Synology Active Backup 备份世纪互联M365：Azure AD应用程序注册与授权攻略

在使用Synology Active Backup for Microsoft 365 备份世纪互联运营的Microsoft 365数据时，Azure AD应用程序注册是关键前置步骤——很多用户因未区分Active Backup版本（2.4+与2.2-2.3操作差异大）、证书生成失败、权限配置不全，导致备份任务无法启动，甚至出现“授权失败”“无法访问M365数据”等报错。

Synology官方明确，不同版本的Active Backup for Microsoft 365对应不同的Azure AD应用注册方式：2.4及以上版本支持自动生成应用与证书，流程简化；2.2-2.3版本需通过PowerShell脚本手动操作，步骤更细致。本文基于Synology官方技术文档，从“版本确认→分版本操作→故障排查”三大环节，提供世纪互联M365 Azure AD应用注册的完整解决方案，覆盖证书生成、权限授予、应用清单配置等核心步骤，帮你顺利启动备份任务。

一、前置准备：3步确认操作前提（避免后续踩坑）

在开始Azure AD应用注册前，需先完成“版本检查→权限确认→环境准备”，这三步是确保后续操作不中断的基础。

1. 检查Active Backup for Microsoft 365版本

1. 登录DSM系统：打开浏览器，输入Synology NAS的局域网IP（如192.168.1.100），输入管理员账号密码进入DSM桌面；

2. 查看套件版本：点击“套件中心→已安装”，在列表中找到“Active Backup for Microsoft 365”，查看右侧“版本”信息；

- 若版本为2.4及以上：直接进入“自动生成应用与证书”章节（操作更简单，无需手动运行脚本）；

- 若版本为2.2或2.3：需进入“PowerShell手动操作”章节（需在Windows环境下执行脚本）；

3. 版本升级建议：若版本低于2.4，建议点击“更新”升级到最新版本（在套件中心点击“更新”按钮，升级过程不影响现有数据，但需重启套件）。

2. 确认必备权限（必须为全局管理员）

Azure AD应用注册需要Microsoft 365全局管理员权限，普通管理员或用户权限无法完成操作，确认方式如下：

1. 登录世纪互联运营的Microsoft 365管理员中心（https://admin.partner.microsoftonline.cn）；

2. 点击左侧“用户→活跃用户”，找到当前登录账号，查看“角色”是否为“全局管理员”；

- 若不是，需联系现有全局管理员授予权限，或使用全局管理员账号登录操作；

- 若已是全局管理员，记录账号信息（如admin@yourdomain.onmicrosoft.cn），后续注册时需使用。

3. 准备操作环境（分版本对应）

- 版本2.4及以上：仅需NAS正常联网，无需额外设备；

- 版本2.2-2.3：需准备一台符合要求的Windows设备（Windows 10/Windows Server 2016及以上版本），且设备已联网（需下载PowerShell脚本和安装NuGet模块）。

二、版本2.4及以上：自动生成Azure AD应用与证书（简化流程）

2.4及以上版本的Active Backup for Microsoft 365优化了注册流程，可在创建备份任务时自动生成Azure AD应用和证书，无需手动操作脚本，步骤如下：

1. 启动任务创建向导

1. 在DSM桌面找到“Active Backup for Microsoft 365”套件，点击图标启动；

2. 进入套件后，点击左侧“任务列表”，再点击右上角“创建”按钮，启动任务创建向导；

3. 在弹出窗口中选择“创建备份任务”，点击“下一步”。

2. 配置M365端点与证书密码

1. 选择端点类型：在“Microsoft 365 端点”下拉菜单中，必须选择“由世纪互联运营的 Microsoft 365”（若选错为国际版，将无法连接世纪互联M365）；

2. 设置证书密码：在“证书密码”栏输入安全且易记忆的密码（建议包含大小写字母、数字和特殊符号，如“Syno@Backup123”），该密码用于保护生成的证书，后续创建备份任务时需重复输入，务必记录保存；

