Felkészülés a Microsoft 365-be történő címtár-szinkronizálásra

Ez a cikk Microsoft 365 Nagyvállalati verzió és Office 365 Nagyvállalati verzió egyaránt vonatkozik.

Ha a hibrid identitásmodellt és a rendszergazdai fiókok védelmét a 2. lépésben , a felhasználói fiókokat pedig a megoldás 3. lépésében választotta, a következő feladata a címtár-szinkronizálás telepítése. A címtár-szinkronizálás előnyei a szervezet számára a következők:

• A szervezet felügyeleti programjainak csökkentése
• Az egyszeri bejelentkezés engedélyezésének lehetősége
• Fiókmódosítások automatizálása a Microsoft 365-ben

A címtár-szinkronizálás előnyeiről további információt a hibrid identitás Microsoft Entra-azonosítóval című témakörben talál.

A címtár-szinkronizáláshoz azonban tervezésre és előkészítésre van szükség annak biztosításához, hogy a Active Directory tartományi szolgáltatások (AD DS) a Microsoft 365-előfizetés Microsoft Entra bérlőjével szinkronizálja a minimális hibákkal.

A legjobb eredmény érdekében kövesse ezeket a lépéseket.

Megjegyzés:

A nem ASCII-karakterek nem szinkronizálódnak az AD DS felhasználói fiókjának attribútumaihoz.

Az AD DS előkészítése

A Microsoft 365-be való zökkenőmentes áttérés érdekében szinkronizálással elő kell készítenie az AD DS-erdőt a Microsoft 365 címtár-szinkronizálás üzembe helyezésének megkezdése előtt.

A címtár-előkészítésnek a következő feladatokra kell összpontosítania:

• Távolítsa el a duplikált proxyAddress és userPrincipalName attribútumokat.

• Frissítse az üres és érvénytelen userPrincipalName attribútumokat érvényes userPrincipalName attribútumokkal.

• Távolítsa el az érvénytelen és megkérdőjelezhető karaktereket a givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname és userPrincipalName attribútumokban. Az attribútumok előkészítésével kapcsolatos részletekért lásd: Az Azure Active Directory szinkronizálási eszköz által szinkronizált attribútumok listája.

  Megjegyzés:

  Ezek ugyanazok az attribútumok, amelyeket Microsoft Entra Connect szinkronizál.

Többerdős üzembe helyezési szempontok

Több erdőhöz és egyszeri bejelentkezéshez használja a Microsoft Entra Connect egyéni telepítését.

Ha a szervezet több erdőt is használ a hitelesítéshez (bejelentkezési erdők), a következőket javasoljuk:

• Fontolja meg az erdők összevonását. Általánosságban elmondható, hogy több erdő fenntartásához több többletterhelésre van szükség. Ha a szervezet nem rendelkezik olyan biztonsági korlátozásokkal, amelyek miatt külön erdőkre van szükség, fontolja meg a helyszíni környezet egyszerűsítését.
• Csak az elsődleges bejelentkezési erdőben használható. Fontolja meg a Microsoft 365 üzembe helyezését csak az elsődleges bejelentkezési erdőben a Microsoft 365 kezdeti bevezetéséhez.

Ha nem tudja konszolidálni a többerdős AD DS üzemelő példányát, vagy más címtárszolgáltatásokat használ az identitások kezeléséhez, akkor előfordulhat, hogy szinkronizálni tudja őket a Microsoft vagy egy partner segítségével.

További információ: Topológiák a Microsoft Entra Connecthez.

A címtár-szinkronizálástól függő szolgáltatások

A címtár-szinkronizálás a következő szolgáltatásokhoz és funkciókhoz szükséges:

