Forbered katalogsynkronisering til Microsoft 365

  • Artikel

Denne artikel gælder både for Microsoft 365 Enterprise og Office 365 Enterprise.

Hvis du vælger hybrididentitetsmodellen og konfigureret beskyttelse af administratorkonti i trin 2 og brugerkonti i trin 3 i denne løsning, er din næste opgave at installere katalogsynkronisering. Fordelene ved katalogsynkronisering for din organisation omfatter:

  • Reduktion af administrative programmer i din organisation
  • Du kan eventuelt aktivere et enkeltlogon-scenarie
  • Automatisering af kontoændringer i Microsoft 365

Du kan få flere oplysninger om fordelene ved at bruge katalogsynkronisering under Hybrididentitet med Microsoft Entra-id.

Katalogsynkronisering kræver dog planlægning og forberedelse for at sikre, at din Active Directory-domæneservices (AD DS) synkroniseres med den Microsoft Entra lejer i dit Microsoft 365-abonnement med et minimum af fejl.

Følg disse trin for at få de bedste resultater.

Bemærk!

Ikke-ASCII-tegn synkroniseres ikke for nogen attributter på AD DS-brugerkontoen.

AD DS-forberedelse

Hvis du vil sikre en problemfri overgang til Microsoft 365 ved hjælp af synkronisering, skal du forberede AD DS-området, før du starter installationen af Microsoft 365-katalogsynkronisering.

Klargøring af mapper skal fokusere på følgende opgaver:

  • Fjern dubletattributterne proxyAddress og userPrincipalName .

  • Opdater tomme og ugyldige attributter for userPrincipalName med gyldige attributter for userPrincipalName .

  • Fjern ugyldige og tvivlsomme tegn i attributterne givenName, efternavn ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname og userPrincipalName . Du kan finde oplysninger om, hvordan du forbereder attributter, under Liste over attributter, der synkroniseres af Azure Active Directory-synkroniseringsværktøjet.

    Bemærk!

    Det er de samme attributter, som Microsoft Entra Connect synkroniserer.

Overvejelser i forbindelse med udrulning i flere områder

I forbindelse med flere skove og SSO-indstillinger skal du bruge en brugerdefineret installation af Microsoft Entra Connect.

Hvis din organisation har flere skove til godkendelse (logonskove), anbefaler vi på det kraftigste følgende:

  • Overvej at konsolidere dine skove. Generelt kræves der flere udgifter for at vedligeholde flere skove. Medmindre din organisation har sikkerhedsbegrænsninger, der dikterer behovet for separate skove, kan du overveje at forenkle dit lokale miljø.
  • Brug kun i dit primære logonområde. Overvej kun at udrulle Microsoft 365 i dit primære logonområde til din indledende udrulning af Microsoft 365.

Hvis du ikke kan konsolidere AD DS-installationen med flere områder eller bruger andre katalogtjenester til at administrere identiteter, kan du muligvis synkronisere dem med hjælp fra Microsoft eller en partner.

Se Topologier for Microsoft Entra Opret forbindelse for at få flere oplysninger.

Funktioner, der er afhængige af katalogsynkronisering

Katalogsynkronisering er påkrævet for følgende funktioner og funktioner:

  • Microsoft Entra problemfri enkeltlogon (SSO)
  • Skype-sameksistens
  • Exchange-hybridinstallation, herunder:
    • Fuldt delt global adresseliste (GAL) mellem dit Exchange-miljø i det lokale miljø og Microsoft 365.
    • Synkroniserer GAL-oplysninger fra forskellige mailsystemer.
    • Muligheden for at føje brugere til og fjerne brugere fra Microsoft 365-tjenestetilbud. Dette kræver følgende:
      • Tovejssynkronisering skal konfigureres under konfiguration af katalogsynkronisering. Værktøjer til katalogsynkronisering skriver som standard kun mappeoplysninger til cloudmiljøet. Når du konfigurerer tovejssynkronisering, aktiverer du tilbageskrivningsfunktioner, så et begrænset antal objektattributter kopieres fra skyen og derefter skriver dem tilbage til din lokale AD DS. Tilbageskrivning kaldes også Exchange-hybridtilstand.
    • En Exchange-hybridinstallation i det lokale miljø.
    • Muligheden for at flytte nogle brugerpostkasser til Microsoft 365, samtidig med at andre brugerpostkasser bevares i det lokale miljø.
    • Sikre afsendere og blokerede afsendere i det lokale miljø replikeres til Microsoft 365.
    • Grundlæggende delegering og send på vegne af mailfunktionalitet.
    • Du har en integreret løsning til chipkort eller multifaktorgodkendelse i det lokale miljø.
  • Synkronisering af fotos, miniaturer, mødelokaler og sikkerhedsgrupper

1. Mappeoprydningsopgaver

Før du synkroniserer din AD DS med din Microsoft Entra lejer, skal du rydde op i din AD DS.

Vigtigt!

Hvis du ikke udfører AD DS-oprydning, før du synkroniserer, kan det have en betydelig negativ indvirkning på udrulningsprocessen. Det kan tage dage eller endda uger at gennemgå cyklussen for katalogsynkronisering, identificere fejl og gensynkronisering.