3. 点击“下一步”，进入Microsoft 365登录页面。

3. 登录授权并下载证书

1. 使用全局管理员账号登录：在跳转的世纪互联M365登录页面，输入全局管理员邮箱（如admin@yourdomain.onmicrosoft.cn）和密码，点击“登录”；

2. 同意权限请求：系统会弹出“Synology Active Backup需要访问你的Microsoft账号”的权限请求窗口，查看权限列表（包含访问日历、邮件、文件等必要权限），点击“接受”；

3. 下载并保存证书：授权成功后，页面会自动跳转回Active Backup向导，同时弹出“证书下载”提示，点击“下载”，将证书文件（通常为.pfx格式）保存到安全位置（如电脑桌面，后续需上传到NAS）；

- 注意：证书仅下载一次，丢失后需重新注册应用，建议备份到U盘或加密文件夹。

4. 完成备份任务设置（应用信息自动关联）

1. 回到Active Backup向导，系统已自动关联生成的Azure AD应用信息（无需手动输入应用ID、租户ID）；

2. 按向导提示设置备份内容（如选择备份“Exchange Online邮件”“SharePoint站点”“OneDrive文件”）、备份目的地（选择NAS上的存储位置）、备份计划（如每日凌晨2点执行增量备份）；

3. 点击“应用”，等待任务创建完成，后续即可按计划自动备份世纪互联M365数据；

4. 查看应用凭据（可选）：若需确认应用信息，可在“任务列表”中找到刚创建的任务，点击右侧“编辑→应用程序凭据”，查看应用ID、租户ID等详情。

三、版本2.2-2.3：PowerShell手动生成应用与证书（详细步骤）

2.2-2.3版本需通过PowerShell脚本生成证书和密钥，再手动在Azure门户注册应用，步骤分为“生成证书→注册应用→配置权限→更新应用清单”四部分。

1. 第一步：生成证书（Windows PowerShell操作）

（1）更改PowerShell执行策略

1. 打开管理员PowerShell：在Windows设备上，点击“开始”菜单，搜索“Windows PowerShell”，右键点击“Windows PowerShell”（非x86版本），选择“以管理员身份运行”；

2. 执行策略命令：在PowerShell窗口中输入以下命令，允许运行Synology提供的脚本：

```powershell

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process

```

3. 确认执行策略：系统提示“是否更改执行策略”，输入“Y”并按Enter（此更改仅对当前PowerShell进程生效，关闭后恢复默认，无需担心安全风险）。

（2）下载并运行证书生成脚本

1. 下载脚本：在浏览器中访问Synology官方脚本下载链接（文档中提示“单击此处下载”，实际操作中可在Synology知识库对应页面获取“CertificateGenerator.ps1”脚本），将脚本保存到电脑（如“C:Users用户名Downloads”文件夹）；

2. 定位脚本路径：在PowerShell中，通过“cd”命令切换到脚本所在文件夹，例如脚本保存在Downloads文件夹，输入：

```powershell

cd C:Users用户名Downloads

```

（将“用户名”替换为当前Windows账号名称，可在脚本“属性→位置”中复制路径）；

3. 运行脚本：输入以下命令启动脚本，按Enter执行：

```powershell

.CertificateGenerator.ps1

```

4. 处理依赖安装（若提示）：若PowerShell版本较低，可能提示“需要安装NuGet提供程序”，输入“Y”并按Enter，等待安装完成后，再次输入“Y”确认从“PSGallery”安装必要模块；

5. 设置证书密码：脚本运行后，提示“输入证书密码”，输入与版本2.4+相同的安全密码（如“Syno@Backup123”），按Enter（密码不会显示，需准确输入）；

6. 保存文件路径：脚本执行成功后，会显示“Certificate file”（证书文件路径，如C:Users用户名DownloadsCertificate.pfx）和“Key credentials”（密钥文件路径，如C:Users用户名DownloadsKeyCredentials.txt），将这两个路径复制到记事本中保存，后续步骤需使用。

