Condividi tramite

Mapping delle identità tra tenant (anteprima)

Importante

La migrazione da tenant a tenant è attualmente disponibile in anteprima. Le funzionalità e la disponibilità possono cambiare prima della disponibilità generale.

Cross Tenant Identity Mapping (CTIM) è uno strumento Microsoft progettato per semplificare e automatizzare il processo di mapping delle identità utente tra tenant di origine e di destinazione. Questo mapping garantisce che i dati, le autorizzazioni e le esperienze utente rimangano coerenti durante il percorso di migrazione. L'esecuzione del mapping delle identità è un passaggio necessario per la migrazione dei dati utente tramite il metodo orchestrato. Questo passaggio è facoltativo quando si usa la migrazione autonoma di cassette postali tra tenant. Mapping delle identità tra tenant consente agli utenti di origine di essere mappati uno-a-uno agli utenti di destinazione. Modifica le proprietà degli utenti, in modo che possano eseguire correttamente la migrazione con gli attributi corretti. Gestisce anche un file di mapping per garantire che i dati per gli utenti di origine corretti eseggano la migrazione agli utenti di destinazione corretti.

Nota

Usare CTIM dopo aver creato gli utenti di destinazione e prima della migrazione dei dati per garantire l'accuratezza ed evitare errori manuali.

CTIM consente di:

  • Eseguire il mapping uno-a-uno degli utenti tra i tenant, riducendo gli errori manuali e risparmiando tempo.
  • Automatizzare gli aggiornamenti delle proprietà in modo che gli utenti migrati abbiano gli attributi corretti per una transizione riuscita.
  • Mantenere un file di mapping affidabile per tenere traccia e verificare le migrazioni degli utenti.

Questo articolo illustra i prerequisiti, l'installazione e la procedura di configurazione per CTIM, evidenziando le procedure consigliate e i suggerimenti per la risoluzione dei problemi.

Dati inattivi

Il servizio CTIM (Cross-Tenant Identity Mapping) archivia i dati inattivi in più posizioni a seconda del tipo di dati. Esaminare questo elenco prima di procedere con CTIM.

  • Report del tenant di origine: archiviati all'interno dell'area Exchange Online del tenant di origine.
  • Report tenant di destinazione: archiviati all'interno dell'area Exchange Online del tenant di destinazione.
  • Contenuto del file di mapping: una copia temporanea del file di mapping viene archiviata all'interno dell'Unione europea quando viene caricata. Questa copia viene eliminata in 48 ore o meno.
  • Log dei servizi redattivi di tutte le informazioni identificabili: l'Unione europea.
  • Tutti gli altri dati inattivi: archiviati nell'area Exchange Online del tenant di destinazione.

Nota

Per i tenant abilitati per più aree geografiche, l'area geografica principale del tenant viene usata ogni volta che viene menzionata un'area EXO in questo documento.

Requisiti di rete/firewall

Il servizio Mapping identità tra tenant usa un endpoint REST e crittografa tutto il traffico tra il cliente e l'endpoint del servizio. Questo endpoint si trova all'interno degli intervalli di URL e indirizzi IP nella sezione Microsoft 365 Common and Office Online della guida relativa agli URL e agli indirizzi IP Office 365 pubblicati. Se si consente l'accesso a questi URL e intervalli di indirizzi IP documentati, non dovrebbe esserci alcun problema di connessione all'endpoint.

Organizzazioni di Exchange locali

Nota

Solo tenant di destinazione.

Se il tenant di destinazione è un tenant ibrido con la sincronizzazione della directory abilitata e la sincronizzazione degli oggetti MailUser nel tenant di destinazione, è necessario avere accesso a un metodo Di PowerShell supportato da Microsoft per la gestione degli oggetti locali sincronizzati in Microsoft 365.

Un esempio di metodi supportati è qualsiasi versione attualmente supportata di Exchange Server Management Shell o gli strumenti di gestione più recenti Exchange Server 2019. I tenant non sono supportati usando metodi non supportati per la gestione e la modifica di oggetti locali. Se tutti gli oggetti MailUser usati nel tenant di destinazione sono oggetti solo cloud non sincronizzati dall'ambiente locale, non è necessario un metodo PowerShell supportato da Microsoft per la gestione degli oggetti locali sincronizzati in Microsoft 365.

