Felhasználói azonosítók tervezése szakaszos Exchange áttelepítésben
Hatókör: Office 365 for enterprises
Témakör utolsó módosításának ideje: 2011-11-23
Szakaszos Exchange áttelepítés használatához a felhasználóobjektumokat a helyszíni Active Directory címtárszolgáltatásból a felhő alapú e-mail szervezetbe kell replikálnia. Ennek a(z) Microsoft Office 365 nagyvállalatoknak alkalmazásban való végrehajtásához telepítenie kell a Microsoft Online Services Címtár-szinkronizálási eszközét.
A szakaszos Exchange áttelepítés Office 365 nagyvállalatoknak alkalmazásban történő végrehajtásának tervezésekor megfontolandó szempontok
A Címtár-szinkronizálási eszköz speciális követelményekkel rendelkezik a felhasználói azonosítók felhőben történő kezelésére vonatkozóan. Tekintsük meg ezen követelmények vonatkozásait a szakaszos Exchange áttelepítés megtervezésekor.
A címtár-szinkronizálási folyamat a felhőre replikálja a helyszíni Active Directory-felhasználóobjektumokat, ahol új, megfelelő levelezési felhasználókat hoz létre. A szakaszolt Exchange-áttelepítés során ezeket a levelezési felhasználókat a rendszer postaládákká konvertálja. Miután az áttelepítési folyamat létrehozta a felhasználó postaládáját, a címtár-szinkronizálási folyamat folytatja a felhasználói attribútumok frissítését a felhőalapú postaládán a helyszíni Active Directory címtárban végrehajtott módosítások alapján. A címtár-szinkronizálási folyamat által létrehozott felhasználók és postaládák tulajdonságai még az Exchange Online rendszergazdák számára is csak olvashatók.
Egy szakaszolt Exchange-áttelepítés után azonban inaktívvá teheti a címtár-szinkronizálást, így képes lesz módosítani a felhasználói attribútumokat az Office 365 és az Exchange Online eszközei segítségével.
Fontos tudni, hogy hosszú távon a felhasználói fiókok kezelését a helyszíni Active Directory címtárból vagy az Office 365 címtárból fogja tudni végezni, az után is, hogy szakaszos Exchange-áttelepítést futtatott annak érdekében, hogy a postafiók adatait az intézményi Exchange szervezetből a felhőbe helyezze át. Ez azt jelenti, hogy el kell döntenie, hogyan kívánja kezelni a felhasználói azonosítókat a szakaszos Exchange áttelepítés után.
A felhasználói azonosítók kétféleképpen kezelhetők a helyszíni Active Directory címtárból:
Felügyelt azonosítók
Azonosító-összevonás egyszeri bejelentkezéshez
Felügyelt azonosítók
Amikor a címtár-szinkronizálási folyamat levelezési felhasználókat hoz létre a felhőben, ugyanazzal az egyszerű felhasználónévvel (UPN) (név@contoso.com) hozza létre azokat, amely a helyszíni Active Directory címtár forrás-felhasználóobjektumán szerepel. Alapértelmezés szerint azonban a felhő jelszavai és a helyszíni UPN nincs szinkronizálva.
A felhasználóiazonosító-kezelés ezen típusa, amelyben a felhőalapú UPN a helyszíni Active Directory forrásfiókból származik és amelyben az alapul szolgáló hitelesítési mechanizmusok nincsenek összevonva, az úgynevezett felügyelt azonosító. Címtár-szinkronizálás futtatásakor alapértelmezés szerint felügyelt azonosítók jönnek létre.
A felügyelt azonosítók használata kis szervezetek esetében ideális, ahol a rendszergazdák megtaníthatják a viszonylag kevés felhasználónak, hogy különböző hitelesítő adatokat használjanak a helyszíni címtárhoz és a felhőhöz. A nagyméretű szervezetek számára azonban ezen módszer használatához valószínűleg túl sok ügyfélszolgálati támogatásra lenne szükség.
Azonosító-összevonás egyszeri bejelentkezéshez
A nagyobb szervezetek számára az Active Directory Federation Services 2.0 (AD FS 2.0) telepítése ajánlott az egyszeri bejelentkezés (SSO) engedélyezéséhez. Az egyszeri bejelentkezéssel a felhasználók meglévő Active Directory hitelesítő adataikkal férhetnek hozzá az e-mailekhez és egyéb szolgáltatásokhoz a(z) Office 365 nagyvállalatoknak alkalmazásban. Az azonosítókezelés ezen típusa az úgynevezett azonosító-összevonás.
Amikor azonosító-összevonást használ az egyszeri bejelentkezéshez, felhasználókat hozhat létre a helyi Active Directory címtárban, a jelenlegi módon állíthatja be a jelszavukat, és a megfelelő felhő alapú felhasználók a meglévő Active Directory hitelesítő adataikat használhatják a hitelesítéshez. Némi kezdeti költséggel jár az AD FS infrastruktúra helyszíni telepítése, de a nagyobb szervezetek számára a felhasználókezelés hosszú távú költsége alacsonyabb a felügyelt azonosítók fenntartási költségénél.
Bár a szakaszos Exchange áttelepítés futtatása után is telepítheti az AD FS és az SSO eszközöket, ajánlott az AD FS eszköz a címtár-szinkronizálási eszközök telepítése és konfigurálása előtti telepítése. Az SSO a(z) Office 365 nagyvállalatoknak alkalmazásban történő telepítésével kapcsolatos további információkért lásd: Egyszeri bejelentkezés előkészítése (előfordulhat, hogy a lap angol nyelven jelenik meg).
A szakaszos Exchange áttelepítés futtatásával kapcsolatos információkért lásd: A postaládák egy részének áttelepítése a felhőalapú rendszerbe szakaszolt Exchange-áttelepítéssel.
Egyes szervezetek esetében a szakaszolt Exchange-áttelepítés csak egyik eleme a felhőbe történő teljes áttelepítésnek. Némely szervezetek esetleg szeretnék elválasztani a felhőalapú szervezetet a helyszíni szervezettől, vagy szeretnék teljes mértékben kivonni helyszíni Active Directory címtárukat. A felhasználói azonosítókat és felhőalapú postaládákat mindkét esetben az Office 365 és az Exchange Online eszközeivel kell kezelni. Ahogy az már említésre került, lehetséges a címtár-szinkronizálás inaktiválása, és utána a felhasználói azonosítók kezelése az Office 365 alkalmazásban. További információ: