準備目錄同步處理的不可路由網域
當您同步處理內部部署目錄與 Microsoft 365 時,您必須在 Microsoft Entra ID 中具有已驗證的網域。 只會同步處理與 內部部署的 Active Directory Domain Services (AD DS) ) 網域相關聯的 UPN (用戶主體名稱。 不過,任何包含不可路由網路域的UPN,例如 .local (範例: billa@contoso.local) ,都會同步至 .onmicrosoft.com 網域 (範例: billa@contoso.onmicrosoft.com) 。
如果您目前在 .local AD DS 中使用使用者帳戶的網域,建議您將它們變更為使用已驗證的網域。 例如, billa@contoso.com為了正確地與您的 Microsoft 365 網域同步處理。
如果我只有內部 .local 部署網域,該怎麼辦?
您可以使用 Microsoft Entra Connect 將 AD DS 同步處理至 Microsoft 365 租使用者的 Microsoft Entra 租使用者。 如需詳細資訊,請參閱整合內部部署身分識別與 Microsoft Entra ID。
Microsoft Entra Connect 會同步處理使用者的 UPN 和密碼,讓使用者可以使用與內部部署相同的認證登入。 不過,Microsoft Entra Connect 只會將使用者同步處理至由 Microsoft 365 驗證的網域。 Microsoft Entra ID 會在管理 Microsoft 365 身分識別時驗證網域。 換句話說,網域必須是有效的因特網網域 (例如,.com、.org、.NET、.us) 。 例如,如果您的內部 AD DS 只使用不可路由網域 (, .local) ,這可能無法符合您在 Microsoft 365 租使用者中擁有的已驗證網域。 您可以藉由變更內部部署 AD DS 中的主域,或新增一或多個 UPN 後綴來修正此問題。
變更您的主域
將您的主域變更為您已在 Microsoft 365 中驗證的網域,例如,contoso.com。 然後,具有網域 contoso.local 的每個用戶都會更新為 contoso.com。 不過,這是一個相關的程式,下一節將說明更簡單的解決方案。
新增UPN後綴並更新使用者
您可以在 AD DS 中註冊新的 UPN 後綴或後綴,以符合您在 Microsoft 365 中驗證的網域 (或網域) 來解決問題 .local 。 註冊新的後綴之後,您會更新使用者 UPN,以新的功能變數名稱取代 .local ,例如,讓使用者帳戶看起來像 。billa@contoso.com
更新 UPN 以使用已驗證的網域之後,您就可以開始同步處理內部部署 AD DS 與 Microsoft 365。
步驟 1:新增 UPN 後綴
在 AD DS 域控制器的 伺服器管理員 選擇 [工具>] [Active Directory 網域和信任]。
或者,如果您沒有 Windows Server 2012
按 下 Windows 鍵 + R 以開啟 [ 執行] 對話框,然後輸入 Domain.msc,然後選擇 [ 確定]。
![選擇 [Active Directory 網域與信任]。](../media/46b6e007-9741-44af-8517-6f682e0ac974.png?view=o365-worldwide)
在 [ Active Directory 網域與信任 ] 視窗中,以滑鼠右鍵按兩下 [Active Directory 網域和信任],然後選擇 [ 屬性]。
![以滑鼠右鍵按兩下 [Active Directory 網域和信任],然後選擇 [屬性]。](../media/39d20812-ffb5-4ba9-8d7b-477377ac360d.png?view=o365-worldwide)
在 [UPN 後綴] 索引標籤的 [替代 UPN 後綴] 方塊中,輸入新的 UPN 後綴或後綴,然後選擇 [新增>套用]。
當您完成新增後綴時,請選擇 [ 確定 ]。
步驟 2:變更現有使用者的 UPN 後綴
在 AD DS 域控制器的 伺服器管理員 選擇 [工具>Active Directory 使用者和電腦。
或者,如果您沒有 Windows Server 2012
按 下 Windows 鍵 + R 以開啟 [ 執行 ] 對話框,然後輸入 Dsa.msc,然後選取 [ 確定]
選取使用者,按下滑鼠右鍵,然後選擇 [ 屬性]。
在 [ 帳戶] 索引標籤的 [UPN 後綴] 下拉式清單中,選擇新的 UPN 後綴,然後選擇 [ 確定]。
為每個使用者完成這些步驟。
使用 PowerShell 變更所有使用者的 UPN 後綴
如果您有許多要更新的用戶帳戶,使用 PowerShell 會比較容易。 下列範例會使用 Get-ADUser 和 Set-ADUser Cmdlet,將 AD DS 中的所有 contoso.local 後綴變更為 contoso.com。
例如,您可以執行下列 PowerShell 命令,將所有 contoso.local 後綴更新為 contoso.com:
$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}
若要深入瞭解如何在AD DS中使用 Windows PowerShell,請參閱Active Directory Windows PowerShell 模組。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: