Share via

הכנה לסינכרון מדריכי כתובות עם Microsoft 365

  • מאמר

מאמר זה חל הן על Microsoft 365 Enterprise והן Office 365 Enterprise.

אם בחרת במודל הזהות ההיברידית ובהגנה שהוגדרה עבור חשבונות מנהל מערכת בשלב 2 ובחשבונות משתמשים בשלב 3 של פתרון זה, המשימה הבאה שלך היא לפרוס סינכרון מדריכי כתובות. היתרונות של סינכרון מדריכי כתובות עבור הארגון שלך כוללים:

  • צמצום תוכניות הניהול בארגון שלך
  • אפשר תרחיש כניסה יחידה
  • הפיכת שינויים בחשבון לאוטומטיים ב- Microsoft 365

לקבלת מידע נוסף אודות היתרונות של שימוש בסינכרון מדריכי כתובות, ראה זהות היברידית עם Microsoft Entra זהה.

עם זאת, סינכרון מדריכי כתובות דורש תכנון והכנה כדי להבטיח שה- Active Directory Domain Services (AD DS) שלך יסונכרן עם דייר Microsoft Entra של מנוי Microsoft 365 שלך עם מינימום שגיאות.

בצע שלבים אלה כדי לקבל את התוצאות הטובות ביותר.

הערה

תווים שאינם ASCII אינם מסתנכרנים עבור תכונות בחשבון המשתמש של AD DS.

הכנת AD DS

כדי להבטיח מעבר חלק ל- Microsoft 365 באמצעות סינכרון, עליך להכין את יער AD DS לפני שתתחיל את פריסת סינכרון מדריכי הכתובות של Microsoft 365.

הכנת מדריך הכתובות שלך אמורה להתמקד במשימות הבאות:

  • הסר תכונות proxyAddress ו - userPrincipalName כפולות.

  • עדכן תכונות userPrincipalName ריקות ולא חוקיות בתכונות חוקיות של userPrincipalName .

  • הסר תווים לא חוקיים ומשאליים בתכונות givenName, שם משפחה ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname ו- userPrincipalName . לקבלת פרטים אודות הכנת תכונות, ראה רשימת תכונות המסונכרנות באמצעות כלי הסינכרון של Azure Active Directory.

    הערה

    אלה הן אותן תכונות ש- Microsoft Entra Connect מסתנכרנת.

שיקולי פריסה מרובי יערות

עבור יערות ואפשרויות SSO מרובים, השתמש בהתקנה מותאמת אישית של Microsoft Entra התחבר.

אם לארגון שלך יש יערות מרובים לאימות (יערות כניסה), מומלץ מאוד לבצע את הפעולות הבאות:

  • שקול לאחד את היערות שלך. באופן כללי, נדרשת התקורה יותר כדי לשמור על יערות מרובים. אלא אם לארגון שלך יש אילוצי אבטחה שמכתיבים את הצורך ביערות נפרדים, שקול לפשט את הסביבה המקומית שלך.
  • השתמש רק ביער הכניסה הראשי שלך. שקול לפרוס את Microsoft 365 רק ביער הכניסה הראשי שלך עבור הפריסה הראשונית של Microsoft 365.

אם אינך מצליח לאחד את פריסת AD DS מרובת היערים או אם אתה משתמש בשירותים אחרים של מדריך כתובות כדי לנהל זהויות, ייתכן שתוכל לסנכרן אותן בעזרת Microsoft או עם שותף.

ראה טופולוגיות לקבלת Microsoft Entra התחבר לקבלת מידע נוסף.

תכונות התלויות בסינכרון מדריכי כתובות

סינכרון מדריכי כתובות נדרש עבור התכונות והפונקציונליות הבאות:

