Azure Active Directory Connect是适用于企业混合环境的一款工具，用于将内部环境的目录连接到Azure Active Directory。

Directory Synchronization（DirSync）是在2008年发布的，已经被客户在单一林部署中使用。为了满足大型企业希望将多AD林同步到云端的需求，Microsoft发布了Azure Active Directory（AAD）同步工具。这个工具同时整合了DirSync和ADD的功能集，并且可以用于以下环境：

• 同步单个或者多个AD林到Azure AD
• 同步LDAP目录到Azure AD
• 同步其他身份存储到Azure AD

安装Azure Active Directory Connect

有两种方式可以安装和配置Azure Active Directory Connect：快速设置和自定义安装。快速设置是部署同步工具最通用的一种方式。这种模式适合企业用于将单一的AD林同步到Azure AD里；它只需要单击几步即可完成。如果你想要同步多个林，那么自定义安装将会是比较好的选择。

快速设置模式会在服务器上安装所有的需求文件，设置合适的访问控制权限，给用户权限分配同步口令和AD连接器到云端的双向密码（如图1）。这里将会让你指定Azure的同步认证，而不是使用全局管理员账户，快速设置将会创建一个合适的权限用于同步的新用户。


对于这个新工具，特殊群体成员的Sync用户需要试用目前的功能选项。在以前版本中，过滤选项是基于组织单位（OUs），管理员需要将用户移动到正确的OU来同步到Azure AD。所以，需要大量的工作来确保试用用户能够保持所有正确的本地组策略集。

在Azure AD Connect里，管理员需要创建一个新组并且为该组添加试用用户。只有对象直接隶属于该组，它才会存在于Azure AD Connect（如图2）。


如果你已经部署DirSync或Azure AD Sync，那么可以很简单地升级到Azure AD Connect。安装过程中会检测所有已有工具，并且你可以选择升级或者迁移到新的Azure AD Connect服务器。如果你使用DirSync时少于50,000个对象，那么最好是选择升级到新工具。对于超过50,000对象的企业，最好是搭建一个新的Azure AD Connect服务器并且从DirSync导入配置（如图3）。

Azure AD Connect控制访问和权限

Azure AD Connect包含的几项功能能够开启针对跨越内部环境和Azure云端的身份和访问管理，自助服务功能和条件访问控制。自定义安装选项提供了一组丰富的同步和回写功能。这些特性包括以下:

Azure AD app and attribute filtering：是一项被包含在自定义安装内的可选项功能。Azure AD app and attribute filtering针对那些对基于云的应用程序具有非常严格的安全策略的企业，允许管理员在Azure AD同步中使用过滤对象属性操作。管理员可以对那些不使用的应用程序取消选择，比如Dynamics CRM以及那些Azure AD中不可用的功能（如图4）。


Password write back：允许用户在Azure AD中更改密码；新密码将会与AD校验以确保它符合内部环境的密码策略。

User write back：允许管理员在Azure AD中使用门户或者HR应用程序创建终端用户；对象会被回写到内部环境的AD中。

Group write back：目前是Office 365 Groups的选项。在Exchange Online中新创建的Office 365 Groups可以被回写到内部环境的AD中，所以他们对于内部用户是可用的。虽然这些组在Azure AD中占主导地位，但是Microsoft正在努力扩展这个特性集安全组。

Directory Extension Attribute Sync：允许基于内部环境中属性可用来做Azure AD模式扩展。也就是说，你可以从内部环境同步目录扩展属性到Azure AD中，这样基于云的应用程序就可以使用了（图5）。


企业只能向云端输入单一值的用户和组属性。目前有一些限制：一个单独的对象只允许写入100个扩展值，每个字符串扩展值为256字符，每个二进制扩展值为256字节。

自定义设置：管理员可以根据密码同步或者Active Directory Federation Services infrastructure指定单点登录的选项。