Synology DSM 注册 Azure AD 应用 M365 完整教程：手动/自动注册+权限配置指南

在使用 Synology NAS 部署 Active Backup for Microsoft 365 套件时，注册 Azure AD 应用是核心前置步骤——该应用将作为 NAS 与 Microsoft 365 服务的授权桥梁，实现邮件、文档、日历等数据的安全备份与恢复。若注册流程不规范，会导致备份任务创建失败、权限不足无法访问 M365 数据等问题。本文基于 Synology 官方教程，结合 Azure AD 管理控制台的最新操作界面，拆解“自动注册”（适合 Active Backup 2.4+）与“手动注册”（适合旧版本）两种方案，详解证书配置、API 权限分配等关键环节，帮助用户高效完成 Azure AD 应用注册。

一、核心认知：Azure AD 应用与 M365 集成的作用

在开始注册前，需明确 Azure AD 应用在 Synology 与 M365 集成中的核心价值：

1. 身份验证：为 Synology NAS 提供合法的 Azure AD 身份标识，确保 M365 服务认可 NAS 的访问请求；

2. 权限管控：通过配置 API 权限，精准限制 NAS 可访问的 M365 数据范围（如仅允许备份邮件或 SharePoint 文件）；

3. 数据传输授权：生成专用证书或密钥，保障备份数据在 NAS 与 M365 之间的加密传输。

关键说明：Active Backup for Microsoft 365 2.4 及以上版本支持自动注册 Azure AD 应用，流程更简化；2.4 以下版本需手动在 Azure 门户完成注册，步骤更细致。

二、前置准备：5项核心条件必须满足（避免操作失败）

无论选择哪种注册方式，需提前完成以下准备工作，确保流程顺畅：

2.1 权限与账户要求

1. Azure AD 账户权限：需拥有 Azure AD 全局管理员权限（仅全局管理员可完成应用注册、权限分配等操作）；

2. M365 账户权限：以全局管理员身份登录 Microsoft 365 租户（用于同意应用权限请求）；

3. Synology 账户权限：登录 DSM 的账户需为管理员组成员（可安装套件、配置备份任务）。

2.2 软件版本要求

1. DSM 版本：需运行 DSM 6.2 及以上版本（确保与 Active Backup for Microsoft 365 套件兼容）；

2. Active Backup 版本：检查套件中心的 Active Backup for Microsoft 365 版本，区分“自动注册”（2.4+）与“手动注册”（<2.4）场景；

3. Azure 门户兼容性：建议使用 Chrome 或 Edge 浏览器登录 Azure 门户（避免旧浏览器导致界面显示异常）。

2.3 信息与工具准备

1. 记录 M365 租户信息：包括租户名称、域名（如“contoso.onmicrosoft.com”），后续配置权限时需用到；

2. 准备安全存储位置：用于保存注册过程中生成的证书文件（证书为备份授权的关键，丢失会导致备份任务失效）；

3. （手动注册需用）PowerShell 环境：确保 Windows 设备安装 Azure AD PowerShell 模块（用于执行脚本生成密钥）。

三、方案1：自动注册 Azure AD 应用（推荐，Active Backup 2.4+）

若你的 Active Backup for Microsoft 365 版本为 2.4 及以上，优先选择自动注册方案——通过备份任务向导一键生成应用和证书，无需手动操作 Azure 门户，步骤更高效：

3.1 详细操作步骤

步骤1：启动 Active Backup 任务向导

1. 登录 Synology DSM 桌面，打开【Active Backup for Microsoft 365】套件（若未安装，先在套件中心搜索安装）；

2. 进入套件后，点击左侧【任务列表】，再点击页面上方【创建】按钮，启动任务创建向导；

3. 在弹出的窗口中，选择【创建备份任务】，点击【下一步】。

步骤2：配置 M365 端点与注册参数

1. 【端点类型】选择“Microsoft 365”（若使用世纪互联运营的 M365，选择“Microsoft 365（由世纪互联运营）”）；

2. 勾选【创建新的 Azure AD 应用程序】（默认勾选，自动注册核心选项）；

3. 设置证书密码：输入强度高的密码（含大小写字母、数字、特殊符号），用于保护生成的证书文件，点击【下一步】。

步骤3：登录 M365 授权并下载证书

1. 系统会跳转至 Microsoft 365 登录页面，输入全局管理员账号和密码；

2. 登录后，会显示应用权限请求页面（列出 NAS 需访问的 M365 资源），点击【接受】完成授权；

3. 授权成功后，返回 DSM 向导页面，系统会自动生成 Azure AD 应用和证书，点击【下载证书】，将证书文件（.pfx 格式）保存到安全位置（如本地电脑加密文件夹）；