2. 第二步：在Azure门户注册Azure AD应用程序

（1）登录世纪互联Azure门户

1. 打开浏览器，访问世纪互联运营的Azure门户（https://portal.azure.cn），使用Microsoft 365全局管理员账号登录；

2. 在左侧导航栏中，点击“Azure Active Directory”（若未显示，可在顶部搜索框输入“Azure Active Directory”找到）。

（2）新建应用注册

1. 进入“Azure Active Directory”后，点击左侧“应用注册→新建注册”；

2. 配置应用基本信息：

- 名称：输入应用名称（自定义，如“Synology-Active-Backup”，便于后续识别）；

- 支持的帐户类型：必须选择“仅限此组织目录中的帐户（仅限[组织名称] - 单个租户）”（确保仅内部账号可使用，提升安全性）；

- 重定向URI（可选）：暂时留空，后续无需配置，点击“注册”；

3. 记录关键ID：注册成功后，进入应用“总览”页面，将“应用程序（客户端）ID”和“目录（租户）ID”复制到记事本中（后续创建备份任务需输入这两个ID）。

3. 第三步：授予应用必要权限（核心步骤，缺一不可）

需为应用授予Microsoft Graph、Office 365 Exchange Online、SharePoint的应用权限，确保能读取和备份M365数据，权限清单及配置步骤如下：

（1）权限清单（官方要求，必须全部勾选）

| 目标Microsoft API          | 需勾选的应用程序权限                                                                 |

|-----------------------------|-------------------------------------------------------------------------------------|

| Microsoft Graph             | Calendars.ReadWrite、Contacts.ReadWrite、Directory.ReadWrite.All、Files.ReadWrite.All、Group.ReadWrite.All、Mail.ReadWrite、Sites.ReadWrite.All、User.ReadWrite.All |

| Office 365 Exchange Online  | full_access_as_app                                                                   |

| SharePoint                  | Sites.FullControl.All                                                                |

（2）分步配置权限

1. 添加Microsoft Graph权限：

- 在应用左侧导航栏中，点击“API权限→添加权限”；

- 在“请求API权限”窗口中，选择“Microsoft Graph”（常用Microsoft API列表中）；

- 选择“应用程序权限”（非委派权限，因备份任务为后台服务，无需用户登录）；

- 在搜索框中依次搜索上述Microsoft Graph权限（如“Calendars.ReadWrite”），勾选对应复选框，全部勾选后点击“添加权限”；

2. 添加SharePoint权限：

- 再次点击“添加权限”，选择“SharePoint”；

- 选择“应用程序权限”，搜索并勾选“Sites.FullControl.All”，点击“添加权限”；

3. 添加Office 365 Exchange Online权限：

- 点击“添加权限”，选择“我的组织使用的API”，在搜索框中输入“Office 365 Exchange Online”并选中；

- 选择“应用程序权限”，搜索并勾选“full_access_as_app”，点击“添加权限”；

4. 授予管理员同意：

- 权限添加完成后，回到“API权限”页面，点击顶部“为[组织名称]授予管理员同意”（如“为synology授予管理员同意”）；

- 在弹出窗口中点击“是”，等待权限生效（约1-2分钟，生效后“状态”列会显示“已授予”）。

4. 第四步：更新应用清单（导入密钥凭据）

需将PowerShell生成的“KeyCredentials.txt”内容导入应用清单，完成证书与应用的绑定：

1. 打开密钥文件：在Windows文件资源管理器中，粘贴记事本中保存的“KeyCredentials.txt”路径，按Enter打开该文件，全选并复制文件中的所有文本；

2. 编辑应用清单：回到Azure门户的应用页面，点击左侧“清单”（Manifest）；

3. 粘贴密钥内容：在清单编辑器中，找到“keyCredentials”字段（格式为“"keyCredentials": [],”），将复制的文本粘贴到“[]”中（替换空数组）；

- 示例：原字段为“"keyCredentials": [],”，粘贴后变为“"keyCredentials": [{"keyId":"xxx","type":"AsymmetricX509Cert","usage":"Verify","value":"xxx"}],”；

