Az Outlook Live-címtárszinkronizálás üzembe helyezésének megtervezése a Live@edu szolgáltatáshoz

 

Hatókör: Live@edu

Témakör utolsó módosításának ideje: 2013-01-17

Fontos:
Az Outlook Live címtár-szinkronizálás (OLSync) a Microsoft Live@edu-felhasználóknak szánt szinkronizációs megoldás. Ha a Microsoft Office 365 nagyvállalatoknak szolgáltatás segítségével futtat felhőalapú levelezőszolgáltatást, akkor a Microsoft Online Services címtár-szinkronizálás eszközzel kell szinkronizálnia a címtárakat.

Az Outlook Live címtár-szinkronizálás (OLSync) üzembe helyezése előtt meg kell terveznie, hogy az Outlook Live beüzemelése miként fogja befolyásolni az intézményi szervezettől az Outlook Live szolgáltatás felé irányuló szinkronizálást.

Az alábbi tervezési tudnivalók elolvasása előtt feltétlenül ismerkedjen meg Az Outlook Live címtár-szinkronizálás működése a Live@edu szolgáltatás esetén című témakörben foglaltakkal. Az OLSync használatának előkészítése és üzembe helyezése előtt létfontosságú, hogy megértse az itt használt kifejezéseket, illetve azt, hogy miként történik az intézményi szervezetben már meglévő Microsoft Exchange Server-címzettek szinkronizálása az Outlook Live szolgáltatásba.

Tesztrendszer tervezése

Az üzembe helyezési terv feltétlenül tartalmazzon tesztüzemet. A kezdeti szinkronizáláshoz szükséges idő több tényezőtől is függ. Közülük valószínűleg az intézményi Active Directory tartományi szolgáltatások vagy az Active Directory címtárszolgáltatás mérete a legfontosabb. Emellett az intézményi Active Directory tartományi szolgáltatásokban vagy az Active Directoryban található címzettobjektumok száma meghatározza a karbantartandó metaverzum méretét is. A kezdeti szinkronizálást követően az Outlook Live-ot használó szervezetben számos új objektum lesz. Ha lehet, próbálja elkerülni a címtárral való teljes újraszinkronizálást és a metaverzum újraépítését.

Ezen okok miatt tervezze meg a tesztüzem címtárbeli futtatását egy kisebb méretű, tesztjellegű szervezeti egységen, mielőtt elvégezné a teljes intézményi Active Directory-erdő szinkronizálását. Az Outlook Live címtár-szinkronizálás üzembe állítása a Live@edu szolgáltatáshoz című témakörben az üzembe helyezési folyamat áttekintése szerepel. Megtudhatja belőle, hogy miként futtathatja az OLSync-megoldás tesztüzemét egy tesztfelhasználókat tartalmazó, tesztjellegű szervezeti egység használatával. Az OLSync működésének tesztelésére használható fiókok létrehozásával kapcsolatos részletes útmutatás: Intézményi szervezet előkészítése az OLSync használatához.

Az objektumok szinkronizálásának megtervezése

Az OLSync üzembe helyezése előtt döntse el, hogy mely felhasználók fogják használni az Outlook Live-ot, és hogy a későbbiekben kik használják majd esetleg az Outlook Live-ot.

Az oktatási szektorban gyakran alkalmazott megoldás az intézményi postaláda biztosítása a személyzetnek, az adminisztratív dolgozóknak és az oktatóknak, illetve Outlook Live-postaládák biztosítása a hallgatóknak. Ebben a szakaszban megvizsgáljuk, hogyan kell megtervezni ilyen rendszerben az objektumok OLSync eszközzel történő szinkronizálását.

Az Outlook Live elfogadott tartományai

Az OLSync az Outlook Live elfogadott tartományokra vonatkozó adatait használja a postaládák szinkronizálásakor és automatikus létrehozásakor.

Mint azt Az Outlook Live címtár-szinkronizálás működése a Live@edu szolgáltatás esetén című témakörből már megismerhette, az OLSync eszközzel megjelenik a létrehozási tartomány fogalma. A létrehozási tartomány a telepített Outlook Live-példány egy vagy több elfogadott tartományát jelenti. Az OLSync annak alapján határozza meg, hogy el kell-e indítani az automatikus létrehozási folyamatot, hogy a targetAddress attribútum értéke létrehozási tartomány-e. A létrehozási tartományokat az OLSync konfigurálási folyamata során kell megadni. Ha az OLSync létrehozási tartományi paraméterében olyan tartomány szerepel, amely megfelel az intézményi Active Directory tartományi szolgáltatásokban vagy az Active Directoryban megtalálható valamelyik levelezési felhasználó vagy levelezési partner targetAddress értékének, elindul a létrehozás.

