Przygotowanie do synchronizacji katalogów na platformie Microsoft 365
Ten artykuł dotyczy zarówno Microsoft 365 Enterprise, jak i Office 365 Enterprise.
Jeśli wybrano model tożsamości hybrydowej i skonfigurowano ochronę kont administratorów w kroku 2 , a konta użytkowników w kroku 3 tego rozwiązania, następnym zadaniem jest wdrożenie synchronizacji katalogów. Zalety synchronizacji katalogów w organizacji obejmują:
- Zmniejszanie programów administracyjnych w organizacji
- Opcjonalne włączanie scenariusza logowania jednokrotnego
- Automatyzowanie zmian konta na platformie Microsoft 365
Aby uzyskać więcej informacji na temat zalet korzystania z synchronizacji katalogów, zobacz tożsamość hybrydowa z identyfikatorem Microsoft Entra.
Jednak synchronizacja katalogów wymaga planowania i przygotowania, aby upewnić się, że Active Directory Domain Services (AD DS) synchronizuje się z dzierżawą Microsoft Entra subskrypcji platformy Microsoft 365 z minimalną ilością błędów.
Wykonaj następujące kroki, aby uzyskać najlepsze wyniki.
Uwaga
Znaki inne niż ASCII nie są synchronizowane dla żadnych atrybutów na koncie użytkownika usług AD DS.
Przygotowywanie usług AD DS
Aby zapewnić bezproblemowe przejście na platformę Microsoft 365 przy użyciu synchronizacji, należy przygotować las usług AD DS przed rozpoczęciem wdrażania synchronizacji katalogów platformy Microsoft 365.
Przygotowanie katalogu powinno koncentrować się na następujących zadaniach:
Usuń zduplikowane atrybuty proxyAddress i userPrincipalName .
Zaktualizuj puste i nieprawidłowe atrybuty userPrincipalName przy użyciu prawidłowych atrybutów userPrincipalName .
Usuń nieprawidłowe i wątpliwe znaki w atrybutach givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname i userPrincipalName . Aby uzyskać szczegółowe informacje na temat przygotowywania atrybutów, zobacz List of attributes that are synced by the Azure Active Directory Sync Tool (Lista atrybutów synchronizowanych przez narzędzie synchronizacji usługi Azure Active Directory).
Uwaga
Są to te same atrybuty, które synchronizuje Microsoft Entra Connect.
Zagadnienia dotyczące wdrażania wielu lasów
W przypadku wielu lasów i opcji logowania jednokrotnego użyj instalacji niestandardowej programu Microsoft Entra Connect.
Jeśli Twoja organizacja ma wiele lasów do uwierzytelniania (lasy logowania), zdecydowanie zalecamy następujące kwestie:
- Rozważ skonsolidowanie lasów. Ogólnie rzecz biorąc, do utrzymania wielu lasów jest wymaganych więcej narzutów. Jeśli organizacja nie ma ograniczeń zabezpieczeń, które dyktują potrzebę stosowania oddzielnych lasów, rozważ uproszczenie środowiska lokalnego.
- Użyj tylko w podstawowym lesie logowania. Rozważ wdrożenie platformy Microsoft 365 tylko w podstawowym lesie logowania na potrzeby początkowego wdrożenia platformy Microsoft 365.
Jeśli nie możesz skonsolidować wdrożenia usług AD DS w wielu lasach lub używasz innych usług katalogowych do zarządzania tożsamościami, możesz zsynchronizować je z pomocą firmy Microsoft lub partnera.
Aby uzyskać więcej informacji, zobacz Topologie dla programu Microsoft Entra Connect.
Funkcje zależne od synchronizacji katalogów
Synchronizacja katalogów jest wymagana dla następujących funkcji i funkcji:
- Microsoft Entra bezproblemowe logowanie jednokrotne
- Współistnienie skype'a
- Wdrożenie hybrydowe programu Exchange, w tym:
- W pełni udostępniona globalna lista adresów (GAL) między lokalnym środowiskiem programu Exchange a platformą Microsoft 365.
- Synchronizowanie informacji gal z różnych systemów poczty.
