Planlegge distribusjonen av Outlook Live-katalogsynkronisering for Live@edu

 

Gjelder: Live@edu

Emnet sist endret: 2013-01-17

Viktig!
Outlook Live-katalogsynkronisering (OLSync) er synkroniseringsløsningen for Microsoft Live@edu-kunder. Hvis du kjører en skybasert e-posttjeneste med Microsoft Office 365 for virksomheter, må du bruke verktøyet Microsoft Online Services Directory Synchronization for å synkronisere katalogene.

Før du distribuerer Outlook Live-katalogsynkronisering (OLSync), må du planlegge hvordan Outlook Live-distribusjonen skal påvirke synkroniseringen fra den lokale organisasjonen til Outlook Live.

Før du leser denne planleggingsinformasjonen, må du lese Hvordan Outlook Live-mappesynkronisering fungerer for Live@edu. Det er svært viktig at du forstår terminologien og hvordan eksisterende MicrosoftExchange Server Server-mottakere i den lokale organisasjonen synkroniseres med Outlook Live, før du lager en plan for og distribuerer OLSync.

Planlegge en testdistribusjon

Sørg for å inkludere en testkjøring i distribusjonsplanen. Hvor lang tid den første synkroniseringen tar, avhenger av flere faktorer, men det mest avgjørende er trolig størrelsen på Active Directory Domain Services (AD DS) eller Active Directory-katalogtjenesten lokalt. I tillegg bestemmer antall mottakerobjekter i AD DS ellerActive Directorylokalt størrelsen på metaverset som må vedlikeholdes. Når du har utført den første synkroniseringen, vil du ha mange nye objekter i Outlook Live-organisasjonen. Hvis det er mulig, vil du helst unngå å måtte synkronisere hele katalogen på nytt og bygge metaverset på nytt.

På grunn av alt dette bør du planlegge å distribuere en testkjøring på en mindre testenhet for organisasjonen i katalogen før du synkroniserer hele den lokale Active Directory-skogen. Hvis du vil vite hvordan du distribuerer en testkjøring av OLSync-løsningen ved å bruke en testenhet for organisasjonen med testbrukere, kan du se Distribuere Outlook Live-mappesynkronisering for Live@edu, som gir en oversikt over fremgangsmåten for distribusjon. Hvis du vil ha detaljert veiledning om hvordan du oppretter kontoer for testing av OLSync-distribusjonen, kan du se Forberede installasjon av OLSync i den lokale organisasjonen.

Planlegge objektsynkroniseringen

Før du distribuerer OLSync, bør du bestemme hvilke brukere som skal bruke Outlook Live, og hvilke brukere som kan komme til å bruke Outlook Live i fremtiden.

Et vanlig scenario i utdanningssektoren er å gi lokale postbokser til ansatte, administrasjon og fakultet, og Outlook Live-postbokser til studenter. I denne delen skal vi se på et eksempel på hvordan du planlegger objektsynkronisering med OLSync for dette scenariet.

Outlook Live-godtatte domener

OLSync bruker informasjonen for Outlook Live-godtatte domener ved synkronisering og automatisk klargjøring av postbokser.

Som du så i Hvordan Outlook Live-mappesynkronisering fungerer for Live@edu, ble begrepet klargjøringsdomene innført i OLSync. Klargjøringsdomenet er ett eller flere godtatte domener i Outlook Live-distribusjonen. OLSync avgjør om automatisk klargjøring skal utløses basert på om verdien for targetAddress-attributtet er et klargjøringsdomene. Klargjøringsdomener angis under konfigurasjonen av OLSync. Hvis parameteren for OLSync-klargjøringsdomenet omfatter et domene som samsvarer med en targetAddress-verdi for en gitt e-postaktivert bruker eller en e-postkontakt i AD DS eller Active Directory lokalt, utløses klargjøring.

Hvis det lokale UPN-domenenavnet for det angitte mottakerobjektet samsvarer med et godtatt domene i Outlook Live, forekommer klargjøring.

La oss se på eksempelet vårt: Contoso University har lokale Exchange-postbokser med SMTP-adresser for user@contoso.edu. Målet er å gi alle ansatte, administrasjonen og fakultetet lokale postbokser. Studenter vil ha postbokser i Outlook Livei student.contoso.edu-domenet.

Hva må administratorene ved Contoso University gjøre? Før de distribuerer OLSync, må de konfigurere Outlook Live med student.contoso.edu som et godtatt domene i Outlook Live.