Amennyiben az intézményi felhasználó egyszerű felhasználónevének tartományneve az adott címzettobjektumra nézve egyezik az Outlook Live valamely elfogadott tartományával, a létrehozás megtörténik.

Példánknál ez a következőképpen alakul: a Contoso Egyetem felhasznalo@contoso.edu SMTP-címekkel ellátott intézményi Exchange-postaládákkal rendelkezik. A cél az, hogy minden munkatársat, irodát és tanszéket ellássanak intézményi postaládákkal. A hallgatóknak az Outlook Live-ban, a hallgato.contoso.edu tartományban lesz postaládájuk.

Mit kell tenniük a Contoso Egyetem rendszergazdáinak? Az OLSync üzembe helyezése előtt konfigurálniuk kell az Outlook Live-ban a hallgato.contoso.edu tartományt Outlook Live-beli elfogadott tartományként.

A rendszergazdáknak emellett az intézményi Active Directory-erdőben másodlagos egyszerű felhasználónévi utótagot kell konfigurálniuk. Ennek az utótagnak meg kell felelnie az Outlook Live-ban beállított elfogadott tartománynak. Amikor az OLSync létrehoz egy felhasználói Microsoft-fiókot, a létrehozott felhasználó Microsoft-fiókja megegyezik az intézményi felhasználó egyszerű felhasználónevének tartományával. Az intézményi egyszerű felhasználónévnek ezért meg kell egyeznie az Outlook Live valamelyik elfogadott tartományával. Az egyszerű felhasználónévi utótagok szervezeti felvételéről az Utótag hozzáadása egyszerű felhasználónévhez című cikkben talál tájékoztatást.

Megjegyzés:   Ha egy másik SMTP-címet szeretne használni a Microsoft-fiók meghatározásához, felülírhatja ezt az alapértelmezett viselkedést. További részletek: Az OLSync kezelt felügyeleti ügynök Live@edu szolgáltatásban használható paraméterei.

Intézményi Exchange-címzettobjektumok

Mint azt Az Outlook Live címtár-szinkronizálás működése a Live@edu szolgáltatás esetén című témakörből megismerhette, az Outlook Live-ban automatikusan létrejövő Exchange-címzettobjektumok típusát az intézményi címzettobjektum típusa (felhasználó, levelezési felhasználó, postaládával rendelkező felhasználó stb.) és az objektum kapcsolódó targetAddress attribútumértéke határozza meg. Az OLSync használatával végzett szinkronizálás előtt ellenőrizze az összes intézményi Exchange-címzettobjektum beállításait, hogy az objektumok a várt módon automatikusan létrejöjjenek az Outlook Live-ban.

Az egyetemi példában alkalmazott automatikus létrehozás esetében az OLSync eszközben a hallgato.contoso.edu tartományra kell beállítani a létrehozási tartományt, a címzettobjektumokat pedig a következőképpen kell konfigurálni:

• Levelezési felhasználói objektumok:   Minden hallgatót, akinek Outlook Live-postaládára van szüksége, olyan levelezési felhasználói objektumként kell szerepeltetni a Contoso Egyetem intézményi címtárában, amelynek a targetAddress attribútuma a hallgato.contoso.edu értékre van állítva. Az egyszerű felhasználónév attribútumának értéke is legyen hallgato.contoso.edu. Ha a Contoso Egyetem megosztott névteret alkalmazna, akkor az egyszerű felhasználónév értéke contoso.edu lenne, és ugyanez lenne az elfogadott tartomány is az Outlook Live-ban.

  Azok a levelezési felhasználói objektumok, amelyek targetAddress attribútumában nincs megadva valamelyik elfogadott tartomány, olyan külső kapcsolatként szinkronizálhatók, amelyek e-mail címe megegyezik az intézményi objektum targetAddress attribútumában megadottal.

• Postaládával rendelkező felhasználói objektumok, terjesztési csoportok és dinamikus terjesztési csoportok:   Ezeket a címzettobjektumokat javasolt levelezési felhasználóként szinkronizálni az Outlook Live-ba. Az Outlook Live valamelyik elfogadott tartományának megfelelően konfigurált elsődleges SMTP-címmel bíró, az intézményben postaládával rendelkező felhasználók, terjesztési csoportok és dinamikus terjesztési csoportok Outlook Live-ba szinkronizálása levelezési felhasználókként történik. A Contoso Egyetem példájában ezek a címzettobjektumok valószínűleg az elsődleges SMTP-címen, a contoso.edu címen osztoznak. Ezért a Contoso Egyetem rendszergazdáinak a contoso.edu tartományt kell felvenniük elfogadott tartományként az Outlook Live-ban.