Esempi di oggetti MailUser

Vedere l'esempio seguente di un oggetto MailUser configurato in modo non corretto (noto anche come utente abilitato alla posta elettronica o MEU) nel tenant di destinazione:

Attributo Valore
Nome Mikey MEU
ExternalEmailAddress SMTP:mikey@sourcetenant.com
EmailAddresses {smtp:mikey@targettenant.onmicrosoft.com, SMTP:mikey@sourcetenant.com}
PrimarySmtpAddress mikey@sourcetenant.com

Problemi:

  • Il campo EmailAddresses ha un indirizzo di dominio non destinatario come SMTP primario
  • Il campo PrimarySmtpAddress ha anche un valore di dominio non gestito

Per correggere l'errore MailUser, nell'esempio seguente vengono corretti i campi PrimarySmtpAddress e Email Addresses.

Attributo Valore
Nome Mikey MEU
ExternalEmailAddress SMTP:mikey@sourcetenant.com
EmailAddresses {smtp:mikey@targettenant.onmicrosoft.com}
PrimarySmtpAddress mikey@targettenant.onmicrosoft.com

Conferma degli attributi utente appropriati

Al termine del mapping delle identità, gli utenti di origine e di destinazione devono avere attributi specifici che li collegano tra loro. L'oggetto MailUser di destinazione deve avere questi attributi della cassetta postale di origine o assegnato con il nuovo oggetto User:

  1. ExchangeGUID (flusso diretto dall'origine alla destinazione): il GUID della cassetta postale deve corrispondere. Il processo di spostamento non procede se questo attributo non è presente nell'oggetto di destinazione.
  2. ArchiveGUID (flusso diretto dall'origine alla destinazione): il GUID dell'archivio deve corrispondere. Il processo di spostamento non procede se questo attributo non è presente nell'oggetto di destinazione. Questo attributo è obbligatorio solo se la cassetta postale di origine è abilitata per Archivio.
  3. LegacyExchangeDN (flusso come proxyAddress, "x500:<LegacyExchangeDN>"): LegacyExchangeDN deve essere presente nel mailuser di destinazione come x500: proxyAddress. Tutti gli indirizzi x500 della cassetta postale di origine devono trovarsi nell'utente di posta elettronica di destinazione. Il processo di spostamento non procede se questi indirizzi x500 non sono presenti nell'oggetto di destinazione. Questo passaggio è importante per abilitare la capacità di risposta per i messaggi di posta elettronica inviati prima della migrazione. L'indirizzo mittente/destinatario in ogni elemento di posta elettronica e la cache di completamento automatico in Microsoft Outlook e in Microsoft Outlook Web App (OWA) usano il valore dell'attributo LegacyExchangeDN. Se non è possibile individuare un utente usando il valore LegacyExchangeDN, il recapito dei messaggi di posta elettronica potrebbe non riuscire con un rapporto di mancato recapito 5.1.1.
  4. UserPrincipalName: UPN è allineato alla nuova identità o alla società di destinazione dell'utente , user@target.onmicrosoft.comad esempio .
  5. Indirizzo SMTP primario: l'indirizzo SMTP primario è allineato alla nuova società dell'utente , user@target.onmicrosoft.comad esempio .
  6. TargetAddress/ExternalEmailAddress: MailUser fa riferimento alla cassetta postale corrente dell'utente ospitata nel tenant di origine , ad esempio user@source.onmicrosoft.com. Quando questo valore viene assegnato, verificare che si stia assegnando anche PrimarySMTPAddress. In caso contrario, questo valore imposta PrimarySMTPAddress, che causa errori di spostamento.
  7. Non è possibile aggiungere indirizzi proxy SMTP legacy dalla cassetta postale di origine all'oggetto MailUser di destinazione. Ad esempio, non è possibile gestire source.com nella MEU negli oggetti tenant target.onmicrosoft.com. I domini sono associati a un solo tenant Microsoft Entra ID o Exchange Online.

Per confermare gli attributi dell'utente di origine, eseguire:

Get-Mailbox <User Alias> | fl Name,ExchangeGuid

Per confermare gli attributi dell'utente di destinazione, eseguire:

Get-MailUser AdeleV2 | fl Name,ExternalEmailAddress,EmailAddresses,PrimarySMTPAddress,ExchangeGuid

Panoramica del processo CTIM

  • Preparazione: installare i moduli di PowerShell necessari e assicurarsi di avere i ruoli di amministratore necessari.
  • Mapping delle identità: eseguire CTIM per eseguire il mapping degli utenti e generare il file di mapping. Esaminare i risultati del mapping e risolvere eventuali problemi prima di procedere con la migrazione dei dati.

Preparazione

Importante

Ripetere i passaggi 1, 2 e 3 sia nei tenant di origine che in quello di destinazione. Completare prima tutte le azioni nel tenant di origine, quindi ripetere gli stessi passaggi nel tenant di destinazione.

Passaggio 1: Preparare l'ambiente

  1. Assicurarsi di disporre delle autorizzazioni necessarie:

    1. È necessario essere un amministratore globale per concedere l'autorizzazione dell'applicazione CTIM.
    2. Le autorizzazioni di amministratore di Exchange o Microsoft Graph sono necessarie per altri passaggi.

  2. Installare i moduli di PowerShell necessari. Aprire PowerShell ed eseguire:

    Install-Module ExchangeOnlineManagement
Install-Module Microsoft.Graph
Install-Module Microsoft.Graph.Beta

Passaggio 2: Scaricare e installare il modulo CTIM

Scaricare e installare il modulo di PowerShell per mapping delle identità tra tenant più recente. È necessario usare l'opzione -AllowPrerelease durante l'installazione o l'aggiornamento di questo modulo durante l'anteprima.

  • Ottenere il modulo CTIM più recente:

    Install-Module CrossTenantIdentityMapping -AllowPrerelease

  • Usare l'opzione -AllowPrerelease per installare la versione di anteprima:

    Consiglio

    Se viene visualizzato un errore relativo all'opzione -AllowPrerelease, aggiornare PowerShellGet usando il comando seguente: Install-Module PowerShellGet -AllowClobber -Force

Nota

Se in precedenza è stato usato il servizio Mapping identità, è necessario aggiornare il modulo con il comando seguente per assicurarsi che sia la versione più recente: Update-Module CrossTenantIdentityMapping -AllowPrerelease

Passaggio 3: Concedere le autorizzazioni dell'applicazione CTIM

L'applicazione CTIM viene eseguita all'interno di Microsoft 365 e richiede autorizzazioni all'interno del tenant per poter leggere o scrivere informazioni appropriate. Questo accesso può essere revocato in un secondo momento quando non si usa più CTIM. Questi passaggi richiedono che l'utente che esegue il comando abbia il ruolo amministratore globale.

Nota

Un ruolo amministratore globale è necessario solo per il processo CTIM per l'aggiunta o la rimozione delle autorizzazioni dell'applicazione CTIM.

I ruoli aggiunti sono:

  • Se necessario, abilitare il ruolo Controllo degli accessi in base al ruolo amministratore di Exchange nell'ID Entra.
  • Concedere all'entità servizio CTIM il ruolo Controllo degli accessi in base al ruolo amministratore di Exchange nell'ID Entra.
  • Concedere all'entità servizio CTIM le autorizzazioni dell'API Exchange.ManageAsApp.

Seguire questa procedura:

  1. Connettersi a Microsoft Graph come amministratore globale: Connect-MgGraph

  2. Importare il modulo CTIM: Import-Module CrossTenantIdentityMapping

  3. Aggiungere l'entità servizio CTIM: Add-CtimServicePrincipal

Se il comando ha esito positivo, nell'output viene visualizzato il messaggio seguente:

'Aggiunta dell'entità servizio mapping identità tra tenant completata e concessione di tutti i ruoli necessari. Benvenuti in Microsoft Graph."

Nota

A volte viene visualizzato un errore temporaneo che indica che il tentativo non è riuscito. In genere, l'esecuzione della richiesta una seconda volta ha esito positivo.

Eseguire il mapping delle identità

È necessario eseguire il mapping degli utenti di origine agli utenti di destinazione usando la soluzione Di mapping delle identità.

Nota

Il mapping delle identità deve essere eseguito prima di applicare licenze del carico di lavoro (ad esempio, E5) agli utenti di destinazione. Questa azione garantisce che agli utenti di destinazione non sia stato effettuato il provisioning di una cassetta postale e che diventino oggetti MailUsers anziché Cassette postali.