  • Microsoft Entra חלקה של כניסה יחידה (SSO)
  • דו-קיום של Skype
  • פריסה היברידית של Exchange, כולל:
    • רשימת כתובות כללית (GAL) משותפת במלואה בין סביבת Exchange המקומית שלך לבין Microsoft 365.
    • מסנכרן מידע GAL ממערכות דואר שונות.
    • היכולת להוסיף משתמשים ולהסיר משתמשים מהצעות שירות של Microsoft 365. פעולה זו דורשת את הפעולות הבאות:
      • יש לקבוע את התצורה של סינכרון דו-כיווני במהלך הגדרת סינכרון מדריכי כתובות. כברירת מחדל, כלי סינכרון מדריכי כתובות כותבים מידע מדריך כתובות בענן בלבד. בעת קביעת תצורה של סינכרון דו-כיווני, אתה מאפשר פונקציונליות של כתיבה חוזרת כך שמספר מוגבל של תכונות אובייקט יועתק מהענן ולאחר מכן יכתב אותן בחזרה ל- AD DS המקומי. כתיבה חוזרת נקראת גם מצב היברידי של Exchange.
    • פריסה היברידית מקומית של Exchange.
    • היכולת להעביר תיבות דואר מסוימות של משתמשים ל- Microsoft 365 תוך שמירה על תיבות דואר מקומיות אחרות של משתמשים.
    • שולחים בטוחים ושולחים חסומים מקומיים משוכפלים ל- Microsoft 365.
    • פונקציונליות בסיסית של הקצאה ושליחה בשם דואר אלקטרוני.
    • יש לך כרטיס חכם מקומי משולב או פתרון אימות רב גורמי.
  • סינכרון תמונות, תמונות ממוזערות, חדרי ישיבות וקבוצות אבטחה

1. משימות ניקוי מדריך כתובות

לפני שתסנכרן את AD DS עם Microsoft Entra שלך, עליך לנקות את AD DS.

חשוב

אם לא תבצע ניקוי AD DS לפני הסינכרון, הדבר עלול להוביל להשפעה שלילית משמעותית על תהליך הפריסה. ייתכן שיחלפו ימים, או אפילו שבועות, כדי לעבור את מחזור סינכרון מדריכי הכתובות, זיהוי שגיאות וסינכרון מחדש.

ב- AD DS, השלם את משימות ניקוי הבאות עבור כל חשבון משתמש שהוקצה לו רשיון Microsoft 365:

  1. ודא כתובת דואר אלקטרוני חוקית וייחודית בתכונה proxyAddresses .

  2. הסר ערכים כפולים בתכונה proxyAddresses .

  3. במידת האפשר, ודא ערך חוקי וייחודי עבור התכונה userPrincipalName באובייקט המשתמש של המשתמש. לקבלת חוויית הסינכרון הטובה ביותר, ודא שה- UPN של AD DS תואם Microsoft Entra UPN. אם למשתמש אין ערך עבור התכונה userPrincipalName, אובייקט המשתמש חייב להכיל ערך חוקי וייחודי עבור התכונה sAMAccountName. הסר ערכים כפולים בתכונה userPrincipalName .

  4. לשימוש מיטבי ברשימת הכתובות הכללית (GAL), ודא שהמידע בתכונות הבאות של חשבון המשתמש של AD DS נכון:

    • שם נתון
    • שם משפחה
    • שם תצוגה (displayName)
    • תפקיד
    • Department
    • Office
    • טלפון במשרד
    • טלפון נייד
    • מספר פקס
    • כתובת רחוב
    • עיר
    • מדינה או מחוז
    • מיקוד
    • מדינה או אזור

2. הכנת אובייקטים ותכונות של מדריך הכתובות

סינכרון מוצלח של מדריכי כתובות בין AD DS ל- Microsoft 365 דורש שתכונות AD DS יהיו מוכנות כראוי. לדוגמה, עליך לוודא שלא נעשה שימוש בתווים ספציפיים בתכונות מסוימות המסונכרנות עם סביבת Microsoft 365. תווים לא צפויים אינם עשויים לגרום לכשל בסינכרון מדריכי הכתובות, אך הם עשויים להחזיר אזהרה. תווים לא חוקיים תגרום לכשל של סינכרון מדריכי כתובות.

סינכרון מדריכי כתובות ייכשל גם אם לחלק ממשתמשי AD DS יש תכונה כפולה אחת או יותר. לכל משתמש חייבות להיות תכונות ייחודיות.

התכונות שעליך להכין מפורטות כאן:

  • שם תצוגה (displayName)

    • אם התכונה קיימת באובייקט המשתמש, היא מסונכרנת עם Microsoft 365.
    • אם תכונה זו קיימת באובייקט המשתמש, חייב להיות ערך עבורה. לדוגמה, התכונה אינה יכולה להיות ריקה.
    • מספר התווים המרבי: 256

  • שם נתון

    • אם התכונה קיימת באובייקט המשתמש, היא מסונכרנת עם Microsoft 365, אך Microsoft 365 אינו דורש אותה או משתמש בה.
    • מספר התווים המרבי: 64

  • mail

    • ערך התכונה חייב להיות ייחודי בתוך הספריה.