- Możliwość dodawania użytkowników do ofert usługi Microsoft 365 i usuwania ich z niej. Wymaga to następujących czynności:
- Podczas konfigurowania synchronizacji katalogów należy skonfigurować synchronizację dwukierunkową. Domyślnie narzędzia synchronizacji katalogów zapisuje informacje o katalogu tylko w chmurze. Podczas konfigurowania synchronizacji dwukierunkowej włączasz funkcję zapisu zwrotnego, dzięki czemu ograniczona liczba atrybutów obiektów jest kopiowana z chmury, a następnie zapisywana z powrotem w lokalnych usługach AD DS. Zapisywanie zwrotne jest również nazywane trybem hybrydowym programu Exchange.
- Lokalne wdrożenie hybrydowe programu Exchange.
- Możliwość przenoszenia niektórych skrzynek pocztowych użytkowników na platformę Microsoft 365 przy zachowaniu lokalnych skrzynek pocztowych innych użytkowników.
- Bezpieczni nadawcy i zablokowani nadawcy lokalni są replikowane do platformy Microsoft 365.
- Podstawowe funkcje delegowania i wysyłania wiadomości e-mail w imieniu.
- Masz zintegrowaną lokalną kartę inteligentną lub rozwiązanie do uwierzytelniania wieloskładnikowego.
- Synchronizacja zdjęć, miniatur, sal konferencyjnych i grup zabezpieczeń
1. Zadania oczyszczania katalogów
Przed zsynchronizowanie usług AD DS z dzierżawą Microsoft Entra należy wyczyścić usługi AD DS.
Ważna
Jeśli nie wykonasz oczyszczania usług AD DS przed synchronizacją, może to prowadzić do znaczącego negatywnego wpływu na proces wdrażania. Może upłynąć kilka dni, a nawet tygodni, aby przejść przez cykl synchronizacji katalogów, identyfikowania błędów i ponownej synchronizacji.
W usługach AD DS wykonaj następujące zadania oczyszczania dla każdego konta użytkownika, do których zostanie przypisana licencja platformy Microsoft 365:
Upewnij się, że w atrybucie proxyAddresses jest prawidłowy i unikatowy adres e-mail.
Usuń wszystkie zduplikowane wartości w atrybucie proxyAddresses .
Jeśli to możliwe, upewnij się prawidłową i unikatową wartość atrybutu userPrincipalName w obiekcie użytkownika użytkownika. Aby uzyskać najlepsze środowisko synchronizacji, upewnij się, że nazwa UPN usług AD DS jest zgodna z nazwą UPN Microsoft Entra. Jeśli użytkownik nie ma wartości atrybutu userPrincipalName , obiekt użytkownika musi zawierać prawidłową i unikatową wartość atrybutu sAMAccountName . Usuń wszystkie zduplikowane wartości w atrybucie userPrincipalName .
Aby optymalnie wykorzystać globalną listę adresów (GAL), upewnij się, że informacje w następujących atrybutach konta użytkownika usług AD DS są poprawne:
- Givenname
- Nazwisko
- displayName
- Stanowisko
- Department
- Pakiet Office
- Tel. w biurze
- Telefon komórkowy
- Numer faksu
- Adres ulicy
- Miasto
- Województwo
- Kod pocztowy lub pocztowy
- Kraj lub region
2. Przygotowywanie obiektu katalogu i atrybutu
Pomyślna synchronizacja katalogów między usługami AD DS i Microsoft 365 wymaga odpowiedniego przygotowania atrybutów usług AD DS. Na przykład należy upewnić się, że określone znaki nie są używane w niektórych atrybutach, które są synchronizowane ze środowiskiem platformy Microsoft 365. Nieoczekiwane znaki nie powodują niepowodzenia synchronizacji katalogów, ale mogą zwracać ostrzeżenie. Nieprawidłowe znaki spowodują niepowodzenie synchronizacji katalogów.
Synchronizacja katalogów również zakończy się niepowodzeniem, jeśli niektórzy użytkownicy usług AD DS mają co najmniej jeden zduplikowany atrybut. Każdy użytkownik musi mieć unikatowe atrybuty.
Atrybuty, które należy przygotować, są wymienione tutaj:
displayName
- Jeśli atrybut istnieje w obiekcie użytkownika, jest synchronizowany z platformą Microsoft 365.
- Jeśli ten atrybut istnieje w obiekcie użytkownika, musi być dla niego wartość. Oznacza to, że atrybut nie może być pusty.
- Maksymalna liczba znaków: 256
Givenname
- Jeśli atrybut istnieje w obiekcie użytkownika, jest zsynchronizowany z platformą Microsoft 365, ale platforma Microsoft 365 nie wymaga ani nie używa go.