Esistono cinque fasi durante l'uso di CTIM e un passaggio aggiuntivo per i tenant di destinazione ibridi.

Fasi del flusso di lavoro CTIM:

Fase Descrizione
Ambito Definire gli utenti di cui eseguire la migrazione.
Copia Trasferire i dati utente dall'origine al sistema CTIM nel tenant di destinazione.
Mapping Stabilire una relazione 1:1 tra gli oggetti utente di origine e di destinazione.
Scrittura Applicare gli attributi necessari agli oggetti MailUser di destinazione.
(Solo ibrido) Verificare che le modifiche locali siano sincronizzate con Microsoft 365.
Rimuovere le autorizzazioni CTIM (Facoltativo) Quando CTIM non è più necessario, rimuovere l'entità servizio.

Consiglio

È possibile eseguire Get-MgContext per assicurarsi di essere connessi al tenant appropriato quando si eseguono questi comandi.

Fase 1: Ambito degli oggetti

Durante la creazione della relazione organizzativa, sono stati definiti uno o più valori del gruppo di sicurezza abilitato alla posta elettronica nel campo MailboxMovePublishedScope . Questi valori sono gli "ambiti" e contengono gli oggetti di cui eseguire la migrazione al tenant di destinazione.

È inoltre necessario assicurarsi che nessun oggetto sia membro di più ambiti oppure che si rischi di sovrascrivere le informazioni sull'utente.

Fase 2: Copia di oggetti

Dopo aver definito l'ambito delle persone di cui eseguire la migrazione, è necessario avviare una richiesta di copia. Una richiesta di copia viene inviata all'amministratore del tenant di destinazione, che deve accettare o rifiutare la richiesta. Dopo che l'amministratore del tenant di destinazione ha approvato la richiesta, gli attributi di ogni oggetto vengono copiati nel sistema CTIM e archiviati nel tenant di destinazione.

Amministratore tenant di origine

  1. Avviare una richiesta di copia:

    New-CtimCopyRequest -SecurityGroupGuid <GUID> -TargetTenantGuid <GUID>

    "SecurityGroupGuid" può essere il valore 'ExchangeObjectId' o l'attributo del valore 'ExternalDirectoryObjectid' del gruppo nell'oggetto MailboxMovePublishedScope del tenant di origine. In futuro, è possibile modificare questo valore in modo da consentire solo ExternalDirectoryObjectId, quindi è consigliabile usare questo valore per andare avanti.

    Consiglio

    Per ottenere il GUID del gruppo di sicurezza, è possibile eseguire questo comando:

    Get-DistributionGroup -Identity "Group Name" | fl ExchangeObjectId

  2. Condividere l'ID richiesta risultante con l'amministratore del tenant di destinazione.

    Consiglio

    L'esecuzione di una richiesta di copia per lo stesso ambito due volte con -Overwrite reimposta i mapping precedenti.

    Avviso

    Se l'amministratore del tenant di destinazione usa l'opzione -Overwrite quando accetta la richiesta di copia, l'esecuzione di New-CtimCopyRequest per lo stesso ambito una seconda volta con gli stessi oggetti in esso contenuti comporta la sovrascrittura di tutte le operazioni di mapping completate in precedenza nel tenant di destinazione. Assicurarsi che l'amministratore del tenant di destinazione sappia che si sta eseguendo una richiesta di copia per lo stesso ambito di oggetti e che viene salvata una copia del file di mapping prima di accettare la nuova richiesta di copia. Anche se l'uso dell'opzione -Overwrite viene eseguito di proposito, avere una copia del file di mapping scaricato prima di usarlo è una buona rete di sicurezza da avere.

    Non è possibile ripristinare i dati se si usa -Overwrite senza prima salvare un file di mapping ed è necessario ricominciare dall'inizio.

Amministratore tenant di destinazione

Dopo che l'amministratore del tenant di origine ha creato una richiesta di copia, deve fornire all'amministratore del tenant di destinazione l'ID richiesta in modo che l'amministratore del tenant di destinazione possa accettare la richiesta.

