使用 Azure connect DirSync 与 azure Active Directory 进行本地 AD 同步答案

【问题标题】：On-premise AD sync with azure active directory using Azure connect DirSync使用 Azure connect DirSync 与 azure Active Directory 进行本地 AD 同步
【发布时间】：2017-03-30 08:29:15
【问题描述】：

如果我们使用 Azure connect DirSync 与 azure Active Directory 进行本地 AD 同步，并且不选择密码同步，那么

用户将如何登录 Office 365？

用户的凭据是什么？

【问题讨论】：

标签： azure office365 azure-active-directory

【解决方案1】：

如果不使用密码同步，Azure AD 无法自行对用户进行身份验证。

在这种情况下，您将拥有一个执行最终身份验证的 Active Directory 联合身份验证服务服务器。

用户将进入登录页面并输入他们的用户名。然后，它们将被重定向到您的 ADFS 登录页面。身份验证成功后，他们将被重定向回 Azure AD，Azure AD 会将他们重定向到他们正在登录的应用程序（例如 O365）。

用户将使用他们在 Azure AD 中获得的用户名，该用户名应与本地用户名相同。

文档：Azure AD Connect and federation

另一种选择是使用直通身份验证：https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-pass-through-authentication。

这将使用户在 Azure AD 登录页面上使用其凭据登录，Azure AD 将在后台使用您的本地 AD 检查凭据，而不会将用户重定向到 ADFS。

【讨论】：

是批量部署还是分批用户部署？
用户迁移到 Azure 后，是否必须手动更改凭据才能登录 Office 365 帐户（他们现在使用电子邮件凭据登录 Office 365，在 Azure AD 之后，他们将登录使用他们的 AD 凭据？
是否可以将所有用户迁移到 Azure 但让他们处于非活动状态，CNCO 在需要时批量激活他们？
如果我没记错的话，您可以选择例如特定的组织单位进行同步，因此并非所有用户都需要同步到 Azure AD。
是的，他们将在更改后使用其 AD 凭据登录。

【解决方案2】：

用户在同步到 Azure AD 后无需更改其凭据。在 AAD 同步期间，通常我们会选择将用户的 UPN 和 ObjectID 同步到 Azure AD，如下所示，如果尚未启用密码同步，则不会同步用户密码到云端。

在您完成为 Office365/AzureAD 创建信赖方信任后，如下默认的颁发转换规则将在用户登录期间将包含用户 UPN 的安全令牌发送到 Office365/AzureAD。如果 UPN 与之前同步到 Azure AD 的 UPN 匹配，则将允许用户使用其在 AD 中定义的 UPN 登录门户。

【讨论】：