Adreslijstsynchronisatie met Microsoft 365 voorbereiden

  • Artikel

Dit artikel is van toepassing op Microsoft 365 Enterprise en Office 365 Enterprise.

Als u het hybride identiteitsmodel hebt gekozen en beveiliging hebt geconfigureerd voor beheerdersaccounts in stap 2 en gebruikersaccounts in stap 3 van deze oplossing, is de volgende taak het implementeren van adreslijstsynchronisatie. De voordelen van adreslijstsynchronisatie voor uw organisatie zijn onder andere:

  • De beheerprogramma's in uw organisatie verminderen
  • Scenario voor eenmalige aanmelding optioneel inschakelen
  • Accountwijzigingen automatiseren in Microsoft 365

Zie Hybride identiteit met Microsoft Entra-id voor meer informatie over de voordelen van het gebruik van adreslijstsynchronisatie.

Adreslijstsynchronisatie vereist echter planning en voorbereiding om ervoor te zorgen dat uw Active Directory Domain Services (AD DS) wordt gesynchroniseerd met de Microsoft Entra tenant van uw Microsoft 365-abonnement met een minimum aan fouten.

Volg deze stappen om de beste resultaten te krijgen.

Opmerking

Niet-ASCII-tekens worden niet gesynchroniseerd voor kenmerken in het AD DS-gebruikersaccount.

AD DS-voorbereiding

Om te zorgen voor een naadloze overgang naar Microsoft 365 met behulp van synchronisatie, moet u uw AD DS-forest voorbereiden voordat u begint met de implementatie van Microsoft 365-adreslijstsynchronisatie.

De voorbereiding van de map moet zijn gericht op de volgende taken:

  • Dubbele proxyAddress - en userPrincipalName-kenmerken verwijderen.

  • Werk lege en ongeldige userPrincipalName-kenmerken bij met geldige userPrincipalName-kenmerken .

  • Verwijder ongeldige en twijfelachtige tekens in de kenmerken givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname en userPrincipalName . Zie Lijst met kenmerken die worden gesynchroniseerd met het Azure Active Directory-synchronisatieprogramma voor meer informatie over het voorbereiden van kenmerken.

    Opmerking

    Dit zijn dezelfde kenmerken die Microsoft Entra Connect synchroniseert.

Overwegingen voor implementatie met meerdere forests

Gebruik voor meerdere forests en SSO-opties een aangepaste installatie van Microsoft Entra Connect.

Als uw organisatie meerdere forests heeft voor verificatie (aanmeldingsforests), raden we het volgende ten zeerste aan:

  • Overweeg uw forests te consolideren. Over het algemeen is er meer overhead vereist om meerdere forests te onderhouden. Tenzij uw organisatie beveiligingsbeperkingen heeft die de noodzaak van afzonderlijke forests vereisen, kunt u overwegen om uw on-premises omgeving te vereenvoudigen.
  • Gebruik alleen in uw primaire aanmeldingsforest. Overweeg microsoft 365 alleen te implementeren in uw primaire aanmeldingsforest voor uw eerste implementatie van Microsoft 365.

Als u uw AD DS-implementatie met meerdere forests niet kunt consolideren of andere adreslijstservices gebruikt om identiteiten te beheren, kunt u deze mogelijk synchroniseren met behulp van Microsoft of een partner.

Zie Topologieën voor Microsoft Entra Connect voor meer informatie.

Functies die afhankelijk zijn van adreslijstsynchronisatie

Adreslijstsynchronisatie is vereist voor de volgende functies en functionaliteit:

  • Microsoft Entra naadloze eenmalige aanmelding (SSO)
  • Co-existentie van Skype
  • Hybride implementatie van Exchange, waaronder:
    • Volledig gedeelde algemene adreslijst (GAL) tussen uw on-premises Exchange-omgeving en Microsoft 365.
    • Gal-gegevens van verschillende e-mailsystemen synchroniseren.
    • De mogelijkheid om gebruikers toe te voegen aan en gebruikers te verwijderen uit Microsoft 365-serviceaanbiedingen. Hiervoor is het volgende vereist:
      • Synchronisatie in twee richtingen moet worden geconfigureerd tijdens het instellen van adreslijstsynchronisatie. Standaard schrijven hulpprogramma's voor adreslijstsynchronisatie mapgegevens alleen naar de cloud. Wanneer u synchronisatie in twee richtingen configureert, schakelt u de functionaliteit voor terugschrijven in, zodat een beperkt aantal objectkenmerken uit de cloud wordt gekopieerd en vervolgens teruggeschreven naar uw lokale AD DS. Terugschrijven wordt ook wel de hybride modus van Exchange genoemd.
    • Een on-premises hybride implementatie van Exchange.
    • De mogelijkheid om sommige gebruikerspostvakken te verplaatsen naar Microsoft 365 terwijl andere gebruikerspostvakken on-premises blijven.
    • Veilige afzenders en geblokkeerde afzenders on-premises worden gerepliceerd naar Microsoft 365.
    • Basisfunctionaliteit voor delegering en verzenden namens e-mail.
    • U hebt een geïntegreerde on-premises smartcard of meervoudige verificatieoplossing.
  • Synchronisatie van foto's, miniaturen, vergaderruimten en beveiligingsgroepen

1. Taken voor het opschonen van mappen

Voordat u uw AD DS synchroniseert met uw Microsoft Entra tenant, moet u uw AD DS opschonen.

Belangrijk

Als u AD DS-opschoning niet uitvoert voordat u synchroniseert, kan dit leiden tot een aanzienlijke negatieve impact op het implementatieproces. Het kan dagen of zelfs weken duren om de cyclus van adreslijstsynchronisatie te doorlopen, fouten te identificeren en opnieuw te synchroniseren.

Voer in uw AD DS de volgende opschoningstaken uit voor elk gebruikersaccount waaraan een Microsoft 365-licentie wordt toegewezen:

  1. Zorg voor een geldig en uniek e-mailadres in het kenmerk proxyAddresses .

  2. Verwijder dubbele waarden in het kenmerk proxyAddresses .

  3. Zorg indien mogelijk voor een geldige en unieke waarde voor het kenmerk userPrincipalName in het gebruikersobject van de gebruiker. Voor de beste synchronisatie-ervaring zorgt u ervoor dat de AD DS UPN overeenkomt met de Microsoft Entra UPN. Als een gebruiker geen waarde heeft voor het kenmerk userPrincipalName , moet het gebruikersobject een geldige en unieke waarde bevatten voor het kenmerk sAMAccountName . Verwijder dubbele waarden in het kenmerk userPrincipalName .

  4. Voor een optimaal gebruik van de algemene adreslijst (GAL), controleert u of de informatie in de volgende kenmerken van het AD DS-gebruikersaccount juist is:

    • givenName
    • Achternaam
    • displayName
    • Functie
    • Department
    • Kantoor
    • Zakelijk nummer
    • Mobiel nummer
    • Faxnummer
    • Adres
    • Plaats
    • Provincie
    • Postcode
    • Land of regio

2. Voorbereiding van mapobject en kenmerk

Een geslaagde adreslijstsynchronisatie tussen uw AD DS en Microsoft 365 vereist dat uw AD DS-kenmerken correct zijn voorbereid. U moet er bijvoorbeeld voor zorgen dat er geen specifieke tekens worden gebruikt in bepaalde kenmerken die worden gesynchroniseerd met de Microsoft 365-omgeving. Onverwachte tekens zorgen er niet voor dat adreslijstsynchronisatie mislukt, maar kunnen een waarschuwing retourneren. Ongeldige tekens zorgen ervoor dat adreslijstsynchronisatie mislukt.

Adreslijstsynchronisatie mislukt ook als sommige van uw AD DS-gebruikers een of meer dubbele kenmerken hebben. Elke gebruiker moet unieke kenmerken hebben.

De kenmerken die u moet voorbereiden, worden hier vermeld:

  • displayName

    • Als het kenmerk aanwezig is in het gebruikersobject, wordt het gesynchroniseerd met Microsoft 365.
    • Als dit kenmerk aanwezig is in het gebruikersobject, moet er een waarde voor zijn. Het kenmerk mag dus niet leeg zijn.
    • Maximum aantal tekens: 256

  • givenName

    • Als het kenmerk aanwezig is in het gebruikersobject, wordt het gesynchroniseerd met Microsoft 365, maar microsoft 365 vereist of gebruikt het niet.
    • Maximum aantal tekens: 64

  • e-mail

    • De kenmerkwaarde moet uniek zijn binnen de map.