  Azok a postaládával rendelkező felhasználói objektumok, terjesztési csoportok és dinamikus terjesztési csoportok, amelyek elsődleges SMTP-címe nem felel meg az Outlook Live-ban elfogadott tartományok egyikének sem, külső levelezési partnerként szinkronizálódnak.

• Levelezési partnerek:   A Contoso Egyetem kétféle levelezési partnert használ az intézményi Active Directoryban. Az OLSync eszköz eltérő címzett-típusokat hoz létre az Outlook Live-ban attól függően, hogy az intézményi partner targetAddress attribútuma hogyan van beállítva, illetve hogy a targetAddress attribútum megfelel-e az Outlook Live valamelyik elfogadott tartományának. A partnerek két típusa a következő:

  • Az egyetem Microsoft Exchange vagy Active Directory rendszert nem használó egyéb karain dolgozó oktatókat és személyzetet képviselő személyek:   Ebben az esetben a partnerekhez használt tartománynév valószínűleg egyezik a Microsoft Exchange rendszerben a postaládával rendelkező felhasználókhoz használt tartománynévvel. Ebben a példában contoso.edu e-mail címek tartoznának a partnerekhez. Őket nevezzük „belső” partnereknek. Az esetleges későbbi áttelepítést figyelembe véve az ilyen partnereket ajánlott levelezési felhasználóként létrehozni az Outlook Live-ban. Ehhez a Contoso Egyetem rendszergazdáinak ügyelniük kell arra, hogy a belső partnerek által használt összes tartománynév be legyen állítva engedélyezett tartományként az Outlook Live-ban.

  • Az egyetemen kívüli külső partnereknek megfelelő személyek:   Azok a partnerek, amelyek targetAddress attribútuma nem egyezik az Outlook Live valamely elfogadott tartományával, külső partnerekként szinkronizálódnak az Outlook Live-ba. Az intézményi levelezési partnerek targetAddress attribútuma lesz az új külső levelezési partner SMTP-címe az Outlook Live-ban.

Megjegyzés:   Azoknál a szervezeteknél, ahol Active Directory tartományi szolgáltatások vagy Active Directory működik, de nincs telepítve a Microsoft Exchange 2000 Server vagy egy annál újabb verzió, az OLSync „kizárólagos Active Directory-módban” működik. Az OLSync ebben a módban a WindowsEmailAddress Active Directory-attribútumot olvassa be a targetAddress attribútum helyett.

A targetAddress attribútum és az elsődleges SMTP-cím címzettobjektumokon való beállításának módját a Intézményi szervezet előkészítése az OLSync használatához című témakör ismerteti.

A bővített és az egyéni attribútumok szinkronizálása

Az egyéni és a kiegészítő attribútumokat az alábbiak szerint kezeli az OLSync:

1. Alapértelmezett esetben az intézményi kiegészítő attribútumok (extensionAttribute1–extensionAttribute15) szinkronizálva vannak a megfelelő egyéni attribútumokkal (customAttribute1–customAttribute15) az Outlook Live-ban.

2. A több értékkel rendelkező kiegészítő attribútumokat (ExtensionCustomAttribute1–ExtensionCustomAttribute5) nem lehet szinkronizálni az intézmény és az Outlook Live között. Ehelyett írnia kell egy egyéni PowerShell-parancsprogramot, amely ezeket az attribútumokat mindkét irányba, azaz mind az intézményből, mind pedig az Outlook Live-ból szinkronizálja. Ne feledje, hogy ezek az attribútumok intézményi környezetben csak a Microsoft Exchange Server 2010 SP2-es és újabb verzióiban érhetők el.

Megosztott címterület

Az OLSync eszközzel kialakított megosztott címterület gyakorlatilag megegyezik a következő részben ismertetett helyzettel: Megosztott címterület intézményi továbbítással. Az Outlook Live felhasználóinak és az intézményi szervezeti felhasználóknak contoso.edu végződésű e-mail címük és bejelentkezési nevük van. Az összes bejövő üzenet kézbesítése először az intézményi szervezetben történik meg, és csak ezt követi az Outlook Live-ba történő átirányítás. További információ: Megosztott címterület használata az Outlook Live Live@edu szolgáltatásbeli címtár-szinkronizálása során.

Az OLSync hitelesítési stratégiájának megtervezése

Az OLSync működéséhez hozzáférés szükséges az intézményi Active Directory-erdőhöz és az Outlook Live-szervezethez. A következő rész ismerteti az OLSync eszközhöz elvégzett hitelesítést.

