一、加入前必做:3 大核心前提准备(环境 + 权限 + 网络)
Synology NAS 加入 Azure AD Domain 需依赖稳定的软硬件环境、正确的 Azure AD 权限配置,以及通畅的网络通信,提前满足以下条件可避免后续配置卡壳:

1. 软硬件与版本要求(基础适配)

需确保 DSM 与 Azure AD 的版本、组件满足兼容性,这是域加入的基础,具体要求如下表所示:
类别
具体要求
验证方法
Synology NAS(DSM)
1. DSM 版本 ≥ 7.0-41890(推荐 7.2 及以上,支持 Azure AD 用户同步优化)2. 已安装 “Domain/LDAP” 套件(DSM 7.0 + 默认预装,无需手动安装)3. NAS 局域网 IP 为静态 IP(避免 IP 变化导致域连接中断)
1. 登录 DSM→「控制面板」→「系统」→「系统信息」,查看 DSM 版本2. 「套件中心」→「已安装」,确认 “Domain/LDAP” 状态为 “已启动”3. 「控制面板」→「网络」→「网络界面」,查看 IP 获取方式为 “手动设置”
Azure AD 环境
1. Azure AD 租户类型为 “企业版” 或 “教育版”(免费版不支持应用 API 权限配置)2. 拥有 Azure AD 全局管理员权限(用于注册应用、分配 API 权限)3. Azure AD 中已创建需同步到 NAS 的用户 / 群组
1. 登录 Azure 门户(https://portal.azure.com)→「Azure Active Directory」→「概述」,查看租户类型2. 「Azure Active Directory」→「角色和管理员」,确认当前账户拥有 “全局管理员” 角色3. 「Azure Active Directory」→「用户」,确认目标用户已创建
网络环境
1. NAS 可访问 Azure 公共服务(需开放 HTTPS 443 端口,Azure AD 通信依赖此端口)2. NAS 与 Azure AD 租户无网络隔离(如防火墙、VPN 不拦截 Azure 域名)3. DNS 配置正确(NAS 需能解析 Azure 域名,如login.microsoftonline.com
1. 在 NAS「终端机」执行telnet login.microsoftonline.com 443,显示 “Connected” 说明端口开放2. 尝试用 NAS 浏览器访问https://portal.azure.com,能打开说明网络无隔离3. 「控制面板」→「网络」→「DNS」,确认使用公共 DNS(如阿里云 223.5.5.5)

二、Step1:Azure AD 端配置(核心:注册应用与授权)

要实现 DSM 与 Azure AD 的通信,需先在 Azure AD 中注册一个 “应用程序”(作为 NAS 访问 Azure AD 的身份凭证),并分配必要的 API 权限,这是域加入的关键前提,步骤如下:

1. 步骤 1:注册 Azure AD 应用程序(创建 NAS 访问凭证)

  1. 登录 Microsoft Azure 门户(https://portal.azure.com),在顶部搜索框输入 “Azure Active Directory”,进入 Azure AD 管理界面;
  1. 在左侧菜单栏找到「应用注册」,点击「新注册」,进入应用创建页面;
  1. 配置应用基本信息(按以下要求填写,避免后续权限问题):
    • 名称:自定义(如 “Synology_NAS_Azure_AD”,便于识别用途);
    • 支持的账户类型:选择 “任何组织目录(任何 Azure AD 目录 - 多租户)中的用户”(确保 NAS 能访问租户内所有用户);
    • 重定向 URI(可选):无需填写(NAS 无需回调跳转,留空即可);
  1. 点击「注册」,等待 10 秒后,应用创建成功,进入应用 “概述” 页面,记录两个关键信息(后续 DSM 配置需用到):
    • 应用程序(客户端)ID:如 “a1b2c3d4-1234-5678-90ab-cdef01234567”;
    • 目录(租户)ID:如 “e5f6g7h8-4321-8765-ba09-fedcba987654”。

2. 步骤 2:创建客户端密钥(应用访问密码)

