您可以使用 KnowBe4 Active Directory 集成 (ADI) 功能，将组织的 Active Directory (AD) 与您的 KSAT 控制台集成。配置 ADI 后，将根据从 AD 发送的信息，自动在 KSAT 控制台中添加、更改和存档用户和群组。重要提示：此同步流程是单向的，KSAT 控制台不会反过来向 AD 发送信息。 

有关为组织配置 ADI 的好处，请参阅“为组织设置 Active Directory 集成 (ADI) 有何好处”一文。如需配置 ADI 的视频教程，请观看视频“Active Directory 集成 (ADI)”。如果希望通过 SCIM 来同步用户，请参阅“SCIM 配置指南”。

ADI 如何为现存用户的账户运作

如果已将用户添加至您的 KSAT 控制台，在配置 ADI 前，有一些注意事项需要了解。详情如下：

• 完成 ADI 配置后，从 AD 同步过来的数据将具有高优先级。在 KSAT 控制台与 AD 之间的同步过程中，将执行以下操作：
  • AD 中不存在的用户将在 KSAT 控制台中存档。
  • 如果在 KSAT 控制台中更改用户信息，这些更改将被 AD 中包含的数据覆盖。
• 在实施 ADI 前，KSAT 控制台中的用户账户被视为由控制台管理。当用户由控制台管理时，您可以通过上传 CSV 文件至控制台或在控制台中直接编辑用户个人资料来修改用户信息。 
  • 当完成 ADI 配置并进行了首次 AD 同步后，用户将被视为由 AD 管理。当用户由 AD 管理时，您需要在 AD 中编辑用户信息，这些更改会在下一次同步期间推送至 KSAT 控制台。
• 首次 AD 同步期间，KSAT 控制台会自动将控制台管理的用户账户与您的 AD 内账户进行匹配。此流程会将您的用户从控制台管理转为 AD 管理。以下为此流程的简要描述：
  1. 在您的环境中安装和配置 ADI 同步工具。有关详情，请参阅本文“安装和配置”部分。
  2. 配置希望从 AD 同步过来的信息。 有关详情，请参阅本文后面的“定义要同步的 OU、群组和用户”部分。
  3. 然后，ADI 同步服务会查询 AD 以获取用户和群组信息，并将结果发送至 KnowBe4 服务器。
  4. KnowBe4 服务器审核 AD 发来的信息，且服务器会根据以下逻辑，自动更新 KSAT 控制台中的用户和群组：

     如果 AD 用户拥有与现有 KSAT 控制台账户匹配的电子邮件地址，则该 KSAT 控制台用户账户将变为由 AD 管理。

     如果 KSAT 控制台中未发现该 AD 用户，则创建由 AD 管理的用户账户。

     处理完所有 AD 用户后，任何未转变为由 AD 管理的控制台账户将被存档。

配置 ADI 后，用户信息将根据组织的 AD 中的信息保持最新。

先决条件

配置 ADI 前，请确保您的环境符合以下基本要求：

1. 组织必须具有 Microsoft Active Directory 或 Microsoft Entra ID。有关更多信息，请查看以下列表：
   1. 如果组织配置了 Microsoft Active Directory，域功能层级必须为 Windows Server 2016 或以上版本。
   2. 如果组织配置了 Microsoft Entra ID，您可将 Microsoft Entra ID 域服务与您的 KSAT 控制台同步。更多信息，请参阅“如何搭配 Microsoft Entra 域服务使用 Active Directory 集成 (ADI)”一文。
2. 我们建议您在应用服务器，而不是用户工作站上安装 ADI 工具。确保您将安装 ADI 的系统符合以下配置需求：
   1. 操作系统为 Windows Desktop 10/11；或 Windows Server 2016/2019/2022（64 位）。
   2. 确保系统能连通运行您的账户培训实例的服务器。请参阅“KnowBe4 培训实例”一文，查看实例的列表。培训实例是 KnowBe4 AD 同步工具将需要通过 POST 请求联系的服务器 URL。您将需要允许通过端口 443 (SSL/HTTPS) 出站连接至远程服务器。
   3. 计算机至少有 2GB 内存。
   4. 计算机的系统驱动器至少有 1GB 的可用硬盘驱动器 (HDD) 空间。
   5. 已在计算机的用户账户控制设置中启用用户账户控制 (UAC)。