Administratorene må konfigurere et alternativt UPN-suffiks i den lokale Active Directory-skogen. Det alternative UPN-suffikset må samsvare med det godtatte domenet de konfigurerte i Outlook Live. Når OLSync klargjør en Microsoft ID for en bruker, samsvarer MicrosoftIDen for den klargjorte brukeren med det lokale UPN-domenet. Derfor må det lokale UPNet samsvare med et godtatt domene i Outlook Live. Hvis du vil ha informasjon om hvordan du legger til UPN-suffikser i organisasjonen, kan du se Add user principal name suffixes.

Obs!  Du kan overstyre denne standard virkemåten slik at en annen SMTP-adresse brukes til å fastsette Microsoft IDen. For mer informasjon, se Parametere for den OLSync-vertsbaserte administrasjonsagenten for Live@edu.

Lokale Exchange-mottakerobjekter

Slik det ble forklart i Hvordan Outlook Live-mappesynkronisering fungerer for Live@edu, bestemmes typen Exchange-mottakerobjekter som klargjøres automatisk i Outlook Live, av den lokale mottakerobjekttypen (bruker, e-postaktivert bruker, postboksaktiverte brukere osv.) og den tilsvarende verdien for targetAddress-attributtet for objektet. Før du synkroniserer ved hjelp av OLSync, må du kontrollere at alle lokale Exchange-mottakerobjekter er konfigurert slik at de klargjøres automatisk i Outlook Live på den måten du forventer.

For å kunne foreta automatisk klargjøring i eksemplet med Contoso University må OLSync konfigureres med et klargjøringsdomene satt til student.contoso.edu, og mottakerobjektene må konfigureres slik:

• E-postaktiverte brukerobjekter   Alle studenter som trenger Outlook Live-postbokser, må representeres i den lokale Contoso University-katalogen som e-postaktiverte brukerobjekter med targetAddress-attributtet satt til student.contoso.edu. UPN-attributtet må også settes til student.contoso.edu. Hvis Contoso University hadde distribuert et delt navneområde, hadde UPN blitt satt til contoso.edu, og contoso.edu måtte også ha vært et godtatt domene i Outlook Live.

  E-postaktiverte brukerobjekter uten et godtatt domene angitt i targetAddress-attributtet, synkroniseres som eksterne kontakter med samme e-postadresse som er angitt for det lokale objektets targetAddress-attributt.

• Postboksaktiverte brukerobjekter, distribusjonsgrupper og dynamiske distribusjonsgrupper   Det anbefales at disse mottakerobjektene synkroniseres til Outlook Live som e-postaktiverte brukere. Lokale postboksaktiverte brukere, distribusjonsgrupper og dynamiske distribusjonsgrupper som har den primære SMTP-adressen konfigurert slik at den samsvarer med alle godtatte domener i Outlook Live, synkroniseres til Outlook Live som e-postaktiverte brukere. I eksempelet med Contoso University deler sannsynligvis disse mottakerobjektene den primære SMTP-adressen contoso.edu. Derfor må administratorene ved Contoso University legge til contoso.edu som et godtatt domene i Outlook Live.

  Postboksaktiverte brukerobjekter, distribusjonsgrupper eller dynamiske distribusjonsgrupper med objekter som ikke har en primær SMTP-adresse som samsvarer med et godtatt domene i Outlook Live, synkroniseres som eksterne e-postkontakter.

• E-postkontakter   Contoso University har to typer e-postkontakter i Active Directory lokalt. OLSync klargjør ulike mottakertyper i Outlook Live, avhengig av hvordan targetAddress-attributtet for den lokale kontakten er konfigurert, og om targetAddress-attributtet samsvarer med et godtatt domene i Outlook Live. De to kontakttypene er som følger:

  • De som representerer fakultet og ansatte i andre avdelinger på universitetet der Microsoft Exchange eller Active Directory ikke brukes   I dette tilfellet samsvarer sannsynligvis domenenavnet som brukes for kontaktene, med domenenavnet som brukes for postboksaktiverte brukere i MicrosoftExchange. I dette eksemplet hadde kontaktene hatt e-postadresser av typen contoso.edu. Disse kalles interne kontakter. Med hensyn til potensiell overføring i fremtiden anbefales det at disse kontaktene klargjøres som e-postaktiverte brukere i Outlook Live. For å kunne oppnå dette må administratorene ved Contoso University sørge for at alle domenenavn som brukes av interne kontakter, konfigureres som godtatte domener i Outlook Live.

  • De som representerer eksterne kontakter utenfor universitetet   Disse kontakttypene, der targetAddress-attributtet ikke samsvarer med et godtatt domene i Outlook Live, synkroniseres til Outlook Live som eksterne kontakter. targetAddress-attributtet for den lokale e-postkontakten brukes som SMTP-adresse for den nye eksterne e-postkontakten i Outlook Live.