  1. Accettare la richiesta di copia.
    • Verificare prima di tutto se la richiesta è pronta per essere accettata o rifiutata.
      • Controllare lo stato della richiesta: Get-CtimRequest <RequestID>
      • PercentComplete è pari al 10% come percentuale di completamento, in base a passaggi finiti in un processo in più passaggi. Se lo stato è AwaitingTargetTenantApproval, è possibile accettare la richiesta.
    • Accettare la richiesta: Accept-CtimCopyRequest -RequestID <RequestID> -SourceTenantGUID <GUID>
    • Se necessario, rifiutare la richiesta: Reject-CtimCopyRequest

Attendere che la richiesta raggiunga lo stato Completato prima di continuare il mapping.

Se è necessario iniziare a eseguire la migrazione di un altro ambito di utenti, eseguire un'altra richiesta di copia per l'altro ambito.

Importante

Con la versione del modulo v0.0.1-Preview9500 o successiva, l'accettazione di una richiesta di copia per lo stesso ambito contenente le identità copiate in precedenza mostra un errore FailureResult di "Ignorata questa identità perché il processo era in esecuzione senza un flag di sovrascrittura". Tutte le nuove identità vengono copiate come previsto. Se si desidera sovrascrivere le identità copiate in precedenza, è necessario usare l'opzione -Overwrite con Accept-CtimCopyRequest. Se la richiesta è già stata accettata senza l'opzione -Overwrite, l'amministratore del tenant di origine deve eseguire di nuovo New-CtimCopyRequest in modo da poter accettare una nuova richiesta con l'opzione -Overwrite.

Nota

La percentuale di completamento non supera il 10% se si rifiuta la richiesta.

Fase 3: Mapping di oggetti (tenant di destinazione)

Al termine della richiesta di copia, il passaggio successivo consiste nel mapping degli oggetti tenant di origine agli oggetti nel tenant di destinazione. Questo mapping stabilisce una relazione 1:1 tra gli oggetti di origine e di destinazione, in modo da poter popolare correttamente gli attributi nell'oggetto tenant di destinazione.

Esistono due modi per eseguire il mapping degli oggetti di origine e di destinazione: corrispondenza PrimarySMTPAddress o file di mapping CSV.

Quando si richiede al servizio di eseguire una richiesta di mapping, cerca nel tenant di destinazione gli oggetti MailUser con un indirizzo di posta elettronica corrispondente a PrimarySMTPAddress di un utente di origine. È consigliabile inserire i valori PrimarySMTPAddress degli utenti di origine negli attributi ExternalEmailAddress degli oggetti tenant di destinazione. Se il sistema trova una corrispondenza, esegue il mapping tra i due oggetti. Se non trova una corrispondenza, l'oggetto di origine rimane in uno stato non mappato. Se si hanno oggetti senza corrispondenza, è possibile modificare un oggetto MailUser esistente o crearne uno nuovo con il valore PrimarySMTPAddress dell'utente di origine appropriato archiviato nell'attributo ExternalEmailAddress dell'utente di destinazione. Eseguire quindi di nuovo il processo di mapping.

Amministratore tenant di destinazione

  • Avviare la richiesta di mapping:

    New-CtimMapRequest -SourceTenantGuid <GUID>

    Attendere che lo stato del processo sia "completo" per visualizzare i risultati.

  • Verifica della presenza di errori:

    Se si verificano errori, è possibile usare Get-CtimReport con l'ID tenant di origine per cercare eventuali dettagli sugli errori rilevati.

    Get-CtimReport -SourceTenantGuid <GUID>

  • Per ottenere un report completo dello stato di ogni utente, usare i comandi seguenti:

    $report = Get-CtimReport -SourceTenantGuid <GUID> -RequestId <GUID> $report.Identities.Values

Dopo che tutti gli oggetti utente di origine hanno uno stato "Mappato", è possibile passare alla scrittura di attributi.