查看以下部分，了解准备 ADI 配置时需采取的重要步骤。

开始之前：必需步骤

在您的本地系统上安装和配置 KnowBe4 AD 同步工具前，请完成以下步骤：

1. 收集关于 AD 的下列信息：
   重要提示：如果您的用户位于多个域控制器下，您将需要收集有关每个域控制器的以下信息。您也需要为每个域配置 ADI。有关详细信息，请参阅“Active Directory 集成 (ADI) 高级配置指南” 中的“多源域支持”部分。
   • 查找您的 AD 所在的域控制器的 IP 地址或完全限定域名 (FQDN)。
   • 确保您的 AD 域控制器可以响应 LDAP 请求。默认情况下，全部域控制器均设置为响应 LDAP 请求。
     提示：AD 同步可通过 LDAP 通信。但是，也可以在同步 AD 之前在域控制器上启用 LDAPS。默认情况下，大多数域控制器不会启用 LDAPS。详情请参阅 ADI 常见问题解答。
   • 查找 AD 域名。AD 域名是由您的 AD 域控制器控制的根域。有关 AD 域名的示例，请见下图。
   • 确保拥有具有执行 LDAP 咨询权限的 AD 管理员账户的用户名和密码。默认情况下，“域用户”群组中的任何账户均有这些权限。但是，出于额外安全考虑，我们建议使用仅有 AD“读取”权限的服务账户。要查看该服务账户所需的“读取”权限，请参阅“Active Directory 集成 (ADI) 高级配置指南”。
2. 在 KSAT 的账户设置中，获取您的 ADI 同步令牌并下载 ADI 同步工具。请按以下步骤操作：
   1. 登录 KSAT 控制台后，在页面右上角单击您的电子邮件地址。然后，点击账户设置。
   2. 转到用户配置部分。然后，选中启用用户配置（用户同步）复选框。
   3. 确保已启用测试模式设置。完成 ADI 设置且已验证 ADI 正确运行后，方可关闭测试模式。启用测试模式后，不会进行用户配置或同步。而是会生成一份报告，显示如果进行用户配置会发生什么。您可以通过测试模式解决潜在问题，而无需影响控制台中的当前用户。 
      提示：如果用户分散在多个域源中，建议选中显示群组域复选框。详情请参阅 ADI 常见问题解答。
      
   4. 复制您的 ADI 同步令牌并将其保存在本地。您将需要此令牌完成设置。ADI 同步令牌长度为 34 位，示例如下：US9X140X4829E37XX545401X97912X604X.
   5. 单击 ADI 工具 (ADISyncSetup.exe) 旁边的下载图标，可下载 ADI 工具的相应文件。 
   6. 点击账户设置页面底部的保存变更按钮。
   7. 决定您要同步的用户，并熟悉这些用户对象在您的 AD 中所处的位置。 
3. 完成此部分以及以下“安装和配置”部分中的步骤后，您将需要定义用户对象在 AD 中所处的位置。您可以从以下一个或多个位置同步用户对象：组织单位 (OU)、安全组和分发组。要详细了解如何定义要同步的用户，请参阅本文“定义要同步的 OU、群组和用户”部分。

