Office365 Exchange Hybrid No.04 AAD部署下

相信大家看到这种上下分集的有点像吐槽，为什么一篇文章就可以搞完的非要分上下集？我之前看别人的博客是真想吐槽，因为真的毫无水准，可能是增加文章数量吧。

我先解释下为什么要分上下集：

上一篇写了绑定域名，安装AAD，这里写部署（实际上我还想分成上中下来写的），大家看得AAD部署很多很多了，但是真的明白了AAD嘛？AAD就是个同步工具，同步用户账号密码，设备等。但是各位真的明白同步密码的含义吗？

在网络上99.95%的博客都是要让你同步密码，甚至你跟21V开工单，都说让你同步密码。但是你真的需要同步密码吗？你真的有必要同步密码吗？你又知道不同步密码的好处吗？

虽然我接下来的文章还是会勾选同步密码，但是我觉得非常有必要跟各位说一下同步密码的问题：

启用同步密码后，恭喜你了，最终用户更改密码后最快需要30分钟才能同步密码到Office365中，那么有人不服了：用户改完密码后我强制AAD同步不久完了吗？再大不了我写了脚本让AAD自动加快同步。但是，你可知5000+user同步一次需要多长时间？上一次同步未完成是无法进行下一次同步的，这样的问题就会有很多。拿着这个问题我开了21V的工单，工程师毫无招架之力，只能以产品设计为由来进行说辞。

那如果不同步密码呢？

上面的问题就迎刃而解，这时候结合ADFS用起来有多爽谁用谁知道，用户改完密码无需同步使用新密码就可以登录Office365，因为所有的验证通过ADFS拉回本地AD来进行验证了。

------------------------------------------------------------------------

以上看看即可，还是来看看AAD部署吧：

选择自定义

指定安装位置和管理员账号

安装组件

重点来了：我这里是勾选的密码同步，如上所述我可以勾选ADFS进行联合身份验证（后面会有博文来描述）

输入Office365的管理员账号

连到本地AD并添加目录

这里是需要一个权限比较大的账号来连接到AD目录

连接到AD后选择使用UPN来作为Azure AD的登录名

选择要同步的OU

选择同步所选OU中的所有用户和设备

在首次配置AAD的时候这里不需要勾选任何功能，待混合完后勾选一次Exchange 混合部署再进行同步一次，AAD并非只能从本地往云端同步，Exchange Online个别属性是可以通过AAD回传到本地AD用户属性中的

以上配置完成后点击同步即可开始同步

也可以打开如下目录的如下工具进行查看实时同步状态

在没有进行AAD同步的时候，活动用户仅有3列

完成AAD同步后，活动用户会多出来一列

到此AAD部署完成。

小总结：

#使用以下命令手动同步；

Start-ADSyncSyncCycle -PolicyType initial 完全同步

Start-ADSyncSyncCycle -PolicyType delta  增量同步

#关闭同步：

Set-MsolDirSyncEnabled -EnableDirSync $false

#开启和关闭同步功能的命令

Set-MsolDirSyncEnabled -EnableDirSync $false/$true

开启AAD同步不需要手动敲命令，AAD工具会自动帮你完成，当你要拆掉AAD的时候，请记得使用以上命令关闭AAD同步。

同时建议使用idfix工具先对AD做一次检查，会找出来AD中命名不规范如有空格，或名字冲突的账号，处理完这些账号再进行同步谁用谁知道有多爽！