Intézményi szolgáltatásfiók

Amikor az OLSync csatlakozik az intézményi címtárhoz, beolvassa az adatokat, és kiszűr minden olyan adatot, amely nem Exchange-címzettobjektum. Az OLSync ezután átmásolja ezeket az objektumokat az FIM 2010 vagy az ILM 2007 ADMA összekötő területére. Az OLSync eszköznek nem csupán olvasási hozzáférésre van szüksége minden olyan tartományhoz, amely címzettobjektumokat tárol, hanem a replikációs adatokat is tudnia kell olvasni minden olyan tartományban, ahol Exchange-címzettek találhatók. Mivel az OLSync nem ír vissza az intézményi címtárba, ez egy alacsony hozzáférési szintű szolgáltatásfiók. Ez a szolgáltatásfiók egyszerű tartományi felhasználói fiók, amely az Exchange-címzetteket tároló összes tartományhoz rendelkezik Címtárváltozások replikálása szintű engedélyekkel. Az intézményi szolgáltatásfiókok létrehozásáról a következő témakörben tájékozódhat: Intézményi OLSync-szolgáltatásfiók létrehozása.

Outlook Live-hitelesítés

Az Outlook Live-val történő hitelesítéshez Microsoft-fiókot kell létrehozni és használni. Az OLSync eszköznek írási joggal kell rendelkeznie a tartomány(ok) Outlook Live-címtárpartíciójához. Ennek megfelelően a szolgáltatásfióknak adott hozzáférés sokkal magasabb szintű, mint amilyet az intézményi OLSync-szolgáltatásfiók igényel.

Létezik azonban egy szerepköralapú hozzáférés-vezérlési szerepkör (GALSynchronizationManagement), amely kifejezetten az OLSync-szolgáltatásfiókhoz kapcsolódik, így könnyen beállíthatók a szolgáltatásfiók engedélyei. Miután a saját Outlook-tartományban létrehozott egy Microsoft-fiókot valamely postaládához, hozzá kell rendelnie a felhasználóhoz a GALSynchronizationManagement szerepkört, és engedélyeznie kell a fióknak a Windows PowerShell használatát.

A szolgáltatásfiók GALSynchronizationManagement szerepkörrel megadott pontos engedélyeinek megtekintéséhez Outlook Live-rendszergazdai fiókjában futtassa az Outlook Live-tartományban a következő parancsot:

Get-ManagementRoleEntry GALSynchronizationManagement\* | ConvertTo-HTML  <path_fileName>.htm

A parancs egy weblapot hoz létre, amely tartalmazza az engedélyek felsorolását. A Microsoft-fiók létrehozásának mikéntjéről itt olvashat: OLSync-szolgáltatásfiók létrehozása a Live@edu szolgáltatáshoz készült Outlook Live-ban.

A jelszókezelés megtervezése

Az OLSync négyféle jelszókezelési megközelítést támogat, ezek mindegyike bizonyos fokig eltérő megoldást ad a jelszavak kezdeti létrehozására és a folytatólagos jelszókezelésre. A felhasználói jelszavak kezelésének megtervezésekor figyelembe kell venni mind a hosszú távú kezelést, mind a jelszavak kezdeti létrehozását, és ennek alapján kiválasztani a szervezetnek legmegfelelőbb megközelítést.

Alapértelmezett viselkedés

Az OLSync jelen verziójában a kezdeti jelszót egy FIM 2010 vagy ILM 2007 szabálykiterjesztés hozza létre az OLSync részeként. A kezdeti jelszavak beállítása a létrehozott Microsoft-fiókokon, az Outlook Live-ban történik. A Microsoft-fiók aliasát és a hozzá tartozó jelszavakat az FIM 2010- vagy ILM 2007-kiszolgáló tárolja egyszerű szöveges XML-fájlban. Rendszergazdaként el kell végeznie az ilyen kezdeti jelszavak továbbítását a felhasználók felé.

Megjegyzés

Egyéni szabálykiterjesztést is létrehozhat az FIM 2010 vagy az ILM 2007 alkalmazásban, hogy úgy alkothasson kezdeti jelszavakat, ahogy az az adott szervezetnek jobban megfelel. Másik lehetőségként kialakíthat egy olyan megoldást, amely a már létrehozott jelszót a meglévő forrásrendszerből egy attribútumérték használatával szinkronizálja a célhellyel. Az ilyen testreszabások az FIM 2010 vagy az ILM 2007 alapos ismeretét igénylik.