Potrebbe essere necessario riavviare perché sono presenti utenti di cui è stato eseguito il mapping non corretto oppure è possibile rimuovere un utente dal mapping delle identità. In entrambi i casi, è necessario rimuovere i dati archiviati nel sistema di mapping delle identità in entrambi i tenant e riavviare il processo di mapping. È consigliabile iniziare modificando il gruppo di sicurezza e inviando di nuovo la richiesta di copia dell'oggetto:

Amministrazione tenant di destinazione:

Remove-CtimData -SourceTenantGuid <SrcTenantGuid>

Amministrazione tenant di origine:

Remove-CtimData -TargetTenantGuid <TrgTenantGuid>

Nota

Se si rimuove un utente già mappato, le proprietà dell'utente modificate durante il processo di identità non vengono modificate di nuovo. Questo comportamento non deve causare un problema con la migrazione.

Mapping manuale (facoltativo)

Se tutti gli oggetti sono stati mappati correttamente con l'opzione di corrispondenza PrimarySMTPAddress, è possibile ignorare i passaggi facoltativi del file di mapping e passare ai passaggi del processo di scrittura.

Un approccio alternativo al mapping degli utenti di origine e destinazione consiste nell'usare un file CSV. Questo file contiene informazioni sugli oggetti nel tenant di origine. È possibile modificare questo file per eseguire il mapping di MailboxUsers nel tenant di origine con gli oggetti MailUser nel tenant di destinazione.

  1. Scaricare un file di mapping CSV: Download-CtimCopiedIdentities -SourceTenantGuid <GUID> -FilePath <path>

  2. Modificare il file di mapping:

    1. Popolare la colonna "TargetExternalDirectoryObjectId", in modo che ogni oggetto tenant di origine sia allineato con l'oggetto MailUser corretto nel tenant di destinazione. Questa modifica è l'unica modifica necessaria per il file. Non aggiungere altre colonne o includere altre informazioni.
    2. Questo file CSV deve usare le virgole come carattere delimitatore. Se il sistema usa punti e virgola, pipe o qualsiasi altro carattere delimitatore, non riesce quando Upload-CtimMappingData tenta di elaborare il file. Se si verificano errori durante l'esecuzione di Upload-CtimMappingData, aprire il file in un editor di testo normale e verificare che le virgole vengano usate come delimitatore.
    3. Le uniche modifiche che è necessario apportare nel file sono il popolamento di TargetExternalDirectoryObjectId con il GUID dell'oggetto MailUser nel tenant di destinazione.
    4. Se non si vuole ancora eseguire il mapping di determinati oggetti, ad esempio se l'oggetto MailUser non è ancora stato creato, è possibile lasciare vuota la colonna TargetExternalDirectoryObjectId. È possibile completarli in un secondo momento usando il metodo di corrispondenza PrimarySMTPAddress o il metodo CSV. I passaggi successivi possono pronunciare "CompletedWithWarnings" se si lasciano oggetti senza valore su cui eseguire il mapping.

  3. Caricare il file modificato: al termine delle modifiche, è possibile caricare il file di mapping. Ricordarsi di chiudere il file prima di tentare di caricarlo oppure il blocco del file impedisce il caricamento.

    Upload-CtimMappingData -SourceTenantGuid <GUID> -MappingCsvFilePath <path>

    Facoltativo: nel modulo PowerShell 0.0.1-Preview9252 o versioni successive è possibile usare l'opzione -AutoProgress con Upload-CtimMappingData per caricare i dati e quindi eseguire automaticamente una richiesta di mapping dei file CSV, ignorando la necessità di eseguire New-CtimMapRequest autonomamente.

  4. Avviare il mapping con CSV:

    New-CtimMapRequest -SourceTenantGuid <GUID> -UseCsv

    Se non è stata usata l'opzione -AutoProgress con Upload-CtimMappingData, è necessario eseguire manualmente una richiesta di mappa usando il file CSV caricato nel passaggio precedente. Verificare che il processo di caricamento CSV raggiunga lo stato Completato prima di eseguire il comando seguente.

    Nota

    Se si vuole usare un file CSV, è necessario usare un commutatore -UseCsv. Se si omette questa opzione, viene utilizzato il metodo di mapping di corrispondenza PrimarySMTPAddress.

  5. Verificare che il mapping sia completo: è possibile usare Get-CtimRequest con requestID per determinare quando il processo di caricamento è completato. È possibile usare Get-CtimReport con requestID per esaminare altri dettagli, inclusi eventuali errori.

    Consiglio

    Usare le virgole come delimitatori nel file CSV.