I din AD DS skal du udføre følgende oprydningsopgaver for hver brugerkonto, der tildeles en Microsoft 365-licens:

  1. Kontrollér en gyldig og entydig mailadresse i attributten proxyAddresses .

  2. Fjern alle dubletværdier i attributten proxyAddresses .

  3. Hvis det er muligt, skal du sikre en gyldig og entydig værdi for attributten userPrincipalName i brugerens brugerobjekt . Du opnår den bedste synkroniseringsoplevelse ved at sikre, at AD DS-UPN'et svarer til Microsoft Entra UPN. Hvis en bruger ikke har en værdi for attributten userPrincipalName , skal brugerobjektet indeholde en gyldig og entydig værdi for attributten sAMAccountName . Fjern alle dubletværdier i attributten userPrincipalName .

  4. Sørg for, at oplysningerne i følgende attributter for AD DS-brugerkontoen er korrekte for at få optimal brug af den globale adresseliste:

    • givenName
    • Efternavn
    • Displayname
    • Stilling
    • Institut
    • Office
    • Office Phone
    • Mobiltelefon
    • Faxnummer
    • Gadenavn
    • Byen
    • Stat eller provins
    • Postnummer
    • Land eller område

2. Mappeobjekt og attributforberedelse

Vellykket katalogsynkronisering mellem AD DS og Microsoft 365 kræver, at AD DS-attributterne er forberedt korrekt. Du skal f.eks. sikre, at bestemte tegn ikke bruges i visse attributter, der synkroniseres med Microsoft 365-miljøet. Uventede tegn medfører ikke, at katalogsynkronisering mislykkes, men returnerer muligvis en advarsel. Ugyldige tegn medfører, at katalogsynkronisering mislykkes.

Katalogsynkronisering mislykkes også, hvis nogle af dine AD DS-brugere har en eller flere dubletattributter. Hver bruger skal have entydige attributter.

De attributter, du skal bruge for at forberede, vises her:

  • Displayname

    • Hvis attributten findes i brugerobjektet, synkroniseres den med Microsoft 365.
    • Hvis denne attribut findes i brugerobjektet, skal der være en værdi for det. Attributten må derfor ikke være tom.
    • Maksimalt antal tegn: 256

  • givenName

    • Hvis attributten findes i brugerobjektet, synkroniseres den med Microsoft 365, men Microsoft 365 kræver eller bruger den ikke.
    • Maksimalt antal tegn: 64

  • Mail

    • Attributværdien skal være entydig i mappen.

      Bemærk!

      Hvis der er dubletværdier, synkroniseres den første bruger med værdien. Efterfølgende brugere vises ikke i Microsoft 365. Du skal enten ændre værdien i Microsoft 365 eller ændre begge værdierne i AD DS, for at begge brugere kan blive vist i Microsoft 365.

  • mailNickname (Exchange-alias)

    • Attributværdien kan ikke begynde med et punktum (.).

    • Attributværdien skal være entydig i mappen.

      Bemærk!

      Understregningstegn ("_") i det synkroniserede navn angiver, at den oprindelige værdi for denne attribut indeholder ugyldige tegn. Du kan få flere oplysninger om denne attribut under Exchange-aliasattribut.

  • proxyAddresses

    • Attribut med flere værdier

    • Maksimalt antal tegn pr. værdi: 256

    • Attributværdien må ikke indeholde et mellemrum.

    • Attributværdien skal være entydig i mappen.

    • Ugyldige tegn: <> ( ) ; , [ ] "

    • Bogstaver med diakritiske tegn, f.eks. umlauts, accenter og tildes, er ugyldige tegn.

      De ugyldige tegn gælder for de tegn, der følger efter typeafgrænseren og ":", så SMTP:User@contso.com er tilladt, men SMTP:user:M@contoso.com isn't.

      Vigtigt!

      Alle SMTP-adresser (Simple Mail Transport Protocol) skal overholde standarderne for mailbeskeder. Fjern dublerede eller uønskede adresser, hvis de findes.

  • sAMAccountName

    • Maksimalt antal tegn: 20
    • Attributværdien skal være entydig i mappen.
    • Ugyldige tegn: [ \ " | , / : <> + = ; ? * ']
    • Hvis en bruger har en ugyldig attribut for sAMAccountName , men har en gyldig userPrincipalName-attribut , oprettes brugerkontoen i Microsoft 365.
    • Hvis både sAMAccountName og userPrincipalName er ugyldige, skal attributten AD DS userPrincipalName opdateres.

  • sn (efternavn)

    • Hvis attributten findes i brugerobjektet, synkroniseres den med Microsoft 365, men Microsoft 365 kræver eller bruger den ikke.