   如果您发现您的用户对象不位于 OU、安全组或分发组，请参阅以下信息：

   • 如果要同步的用户位于内置用户容器中，而不是 OU 中：您无法同步容器。作为一种解决方法，您可以创建安全组，将用户添加至安全组，然后同步该组而非容器。 
   • 如果您发现 AD 的组织方式并不适合与 KSAT 控制台同步，或者您不确定：您可以在 AD 中设置一个或多个组，以包含您想要同步的所有用户对象和群组。然后指明您仅希望同步哪些群组。
   • 如果有存在子 AD 的根域，可以为各个子域分别运行 ADI 安装程序。各个子域的域控制器都必须与根域相同。
4. 确定应从 AD 提取用户电子邮件地址中的哪个字段。默认情况下，ADI 服务将提取您的用户代理地址，以用作其 KnowBe4 账户电子邮件地址。 
   • 如果您需要使用其他地址，而不是代理地址，则需要编辑 adisync.conf 文件中的 emailAttrib 字段。例如，如果您未使用 Microsoft Exchange 或 Microsoft 365 作为您的邮件服务器，AD 中的代理地址字段很可能为空。执行安装后，启动 ADI 同步服务前，编辑 emailAttrib 字段。如需相关说明，请参阅“Active Directory 集成 (ADI) 高级配置指南”的“更改从 Active Directory 获取电子邮件地址的位置”部分。
     注意：useMailAttrib 字段将被 emailAttribute 字段替代。
   • 确保全部活动设置都针对用户的加入进行了相应的调整。仔细检查活动中的智能组设置，因为通过 ADI 同步出现的新用户可能会影响这些设置。

收集上述信息后，继续后续部分中的步骤。

安装和配置

收集以上部分概述的信息后，准备工作就已完成，可以安装和配置 ADI 同步了。继续以下步骤：

1. 运行 Active Directory 同步工具。这是您从 KSAT 账户设置下载的 ADISyncSetup.exe 文件，即上述“开始之前的必要步骤”部分的步骤 2。AD 同步工具无需安装在域控制器上。它可以安装在环境中的任何位置，只要系统可以与接受 LDAP 联系的域控制器通信即可。
   提示：AD 同步可通过 LDAP 通信。但是，也可以在同步 Active Directory 之前在域控制器上启用 LDAPS。默认情况下，大多数域控制器不会启用 LDAPS。详情请参阅常见问题解答：Active Directory 集成 (ADI) 一文。

   命令提示符窗口将自动打开安装目录。64 位平台上的默认安装目录是：C:\Program Files\KnowBe4\ADI Sync

2. 在命令提示符窗口中，系统将提示您输入以下信息：
   1. 输入 34 个字符的 ADI 同步令牌：如果这是您第一次运行此命令，系统将提示您输入 Active Directory 同步令牌。此令牌是从您的 KSAT 账户设置中复制的一系列字符串。有关详情，请参阅上述“开始之前的必要步骤”部分的步骤 2。
   2. 输入 Active Directory 域名：域名指您的 AD 的根域。如需示例，请参阅“开始之前的必要步骤”部分的步骤 2。 
   3. 输入 Active Directory 域控制器主机名或 IP 地址：AD 的主机名或 IP 地址指 AD 所在的域控制器的 IP 地址或完全限定域名 (FQDN)。
   4. 启用 SSL (true/false)：默认情况下，您的域控制器不会启用 LDAPS。您需要键入“false”，或按回车键来自动选择“false”。或者，如果出于此同步目的，您已启用 LDAPS，则键入 “true”。
   5. 启用 SecurityCoach 字段 (true/false)：如果您已购买了 SecurityCoach，输入“true”以启用 SecurityCoach 字段。使用这些字段即可为用户映射同步信息。更多信息请参阅如何编辑 Active Directory 集成 (ADI) 的 CONF 文件一文中的 Security Coach 字段部分。默认状态下，这些字段是禁用的。要启用这些字段，请按下键盘上的回车键。
   6. 输入 Active Directory 端口号 [389]：输入与 LDAP 或 LDAPS 相应的端口。默认情况下，LDAP 端口为 389，LDAPS 端口为 636。
   7. 输入用户名 (user@domain)：输入具有执行 LDAP 咨询所需读取权限的 AD 管理员账户的用户名。此用户名格式应为“user@domain”。
   8. 输入密码：输入具有执行 LDAP 咨询所需读取权限的 AD 管理员账户密码。
3. 如果连接成功，您将看到一条确认消息，说明已经为您的域连接并配置了 ADI，如上述示例所示。 
4. 按下回车键，退出命令提示符窗口。