• Microsoft Entra közvetlen egyszeri bejelentkezés (SSO)
• Skype egyidejű használata
• Hibrid Exchange-telepítés, beleértve a következőket:
  • Teljes körűen megosztott globális címlista (GAL) a helyszíni Exchange-környezet és a Microsoft 365 között.
  • A globális címjegyzék adatainak szinkronizálása különböző levelezőrendszerekből.
  • Felhasználók hozzáadása és eltávolítása a Microsoft 365 szolgáltatásajánlataiból. Ehhez a következőkre van szükség:
    • A címtár-szinkronizálás beállításakor kétirányú szinkronizálást kell konfigurálni. Alapértelmezés szerint a címtár-szinkronizálási eszközök csak a felhőbe írnak címtáradatokat. A kétirányú szinkronizálás konfigurálásakor engedélyezi a visszaírási funkciót, így a rendszer korlátozott számú objektumattribútumot másol a felhőből, majd visszaírja őket a helyi AD DS-be. A visszaírást hibrid Exchange-módnak is nevezik.
  • Helyszíni Hibrid Exchange-telepítés.
  • Lehetőség van arra, hogy egyes felhasználói postaládákat a Microsoft 365-be helyezzen át, miközben a többi felhasználói postaládát a helyszínen tartja.
  • A megbízható és a letiltott feladók a helyszínen replikálódnak a Microsoft 365-be.
  • Az e-mailek egyszerű delegálása és meghatalmazásos küldése.
  • Integrált helyszíni intelligens kártyával vagy többtényezős hitelesítési megoldással rendelkezik.
• Fényképek, miniatűrök, konferenciatermek és biztonsági csoportok szinkronizálása

1. Címtárkarbantartási feladatok

Mielőtt szinkronizálná az AD DS-t a Microsoft Entra bérlővel, törölnie kell az AD DS-t.

Fontos

Ha a szinkronizálás előtt nem hajtja végre az AD DS-tisztítást, az jelentős negatív hatással lehet az üzembehelyezési folyamatra. A címtár-szinkronizálás ciklusának, a hibák azonosításának és az újraszinkronizálásnak a végrehajtása napokba vagy akár hetekbe is telhet.

Az AD DS-ben végezze el az alábbi tisztítási feladatokat minden olyan felhasználói fiókhoz, amelyhez Microsoft 365-licenc lesz hozzárendelve:

1. Ellenőrizze, hogy érvényes és egyedi e-mail-cím szerepel-e a proxyAddresses attribútumban.

2. Távolítsa el az ismétlődő értékeket a proxyAddresses attribútumból.

3. Ha lehetséges, adjon meg érvényes és egyedi értéket a userPrincipalName attribútumhoz a felhasználó felhasználói objektumában. A legjobb szinkronizálási élmény érdekében győződjön meg arról, hogy az AD DS UPN megegyezik a Microsoft Entra UPN-rel. Ha egy felhasználónak nincs értéke a userPrincipalName attribútumhoz, akkor a felhasználói objektumnak érvényes és egyedi értéket kell tartalmaznia az sAMAccountName attribútumhoz. Távolítsa el az ismétlődő értékeket a userPrincipalName attribútumból.

4. A globális címlista (GAL) optimális használatához győződjön meg arról, hogy az AD DS felhasználói fiók következő attribútumai helyesek:

   • givenName
   • Vezetéknév
   • kijelzőNév
   • Beosztás
   • Department
   • Office
   • Irodai telefon
   • Mobiltelefon
   • Faxszám
   • Utcacím
   • Város
   • Megye
   • Irányítószám
   • Ország vagy régió

2. Címtárobjektumok és attribútumok előkészítése

Az AD DS és a Microsoft 365 közötti sikeres címtár-szinkronizáláshoz megfelelően kell előkészíteni az AD DS-attribútumokat. Gondoskodnia kell például arról, hogy bizonyos karakterek ne legyenek használva bizonyos, a Microsoft 365-környezettel szinkronizált attribútumokban. A váratlan karakterek miatt a címtár-szinkronizálás nem hiúsul meg, de előfordulhat, hogy figyelmeztetést ad vissza. Az érvénytelen karakterek miatt a címtár-szinkronizálás meghiúsul.

A címtár-szinkronizálás akkor is meghiúsul, ha néhány AD DS-felhasználó egy vagy több duplikált attribútummal rendelkezik. Minden felhasználónak egyedi attribútumokkal kell rendelkeznie.

Az előkészíteni kívánt attribútumok itt találhatók:

• kijelzőNév

  • Ha az attribútum létezik a felhasználói objektumban, akkor a rendszer szinkronizálja a Microsoft 365-öt.
  • Ha ez az attribútum létezik a felhasználói objektumban, akkor értéknek kell lennie. Ez azt jelzi, hogy az attribútum nem lehet üres.
  • Karakterek maximális száma: 256

• givenName

  • Ha az attribútum létezik a felhasználói objektumban, az szinkronizálva van a Microsoft 365-zel, de a Microsoft 365 nem igényli vagy nem használja.
  • Karakterek maximális száma: 64

• mail

  • Az attribútum értékének egyedinek kell lennie a könyvtáron belül.

