本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將您的 AWS Managed Microsoft AD 連線至 Microsoft Entra Connect Sync
<a name="ms_ad_connect_ms_entra_sync"></a>

本教學課程會逐步解說安裝 的必要步驟[https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sync-whatis](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sync-whatis)，以將 同步[https://learn.microsoft.com/en-us/entra/fundamentals/whatis](https://learn.microsoft.com/en-us/entra/fundamentals/whatis)至 AWS Managed Microsoft AD。

在此教學課程中，您將執行下列操作：

1. 建立 AWS Managed Microsoft AD 網域使用者。

1. 下載 Entra Connect Sync。

1. 使用 PowerShell執行指令碼，為新建立的使用者佈建適當的許可。

1. 安裝 Entra Connect Sync。

## 先決條件
<a name="ms_ad_connect_ms_entra_sync_prereqs"></a>

 完成本教學課程需要以下各項：
+ Managed AWS Microsoft AD。如需詳細資訊，請參閱[建立 AWS Managed Microsoft AD](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)。
+ 加入 AWS Managed Microsoft AD 的 Amazon EC2 Windows Server 執行個體。如需詳細資訊，請參閱[加入 Windows 執行個體](launching_instance.md)。
+ 安裝了 Active Directory 的 EC2 Windows Server Administration Tools來管理您的 AWS Managed Microsoft AD。如需詳細資訊，請參閱[安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具](ms_ad_install_ad_tools.md)。

## 建立 Active Directory 網域使用者
<a name="ms_entra_sync_step1"></a>

本教學假設您已Administration Tools安裝 AWS Managed Microsoft AD 和具有 Active Directory 的 EC2 Windows Server 執行個體。如需詳細資訊，請參閱[安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具](ms_ad_install_ad_tools.md)。

1. 連線至Administration Tools已安裝 Active Directory 的執行個體。

1. 建立 AWS Managed Microsoft AD 網域使用者。此使用者將成為 Active Directory Directory Service (AD DS) Connector account的 Entra Connect Sync。如需此程序的詳細步驟，請參閱 [建立 AWS Managed Microsoft AD 使用者](ms_ad_manage_users_groups_create_user.md)。

## 下載 Entra Connect Sync
<a name="ms_entra_sync_step2"></a>
+ Entra Connect Sync 從[Microsoft網站](https://www.microsoft.com/en-us/download/details.aspx?id=47594)下載到做為 AWS Managed Microsoft AD 管理員的 EC2 執行個體。

**警告**  
Entra Connect Sync 此時請勿開啟或執行 。後續步驟將為步驟 1 中建立的網域使用者佈建必要的許可。

## 執行PowerShell指令碼
<a name="ms_entra_sync_step3"></a>
+ [以管理員PowerShell身分開啟](https://learn.microsoft.com/en-us/powershell/scripting/windows-powershell/starting-windows-powershell?view=powershell-7.4) 並執行下列指令碼。

  指令碼執行時，系統會要求您為步驟 1 中新建立的網域使用者輸入 [sAMAccountName](https://learn.microsoft.com/en-us/windows/win32/ad/naming-properties#samaccountname)。
**注意**  
如需執行指令碼的詳細資訊，請參閱下列內容：  
您可以將具有 `ps1`副檔名的指令碼儲存到類似 的資料夾**temp**。然後，您可以使用下列PowerShell命令載入指令碼：  

    ```
    import-module "c:\temp\entra.ps1"
    ```
載入指令碼後，您可以使用下列命令來設定執行指令碼的必要許可，以您的Entra服務帳戶名稱取代 *Entra\$1Service\$1Account\$1Name*：  

    ```
    Set-EntraConnectSvcPerms -ServiceAccountName Entra_Service_Account_Name
    ```

```
$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}
```

## 安裝 Entra Connect Sync
<a name="ms_entra_sync_step4"></a>

1. 指令碼完成後，您可以執行下載的 Microsoft Entra Connect（先前稱為 Azure Active Directory Connect) 組態檔案。

1. 執行上一個步驟的組態檔案後，會開啟一個MicrosoftAzure Active Directory Connect視窗。在**快速設定**視窗中，選取**自訂**。  
![\[Microsoft Azure Active Directory Connect 視窗，反白自訂按鈕。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/express-settings.png)

1. 在**安裝必要的元件**視窗中，選取**使用現有的服務帳戶**核取方塊。在**服務帳戶名稱**和**服務帳戶密碼中**，輸入您在步驟 1 中建立的使用者AD DS Connector account的名稱和密碼。例如，如果您AD DS Connector account的名稱是 `entra`，帳戶名稱會是 `corp\entra`。然後選取**安裝**。  
![\[使用選取的現有服務帳戶和網域帳戶，以及提供的服務帳戶名稱和密碼，安裝必要的元件視窗。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/install-required-components.png)

1. 在**使用者登入**視窗中，選取下列其中一個選項：

   1. [傳遞身分驗證](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-pta) - 此選項可讓您使用使用者名稱和密碼登入 Active Directory。

   1. **請勿設定** - 這可讓您搭配 Microsoft Entra（先前稱為 Azure Active Directory(Azure AD)) 或 使用聯合登入Office 365。

      然後選取**下一步**。

1. 在**連線至Azure**視窗中，輸入 的[全域管理員](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference#global-administrator)使用者名稱和密碼Entra ID，然後選取**下一步**。

1. 在**連接目錄**視窗中，選擇 **Active Directory** for **DIRECTORY TYPE**。選擇 AWS Managed Microsoft AD for **FOREST** 的樹系。然後選取**新增目錄**。

1. 隨即出現一個快顯方塊，要求您的帳戶選項。選取**使用現有的 AD 帳戶**。輸入在步驟 1 中建立的AD DS Connector account使用者名稱和密碼，然後選取**確定**。然後選取**下一步**。  
![\[已選取使用現有 AD 帳戶並提供網域使用者名稱和密碼的 AD 樹系帳戶快顯方塊。\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/connect-to-your-directories.png)

1. 在**Azure AD登入**視窗中，選取**繼續，而不將所有 UPN 尾碼與已驗證網域相符**，前提是您沒有將已驗證的虛構網域新增至 Entra ID。然後選取**下一步**。

1. 在**網域/OU 篩選**視窗中，選取符合您需求的選項。如需詳細資訊，請參閱 [Entra Connect Sync：在文件中設定篩選](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sync-configure-filtering)。 Microsoft然後選取**下一步**。

1. 在**識別使用者、篩選和選用功能**視窗中，保留預設值，然後選取**下一步**。

1. 在**設定**視窗中，檢閱組態設定，然後選取**設定**。的安裝Entra Connect Sync將完成，使用者將開始與 同步Microsoft Entra ID。