マルチサイトのWindowsServer 2012 R2ADドメインがあります。
これまで、個別のオフィスライセンスを使用してきました。
ある特定のサイトで、Office365の実装をテストしています。
ユーザーがOffice365の別の資格情報のセットを記憶する必要がないように、Office 365アカウントをオンプレミスのAD構造に統合するにはどうすればよいですか?
これを行う方法を説明しているように見えるいくつかのガイドに出くわしましたが、すべてドメインコントローラーでの設定が含まれています。私にははっきりしないのは:
ロールアウトを行っているサイトに対してのみこの統合を設定するにはどうすればよいですか?そのサイトとそのサイトの特定のユーザーにのみ適用されます。
どのDCで統合を設定しますか?組織全体のメインのDC(オフサイト)? Office365を展開しているサイトのローカルDC?サイトに2つのDCがある場合(ベストプラクティスのように)、両方のDCで統合をセットアップしますか?
これは私には曖昧に思えるもう1つの部分です。複数の(国際)サイトに1つのADがありますが、各ローカルオフィスは独自のOffice 365アカウント(ここではユーザーアカウントではなく組織アカウントについて話します)を購入して維持します。アカウンティングおよびライセンス上の理由によるローカルユーザー。複数の組織のOffice365を単一のADに統合することは可能ですか? AD/Office365統合がOffice365アカウントの場所を認識できるように、どのように設定しますか?
オンプレミス環境のサーバーに Azure AD Connect をインストールし、Office365テナントに接続します。ユーザー、グループ、およびパスワードはクラウドに同期され、クラウドにミラーリングされたADを作成します(同じサインオン)。 *別のオプションは、ADFSを使用してOffice365とフェデレーションすることです-シングルサインオン。
Azure AD Connectは、要件に適合する任意のサーバーにインストールできます。DCである必要はありません。 AADCを構成するときに、同期するOUを選択できます。
1つのADを複数のOffice365アカウント(「テナント」と呼ばれる)に同期するのは難しいですが、サポートされています(制限付き)。 このドキュメント の「AzureADテナントで各オブジェクトを1回だけ」というタイトルのセクションを参照してください。基本的に、テナントごとに1つのAADCサーバーをインストールし、必要なオブジェクトをADから各Office365テナントに同期するようにOUフィルタリングを構成します。
このトポロジでは、1つのAzure ADConnect同期サーバーが各AzureADテナントに接続されます。 Azure AD Connect同期サーバーは、それぞれが操作するオブジェクトの相互に排他的なセットを持つように、フィルタリング用に構成する必要があります。たとえば、各サーバーを特定のドメインまたは組織単位にスコープすることができます。1
DNSドメインは、単一のAzureADテナントにのみ登録できます。オンプレミスのActiveDirectoryインスタンス内のユーザーのUPNも、個別の名前空間を使用する必要があります。