123..." `
-Credential $cred `
-FederationServiceName "sts.iehang.cn" `
-GroupServiceAccount "IEHANG\ADFSgMSA"
# 配置 Azure AD 联合
Set-MsolDomainAuthentication -DomainName "iehang.cn" -Authentication "Federated"4. Seamless SSO 配置
PowerShell - 配置 Seamless SSO
# 启用 Seamless SSO
Enable-AD SeamlessSso -PresentCredentials $true
# 在 Azure AD 中启用 Seamless SSO
Set-MsolCompanySecurityTokenConfig `
-EnabledFeatures "Device Writeback","SeamlessSso"
# 验证 Seamless SSO 状态
Get-ADSyncGlobalSettings | Select-Object
# 查看同步状态
Get-ADSyncConnectorRunStatus5. 常见问题
Q1:PHS vs AD FS,如何选择
简单优先使用 PHS;需要强身份验证或条件访问使用 AD FS。
Q2:同步失败如何排查
① 检查 Azure AD Connect 同步状态 ② 查看事件日志 ③ 使用 Get-ADSyncConnectorResults 查看详细错误