客户端密钥是 NAS 与 Azure AD 通信的 “密码”,需妥善保存,步骤如下:
  1. 在已注册的应用页面左侧,点击「证书和密码」→「新客户端密码」;
  1. 配置密钥参数:
    • 说明:输入 “Synology NAS 访问密钥”(标注用途);
    • 过期时间:选择 “24 个月”(避免频繁更换,到期前需提前更新);
  1. 点击「添加」,系统生成客户端密钥,立即复制 “值” 字段内容(仅显示一次,关闭页面后无法再次查看),保存到记事本(后续 DSM 配置需粘贴)。

3. 步骤 3:分配 API 权限(允许应用访问 Azure AD 用户数据)

Azure AD 默认不允许新注册的应用访问用户数据,需手动添加 API 权限,步骤如下:
  1. 在应用页面左侧点击「API 权限」→「添加权限」;
  1. 在 “请求 API 权限” 窗口中,选择「Microsoft Graph」(Azure AD 的核心 API,用于获取用户信息);
  1. 选择权限类型:点击「应用权限」(NAS 作为 “应用” 而非 “用户” 访问数据,需选此类型);
  1. 搜索并勾选以下 2 个必要权限(权限过多会增加安全风险,仅选必需项):
    • Directory.Read.All(允许读取 Azure AD 目录数据,含用户、群组);
    • User.Read.All(允许读取所有用户的基本信息);
  1. 勾选完成后,点击「添加权限」,返回 API 权限页面;
  1. 点击「授予管理员同意(你的租户名称)」→在弹出窗口点击「是」(需全局管理员权限,否则此按钮灰色),确保权限状态显示 “已授予”(绿色对勾)。

三、Step2:DSM 端配置(加入 Azure AD Domain 实操)

完成 Azure AD 端配置后,进入 DSM 端设置,通过输入 Azure AD 的应用信息、测试连接,最终实现 NAS 加入 Azure AD Domain,步骤如下:

1. 步骤 1:进入 DSM 域 / LDAP 配置界面

  1. 登录 Synology NAS 的 DSM 网页端(如https://192.168.1.100:5001),打开「控制面板」;
  1. 在左侧菜单栏找到「域 / LDAP」,点击进入后切换到「Azure AD」标签页(DSM 7.0 + 单独分栏,旧版本在 “域” 标签页下);
  1. 勾选「启用 Azure AD 集成」(核心开关,启用后才能配置 Azure AD 信息)。

2. 步骤 2:输入 Azure AD 应用信息(关键参数)

在「Azure AD」配置页面,按以下要求填写从 Azure AD 获取的信息,确保无拼写错误:
  1. 租户 ID:粘贴步骤 1-4 记录的 “目录(租户)ID”(如 “e5f6g7h8-4321-8765-ba09-fedcba987654”);
  1. 应用(客户端)ID:粘贴步骤 1-4 记录的 “应用程序(客户端)ID”(如 “a1b2c3d4-1234-5678-90ab-cdef01234567”);
  1. 客户端密钥:粘贴步骤 2-3 保存的 “客户端密钥值”(注意:不是 “ID” 字段,是 “值” 字段);
  1. 域名后缀:输入 Azure AD 租户的默认域名(如 “yourcompany.onmicrosoft.com”,可在 Azure AD「概述」→「基本信息」中找到 “主域名”);
  1. 其他选项(按需求勾选):
    • 「启用 Azure AD 用户同步」:勾选(核心功能,实现 Azure AD 用户同步到 DSM);
    • 「同步用户组」:勾选(同步 Azure AD 中的用户组,便于批量分配权限);
    • 「同步间隔」:默认 “1 天”,可改为 “6 小时”(根据企业用户更新频率调整)。

3. 步骤 3:测试连接与同步用户

  1. 点击页面底部「应用」,DSM 会自动测试与 Azure AD 的连接,若显示 “连接成功”,说明参数配置正确;
    • 若提示 “连接失败”,先检查租户 ID、应用 ID、客户端密钥是否粘贴正确,再确认 Azure AD API 权限已 “授予管理员同意”;
  1. 连接成功后,点击「立即同步」(手动触发首次用户同步,避免等待默认间隔);
  1. 等待同步完成(同步时间取决于 Azure AD 用户数量,100 用户以内约 1-2 分钟),同步成功后会提示 “已同步 X 个用户和 Y 个组”。

