租户配置
您可以选择自动配置Microsoft 365 租户,或手动完成配置。
自动配置 Microsoft 365 租户
请按以下步骤自动配置 Microsoft 365 租户:
- 以管理员身份登录 ADManager Plus,在 右上角导航至目录/应用程序设置 。
- 选择Microsoft 365 选项卡 。
- 点击使用 Microsoft 365 登录配置选项。
- 在弹出窗口中点击继续。
- 在"将域链接到 Microsoft 365 帐户"对话框中选择要关联到租户的域。
注意:单个 Microsoft 365 租户可关联多个域,每个域也可关联多个租户。
- 您将被重定向至 Microsoft 365 登录门户。输入全局管理员账户的凭据。
- 点击“接受”。
- 系统将自动创建 ADManager Plus 应用程序,并显示该应用所需权限列表的页面。
- 浏览列表后点击“接受”。
- 选择需要提供 Microsoft 365 选项的域名。
- 点击保存。
- 您将被重定向至 ADManager Plus 控制台,可在此查看已为配置账户启用 REST API 访问权限。若未启用,页面将提供"启用访问"选项。
注意:完成租户配置后,需使用服务账户执行以下 Microsoft 365 操作:
- 批量修改Microsoft 365用户的MFA设置。
- 在创建新用户时为Microsoft Teams分配策略包。
请按以下步骤手动创建服务账户并在ADManager Plus中进行配置:
手动配置 Microsoft 365 租户
若需手动配置 Microsoft 365 租户,请执行以下步骤:
- 创建用于ADManager Plus的Microsoft Entra ID应用程序。请登录Microsoft Entra ID管理中心门户,创建新的应用程序注册。完成后复制应用程序密钥、应用程序ID和应用程序对象ID,这些值将在后续配置过程中使用。
- 登录 ADManager Plus,导航至右上角的目录/应用程序设置选项。
- 配置 Microsoft 365 租户:
- 选择Microsoft 365选项卡,点击“使用 Microsoft 365 登录配置”选项,通过已注册的 Azure AD 应用程序登录。
- 在弹出窗口中,将租户名称、应用程序密钥值、应用程序 ID 和应用程序对象 ID 分别输入对应字段。
- 租户配置成功后,必须将域名关联至 Microsoft 365 租户。
- 将域名关联至 Microsoft 365 租户:
- 导航至目录/应用程序设置 > Microsoft 365,在状态列下点击“更多”。
- 在“将域名链接至 Microsoft 365 账户”对话框中,选择需关联至租户的域名。
- 已配置的租户将显示在 Microsoft 365 选项卡中。
在 ADManager Plus 中创建服务账户的步骤
- 以全局管理员身份登录Microsoft 365 管理中心。
- 在左侧窗格中导航至管理 > 用户 > 活跃用户。
- 选择“添加用户”。
- 输入显示名称和用户名。(注:姓名和姓氏为可选项。)
- 取消勾选"自动创建密码"以自定义密码。勾选此框可让系统为您生成密码。
- 点击下一步。
- 服务账户无需许可证。因此请选择使用区域,并勾选"创建无产品许可证的用户"单选按钮。
- 点击下一步。
- 在角色选项下,选择管理中心访问权限并选定所需角色。(注:Exchange管理员角色为必选项。)点击此处查看必选角色列表。
- 点击下一步。
- 选择完成添加。
某些情况下,ADManager Plus 需要您执行以下操作以完成配置流程:
| 错误信息 | 这意味着什么? | 解决方案 |
|---|---|---|
| REST API访问 - 立即启用 | ADManager Plus尚未获得租户配置所需的所有权限。 | 请为 REST API 访问启用所需权限。更多信息请参阅此文档。 |
| REST API 访问权限 - 更新权限 | ADManager Plus 需要额外权限才能处理新增功能。 | 请使用所需权限启用 REST API 访问。更多信息请参阅此文档。 |
| 服务账户 - 立即配置 / 状态 - 创建服务账户失败
Azure AD 密钥无效 |
服务账户创建失败。 | 请按步骤排查服务账户创建错误。 |
在 Microsoft 365 管理中心创建服务账户后,请按以下步骤在 ADManager Plus 中进行配置。
在 ADManager Plus 中配置或更新服务账户的步骤
- 登录ADManager Plus。
- 导航至目录/应用程序设置>Microsoft 365。
- 在需要更新服务账户的域中,点击操作列下的 编辑图标。
- 点击“服务账户详细信息”旁的编辑图标。
- 在相应字段中输入服务账户的凭据。
- 点击更新以保存更改并关闭弹出窗口。
- 若需删除已配置的服务账户,请点击"删除服务账户"选项。
服务账户创建错误排查步骤
- 创建具有Exchange管理员角色的Microsoft 365服务账户。
- 在 ADManager Plus 控制台中,点击服务账户 列下的“立即配置”。
- 输入上文创建的服务账户凭据。
- 点击配置。
修改 Microsoft 365 租户详细信息的步骤
- 登录ADManager Plus,导航至目录/应用程序设置,选择Microsoft 365选项卡。
- 当前已配置为使用 ADManager Plus 的 Microsoft 365 租户将在此页面列出。
- 在操作列中,点击需要修改的相应租户。
- 点击编辑图标并修改所需值。
- 完成修改后点击更新。
配置启用 MFA 的服务账户步骤
若服务账户启用了 MFA,您可选择使用受信任 IP 功能或 Microsoft 365 中的条件访问来绕过 MFA。
配置受信任IP地址的步骤
- 使用全局管理员凭据登录Entra ID 管理中心。
- 导航至保护>多因素身份验证>入门 > 配置>附加基于云的 MFA 设置。
- 在新窗口中进入"受信任IP地址"部分 。
- 选择“对来自我内部网联合用户的请求跳过多因素身份验证”选项 。
- 在文本框中输入已安装 ADManager Plus 的机器的 IP 地址。
- 点击保存以完成配置。
配置条件访问的步骤
您可创建新策略强制实施MFA,并排除特定ADManager Plus用户组使其免于多因素验证。请注意:使用条件访问需具备Azure AD Premium P1许可证。
- 使用全局管理员凭据登录Entra ID 管理中心。
- 导航至身份>保护>条件访问。
- 点击创建新策略。
- 为策略命名。
- 在“分配”下,点击“用户”下方的链接。
- 点击"排除"选项,勾选"用户和组"复选框。
- 选择无需强制执行 MFA 的 ADManager Plus 用户。
- 点击“选择”。
- 在访问控制部分,点击“授予”下方的链接。
- 选择“授予访问权限”单选按钮和“要求多因素身份验证”复选框 。
- 点击“选择”以确认访问控制更改。
- 在“启用策略”选项下选择“ 开启 ”切换按钮。
- 点击创建以创建您的条件访问策略。