    Megjegyzés:

    Ismétlődő értékek esetén a rendszer szinkronizálja az első, értékkel rendelkező felhasználót. A további felhasználók nem jelennek meg a Microsoft 365-ben. Ahhoz, hogy mindkét felhasználó megjelenjen a Microsoft 365-ben, módosítania kell az értéket a Microsoft 365-ben, vagy mindkét értéket módosítania kell az AD DS-ben.

• mailNickname (Exchange alias)

  • Az attribútum értéke nem kezdődhet ponttal (.).

  • Az attribútum értékének egyedinek kell lennie a könyvtáron belül.

    Megjegyzés:

    A szinkronizált név aláhúzásjelei ("_") azt jelzik, hogy az attribútum eredeti értéke érvénytelen karaktereket tartalmaz. Az attribútummal kapcsolatos további információkért lásd: Exchange aliasattribútum.

• proxyAddresses

  • Többértékű attribútum

  • Karakterek maximális száma értékenként: 256

  • Az attribútum értéke nem tartalmazhat szóközt.

  • Az attribútum értékének egyedinek kell lennie a könyvtáron belül.

  • Érvénytelen karakterek: <> ( ) ; , [ ] "

  • A mellékjelekkel (például umlauts, accents és tildes) rendelkező betűk érvénytelen karakterek.

    Az érvénytelen karakterek az elválasztó és a ":" karaktert követő karakterekre vonatkoznak, így az SMTP:User@contso.com engedélyezett, de az SMTP:felhasználó:M@contoso.com nem.

    Fontos

    Minden Smtp-címnek meg kell felelnie az e-mail üzenetküldési szabványoknak. Távolítsa el a duplikált vagy nemkívánatos címeket, ha léteznek.

• sAMAccountName

  • Karakterek maximális száma: 20
  • Az attribútum értékének egyedinek kell lennie a könyvtáron belül.
  • Érvénytelen karakterek: [ \ " | , / : <> + = ; ? * ']
  • Ha egy felhasználó érvénytelen sAMAccountName attribútummal rendelkezik, de érvényes userPrincipalName attribútummal rendelkezik, a felhasználói fiók a Microsoft 365-ben jön létre.
  • Ha az sAMAccountName és a userPrincipalName is érvénytelen, az AD DS userPrincipalName attribútumát frissíteni kell.

• sn (vezetéknév)

  • Ha az attribútum létezik a felhasználói objektumban, az szinkronizálva van a Microsoft 365-zel, de a Microsoft 365 nem igényli vagy nem használja.

• Targetaddress

  A felhasználó számára feltöltött targetAddress attribútumnak (például SMTP:tom@contoso.com) meg kell jelennie a Microsoft 365 globális címlistán. Külső üzenetkezelési migrálási forgatókönyvekben ehhez a Microsoft 365 sémabővítményre lenne szükség az AD DS-hez. A Microsoft 365 sémabővítmény további hasznos attribútumokat is hozzáadna az AD DS címtár-szinkronizálási eszközével feltöltött Microsoft 365-objektumok kezeléséhez. A rejtett postaládák vagy terjesztési csoportok kezelésére szolgáló msExchHideFromAddressLists attribútum például hozzáadódik.

  • Karakterek maximális száma: 256
  • Az attribútum értéke nem tartalmazhat szóközt.
  • Az attribútum értékének egyedinek kell lennie a könyvtáron belül.
  • Érvénytelen karakterek: \ <> ( ) ; , [ ] "
  • Minden Smtp-címnek meg kell felelnie az e-mail üzenetküldési szabványoknak.