Fase 4: Scrittura di attributi

Dopo il mapping delle identità, è necessario scrivere gli attributi della cassetta postale dal tenant di origine agli oggetti MailUser corrispondenti nel tenant di destinazione. Questo passaggio garantisce l'idoneità alla migrazione e il corretto routing della posta.

Il cmdlet New-CtimWriteRequest viene usato con gli oggetti MailUser, creati e gestiti nel servizio. Non usarlo con gli oggetti MailUser sincronizzati dall'ambiente locale. Se sono presenti oggetti MailUser sincronizzati dai tenant di destinazione locali a cui è necessario eseguire il mapping degli oggetti di origine, tenere presente i passaggi speciali per i tenant di destinazione ibridi. Questi passaggi entrano in gioco dopo il processo di mapping.

È possibile determinare se l'origine dell'autorità di un oggetto MailUser è locale se l'attributo IsDirSynced dell'oggetto MailUser è un valore di $True. Se il valore è $True, procedere con le procedure designate per gli oggetti mailUser ibridi.

Il comando CTIMwrite scrive gli attributi seguenti dall'utente della cassetta postale di origine mappata all'oggetto MailUser di destinazione:

  • SourceExternalDirectoryObjectId
  • SourceUserPrincipalName
  • PrimarySmtpAddress
  • ArchiveGuid
  • ExchangeGuid
  • LegacyExchangeDN
  • EmailAddresses (noto anche come proxyAddresses)
Per oggetti MailUser solo cloud

  1. Avviare la richiesta di scrittura:

    New-CtimWriteRequest -SourceTenantGuid <GUID>
Per oggetti MailUser ibridi (DirSynced)

  1. Scaricare il file di mapping contenente i dati degli attributi necessari:

    Download-CtimCopiedIdentities -SourceTenantGuid <GUID> -FilePath <path>

  2. Connettersi all'ambiente locale (usando Exchange Server Management Shell).

  3. Scrivere attributi in locale:

    Write-CtimIdentitiesInOnPremises -IdentitiesCsvFilepath <path> -ProgressOutputCsvFilePath <path>

    Questo comando aggiorna gli attributi MailUser nella Active Directory locale (AD).

  4. Sincronizzare le modifiche apportate a Microsoft 365:

    1. Attendere Microsoft Entra Connect (Azure AD Connect) per sincronizzare le modifiche nel cloud.
    2. È possibile attivare manualmente una sincronizzazione per ottenere risultati più rapidi.

  5. Verificare che gli attributi siano scritti correttamente:

    Verify-CtimWrittenAttributes -SourceTenantGuid <GUID>
Convalida
  • Verificare che tutti gli oggetti abbiano uno stato "Completo" in CTIM prima di avviare la migrazione della cassetta postale:
    • Get-CtimRequest -RequestId <ID>
    • Get-CtimReport -SourceTenantGuid <GUID> -RequestId <ID>

Se non sono presenti errori, è possibile usare Download-CtimCopiedIdentities'ultima volta per verificare se tutti gli oggetti hanno ora il valore MigrationStatus Completato. Se tutte le modifiche dall'ambiente locale non sono sincronizzate con EXO quando viene eseguito il cmdlet di verifica, potrebbe essere necessario eseguire il passaggio di verifica alcune volte fino a quando tutte le modifiche non vengono sincronizzate con EXO.

Fase 5: Rimuovere le autorizzazioni CTIM

Quando CTIM non è più necessario, rimuovere l'entità servizio:

Remove-CtimServicePrincipal
  • Prima del processo di scrittura: gli oggetti MailUser non hanno indirizzi ExchangeGuid o X500, ma solo indirizzi SMTP.
  • Dopo il processo di scrittura vengono popolati gli indirizzi proxy ExchangeGuid, ArchiveGuid (se applicabile) e X500. Sono presenti tutti gli attributi necessari per la migrazione e il routing della posta.
Risoluzione dei problemi e problemi comuni
  • Sovrascrittura richiesta di copia: salvare sempre una copia del file di mapping prima di accettare una nuova richiesta di copia con l'opzione -Overwrite.
  • Delimitatori CSV: assicurarsi che il file di mapping CSV usi le virgole come delimitatori.
  • Errori di mapping: usare Get-CtimReport per esaminare gli errori e risolvere i problemi.
  • Last updated on