4. 步骤 4:验证域加入成功

  1. 进入 DSM「控制面板」→「用户与群组」→「用户」,查看用户列表,若出现 “类型” 为 “Azure AD 用户” 的账户(用户名格式为 “user@yourcompany.onmicrosoft.com”),说明同步成功;
  1. 进入「群组」,若出现 “Azure AD 组”(如 “Global Administrators”),说明组同步成功;
  1. 测试登录:用 Azure AD 用户的账号(如 “zhang.san@yourcompany.onmicrosoft.com”)和密码登录 DSM,能成功进入主界面,说明域加入与认证生效。

四、Step3:Azure AD 用户权限配置(实现资源访问控制)

NAS 加入 Azure AD 后,需给同步过来的 Azure AD 用户分配共享文件夹、应用程序等权限,才能实现 “用 Azure AD 账号访问 NAS 资源”,步骤如下:

1. 分配共享文件夹权限(核心需求)

  1. 打开 DSM「控制面板」→「共享文件夹」,找到目标共享文件夹(如 “Company_Data”),点击「编辑」→「权限」;
  1. 点击「添加」,在 “用户或群组” 下拉框中,选择 “Azure AD 用户” 或 “Azure AD 组”:
    • 若给部门批量授权:选择 “Azure AD 组”→选择对应部门组(如 “Engineering Team”);
  1. 在 “权限” 列中设置权限:
    • 办公文件读写:选 “读取 / 写入”;
    • 仅查看不修改:选 “读取”;
    • 管理员权限:选 “完全控制”(仅给 IT 管理员);
  1. 勾选 “应用到子文件夹和文件”(确保子目录权限同步生效),点击「确定」→「应用」。

2. 配置应用程序权限(控制用户可访问的 DSM 功能)

若需限制 Azure AD 用户仅能访问特定 DSM 应用(如仅允许访问 Synology Photos,禁止访问 Docker),可按以下步骤配置:
  1. 进入「控制面板」→「用户与群组」→选择目标 Azure AD 用户→点击「编辑」;
  1. 切换到「应用程序权限」标签页,找到需授权的应用(如 “Synology Photos”“File Station”),勾选 “允许”;
  1. 对无需授权的应用(如 “Docker”“Virtual Machine Manager”),勾选 “拒绝”,点击「确定」。

五、常见故障排查:NAS 加入 Azure AD Domain 失败解决

若遇到 “连接失败”“用户同步不到”“登录报错” 等问题,可按以下方向排查,覆盖 80% 高频场景:
故障现象
可能原因
详细解决步骤
1. DSM 测试连接提示 “无效的租户 ID”
1. 租户 ID 粘贴错误(多空格、少字符)2. Azure AD 租户类型为免费版(不支持 API 权限)
1. 重新从 Azure AD「概述」复制 “租户 ID”,粘贴时删除前后空格,确保字符完全一致2. 升级 Azure AD 租户到企业版(需联系微软销售),或确认当前租户为非免费版
2. 连接成功但用户同步不到(显示 “0 个用户”)
1. API 权限未 “授予管理员同意”2. 应用权限选择 “委托的权限” 而非 “应用权限”3. Azure AD 无可用用户(或用户被禁用)
1. 回到 Azure AD 应用「API 权限」页面,点击「授予管理员同意」,确保权限显示 “已授予”2. 删除现有 “委托的权限”,重新添加 “应用权限” 的Directory.Read.All和User.Read.All3. 在 Azure AD「用户」中确认目标用户 “账户状态” 为 “启用”,且未被删除
3. Azure AD 用户登录 DSM 提示 “密码错误”
1. 用户输入的 Azure AD 密码错误2. Azure AD 启用了 MFA(多因素认证)未兼容3. DSM 未启用 Azure AD 用户登录权限
1. 让用户在 Azure 门户(https://login.microsoftonline.com)测试密码,确认正确2. 若启用 MFA,需在 DSM「域 / LDAP」→「Azure AD」中勾选 “支持 Azure AD 多因素认证”(DSM 7.2 + 支持)3. 进入 DSM「用户与群组」→编辑 Azure AD 用户,在「登录 DSM」选项中勾选 “允许”
4. 同步用户后无共享文件夹访问权限
1. 未给 Azure AD 用户分配共享文件夹权限2. 权限未 “应用到子文件夹”3. 用户属于多个组,权限冲突(取最低权限)
1. 按 Step3-1 重新给用户分配共享文件夹 “读取 / 写入” 权限2. 编辑共享文件夹权限时,确保勾选 “应用到子文件夹和文件”3. 查看用户所属的所有 Azure AD 组,删除低权限组(如 “Guest” 组)的权限,保留高权限组配置
5. NAS 无法访问 Azure AD(端口被拦截)
1. DSM 防火墙拦截 443 端口2. 企业路由器 / 防火墙禁止访问 Azure 域名3. DNS 无法解析 Azure 域名
1. 进入 DSM「控制面板→安全性→防火墙」,添加规则允许 “目标端口 443” 的出站连接2. 在路由器中添加例外,允许 NAS 访问 “.microsoft.com”“.azure.com” 域名3. 更换 DSM 的 DNS 为阿里云 223.5.5.5 或谷歌 8.8.8.8,重新测试连接

六、优化建议:提升 NAS 与 Azure AD 集成的稳定性与安全性

  1. 定期轮换客户端密钥:Azure AD 客户端密钥到期后会导致域连接中断,建议在到期前 1 个月,在 Azure AD 应用「证书和密码」中创建新密钥,同步更新到 DSM 的「Azure AD」配置页面,删除旧密钥;
  1. 限制同步用户范围:若 Azure AD 用户数量多(如 1000+),可在 DSM「域 / LDAP」→「Azure AD」中勾选 “仅同步指定组的用户”,输入目标组 ID(Azure AD 组的 “对象 ID”),减少冗余用户;
  1. 启用日志审计:在 DSM「日志中心」→「日志设置」中,勾选 “域 / LDAP” 日志,记录 Azure AD 用户的登录、同步操作,便于排查权限泄露或登录异常;
  1. 备份 Azure AD 配置:将 DSM 的「域 / LDAP」→「Azure AD」配置参数(租户 ID、应用 ID)截图保存,若 NAS 重置,可快速恢复配置,避免重新在 Azure AD 端操作。
通过以上步骤,即可成功将 Synology NAS 加入 Azure AD Domain,实现 “用 Azure AD 账号统一登录 DSM、访问共享资源”,减少企业 IT 团队维护本地账户的工作量。若遇到特殊场景(如 Azure AD B2B 外部用户访问 NAS、跨租户域集成),可参考 Synology 官方技术文档,或联系 Azure 与 Synology 双方技术支持,获取针对性解决方案。
需要我帮你整理一份Synology NAS 加入 Azure AD Domain 快速配置清单吗?清单会提炼 Azure AD 应用注册、DSM 参数填写、权限配置的核心步骤与关键参数,方便你打印或保存,后续新增 NAS 加入域时无需重复翻阅全文。
Synology NAS加入Azure AD Domain完整教程:DSM Azure AD域配置与用户同步(2024)

新闻中心

联系我们

技术支持

  • ·

    Synology Drive 我...

  • ·

    Synology Drive 与...

  • ·

    Synology Drive 内...

  • ·

    Synology Drive 同...

  • ·

    Synology删除文件后存储空...

  • ·

    Synology DSM 检查系...

  • ·

    Synology Drive能当...

  • ·

    Synology Docker容...

相关文章

地址:北京市海淀区白家疃尚品园             1号楼225

北京群晖时代科技有限公司

联系群晖
微信咨询

新闻中心