- Maksymalna liczba znaków: 64
mail
Wartość atrybutu musi być unikatowa w katalogu.
Uwaga
Jeśli istnieją zduplikowane wartości, pierwszy użytkownik z wartością zostanie zsynchronizowany. Kolejni użytkownicy nie pojawią się na platformie Microsoft 365. Należy zmodyfikować wartość w usłudze Microsoft 365 lub zmodyfikować obie wartości w usługach AD DS, aby obaj użytkownicy pojawili się na platformie Microsoft 365.
mailNickname (alias programu Exchange)
Wartość atrybutu nie może zaczynać się kropką (.).
Wartość atrybutu musi być unikatowa w katalogu.
Uwaga
Podkreślenia ("_") w zsynchronizowanej nazwie wskazują, że oryginalna wartość tego atrybutu zawiera nieprawidłowe znaki. Aby uzyskać więcej informacji na temat tego atrybutu, zobacz Atrybut aliasu programu Exchange.
Proxyaddresses
Atrybut wielokrotnej wartości
Maksymalna liczba znaków na wartość: 256
Wartość atrybutu nie może zawierać spacji.
Wartość atrybutu musi być unikatowa w katalogu.
Nieprawidłowe znaki: <> ( ) ; , [ ] "
Litery ze znakami diakrytycznymi, takimi jak umlauts, akcenty i kafelki, są nieprawidłowymi znakami.
Nieprawidłowe znaki mają zastosowanie do znaków następujących po ograniczniku typu i ":", tak że protokół SMTP:User@contso.com jest dozwolony, ale SMTP:user:M@contoso.com nie jest.
Ważna
Wszystkie adresy protokołu SMTP (Simple Mail Transport Protocol) powinny być zgodne ze standardami obsługi wiadomości e-mail. Usuń zduplikowane lub niepożądane adresy, jeśli istnieją.
Samaccountname
- Maksymalna liczba znaków: 20
- Wartość atrybutu musi być unikatowa w katalogu.
- Nieprawidłowe znaki: [ \ " | , / : <> + = ; ? * ']
- Jeśli użytkownik ma nieprawidłowy atrybut sAMAccountName , ale ma prawidłowy atrybut userPrincipalName , konto użytkownika jest tworzone na platformie Microsoft 365.
- Jeśli zarówno sAMAccountName , jak i userPrincipalName są nieprawidłowe, należy zaktualizować atrybut userPrincipalName usług AD DS.
sn (nazwisko)
- Jeśli atrybut istnieje w obiekcie użytkownika, jest zsynchronizowany z platformą Microsoft 365, ale platforma Microsoft 365 nie wymaga ani nie używa go.
Targetaddress
Wymagane jest, aby atrybut targetAddress (na przykład SMTP:tom@contoso.com) wypełniony dla użytkownika musiał pojawić się w usłudze Microsoft 365 GAL. W scenariuszach migracji komunikatów innych firm wymagałoby to rozszerzenia schematu usługi Microsoft 365 dla usług AD DS. Rozszerzenie schematu platformy Microsoft 365 doda również inne przydatne atrybuty do zarządzania obiektami platformy Microsoft 365 wypełnionymi za pomocą narzędzia do synchronizacji katalogów z usług AD DS. Na przykład atrybut msExchHideFromAddressLists do zarządzania ukrytymi skrzynkami pocztowymi lub grupami dystrybucyjnymi zostanie dodany.
- Maksymalna liczba znaków: 256
- Wartość atrybutu nie może zawierać spacji.
- Wartość atrybutu musi być unikatowa w katalogu.
- Nieprawidłowe znaki: \ <> ( ) ; , [ ] "
- Wszystkie adresy protokołu SMTP (Simple Mail Transport Protocol) powinny być zgodne ze standardami obsługi wiadomości e-mail.
Userprincipalname
- Atrybut userPrincipalName musi mieć format logowania w stylu internetowym, user@contoso.comw którym po nazwie użytkownika następuje znak at (@) i nazwa domeny: na przykład . Wszystkie adresy protokołu SMTP (Simple Mail Transport Protocol) powinny być zgodne ze standardami obsługi wiadomości e-mail.