Obs! I organisasjoner der AD DS ellerActive Directory er distribuert, menMicrosoftExchange 2000 Server eller senere ikke har blitt installert, fungerer iOLSync det som kalles «AD-Only-modus» modus. I AD-Only-modus leser OLSync WindowsEmailAddress Active Directory-attributtet i stedet for targetAddress-attributtet.

Hvis du vil vite hvordan du angir targetAddress-attributtet og den primære SMTP-adressen for mottakerobjekter, kan du se Forberede installasjon av OLSync i den lokale organisasjonen.

Synkronisering av tilleggsattributter og egendefinerte attributter

Her er hvordan egendefinerte attributter og utvidelsesattributter håndteres av OLSync:

1. Som standard er lokale utvidelsesattributter (extensionAttribute1 – extensionAttribute15) synkronisert med de tilhørende egendefinerte attributtene (customAttribute1 – customAttribute15) i Outlook Live.

2. Utvidelsesattributter med flerverdi (ExtensionCustomAttribute1 – ExtensionCustomAttribute5) kan ikke synkroniseres mellom lokaler og Outlook Live. I stedet må du skrive et egendefinert PowerShell-script for å synkronisere disse attributtene i begge retninger, fra de lokale og fra Outlook Live. Merk at disse attributtene bare er tilgjengelige lokalt i MicrosoftExchange Server 2010 SP2 og nyere versjoner.

Delt adresseområde

Et delt adresseområde med OLSync er omtrent det samme som det delte adresseområdescenariet som beskrives i Delt adresseområde med lokal videresending. Brukere i Outlook Live og i den lokale organisasjonen har en e-postadresse av typen contoso.edu og et brukerpåloggingsnavn. Alle innkommende meldinger leveres først til den lokale organisasjonen og rutes deretter til Outlook Live. Se Delt adresseområde med Outlook Live-katalogsynkronisering for Live@edu hvis du vil ha mer informasjon.

Planlegge godkjenningsstrategien for OLSync

OLSynckrever tilgang til den lokaleActive Directory-skogen og Outlook Live-organisasjon. Denne delen forklarer godkjenning for OLSync.

Lokal tjenestekonto

Når OLSync får tilgang til den lokale katalogen, avleses dataene, og alt som ikke er et Exchange-mottakerobjekt blir filtrert bort. OLSync kopierer deretter disse objektene til FIM-2010 eller ILM 2007 ADMA-tilkoblingsområdet. I tillegg til lesetilgang til hvert domene der mottakerobjekter lagres, må OLSync kunne lese replikeringsdata i hvert domene der Exchange-mottakere lagres. Siden OLSync ikke skriver tilbake til den lokale katalogen, er dette en tjenestekonto med liten tilgang. Tjenestekontoen er en vanlig domenebrukerkonto som har tillatelsene «replikerer katalogendringer» for hvert domene der Exchange-mottakere er lagret. Hvis du vil vite hvordan du oppretter den lokale tjenestekontoen, kan du se Opprette en lokal OLSync-tjenestekonto.

Outlook Live -godkjenning

For å godkjenne med Outlook Live, må du opprette og bruke enMicrosoft-konto. OLSynckrever skrivetilgang til Outlook Live mappepartisjonen for ditt domene eller dine domener. Tilgangen som gis til tjenestekontoen, er derfor mye høyere enn tilgangen som kreves for den lokale OLSync-tjenestekontoen.

Heldigvis finnes det en rollebasert tilgangskontroll (RBAC), GALSynchronizationManagement, som er spesifikk for OLSync-tjenestekontoen, så det er enkelt å bruke tillatelser på tjenestekontoen. Når du har opprettet en Microsoft ID med en postboks i Outlook-domenet, tilordner du GALSynchronizationManagement-rollen til brukeren, og deretter aktiverer du kontoen for Windows PowerShell.

Hvis du vil vise de nøyaktige tillatelsene som GALSynchronizationManagement-rollen bruker på tjenestekontoen, kjører du følgende kommando i Outlook Live-domenet med Outlook Live-administratorkontoen.

Get-ManagementRoleEntry GALSynchronizationManagement\* | ConvertTo-HTML  <path_fileName>.htm

Kommandoen oppretter en nettside der tillatelsene vises. Hvis du vil vite hvordan du oppretter Microsoft-kontoen, kan du se Opprette en OLSync-tjenestekonto i Outlook Live for Live@edu.

Planlegge passordadministrasjon

OLSync har støtte for fire scenarier med passordadministrasjon. Den innledende opprettelsen av passord og den pågående passordadministrasjonen håndteres litt forskjellig i de ulike scenariene. Når du planlegger hvordan brukerpassord skal administreres, tar du hensyn til både langsiktig administrasjon og innledende opprettelse av passord og velger scenariet som fungerer best for organisasjonen.