      הערה

      אם קיימים ערכים כפולים, המשתמש הראשון עם הערך מסונכרן. המשתמשים הבאים לא יופיעו ב- Microsoft 365. עליך לשנות את הערך ב- Microsoft 365 או לשנות את שני הערכים ב- AD DS כדי ששני המשתמשים יופיעו ב- Microsoft 365.

  • mailNickname (כינוי Exchange)

    • ערך התכונה אינו יכול להתחיל בנקודה (.).

    • ערך התכונה חייב להיות ייחודי בתוך הספריה.

      הערה

      מקף תחתון ("_") בשם המסונכרן מציין שהערך המקורי של תכונה זו מכיל תווים לא חוקיים. לקבלת מידע נוסף אודות תכונה זו, ראה תכונת כינוי Exchange.

  • כתובות Proxy

    • תכונה מרובת ערכים

    • מספר התווים המרבי לכל ערך: 256

    • ערך התכונה אינו יכול להכיל רווח.

    • ערך התכונה חייב להיות ייחודי בתוך הספריה.

    • תווים לא חוקיים: <> ( ) ; , [ ] "

    • אותיות עם סימני ניקוד, כגון umlauts, הדגשה ותליות, הן תווים לא חוקיים.

      התווים הלא חוקיים חלים על התווים הבאים אחרי מפריד הסוג ו- ":", כך ש- SMTP:User@contso.com מותר, אך SMTP:user:M@contoso.com אינו מותר.

      חשוב

      כל הכתובות של Simple Mail Transport Protocol (SMTP) צריכות לציית לתקני העברת הודעות דואר אלקטרוני. הסר כתובות כפולות או לא רצויות אם הן קיימות.

  • sAMAccountName

    • מספר התווים המרבי: 20
    • ערך התכונה חייב להיות ייחודי בתוך הספריה.
    • תווים לא חוקיים: [ \ " | , / : <> + = ; ? * ']
    • אם למשתמש יש תכונת sAMAccountName לא חוקית אך יש לו תכונת userPrincipalName חוקית, חשבון המשתמש נוצר ב- Microsoft 365.
    • אם גם sAMAccountName וגםuserPrincipalName אינם חוקיים, יש לעדכן את התכונה userPrincipalName של AD DS.

  • sn (שם משפחה)

    • אם התכונה קיימת באובייקט המשתמש, היא מסונכרנת עם Microsoft 365, אך Microsoft 365 אינו דורש אותה או משתמש בה.

  • כתובת יעד

    הוא נדרש שהתכונה targetAddress (לדוגמה, SMTP:tom@contoso.com) המאוכלסת עבור המשתמש חייבת להופיע ברשימת ה- GAL של Microsoft 365. בתרחישי העברת הודעות של ספקים חיצוניים, פעולה זו תדרוש את הרחבת הסכימה של Microsoft 365 עבור AD DS. הרחבת הסכימה של Microsoft 365 תוסיף גם תכונות שימושיות אחרות לניהול אובייקטים של Microsoft 365 המאוכלסים באמצעות כלי סינכרון מדריכי כתובות מ- AD DS. לדוגמה, התכונה msExchHideFromAddressLists לניהול תיבות דואר או קבוצות תפוצה מוסתרות תתווסף.

    • מספר התווים המרבי: 256
    • ערך התכונה אינו יכול להכיל רווח.
    • ערך התכונה חייב להיות ייחודי בתוך הספריה.
    • תווים לא חוקיים: \ <> ( ) ; , [ ] "
    • כל הכתובות של Simple Mail Transport Protocol (SMTP) צריכות לציית לתקני העברת הודעות דואר אלקטרוני.