  • Targetaddress

    Det er påkrævet, at attributten targetAddress (f.eks. SMTP:tom@contoso.com), der udfyldes for brugeren, skal vises i microsoft 365 GAL. I overførselsscenarier for beskeder fra tredjepart kræver dette Microsoft 365-skemaudvidelsen til AD DS. Microsoft 365-skemaudvidelsen vil også tilføje andre nyttige attributter til administration af Microsoft 365-objekter, der udfyldes ved hjælp af et værktøj til katalogsynkronisering fra AD DS. Attributten msExchHideFromAddressLists til administration af skjulte postkasser eller distributionsgrupper vil f.eks. blive tilføjet.

    • Maksimalt antal tegn: 256
    • Attributværdien må ikke indeholde et mellemrum.
    • Attributværdien skal være entydig i mappen.
    • Ugyldige tegn: \ <> ( ) ; , [ ] "
    • Alle SMTP-adresser (Simple Mail Transport Protocol) skal overholde standarderne for mailbeskeder.

  • userPrincipalName

    • Attributten userPrincipalName skal være i internetlogonformatet, hvor brugernavnet efterfølges af at-tegnet (@) og et domænenavn: user@contoso.comf.eks. . Alle SMTP-adresser (Simple Mail Transport Protocol) skal overholde standarderne for mailbeskeder.
    • Det maksimale antal tegn for attributten userPrincipalName er 113. Et bestemt antal tegn er tilladt før og efter at-tegnet (@) på følgende måde:
    • Det maksimale antal tegn for brugernavnet foran tegnet (@): 64
    • Det maksimale antal tegn for domænenavnet efter at-tegnet (@): 48
    • Ugyldige tegn: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • Tilladte tegn: A - Z, a - z, 0 - 9, ' . - _ ! # ^ ~
    • Bogstaver med diakritiske tegn, f.eks. umlauts, accenter og tildes, er ugyldige tegn.
    • Tegnet @ er obligatorisk i hver userPrincipalName-værdi .
    • Tegnet @ må ikke være det første tegn i hver userPrincipalName-værdi .
    • Brugernavnet må ikke slutte med et punktum (.), et og-tegn (&), et mellemrum eller et at-tegn (@).
    • Brugernavnet må ikke indeholde mellemrum.
    • Der skal bruges domæner, der kan distribueres. Lokale eller interne domæner kan f.eks. ikke bruges.
    • Unicode konverteres til understregningstegn.
    • userPrincipalName må ikke indeholde dubletværdier i mappen.

3. Forbered attributten userPrincipalName

Active Directory er designet til at give slutbrugerne i din organisation mulighed for at logge på din mappe ved hjælp af enten sAMAccountName eller userPrincipalName. På samme måde kan slutbrugere logge på Microsoft 365 ved hjælp af brugerens hovednavn (UPN) på deres arbejds- eller skolekonto. Katalogsynkronisering forsøger at oprette nye brugere i Microsoft Entra id ved hjælp af det samme UPN, der findes i ad-DS. UPN er formateret som en mailadresse.

I Microsoft 365 er UPN den standardattribut, der bruges til at generere mailadressen. Det er nemt at få userPrincipalName (i AD DS og i Microsoft Entra id) og den primære mailadresse i proxyAddresses angivet til forskellige værdier. Når de er angivet til forskellige værdier, kan der være forvirring for administratorer og slutbrugere.

Det er bedst at justere disse attributter for at reducere forvirringen. Hvis du vil opfylde kravene til enkeltlogon med Active Directory Federation Services (AD FS) 2.0, skal du sikre, at UPN'erne i Microsoft Entra id og dit AD DS stemmer overens og bruger et gyldigt domænenavnområde.

4. Føj et alternativt UPN-suffiks til AD DS

Du skal muligvis tilføje et alternativt UPN-suffiks for at knytte brugerens legitimationsoplysninger til Microsoft 365-miljøet. Et UPN-suffiks er den del af et UPN til højre for tegnet @ . UPN'er, der bruges til enkeltlogon, kan indeholde bogstaver, tal, punktummer, tankestreger og understregningstegn, men ingen andre tegntyper.

Du kan finde flere oplysninger om, hvordan du føjer et alternativt UPN-suffiks til Active Directory, under Forbered katalogsynkronisering.

5. Match AD DS-UPN med Microsoft 365 UPN

Hvis du allerede har konfigureret katalogsynkronisering, stemmer brugerens UPN til Microsoft 365 muligvis ikke overens med brugerens AD DS-UPN, der er defineret i din AD DS. Denne betingelse kan opstå, når en bruger fik tildelt en licens, før domænet blev bekræftet. Du kan løse problemet ved at bruge PowerShell til at løse problemet med dublerede UPN'er for at opdatere brugerens UPN for at sikre, at Microsoft 365 UPN stemmer overens med virksomhedens brugernavn og domæne. Hvis du opdaterer UPN'et i AD DS og gerne vil synkronisere med den Microsoft Entra identitet, skal du fjerne brugerens licens i Microsoft 365, før du foretager ændringerne i AD DS.

Se også Sådan forbereder du et domæne, der ikke kan sendes fra en rute (f.eks. et .lokalt domæne), til katalogsynkronisering.

Næste trin

Når du har fuldført trin 1 til 5, skal du se Konfigurer katalogsynkronisering.