• userPrincipalName

  • A userPrincipalName attribútumnak internetes bejelentkezési formátumban kell lennie, ahol a felhasználónevet a at sign (@) és egy tartománynév követi: például user@contoso.com. Minden Smtp-címnek meg kell felelnie az e-mail üzenetküldési szabványoknak.
  • A userPrincipalName attribútum karaktereinek maximális száma 113. A at jel (@) előtt és után adott számú karakter engedélyezett, az alábbiak szerint:
  • A at jel (@) előtt található felhasználónév karaktereinek maximális száma: 64
  • A tartománynév karaktereinek maximális száma a at (@) jel után: 48
  • Érvénytelen karakterek: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
  • Engedélyezett karakterek: A – Z, a – z, 0 – 9, ' . - _ ! # ^ ~
  • A mellékjelekkel (például umlauts, accents és tildes) rendelkező betűk érvénytelen karakterek.
  • A @ karaktert minden userPrincipalName értékben meg kell adni.
  • A @ karakter nem lehet az első karakter az egyes userPrincipalName értékekben.
  • A felhasználónév nem végződhet ponttal (.), jellel (&), szóközzel vagy at jellel (@).
  • A felhasználónév nem tartalmazhat szóközt.
  • Irányítható tartományokat kell használni; például helyi vagy belső tartományok nem használhatók.
  • A Unicode aláhúzásjelekké lesz konvertálva.
  • A userPrincipalName nem tartalmazhat ismétlődő értékeket a könyvtárban.

3. Készítse elő a userPrincipalName attribútumot

Az Active Directory úgy lett kialakítva, hogy a szervezet végfelhasználói sAMAccountName vagy userPrincipalName használatával jelentkezzenek be a címtárba. Hasonlóképpen, a végfelhasználók munkahelyi vagy iskolai fiókjuk egyszerű felhasználóneve (UPN) használatával jelentkezhetnek be a Microsoft 365-be. A címtár-szinkronizálás az AD DS-ben található egyszerű felhasználónévvel próbál új felhasználókat létrehozni Microsoft Entra azonosítóban. Az egyszerű felhasználónév e-mail-címként van formázva.

A Microsoft 365-ben az egyszerű felhasználónév az e-mail-cím létrehozásához használt alapértelmezett attribútum. Könnyen lekérhető a userPrincipalName (az AD DS-ben és az Microsoft Entra-azonosítóban) és a proxyAddresses elsődleges e-mail-címe különböző értékekre van állítva. Ha különböző értékekre vannak beállítva, a rendszergazdák és a végfelhasználók zavarba keverhetik őket.

Ezeket az attribútumokat érdemes igazítani a keveredés csökkentése érdekében. Az Active Directory összevonási szolgáltatások (AD FS) (AD FS) 2.0-s verziójával történő egyszeri bejelentkezés követelményeinek teljesítéséhez meg kell győződnie arról, hogy az Microsoft Entra id és az AD DS egyszerű felhasználónevei egyeznek, és érvényes tartománynévteret használnak.

4. Alternatív UPN-utótag hozzáadása az AD DS-hez

Előfordulhat, hogy fel kell vennie egy alternatív UPN-utótagot a felhasználó vállalati hitelesítő adatainak a Microsoft 365-környezethez való társításához. Az UPN-utótag a @ karakter jobb oldalán lévő UPN része. Az egyszeri bejelentkezéshez használt egyszerű felhasználónév betűket, számokat, pontokat, kötőjeleket és aláhúzásjeleket tartalmazhat, más típusú karaktereket azonban nem.

További információ arról, hogyan adhat hozzá alternatív UPN-utótagot az Active Directoryhoz: Felkészülés a címtár-szinkronizálásra.

5. Az AD DS UPN és a Microsoft 365 UPN egyeztetése

Ha már beállította a címtár-szinkronizálást, előfordulhat, hogy a felhasználó Microsoft 365-ös UPN-je nem egyezik meg az AD DS-ben definiált AD DS UPN-ével. Ez a feltétel akkor fordulhat elő, ha egy felhasználóhoz a tartomány ellenőrzése előtt licencet rendeltek. A probléma megoldásához a PowerShell használatával javítsa ki a duplikált UPN-t a felhasználó egyszerű felhasználóneve frissítéséhez, hogy a Microsoft 365 egyszerű felhasználóneve megegyezhessen a vállalati felhasználónévvel és tartománnyal. Ha frissíti az UPN-t az AD DS-ben, és szinkronizálni szeretné az Microsoft Entra identitással, el kell távolítania a felhasználó licencét a Microsoft 365-ben, mielőtt az AD DS-ben módosításokat végezne.

Lásd még: Nem irányítható tartomány (például .local tartomány) előkészítése a címtár-szinkronizáláshoz.

Következő lépések

Az 1–5. lépés elvégzése után lásd: Címtár-szinkronizálás beállítása.