      Opmerking

      Als er dubbele waarden zijn, wordt de eerste gebruiker met de waarde gesynchroniseerd. Volgende gebruikers worden niet weergegeven in Microsoft 365. U moet de waarde in Microsoft 365 wijzigen of beide waarden in AD DS wijzigen om ervoor te zorgen dat beide gebruikers worden weergegeven in Microsoft 365.

  • mailNickname (Exchange-alias)

    • De kenmerkwaarde kan niet beginnen met een punt (.).

    • De kenmerkwaarde moet uniek zijn binnen de map.

      Opmerking

      Onderstrepingstekens (_) in de gesynchroniseerde naam geeft aan dat de oorspronkelijke waarde van dit kenmerk ongeldige tekens bevat. Zie Exchange-aliaskenmerk voor meer informatie over dit kenmerk.

  • Proxyadressen

    • Kenmerk met meerdere waarden

    • Maximum aantal tekens per waarde: 256

    • De kenmerkwaarde mag geen spatie bevatten.

    • De kenmerkwaarde moet uniek zijn binnen de map.

    • Ongeldige tekens: <> ( ) ; , [ ] "

    • Letters met diakritische markeringen, zoals umlauts, accenten en tildes, zijn ongeldige tekens.

      De ongeldige tekens zijn van toepassing op de tekens na het typescheidingsteken en ":", zodat SMTP:User@contso.com is toegestaan, maar SMTP:gebruiker:M@contoso.com niet.

      Belangrijk

      Alle SMTP-adressen (Simple Mail Transport Protocol) moeten voldoen aan de standaarden voor e-mailberichten. Verwijder dubbele of ongewenste adressen als deze bestaan.

  • Samaccountname

    • Maximum aantal tekens: 20
    • De kenmerkwaarde moet uniek zijn binnen de map.
    • Ongeldige tekens: [ \ " | , / : <> + = ; ? * ']
    • Als een gebruiker een ongeldig kenmerk sAMAccountName heeft, maar een geldig kenmerk userPrincipalName heeft, wordt het gebruikersaccount gemaakt in Microsoft 365.
    • Als zowel sAMAccountName als userPrincipalName ongeldig zijn, moet het kenmerk AD DS userPrincipalName worden bijgewerkt.

  • sn (achternaam)

    • Als het kenmerk aanwezig is in het gebruikersobject, wordt het gesynchroniseerd met Microsoft 365, maar microsoft 365 vereist of gebruikt het niet.

  • Targetaddress

    Het kenmerk targetAddress (bijvoorbeeld SMTP:tom@contoso.com) dat is ingevuld voor de gebruiker, moet worden weergegeven in de Microsoft 365-gal. In scenario's voor berichtmigratie van derden is hiervoor de Microsoft 365-schema-extensie voor de AD DS vereist. De Microsoft 365-schema-extensie voegt ook andere nuttige kenmerken toe voor het beheren van Microsoft 365-objecten die worden ingevuld met behulp van een hulpprogramma voor adreslijstsynchronisatie van AD DS. Het kenmerk msExchHideFromAddressLists voor het beheren van verborgen postvakken of distributiegroepen wordt bijvoorbeeld toegevoegd.

    • Maximum aantal tekens: 256
    • De kenmerkwaarde mag geen spatie bevatten.
    • De kenmerkwaarde moet uniek zijn binnen de map.
    • Ongeldige tekens: \ <> ( ) ; , [ ] "
    • Alle SMTP-adressen (Simple Mail Transport Protocol) moeten voldoen aan de standaarden voor e-mailberichten.

  • userPrincipalName

    • Het kenmerk userPrincipalName moet de aanmeldingsindeling in internetstijl hebben, waarbij de gebruikersnaam wordt gevolgd door het at-teken (@) en een domeinnaam: bijvoorbeeld user@contoso.com. Alle SMTP-adressen (Simple Mail Transport Protocol) moeten voldoen aan de standaarden voor e-mailberichten.
    • Het maximum aantal tekens voor het kenmerk userPrincipalName is 113. Een specifiek aantal tekens is toegestaan voor en na het at-teken (@), als volgt:
    • Maximum aantal tekens voor de gebruikersnaam die zich vóór het aanteken (@) bevindt: 64
    • Maximum aantal tekens voor de domeinnaam na het at-teken (@): 48
    • Ongeldige tekens: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • Toegestane tekens: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
    • Letters met diakritische markeringen, zoals umlauts, accenten en tildes, zijn ongeldige tekens.
    • Het @-teken is vereist in elke userPrincipalName-waarde .
    • Het @-teken kan niet het eerste teken zijn in elke userPrincipalName-waarde .
    • De gebruikersnaam mag niet eindigen op een punt (.), een ampersand (&), een spatie of een bijteken (@).
    • De gebruikersnaam mag geen spaties bevatten.
    • Routeerbare domeinen moeten worden gebruikt; Lokale of interne domeinen kunnen bijvoorbeeld niet worden gebruikt.
    • Unicode wordt geconverteerd naar onderstrepingstekens.
    • userPrincipalName mag geen dubbele waarden in de map bevatten.

3. Het kenmerk userPrincipalName voorbereiden

Active Directory is ontworpen om eindgebruikers in uw organisatie in staat te stellen zich aan te melden bij uw directory met behulp van sAMAccountName of userPrincipalName. Op dezelfde manier kunnen eindgebruikers zich aanmelden bij Microsoft 365 met behulp van de UPN (User Principal Name) van hun werk- of schoolaccount. Adreslijstsynchronisatie probeert nieuwe gebruikers te maken in Microsoft Entra-id met behulp van dezelfde UPN die zich in uw AD DS bevindt. De UPN is opgemaakt als een e-mailadres.

In Microsoft 365 is de UPN het standaardkenmerk dat wordt gebruikt om het e-mailadres te genereren. Het is eenvoudig om userPrincipalName (in AD DS en in Microsoft Entra-id) en het primaire e-mailadres in proxyAddresses in te stellen op verschillende waarden. Wanneer ze zijn ingesteld op verschillende waarden, kan er verwarring ontstaan voor beheerders en eindgebruikers.

U kunt deze kenmerken het beste uitlijnen om verwarring te voorkomen. Om te voldoen aan de vereisten voor eenmalige aanmelding met Active Directory Federation Services (AD FS) 2.0, moet u ervoor zorgen dat de UPN's in Microsoft Entra-id en uw AD DS overeenkomen en een geldige domeinnaamruimte gebruiken.

4. Voeg een alternatief UPN-achtervoegsel toe aan AD DS

Mogelijk moet u een alternatief UPN-achtervoegsel toevoegen om de bedrijfsreferenties van de gebruiker te koppelen aan de Microsoft 365-omgeving. Een UPN-achtervoegsel is het deel van een UPN rechts van het @-teken. UPN's die worden gebruikt voor eenmalige aanmelding, kunnen letters, cijfers, punten, streepjes en onderstrepingstekens bevatten, maar geen andere typen tekens.

Zie Voorbereiden voor adreslijstsynchronisatie voor meer informatie over het toevoegen van een alternatief UPN-achtervoegsel aan Active Directory.

5. De AD DS UPN vergelijken met de Microsoft 365-UPN

Als u adreslijstsynchronisatie al hebt ingesteld, komt de UPN van de gebruiker voor Microsoft 365 mogelijk niet overeen met de AD DS UPN van de gebruiker die is gedefinieerd in uw AD DS. Deze voorwaarde kan optreden wanneer aan een gebruiker een licentie is toegewezen voordat het domein is geverifieerd. U kunt dit oplossen door PowerShell te gebruiken om dubbele UPN te herstellen om de UPN van de gebruiker bij te werken om ervoor te zorgen dat de Microsoft 365-UPN overeenkomt met de gebruikersnaam en het domein van het bedrijf. Als u de UPN in de AD DS bijwerkt en deze wilt synchroniseren met de Microsoft Entra-identiteit, moet u de licentie van de gebruiker in Microsoft 365 verwijderen voordat u de wijzigingen in AD DS aanbrengt.

Zie ook Een niet-routeerbaar domein (zoals .lokaal domein) voorbereiden voor adreslijstsynchronisatie.

Volgende stappen

Nadat u stap 1 tot en met 5 hebt voltooid, raadpleegt u Adreslijstsynchronisatie instellen.