4. 点击【下一步】，后续按向导配置备份目的地、备份范围等参数即可（与应用注册无关，略过）。

3.2 关键注意事项

1. 证书保存：下载的证书是后续备份任务的核心凭证，建议同时存储在本地和备用存储设备（如 U 盘），避免丢失；

2. 密码记录：证书密码需单独记录（如密码管理器），后续修改备份任务或重新注册时需用到；

3. 权限自动配置：自动注册会默认添加 M365 数据备份所需的核心权限（如 Microsoft Graph、Exchange Online 权限），无需手动添加。

四、方案2：手动注册 Azure AD 应用（Active Backup <2.4 版本）

若 Active Backup 版本低于 2.4，需手动在 Azure 门户完成应用注册，涉及应用创建、证书配置、API 权限分配三个核心环节，步骤如下：

4.1 步骤1：在 Azure 门户创建应用注册

1. 打开浏览器，访问 Azure 门户（https://portal.azure.cn），用全局管理员账号登录；

2. 在顶部搜索框输入“Azure Active Directory”，点击进入 Azure AD 管理中心；

3. 左侧导航栏选择【应用注册】，再点击页面上方【新建注册】；

4. 填写注册信息：

- 【名称】：输入应用名称（如“Synology-M365-Backup”，便于识别）；

- 【支持的账户类型】：选择“仅此组织目录中的账户（单一租户）”（仅限本 M365 租户使用）；

- 【重定向 URI】：无需填写（备份场景无需重定向）；

5. 点击【注册】，系统会自动生成应用（客户端）ID 和租户 ID，记录这两个值（后续配置需用到）。

4.2 步骤2：创建并上传证书（应用身份验证凭证）

1. 在 Azure AD 应用的【概述】页面，点击左侧【证书和机密】；

2. 选择【证书】选项卡，点击【上传证书】；

3. 证书获取方式（二选一）：

- 方式1（推荐）：上传由证书颁发机构（CA）颁发的受信任证书，点击【浏览】选择证书文件（.cer 或 .pem 格式），点击【添加】；

- 方式2（测试用）：创建自签名证书（仅限测试环境）：

① 打开 Windows PowerShell，执行命令：`$cert=New-SelfSignedCertificate -Subject "CN=SynologyM365Cert" -CertStoreLocation "Cert:CurrentUserMy" -KeyExportPolicy Exportable -KeySpec Signature`；

