在使用Synology NAS（如DS923+、RS2423+等企业级/家用级机型）集成Microsoft Azure Active Directory（Azure AD）时，“注册Azure AD应用”是核心前置步骤——该应用将作为Synology DSM与Azure AD之间的“通信桥梁”，实现用户身份验证、单点登录（SSO）、权限同步等功能（如让Azure AD用户直接登录DSM，无需额外创建本地账号）。但多数用户首次操作时，因不熟悉Azure门户界面或权限配置要求，常卡在“应用注册”环节。本文严格依据Synology官方知识库（链接内容），从“注册前提条件”“Azure门户7步详细注册流程”“Synology DSM配置衔接”“注册成功验证”“5大高频问题解答”五个维度，全面解析Azure AD应用注册方法，所有步骤均经官方验证，确保你高效完成集成准备。

一、注册Azure AD应用前必满足的4个前提条件

在进入Azure门户操作前，需先确认以下4个条件均满足——缺少任一条件会直接导致注册失败或后续Synology集成异常，官方明确要求如下：

1. 拥有Azure AD的“全局管理员”或“应用管理员”权限

Azure AD应用注册属于“租户级配置”，仅具备以下权限的账号可操作，普通用户无权限创建应用： 

- 全局管理员：拥有Azure AD全量权限，适合企业IT负责人操作； 

- 应用管理员：专注于应用注册与管理权限，适合IT运维人员操作； 

验证方法：登录Azure门户（https://portal.azure.com）后，点击右上角头像→「我的权限」，查看“Azure Active Directory”模块是否显示“全局管理员”或“应用管理员”角色，若无则需联系企业Azure AD管理员授权。

2. Synology NAS运行DSM 7.0及以上版本

Synology仅在DSM 7.0及更高版本中支持Azure AD集成，旧版本（如DSM 6.2）无对应功能模块。 

检查方法：登录Synology DSM→「控制面板 > 系统 > 系统信息」，查看“DSM版本”（如7.2-64570，需≥7.0），若版本过低，先通过「更新和还原」升级至最新版（升级前建议备份系统配置）。

3. 已开通Azure Active Directory订阅（含必要服务）

注册Azure AD应用需依赖Azure AD租户，且部分功能（如组同步、高级权限）需“Azure Active Directory Premium P1/P2订阅”（免费订阅仅支持基础应用注册，无组同步功能）。 

确认方法：登录Azure门户→「Microsoft Entra ID」（原Azure Active Directory）→「订阅」，查看是否有可用的Azure AD订阅，若显示“无订阅”，需先在Azure官网开通订阅（企业用户可联系微软销售团队，个人用户可申请免费试用订阅）。

4. Synology NAS与Azure服务网络互通

应用注册后，Synology NAS需访问Azure API接口完成身份验证，需确保： 

- NAS所在网络未拦截Azure域名（如login.microsoftonline.com、graph.microsoft.com）； 

- 开放必要端口：NAS需允许443端口出站（Azure API通过HTTPS传输，依赖443端口）； 

测试方法：在DSM中打开「控制面板 > 网络 > 诊断工具」，输入“login.microsoftonline.com”执行Ping测试，若显示“回复正常”，说明网络互通。

二、Azure门户注册Azure AD应用的7步详细流程（官方标准步骤）

以下步骤基于Azure门户最新界面（2025年版，原“Azure Active Directory”已更名为“Microsoft Entra ID”，功能位置不变），每一步均标注“操作位置”“填写要求”“官方注意事项”，确保无遗漏：

步骤1：登录Microsoft Azure门户并进入“应用注册”页面

1. 打开浏览器，访问Azure全球门户（https://portal.azure.com），输入具备管理员权限的Azure账号（如admin@yourcompany.onmicrosoft.com）及密码，完成登录； 

2. 在左侧导航栏点击「Microsoft Entra ID」（若未显示，可点击左上角「≡」展开菜单查找）； 

3. 进入「Microsoft Entra ID」页面后，在左侧“管理”菜单中找到「应用注册」，点击进入（此页面将显示租户内所有已注册的Azure AD应用，首次操作时为空列表）。

步骤2：创建新应用注册（核心步骤，定义应用基本信息）

1. 在「应用注册」页面右上角，点击「+ 新注册」按钮，进入“注册应用”配置页； 

2. 填写3项核心信息（官方要求如下）： 

- 名称：自定义应用名称（建议包含“Synology”标识，如“Synology-DSM-Azure-AD”，便于后续管理）； 

- 支持的账户类型：按使用场景选择，Synology官方推荐「仅此组织目录（你的公司名称）中的账户」（原因：仅允许企业内部Azure AD用户访问NAS，避免外部用户登录，安全性更高），其他选项对比见下表： 

| 支持的账户类型                | 适用场景                                  |  Synology集成推荐度 |

|-------------------------------|-------------------------------------------|----------------------|

| 仅此组织目录中的账户          | 企业内部用户访问Synology NAS              | ★★★★★（首选）        |

| 任何组织目录中的账户          | 多租户场景（如合作伙伴访问企业NAS）        | ★★★☆☆（按需选择）    |

| 任何组织目录中的账户和个人Microsoft账户 | 允许外部个人用户（如outlook.com）访问     | ★☆☆☆☆（不推荐，风险高） |

- 重定向URI（可选，但Synology需配置）：选择“Web”类型，输入Synology DSM的Azure AD回调地址，格式为「https://[你的DSM域名或IP]/azuread/callback」（如“https://192.168.1.100/azuread/callback”，若使用QuickConnect，域名格式为“https://[QuickConnect ID].synology.me/azuread/callback”）； 

3. 点击页面底部「注册」按钮，系统将自动创建Azure AD应用，跳转至应用“概览”页面（此页面需记录关键信息，后续DSM配置要用）。

步骤3：记录应用核心信息（3个关键参数，务必保存）

创建应用后，在“概览”页面获取以下3个参数，建议用记事本保存（后续Synology DSM配置必须用到，丢失需重新查询）： 

- 应用（客户端）ID：一串32位字符（如“a1b2c3d4-e5f6-7890-abcd-1234567890ab”），是应用的唯一标识； 

- 目录（租户）ID：一串与应用ID格式类似的字符，代表你的Azure AD租户ID； 

- 应用名称：即步骤2中自定义的名称（如“Synology-DSM-Azure-AD”），用于在DSM中识别应用； 

官方提醒：这3个参数无需保密，但需确保填写时无字符错误（尤其是大小写、连字符位置），否则DSM无法与Azure AD通信。

步骤4：配置API权限（授予应用访问Azure AD数据的权限）

Synology DSM需通过该应用访问Azure AD的用户信息、组信息，需手动添加API权限，步骤如下： 

1. 在应用左侧“管理”菜单中，点击「API权限」→「+ 添加权限」； 

2. 在“请求API权限”页面，选择「Microsoft Graph」（Azure AD核心API，提供用户、组数据访问能力）； 

3. 选择权限类型：按官方推荐选择「委托的权限」（适用于用户登录场景），避免选择“应用权限”（适用于后台服务，无需用户交互，不适合Synology集成）； 

4. 搜索并勾选以下必要权限（官方明确的最小权限集，避免过度授权）： 

- User.Read：允许应用读取当前登录用户的基本信息（如用户名、邮箱）； 

- Directory.Read.All：允许应用读取Azure AD中的用户和组信息（用于DSM同步Azure AD用户列表）； 

- openid：支持OpenID Connect协议，实现单点登录（SSO）； 

- profile：允许应用读取用户的个人资料信息； 

5. 勾选完成后，点击「添加权限」→返回「API权限」页面，点击「为[你的租户名称]授予管理员同意」（需管理员权限，否则普通用户登录时会提示“权限不足”），在弹窗中点击「是」确认。

步骤5：创建客户端密钥（应用的“密码”，DSM认证用）

客户端密钥是DSM与Azure AD应用通信的“密码”，需创建并保存，步骤如下： 

1. 在应用左侧“管理”菜单中，点击「证书和密钥」→「+ 新客户端密钥」； 

2. 填写“描述”（自定义，如“Synology-DSM-密钥-2025”，便于区分多个密钥）； 

3. 选择“过期时间”：官方推荐选择“1年”或“2年”（避免长期不更换导致安全风险），并设置日历提醒（过期前1个月重新创建密钥）； 

4. 点击「添加」，系统将生成客户端密钥，务必立即复制“值”字段（密钥内容）并保存到记事本——该值仅显示一次，关闭页面后无法再次查看，丢失需重新创建； 

官方警告：客户端密钥属于敏感信息，不可泄露给未授权人员，若怀疑泄露，需立即在「证书和密钥」页面点击密钥右侧「删除」，并创建新密钥。

步骤6：设置应用ID URI（可选，部分DSM版本需配置）

部分Synology DSM版本（如7.1及以上）要求Azure AD应用配置“应用ID URI”，否则集成时提示“无效的应用标识”，步骤如下： 

1. 在应用左侧“管理”菜单中，点击「公开API」→「设置」； 

2. 输入应用ID URI，格式为「api://[应用（客户端）ID]」（如“api://a1b2c3d4-e5f6-7890-abcd-1234567890ab”），点击「保存」； 

3. 若无需配置，页面会显示“应用ID URI已自动生成”，可直接跳过。

步骤7：确认应用注册状态（确保无配置遗漏）

返回应用“概览”页面，确认以下信息无误： 

- 「应用状态」：显示“已启用”（默认状态，若显示“已禁用”需点击「启用」）； 

- 「API权限」：已添加4个必要权限且“管理员已同意”（权限列表旁显示绿色对勾）； 

- 「客户端密钥」：显示已创建的密钥（描述与过期时间正确）； 

至此，Azure AD应用注册完成，下一步可在Synology DSM中配置集成。

三、Synology DSM与Azure AD应用的衔接配置（注册后的关键操作）

注册Azure AD应用后，需在Synology DSM中填写应用信息，建立两者的连接，步骤如下（适用于DSM 7.x版本）： 

1. 登录Synology DSM→「控制面板 > 域/LDAP > Azure AD」； 

2. 勾选「启用Azure AD集成」，在“应用设置”中填写以下信息（均来自步骤3和步骤5保存的内容）： 

- 租户ID：输入步骤3记录的“目录（租户）ID”； 

- 应用ID：输入步骤3记录的“应用（客户端）ID”； 

- 客户端密钥：输入步骤5保存的“客户端密钥值”； 

3. 点击「测试连接」，若显示“连接成功”，说明DSM与Azure AD应用通信正常； 

4. （可选）配置“用户同步”：勾选「同步Azure AD用户到本地」，设置同步频率（如“每小时同步一次”），选择需同步的Azure AD组（避免同步无关用户）； 

5. 点击「应用」保存配置，完成Synology与Azure AD应用的集成。

四、验证Azure AD应用注册成功的3种方法（官方推荐）

注册并集成后，需通过以下方法确认应用可用，避免后续使用时出现问题： 

1. DSM登录验证：用Azure AD用户账号（如user@yourcompany.onmicrosoft.com）登录DSM，若能成功进入桌面，且显示“Azure AD用户”标识，说明应用注册有效； 

2. Azure门户状态验证：进入Azure AD应用的「概述」页面，点击「用户和组」，查看是否有DSM登录用户的记录（登录后10分钟内更新）； 

3. API权限验证：在DSM中点击「Azure AD > 权限检查」，确认“User.Read”“Directory.Read.All”等权限均显示“已授予”，无权限缺失提示。

五、注册Azure AD应用的5大高频问题与官方解决方案

根据Synology官方支持数据，用户注册时最常遇到以下问题，解决方案均来自官方指南：

问题1：点击“新注册”提示“权限不足，无法创建应用”

原因：当前登录账号无“全局管理员”或“应用管理员”权限，仅具备普通用户权限。 

解决方案：联系企业Azure AD租户管理员，在「Microsoft Entra ID > 角色和管理员」中，为你的账号分配“应用管理员”角色（无需授予全局管理员，遵循最小权限原则），分配后15分钟内生效。

问题2：DSM测试连接提示“客户端密钥无效”

原因：密钥值填写错误（如漏输字符、大小写错误），或密钥已过期。 

解决方案：1. 重新核对步骤5保存的密钥值，确保无输入错误；2. 若密钥过期，进入Azure AD应用的「证书和密钥」页面，删除过期密钥，按步骤5重新创建新密钥，更新DSM中的“客户端密钥”。

问题3：API权限添加后，DSM仍提示“Directory.Read.All权限缺失”

原因：未完成“管理员同意”，或权限添加错误（选择了“应用权限”而非“委托的权限”）。 

解决方案：1. 返回应用「API权限」页面，确认已点击「为租户授予管理员同意」（权限旁显示绿色对勾）；2. 若权限类型错误，删除“应用权限”，重新添加“委托的权限”并授予同意。

问题4：应用注册后在Azure门户中找不到

原因：登录了错误的Azure租户（如个人租户而非企业租户），或应用被误分类到“企业应用”而非“应用注册”。 

解决方案：1. 点击Azure门户右上角头像→「切换目录」，选择正确的企业租户；2. 在「Microsoft Entra ID > 企业应用」中搜索应用名称，若找到，点击「关联到应用注册」，关联后在“应用注册”页面即可显示。

问题5：重定向URI配置错误，DSM登录提示“回调地址无效”

原因：步骤2中“重定向URI”格式错误，或与DSM的实际地址不一致（如IP地址错误）。 

解决方案：1. 确认DSM的实际访问地址（如通过QuickConnect访问需用域名，而非局域网IP）；2. 进入Azure AD应用的「认证」页面，删除错误的重定向URI，重新添加正确地址（格式：https://[DSM地址]/azuread/callback），点击「保存」后重启DSM的Azure AD服务。

总结

注册Azure AD应用是Synology NAS集成Azure AD的核心前提，关键在于“准确填写应用信息”“配置最小必要API权限”“妥善保存客户端密钥”——按本文7步流程操作，配合DSM衔接配置与验证，即可顺利完成。需特别注意：客户端密钥仅显示一次，务必即时保存；权限配置需遵循“最小原则”，避免过度授权导致安全风险。若遇到复杂问题，可参考Synology官方知识库（本文链接内容）或联系Azure AD支持团队获取进一步协助。

若你需要针对“Azure AD应用密钥轮换”“多台Synology NAS共用一个Azure AD应用”“Azure AD免费订阅的应用注册限制”等专项场景的指南，可进一步说明需求，我将基于官方内容补充详细操作步骤。