   如果在进入或授权域控制器时出现问题，命令提示符窗口中会出现错误消息。此时，您将需要使用正确的配置数据，重复此部分的中的步骤。如果错误仍然存在，请联系我们的支持团队。 

   连接成功后，即可查看后续部分，以便指定要与 KSAT 控制台同步的用户和信息。

定义要同步的 OU、群组和用户

完成上述两部分的步骤后，接下来将编辑 <your domain here>.conf 文件，以配置想要与 KSAT 账户同步的信息。必须执行此配置，才能从 AD 中同步用户。

执行以下步骤，继续您的 ADI 设置：

1. 确保您在 C:\ProgramData\KnowBe4\ADI Sync\Config 文件夹中具有编辑权限。 
2. 在安装目录下找到 <your domain here>.conf 文件，如下所示。在文本编辑器（如记事本）中打开文件。

   <your domain here>.conf 文件用于定义您想要在 KSAT 账户与 AD 之间同步的用户、用户信息和群组。要查看此文件的示例，请打开此 sample_domain 文件。

   注意：确保您编辑的是 <your domain here>.conf 文件，而不是 adisync.conf 文件。
3. 编辑 <your domain here>.conf 文件，指明您的用户和群组同步的条件。您可以修改 <your domain here>.conf 的三个部分：
   • [sync.fields]（可选）：编辑此版块，指明您想要从 AD 同步的用户信息字段。有关详情，请参阅“如何通过 Active Directory 同步信息”一文的“将其他用户信息同步到 KnowBe4”部分。
   • [sync.users]（必填）：编辑此版块，指明您想要从 AD 同步哪些用户。确保在 .conf 文件 [sync.users] 部分中至少包含一个 OU、群组或用户。有关详情，请参阅“如何通过 Active Directory 同步信息”一文的“通过包含/排除 OU、群组或特定用户来同步用户（必需）”部分。
   • [sync.groups]（可选）：可通过此版块指明您想要从 AD 同步的群组。这些群组将在您的 KnowBe4 控制台中自动创建，相应用户将添加至群组中。有关详情，请参阅“如何通过 Active Directory 同步信息”一文的“通过包含/排除 OU 或群组来同步群组（可选）”部分。
   注意：如果 OU 或群组名包含非标准英文字母表中的字母，请在 <your domain here>.conf 文件中将双引号 (") 替换为单引号 (')。此外，对于逗号、井号和加号等特殊字符，需要在前后添加双反斜线。如需了解详情，请参阅“如何在 Active Directory 集成中使用转义字符”。
4. 完成后，保存在 <your domain here>.conf 文件中作出的变更。

查看后续部分，开始 ADI 同步。

启动 ADI 同步

如果您完成了上述所有步骤，则 KnowBe4 ADI 同步服务现已配置完毕，您可以开始 ADI 同步。继续以下步骤：

使用 Windows 服务控制管理器来启动 KnowBe4 ADI 同步服务，即可启动同步。

KnowBe4 ADI 同步服务将立即运行。服务连接后，AD 与 KSAT 控制台之间的同步将每 6 小时进行一次。

在账户设置中启用测试模式后，您可预览 AD 与 KnowBe4 之间的同步情况。要查看测试模式预览，请进入 KSAT 控制台，前往用户 > 配置。

保持测试模式开启，直至确定 ADI 的设置已能满足组织需求。对 ADI 设置满意后，请前往 KSAT 账户设置并禁用测试模式。下一次 ADI 同步时，将自动配置用户。