② 运行“certmgr.msc”打开证书管理器，导出创建的证书（选择“个人信息交换 - PKCS 12 (.pfx)”格式）；

③ 回到 Azure 门户，上传导出的自签名证书；

4. 上传成功后，记录证书的【指纹】值（后续配置 Synology 备份任务需用到）。

4.3 步骤3：配置 API 权限（核心环节，避免权限不足）

1. 在 Azure AD 应用页面，点击左侧【API 权限】，再点击【添加权限】；

2. 分3类添加必要权限（确保备份 M365 全量数据）：

（1）添加 Microsoft Graph 权限

1. 点击【Microsoft Graph】，选择【应用程序权限】（备份服务无需用户交互，需应用自身权限）；

2. 展开对应权限类别，勾选以下权限：

- 【文件】：Files.Read.All（读取 SharePoint 文件）；

- 【邮件】：Mail.Read（读取用户邮件）；

- 【用户】：User.Read.All（读取用户信息）；

- 【日历】：Calendars.Read（读取日历数据）；

3. 点击【添加权限】，返回权限列表。

（2）添加 Exchange Online 权限

1. 再次点击【添加权限】，搜索“Office 365 Exchange Online”并选择；

2. 选择【应用程序权限】，勾选【full_access_as_app】（全量访问 Exchange 数据，用于邮件备份）；

3. 点击【添加权限】。

（3）添加 SharePoint 权限

1. 点击【添加权限】，搜索“SharePoint”并选择；

2. 选择【应用程序权限】，勾选【Sites.Read.All】（读取 SharePoint 站点数据）；

3. 点击【添加权限】。

（4）授予管理员同意

1. 权限添加完成后，点击页面上方【授予管理员同意】（仅全局管理员可操作）；

2. 在弹出的确认窗口点击【是】，等待权限生效（约1-2分钟）。

4.4 步骤4：记录应用关键信息（用于 Synology 配置）

1. 回到 Azure AD 应用【概述】页面，复制以下3个信息：

- 目录（租户）ID；

- 应用程序（客户端）ID；

- 证书指纹（步骤4.2中记录的值）；

2. 保存证书文件和上述信息，后续创建 Active Backup 任务时需录入。

五、Synology 端集成配置：关联 Azure AD 应用与备份任务

无论自动还是手动注册 Azure AD 应用，最终需在 Synology DSM 中关联应用信息，才能创建 M365 备份任务：

5.1 自动注册场景（方案1）

1. 完成应用自动注册后，在 Active Backup 任务向导中，系统会自动填充应用 ID、租户 ID 和证书信息；

2. 验证证书密码：输入步骤3.2中设置的证书密码，点击【验证】；

3. 验证通过后，继续配置备份目的地（选择 NAS 中的共享文件夹）、备份对象（如用户邮箱、SharePoint 站点），点击【完成】即可创建备份任务。

5.2 手动注册场景（方案2）

1. 启动 Active Backup 任务向导，选择【创建备份任务】，【端点类型】选择对应 M365 版本；

2. 勾选【使用现有 Azure AD 应用程序】，输入以下信息：

- 租户 ID：粘贴 Azure 门户记录的租户 ID；

- 客户端 ID：粘贴应用程序（客户端）ID；

- 证书指纹：粘贴证书指纹值；

- 证书文件：上传手动注册时生成的证书文件（.pfx 格式）；

- 证书密码：输入证书导出时设置的密码；

3. 点击【验证】，通过后继续配置备份参数，完成任务创建。

六、常见问题排查：注册与集成中的高频问题解决方案

Q1：自动注册时提示“权限不足，无法创建应用”？

A1：原因是登录 M365 的账户非全局管理员，解决方案：

1. 退出当前 M365 账户，使用具有全局管理员权限的账号重新登录；

2. 若不确定账户权限，可登录 Azure AD 门户，在【用户】→【角色分配】中确认账户是否为“全局管理员”角色。

Q2：手动注册后，添加 API 权限时找不到“Office 365 Exchange Online”？

A2：排查步骤：

1. 确认 Azure 门户地区与 M365 租户地区一致（如世纪互联 M365 需登录 Azure 中国门户）；

2. 刷新浏览器页面，重新进入【添加权限】页面，搜索“Exchange”而非完整名称，可快速找到目标 API。

Q3：备份任务创建成功后，提示“无法访问 M365 数据”？

A3：核心原因是权限未生效或证书配置错误：

1. 检查 API 权限是否已授予管理员同意（【API 权限】页面顶部显示“已授予管理员同意”）；

2. 验证证书指纹是否正确（Azure 门户中的指纹与 Synology 录入的需完全一致，区分大小写）；

3. 若使用自签名证书，确认证书未过期（自签名证书默认有效期1年，可通过证书管理器查看）。

Q4：Active Backup 2.4+ 版本能否使用手动注册的应用？

A4：可以，操作步骤：

1. 启动任务向导时，勾选【使用现有 Azure AD 应用程序】；

2. 录入手动注册的租户 ID、客户端 ID、证书信息即可，适合需要自定义权限的场景。

总结：注册 Azure AD 应用的核心逻辑与操作关键

Synology DSM 注册 Azure AD 应用以集成 M365，核心是“建立合法授权通道”——自动注册适合追求效率的用户（2.4+版本），手动注册适合旧版本或需要精细权限控制的场景。无论哪种方案，需重点关注3个关键点：

1. 权限配置：必须添加 Microsoft Graph、Exchange Online 等核心权限，并授予管理员同意；

2. 证书管理：证书是授权核心，需妥善保存并记录密码，避免丢失或过期；

3. 信息准确性：租户 ID、客户端 ID、证书指纹等信息录入时需精准，避免拼写错误。

只要遵循“前置准备→应用注册→权限配置→Synology 集成”的流程，就能顺利完成 Azure AD 应用注册，为 M365 数据备份奠定基础。若需批量注册或脚本自动化操作，可参考 Synology 官方提供的 PowerShell 脚本工具。

要不要我帮你整理一份Azure AD 应用注册信息对照表？包含自动/手动注册的关键参数、必填项标注及 Synology 配置入口，可直接用于实操参考。