Alapértelmezés szerint a felhasználóknak nem kötelező a jelszó megváltoztatása, amikor első alkalommal bejelentkeznek. Az FIM 2010 vagy az ILM 2007 ResetPasswordOnFirstLogon paraméterét beállítva kötelezővé teheti a felhasználóknak, hogy első bejelentkezéskor változtassák meg a jelszavukat. További részletek: Az OLSync által kezelt felügyeleti ügynök konfigurálása.

Az alapértelmezett viselkedés esetén bejelentkezés után a felhasználók kezelik a saját jelszavukat. A Windows PowerShell eszköz használatával azonban kényszerítheti, hogy a felhasználóknak új jelszót kelljen beállítaniuk.

A jelszóváltozás-értesítési szolgáltatás

Az FIM 2010 és az ILM 2007 FP1 támogatja a jelszóváltozás-értesítési szolgáltatás (PCNS) használatát. A PCNS egy Active Directory tartományi szolgáltatásokat vagy Active Directoryt futtató tartományvezérlőn működő szolgáltatás, amely lehetővé teszi a címtárból eredő jelszóváltoztatások Outlook Live-ba propagálását.

A kezdeti jelszó szempontjából (a PCNS használata esetén) nem szükséges továbbítani a felhasználók felé az automatikusan létrehozott jelszavakat. Ehelyett elég annyit közölni a felhasználókkal, hogy változtassák meg az intézményi Active Directory-fiókjuk jelszavát. Ezt követően a PCNS változtatja meg a megfelelő Outlook Live-fiókhoz tartozó jelszót. A felhasználók ezután ugyanazzal a jelszóval jelentkezhetnek be Outlook Live-fiókjukba, mint amelyet az intézményi Active Directory-fiókjukhoz használnak.

A PCNS beállítására és konfigurálására vonatkozó további részletek: Configure Password Change Notification Service (PCNS) for use with OLSync for Live@edu.

A PCNS beállításakor csak a PCNS-hez szánt szolgáltatásfiókot használjon. Ne használja ugyanazt a szolgáltatásfiókot, mint amelyet az OLSync konfigurációjában megadott.

Egyszeri bejelentkezési portál

A Windows Live@edu szolgáltatáshoz tartozik egy SDK csomag, amely ismerteti, hogyan lehet az Outlook Live-felhasználóknak egyszeri bejelentkezési portált létrehozni. A portál a Microsoft által kiállított hitelesítő tanúsítvány használatával ad hozzáférést az Outlook Live-hoz. Miután a felhasználók hitelesítették magukat a portálon, bejelentkezhetnek az Outlook Live-ba. Az OLSync szempontjából az egyszeri bejelentkezési portál megoldása olyan ügyfeleknek ideális, akik elsődleges felhasználóhitelesítési mechanizmusként nem az Active Directory tartományi szolgáltatásokat vagy az Active Directoryt alkalmazzák. Egyéb esetben a kapcsolt összevonás vagy a PCNS szolgáltatás használata javasolt. További tájékoztatásért jelentkezzen be a Live@edu Service Management Portal webhelyre, és kattintson a Single sign-on (Egyszeri bejelentkezés) elemre.

További tudnivalók

Az Outlook Live címtár-szinkronizálás megvalósítása a Live@edu szolgáltatáshoz

• Az Outlook Live címtár-szinkronizálás működése a Live@edu szolgáltatás esetén

• Az Outlook Live-címtárszinkronizálás üzembe helyezésének megtervezése a Live@edu szolgáltatáshoz

• Az Outlook Live címtár-szinkronizálás üzembe állítása a Live@edu szolgáltatáshoz

  • Az OLSync használatára vonatkozó előfeltételek

  • Intézményi szervezet előkészítése az OLSync használatához

  • OLSync-szolgáltatásfiók létrehozása a Live@edu szolgáltatáshoz készült Outlook Live-ban

  • Intézményi OLSync-szolgáltatásfiók létrehozása

  • Az OLSync telepítőjének futtatása a Live@edu rendszerben

  • Az OLSync által kezelt felügyeleti ügynök konfigurálása

  • Az Outlook Live rendszerrel szinkronizált telephelyi szervezeti egységek megadása

  • Configure Password Change Notification Service (PCNS) for use with OLSync for Live@edu (választható)

  • Teljes OLSync-szinkronizálás végrehajtása az Outlook Live programban

  • Az OLSync és az Outlook Live közötti szinkronizálás ellenőrzése

  • Az OLSync és az Outlook Live közötti további adatszinkronizálások végrehajtása

• Az Outlook Live címtár-szinkronizálás referenciája