4. 保存清单：点击清单编辑器顶部“保存”按钮，等待配置生效（约30秒，若提示格式错误，检查是否完整复制了KeyCredentials.txt中的文本）。

5. 第五步：在Active Backup中创建备份任务

1. 启动DSM中的“Active Backup for Microsoft 365”，进入“任务列表→创建→创建新的备份任务”，点击“下一步”；

2. 填写M365与应用信息（均来自记事本记录）：

- Microsoft 365 端点：选择“由世纪互联运营的 Microsoft 365”；

- 域管理员电子邮件地址：输入全局管理员邮箱（如admin@yourdomain.onmicrosoft.cn）；

- 租户ID：粘贴记事本中的“目录（租户）ID”；

- 应用程序ID：粘贴记事本中的“应用程序（客户端）ID”；

- 证书文件：点击“浏览”，选择PowerShell生成的“Certificate.pfx”文件（需先将该文件上传到NAS）；

- 证书密码：输入PowerShell中设置的证书密码；

3. 按向导完成备份内容、目的地、计划的设置，点击“应用”，完成任务创建。

四、故障排查：3类高频问题与解决方案

在Azure AD应用注册过程中，常出现“证书密码错误”“权限未生效”“应用清单更新失败”等问题，以下是官方推荐的解决方法：

1. 问题1：证书密码错误（提示“证书验证失败”）

- 原因：创建备份任务时输入的密码与生成证书时的密码不一致，或密码包含特殊字符（如中文符号）；

- 解决方案：

1. 若版本2.4及以上：删除现有备份任务，重新启动任务创建向导，重新生成证书并牢记密码（建议用记事本记录，避免手动输入错误）；

2. 若版本2.2-2.3：重新运行PowerShell脚本，生成新证书并设置简单密码（仅包含英文大小写、数字，如“SynoBackup123”），重新完成后续步骤。

2. 问题2：权限未生效（提示“无法访问M365数据”）

- 原因：未授予管理员同意，或部分权限未勾选；

- 解决方案：

1. 进入Azure应用的“API权限”页面，检查所有权限的“状态”是否为“已授予[组织名称]”；

2. 若有“未授予”的权限，点击“为[组织名称]授予管理员同意”，再次确认“是”；

3. 等待5分钟后重启Active Backup套件，重新启动备份任务。

3. 问题3：应用清单更新失败（提示“JSON格式错误”）

- 原因：复制KeyCredentials.txt内容时遗漏部分文本，或清单中存在多余逗号；

- 解决方案：

1. 重新打开KeyCredentials.txt，确保全选并复制所有文本（包括“{"keyId":...”到“}”的完整内容）；

2. 在Azure清单编辑器中，删除原“keyCredentials”字段的内容，重新粘贴；

3. 若仍报错，使用在线JSON格式校验工具（如https://json.cn/）验证粘贴的文本是否为有效JSON，修正格式后再粘贴。

总结：世纪互联M365 Azure AD应用注册的核心逻辑

Active Backup for Microsoft 365 注册Azure AD应用的核心是“版本匹配+权限完整+证书安全”——2.4及以上版本优先选择自动生成流程，减少手动操作失误；2.2-2.3版本需严格按PowerShell脚本+Azure门户的步骤执行，尤其注意权限勾选和清单配置。

关键注意事项可概括为三点：

1. 权限必须完整：Microsoft Graph、Exchange、SharePoint的权限缺一不可，否则无法备份对应M365数据；

2. 证书妥善保存：无论是自动还是手动生成，证书丢失后需重新注册应用，建议多设备备份；

3. 版本及时升级：2.4及以上版本的自动流程能大幅降低操作难度，建议优先升级套件。

完成应用注册后，可通过Active Backup的“备份验证”功能，手动触发一次小文件备份，确认能正常读取M365数据，确保后续自动备份稳定运行。

为了帮你更高效核对操作步骤，要不要我帮你整理一份世纪互联M365 Azure AD应用注册步骤检查表？表格会按版本区分，包含每步操作要点、检查项与常见错误，你可直接对照表格逐步执行，避免遗漏关键环节。