  • userPrincipalName

    • התכונה userPrincipalName חייבת להיות בתבנית הכניסה בסגנון האינטרנט, ואחריה שם המשתמש מופיע סימן at (@) ושם תחום: לדוגמה, user@contoso.com. כל הכתובות של Simple Mail Transport Protocol (SMTP) צריכות לציית לתקני העברת הודעות דואר אלקטרוני.
    • מספר התווים המרבי עבור התכונה userPrincipalName הוא 113. מספר תווים ספציפי מותר לפני ואחרי סימן at (@), באופן הבא:
    • מספר התווים המרבי עבור שם המשתמש הנמצא לפני סימן at (@): 64
    • מספר התווים המרבי עבור שם התחום לאחר סימן at (@): 48
    • תווים לא חוקיים: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • תווים מותרים: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
    • אותיות עם סימני ניקוד, כגון umlauts, הדגשה ותליות, הן תווים לא חוקיים.
    • התו @ נדרש בכל ערך userPrincipalName .
    • התו @ אינו יכול להיות התו הראשון בכל ערך userPrincipalName .
    • שם המשתמש אינו יכול להסתיים בנקודה (.), באמפרסנד (&), ברווח או בסימן at (@).
    • שם המשתמש אינו יכול להכיל רווחים.
    • יש להשתמש תחומים הניתנים לניתוב; לדוגמה, לא ניתן להשתמש בתחום מקומי או פנימי.
    • Unicode מומר לתווי מקף תחתון.
    • userPrincipalName אינו יכול להכיל ערכים כפולים במדריך הכתובות.

3. הכנת התכונה userPrincipalName

Active Directory נועד לאפשר למשתמשי הקצה בארגון להיכנס למדריך הכתובות שלך באמצעות sAMAccountName או userPrincipalName. באופן דומה, משתמשי קצה יכולים להיכנס ל- Microsoft 365 באמצעות השם הראשי של המשתמש (UPN) של החשבון שלהם בעבודה או בבית הספר. סינכרון מדריכי כתובות מנסה ליצור Microsoft Entra חדש ב- Microsoft Entra באמצעות אותו UPN שמופיע ב- AD DS שלך. ה- UPN מעוצב כמו כתובת דואר אלקטרוני.

ב- Microsoft 365, ה- UPN הוא תכונת ברירת המחדל המשמשת ליצירת כתובת הדואר האלקטרוני. קל לקבל userPrincipalName (ב- AD DS וב- Microsoft Entra) ואת כתובת הדואר האלקטרוני הראשית ב- proxyAddresses המוגדרת לערכים שונים. כאשר הם מוגדרים לערכים שונים, ייתכן שיש בלבול עבור מנהלי מערכת ומשתמשי קצה.

מומלץ ליישר תכונות אלה כדי להפחית את הבלבול. כדי לעמוד בדרישות של כניסה יחידה עם Active Directory Federation Services (AD FS) 2.0, עליך לוודא ששמות ה- UPN במזהה Microsoft Entra וב- AD DS תואמים ושבהם משתמשים מרחב שמות חוקי של תחום.

4. הוספת סיומת UPN חלופית ל- AD DS

ייתכן שיהיה עליך להוסיף סיומת UPN חלופית כדי לשייך את אישורי הארגון של המשתמש לסביבת Microsoft 365. סיומת UPN היא החלק של UPN משמאל לתו @. UPNs המשמשות לכניסה יחידה יכולות להכיל אותיות, מספרים, נקודות, מקפים ומקפים תחתונים, אך לא סוגים אחרים של תווים.

לקבלת מידע נוסף אודות אופן ההוספה של סיומת UPN חלופית ל- Active Directory, ראה הכנה לסינכרון מדריכי כתובות.

5. התאם את AD DS UPN ל- UPN של Microsoft 365

אם כבר הגדרת סינכרון מדריכי כתובות, ייתכן שה- UPN של המשתמש עבור Microsoft 365 אינו תואם ל- UPN של AD DS המוגדר ב- AD DS של המשתמש. תנאי זה עשוי להתרחש כאשר הוקצה למשתמש רשיון לפני אימות התחום. כדי לתקן זאת, השתמש ב- PowerShell כדי לתקן UPN כפול כדי לעדכן את ה- UPN של המשתמש כדי להבטיח שה- UPN של Microsoft 365 תואם לשם המשתמש ולתחום הארגוניים. אם אתה מעדכן את ה- UPN ב- AD DS וברצונך שהוא יסונכרן עם זהות Microsoft Entra, עליך להסיר את רשיון המשתמש ב- Microsoft 365 לפני ביצוע השינויים ב- AD DS.

ראה גם כיצד להכין תחום שאינו ניתן לניתוב (כגון תחום .local) לסינכרון מדריכי כתובות.

השלבים הבאים

לאחר השלמת שלבים 1 עד 5, ראה הגדרת סינכרון מדריכי כתובות.