- Maksymalna liczba znaków atrybutu userPrincipalName wynosi 113. Określona liczba znaków jest dozwolona przed i po znaku at (@), w następujący sposób:
- Maksymalna liczba znaków dla nazwy użytkownika, która znajduje się przed znakiem at (@): 64
- Maksymalna liczba znaków dla nazwy domeny po znaku at (@): 48
- Nieprawidłowe znaki: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
- Dozwolone znaki: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
- Litery ze znakami diakrytycznymi, takimi jak umlauts, akcenty i kafelki, są nieprawidłowymi znakami.
- Znak @jest wymagany w każdej wartości userPrincipalName .
- Znak @nie może być pierwszym znakiem w każdej wartości userPrincipalName .
- Nazwa użytkownika nie może kończyć się kropką (.), znakiem ampersand (&), spacji ani znakiem at (@).
- Nazwa użytkownika nie może zawierać żadnych spacji.
- Należy używać domen routingu; Na przykład nie można używać domen lokalnych ani wewnętrznych.
- Unicode jest konwertowany na znaki podkreślenia.
- userPrincipalName nie może zawierać żadnych zduplikowanych wartości w katalogu.
3. Przygotowanie atrybutu userPrincipalName
Usługa Active Directory została zaprojektowana tak, aby umożliwić użytkownikom końcowym w organizacji logowanie się do katalogu przy użyciu nazwy sAMAccountName lub userPrincipalName. Podobnie użytkownicy końcowi mogą zalogować się do platformy Microsoft 365 przy użyciu głównej nazwy użytkownika (UPN) swojego konta służbowego. Synchronizacja katalogów próbuje utworzyć nowych użytkowników w Microsoft Entra identyfikatorze przy użyciu tej samej nazwy UPN, która jest w usługach AD DS. Nazwa UPN jest sformatowana jak adres e-mail.
W usłudze Microsoft 365 nazwa UPN jest atrybutem domyślnym używanym do generowania adresu e-mail. Łatwo jest pobrać właściwość userPrincipalName (w usługach AD DS i w Microsoft Entra identyfikatorze), a podstawowy adres e-mail w serwerze proxyAddresses jest ustawiony na różne wartości. Gdy są one ustawione na różne wartości, mogą wystąpić nieporozumienia dla administratorów i użytkowników końcowych.
Najlepiej jest dostosować te atrybuty, aby zmniejszyć zamieszanie. Aby spełnić wymagania logowania jednokrotnego z usługą Active Directory Federation Services (AD FS) 2.0, musisz upewnić się, że nazwy UPN w identyfikatorze Microsoft Entra i usługach AD DS są zgodne i używają prawidłowej przestrzeni nazw domeny.
4. Dodawanie alternatywnego sufiksu nazwy UPN do usług AD DS
Może być konieczne dodanie alternatywnego sufiksu nazwy UPN, aby skojarzyć poświadczenia firmowe użytkownika ze środowiskiem platformy Microsoft 365. Sufiks nazwy UPN jest częścią nazwy UPN po prawej stronie znaku @. Nazwy UPN używane do logowania jednokrotnego mogą zawierać litery, cyfry, kropki, kreski i podkreślenia, ale bez innych typów znaków.
Aby uzyskać więcej informacji na temat dodawania alternatywnego sufiksu nazwy UPN do usługi Active Directory, zobacz Przygotowywanie do synchronizacji katalogów.
5. Dopasuj nazwę UPN usług AD DS do nazwy UPN platformy Microsoft 365
Jeśli synchronizacja katalogów została już skonfigurowana, nazwa UPN użytkownika dla platformy Microsoft 365 może nie być zgodna z nazwą UPN usług AD DS użytkownika zdefiniowaną w usługach AD DS. Ten warunek może wystąpić, gdy użytkownikowi przypisano licencję przed zweryfikowaniem domeny. Aby rozwiązać ten problem, użyj programu PowerShell, aby naprawić zduplikowaną nazwę UPN , aby zaktualizować nazwę UPN użytkownika, aby upewnić się, że nazwa UPN platformy Microsoft 365 jest zgodna z firmową nazwą użytkownika i domeną. Jeśli aktualizujesz nazwę UPN w usługach AD DS i chcesz ją zsynchronizować z tożsamością Microsoft Entra, musisz usunąć licencję użytkownika w usłudze Microsoft 365 przed wprowadzeniem zmian w usługach AD DS.
Zobacz również Jak przygotować domenę bez routingu (taką jak domena lokalna) do synchronizacji katalogów.
Następne kroki
Po wykonaniu kroków od 1 do 5 zobacz Konfigurowanie synchronizacji katalogów.