Tento tutorial popisuje kroky potřebné k napojení lokální adresářové služby Active Directory směrem ke cloudovému prostředí MS Office 365.
Protože se věnujeme napojení Office 365 na AD předpokládáme, že máme funkční cloudovou službu, v ní doménu něco jako @firma.onmicrosoft.com a zřízený Globální admin účet v tomto prostředí.
Další podmínkou je vlastní funkční Active Directory (k 7/2018) alespoň úrovně (levelu) 2003, ale pozor, OS doporučuji alespoň Windows 2008 vč. všech fixpacků, jinak nemusí vše fungovat korektně (např. zpětný zápis).
Synchronizaci účtů budeme provádět nástrojem Microsoft Azure Active Directory connect, ke kterému se dá proklikat v rámci rozhraní Office 365, url pak https://aad.portal.azure.com/ .
Je možné že bude vyžadováno ověření a aktivování Centra pro správu Azure Active Directory, kam se autentikujete svým Globálním admin účtem Office 365, základní verze je “zdarma”.
Další rozhodnutí, co musíme učinit je “kam s ním”. Tedy kam instalovat AAD Connect. Jako první nás napadne jeden z doménových řadičů Active directory, ale to by nebyl dobrý nápad.
Existuje spousta dobrých důvodů instalovat AAD Connect na separátní stroj, jako např. dissaster recovery, MSSQL DB, která je vyžadována, s tím souvisí Securita, Nároky na RAM , atd..
V mém případě instaluji na MS WINDOWS 2012 R2 s 2jádry CPU Xeon, 6GB RAM a 100GB diskem – parametry záleží na obsáhlosti /počtu objektů v AD a sever připojuji do domény.
Pod admin účtem spouštím instalaci AAD:
Tak jo, odsouhlasíme licenční podmínky, po té, co si je celé zodpovědně nastudujeme a pokračujume
Vybírám volbu “Přizpůsobit”
Na první stránce neměním nic, klick “Nainstalovat”
Ve způsobu Přihlašování uživatelů volím “Synchronizace hodnot hash hesel”
Je třeba se autentikovat službě Azure, použijeme Globální admin účet z Office 365
Dále vybereme lokální AD a strukturu
K AD se autentikujeme doménovým Admin účtem
Vybereme doménu s objekty pro replikaci (obvykle máme v AD jen jednu doménovou strukturu)
Je třeba v adresáři AD vytvořit účet, pod kterým bude synchronizace probíhát, já nechávám instalátor, ať si vytvoří účet sám, k tomu potřebuje účet správce, zadám jej tedy
OK
No vida, na řádku domény čteme “Not Added” , ono velkou logiku dává že doména kterou chci synchronizovat do Office 365 musí být fyzicky k dispozici a ověřená v rámci Office. To je také důvod proč musí AAD server vidět vnitřní i vnější doménové záznamy.
Pokud tedy v Office 365 nemáte doménu přiřazenou, přesuneme se do rozhraní Office 365, kde si doménu založíme (návod na konci tutorialu). Po úspěšném zavedení se hláška změní na “Verified”.
Jako hlavní atribut ponechávám userPrincipalName, což dává smysl.
Doporučením je synchronizovat celý obsah AD , ale já jsem si řekl NE, ono pro testovací nasazení, kterým si asi každý z nás bude chtít projít stačí odreplikovat jen potřebný objekt, či skupinu . (Do budoucna lze pochopitelně změnit).
V mám případě vybírám object “Office365_test”
Ponechávám atribut Mail, ten by měl být vždy unikátní
Pokud bych chtěl dále omezovat Filtraci uživatelů pro synchronizaci, což nemusí být náš případ, byla by podoba zápisu nějak takto ( klikem na Vyřešit se případné překlepy vyřeší).
Vybírám synchronizace hodnot “Hash hesel”
OK
A jdeme na to, nechávám zatrženo “Po dokončení konfigurace, spustit proces..”
Resume , všímám si “oranžového” doporučení , ok, s tím si poradíme
Nastavení koše pro Active Directory
Přejdeme tedy na Doménový řadič a otevřeme centrum Active Directory
Na příslušné doméně vybereme z pravého menu Enable Recycle Bin
Jsme upozornění, statečně pokračujeme “OK”
Hotovo
Proveďme Refresh AD dle doporučení.
Pojďme kouknout, jestli fungujeme:
To vypadá dobře, přejdeme do Azure Portálu
Vida, replikujeme, můžeme ještě kouknout mezi uživatele Office 365
Super.
A teď slíbený postup jak nastavit a ověřit doménu v rámci Office365.
Doménové záznamy v Office 365
Přejdeme do správy Office 365, záložka Instalace, sekce domény
Klik na přidat doménu
vepsat název domény
zadat svůj email
opsat instrukce z mailu, obvykle několikamístný kód
Zadat ověřovací TXT záznam na doménu
Pokud chcete nadále používat vlastní DNS servery průvodce vám řekne, jaké záznamy přidat.
Vyberu služby, které budu chtít užívat
Osobně v tomto kroku končím, dávám “Uložit a zavřít”, zatím chci Office 365 jen testovat, takže MX atd, záznamy měnit nebudu, nic méně tato konfigurace plně stačí k tomu, aby se nám v průvodci instalace AAD změnil stav přihlášení ke službě Azure AD z “Not Added” na “Verified”.
Tímto jsme sprovoznili synchronizaci vybrané skupiny účtů do Office 365.
V tomto ukázkovém nastavení funguje to, že nový uživatel je replikován, že změna hesla v doméně znamená, že se změněné heslo odreplikuje. Replikace probíhá defaultně co 30 minut.
Příznivec Open Source, Linuxu a IT obecně.
Živí se jako Ajťák, ve chvílích volna žije internetem a cestováním po významných pamětihodnostech zemí českých a moravských .