Standard virkemåte

I denne utgaven av OLSync opprettes det opprinnelige passordet av en FIM-2010-regel eller en ILM 2007-regelutvidelse som en del av OLSync. De opprinnelige passordene angis for de klargjorte Microsoft-kontoene i Outlook Live Microsoft-kontoaliaset og de tilhørende passordene lagres på FIM-2010 eller ILM 2007-serveren i en XML-fil med ren tekst. Som administrator må du distribuere disse opprinnelige passordene til brukerne.

Obs!

Du kan også lage en egendefinert regelutvidelse i FIM-2010 eller ILM 2007 hvis du vil opprette opprinnelige passord på en måte som kanskje er bedre egnet for organisasjonen. Du kan også utvikle en løsning som synkroniserer et allerede generert passord fra et eksisterende kildesystem til målet, ved å bruke en attributtverdi. Slike tilpassinger krever FIM-2010- eller ILM 2007-ekspertise.

Som standard trenger ikke brukerne å endre passordet etter at de har logget på for første gang. Du kan tvinge brukerne til å tilbakestille passordet når de logger på for første gang ved å bruke ResetPasswordOnFirstLogon-parameteren i FIM-2010 eller ILM 2007. Lær hvordan i Konfigurere den OLSync-vertsbaserte administrasjonsagenten.

I den standard virkemåten håndterer brukerne sine egne passord etter at de har logget på. Du kan imidlertid bruke WindowsPowerShell til å tvinge brukerne til å tilbakestille passordene.

PCNS (Password Change Notification Service)

FIM-2010 og ILM 2007 FP1 støtter PCNS (Password Change Notification Service). PCNS er en tjeneste som kjører på en domenekontroller med AD DS eller Active Directoryog tillater passordendringer som stammer fra katalogen som skal overføres til Outlook Live.

Hvis du i forbindelse med det opprinnelige passordet kjører PCNS, trenger du ikke å distribuere det automatisk genererte passordet til brukerne. I stedet ber du brukerne om å endre passordet på sin lokale Active Directory-konto. PCNS endrer deretter passordet for den tilsvarende Outlook Live-kontoen. Brukerne kan deretter logge på Outlook Live-kontoen med samme passord som de brukte for den lokale Active Directory-kontoen.

For informasjon om hvordan du setter opp og konfigurerer PCNS, se Configure Password Change Notification Service (PCNS) for use with OLSync for Live@edu.

Vi anbefaler at du bruker en egen tjenestekonto bare for PCNS når du konfigurerer PCNS. Ikke bruk den samme tjenestekontoen du angav for OLSync-konfigurasjonen.

Portal med enkel pålogging

Windows Live@edu har et SDK der det blir forklart hvordan du oppretter en portal med enkel pålogging for Outlook Live-brukerne. Portalen delegerer tilgang til Outlook Live ved hjelp av et godkjenningssertifikat utstedt av Microsoft. Når brukerne har blitt godkjent ved portalen, kan de logge på Outlook Live. I forbindelse med OLSync er portalen med enkel pålogging den ideelle løsningen for kunder som ikke kjører AD DS eller Active Directory som den primære mekanismen for brukergodkjenning. Ellers anbefales det at du bruker Tilkoblet forbund eller PCNS. Hvis du vil ha mer informasjon, kan du logge på Live@edu Service Management Portal og klikke Enkel pålogging.

Les mer

Implementere Outlook Live-katalogsynkronisering for Live@edu

• Hvordan Outlook Live-mappesynkronisering fungerer for Live@edu

• Planlegge distribusjonen av Outlook Live-katalogsynkronisering for Live@edu

• Distribuere Outlook Live-mappesynkronisering for Live@edu

  • Krav til OLSync

  • Forberede installasjon av OLSync i den lokale organisasjonen

  • Opprette en OLSync-tjenestekonto i Outlook Live for Live@edu

  • Opprette en lokal OLSync-tjenestekonto

  • Kjør installasjonsprogrammet for OLSync for Live@edu

  • Konfigurere den OLSync-vertsbaserte administrasjonsagenten

  • Angi de lokale organisasjonsenhetene som skal synkroniseres med Outlook Live

  • Configure Password Change Notification Service (PCNS) for use with OLSync for Live@edu(valgfritt)

  • Utføre en fullstendig OLSync-synkronisering med Outlook Live

  • Bekrefte OLSync-datasynkroniseringen i Outlook Live

  • Utføre senere OLSync-datasynkronisering med Outlook Live

• Referanse for Outlook Live-katalogsynkronisering