Plan for brukeridentitet i en Staged Exchange-migrering
Gjelder: Office 365 for enterprises
Emnet sist endret: 2011-11-23
Du må også replikere brukerobjekter fra den lokale Active Directory-katalogtjenesten til den skybaserte e-postorganisasjonen hvis du skal bruke en trinnvis Exchange-overføring. Å gjøre dette i Microsoft Office 365 for virksomheter, må du installere Microsoft Online Services katalogsynkroniseringsverktøy.
Ting å ta hensyn til når du planlegger en iscenesatt Exchange-overføring i Office 365 for virksomheter
Katalogsynkroniseringsverktøy har spesifikke krav om hvordan du administrerer brukeridentiteter i skyen. La oss se på konsekvensene av disse kravene ettersom du planlegger trinnvis Exchange-overføring.
Synkroniseringsprosessen av katalogen replikerer dine lokale Active Directory brukerobjekter til skyen, der den skaper nye tilsvarende e-postaktiverte brukere. Under en iscenesatt Exchange-migrering konverteres disse e-aktiverte brukere til postbokser. Etter overføringsprosessen opprettes brukerens postkasse mens synkroniseringprosessen av katalogen vil fortsette for å oppdatere brukerens attributter av den skybaserte postboksen i henhold til endringene i den lokale Active Directory. Egenskapene til brukerne og postbokser skapt av katalogsynkroniseringsprosessen er skrivebeskyttet, selv for Exchange Online-administratorer.
Etter en iscenesatt Exchange-overføring kan du likevel deaktivere katalogsynkronisering slik at du kan gjøre endringer til brukerens attributter ved hjelp av verktøy i Office 365 og Exchange Online.
Det er viktig å forstå at langsiktig håndtering av brukerkontoer kan utføres enten fra den lokale Active Directory eller fra Office 365-katalogen når du har kjørt en iscenesatt Exchange-overføring for å flytte postboksdata fra din lokale Exchange organisasjon til skyen. Dette betyr at du må bestemme deg for hvordan du vil administrere brukerkontoidentiteter etter en trinnvis Exchange-overføring.
Administrere brukeridentiteten fra Active Directory
Det er to måter å administrere brukerens identitet fra den lokale Active Directory:
Administrerte identiteter
Identifiser støtte for enkel pålogging
Administrerte identiteter
Når prosessen for katalogsynkronisering oppretter e-postaktiverte brukere i skyen, blir de opprettet med det samme hovednavnet (UPN) (name@contoso.com) som ligger i kildeobjektet i den lokale Active Directory. Imidlertid er ikke passord for sky og lokal UPN synkronisert som standard.
Denne typen administrasjon av brukeridentiteter, der skybasert UPN er avledet fra de lokale Active Directory-kildekontoene, og hvor de underliggende autorisasjonsmekanismene ikke er forent, kalles -administrerte identiteter . Administrerte identiteter opprettes som standard når du kjører directory-synkronisering.
Bruken av administrerte identiteter kan være mulig for små organisasjoner, der en administrator kan lære et relativt lite antall brukere å huske og bruke to sett med legitimeringer -en lokal og en for skyen. Men for store organisasjoner, vil denne tilnærmingen sannsynligvis kreve en uholdbar grad av støtte fra helpdesk.
Identifiser støtte for enkel pålogging
Vi anbefaler at større organisasjoner implementerer Active Directory Federation Services 2.0 (AD FS 2.0) for å muliggjøre enkel pålogging (SSO). Med SSO kan brukerne få tilgang til e-post og andre tjenester i Office 365 for virksomheter med sin eksisterende Active Directory-legitimasjon. Denne typen identitetsbehandling blir også kalt identitetssammenslutning.
Når du bruker identitetssammenslutning for SSO, kan du opprette brukere i den lokale Active Directory og sette passordene sine slik du gjør nå, og tilsvarende skybaserte brukere kan identifisere seg med sin eksisterende Active Directory-legitimasjon. Det er noen innledende kostnader ved å implementere AD FS-infrastruktur lokalt, men for større organisasjoner er sannsynligvis den langsiktige kostnaden for brukeradministrasjon lavere enn å prøve å opprettholde administrerte brukeridentiteter.
Selv om du kan distribuere AD FS og SSO etter at du har kjørt en trinnvis Exchange-overføring, anbefaler vi at du implementerer AD FS før du installerer og konfigurerer katalogsynkroniseringsverktøy. Hvis du vil ha mer informasjon om hvordan du konfigurerer SSO i Office 365 for virksomheter, se Forberedelser til enkel pålogging.
Hvis du vil vite hvordan du kjører en trinnvis Exchange-migrering, kan du se Overføre et delsett med postbokser til skyen med en trinnvis Exchange-overføring.
Administrere brukeridentiteten fra Office 365
For noen organisasjoner vil det å kjøre en iscenesatt Exchange-overføring være én fase i en full overføring til skyen. Noen organisasjoner vil ønske å holde sin skyorganisasjon og lokale organisasjon fra hverandre eller helt å stenge den lokale Active Directory. I begge tilfeller må skypostboksenes brukeridentiteter styres ved hjelp av verktøy i Office 365 og Exchange Online. Som tidligere nevnt, kan du deaktivere katalogsynkronisering og deretter behandle bruker-ID i Office 365. For mer informasjon, se: