为实现到 Microsoft 365 的目录同步做好准备

  • 项目

此文章适用于 Microsoft 365 企业版和 Office 365 企业版。

如果选择了混合标识模型,并在 步骤 2 中为管理员帐户和此解决方案 的步骤 3 中的用户帐户配置了保护,则下一个任务是部署目录同步。 目录同步为组织带来的好处包括:

  • 减少组织中的管理程序
  • (可选)启用单一登录方案
  • 在 Microsoft 365 中自动更改帐户

有关使用目录同步的优点的详细信息,请参阅具有Microsoft Entra ID 的混合标识

但是,目录同步需要规划和准备,以确保Active Directory 域服务 (AD DS) 与 Microsoft 365 订阅的 Microsoft Entra 租户同步,且出现最少的错误。

若要获得最佳结果,请按照以下步骤操作。

注意

非 ASCII 字符不会同步 AD DS 用户帐户上的任何属性。

AD DS 准备

为了帮助确保使用同步无缝过渡到 Microsoft 365,必须在开始 Microsoft 365 目录同步部署之前准备 AD DS 林。

目录准备应侧重于以下任务:

  • 删除重复 的 proxyAddressuserPrincipalName 属性。

  • 使用有效的 userPrincipalName 属性更新空白和无效 的 userPrincipalName 属性。

  • 删除 givenName、surname ( sn ) 、 sAMAccountNamedisplayNamemailproxyAddressesmailNicknameuserPrincipalName 属性中的无效和可疑字符。 有关准备属性的详细信息,请参阅 Azure Active Directory 同步工具同步的属性列表

    注意

    这些属性与 Microsoft Entra Connect 同步的属性相同。

多林部署注意事项

对于多个林和 SSO 选项,请使用 Microsoft Entra Connect 的自定义安装

如果组织有多个林用于身份验证 (登录林) ,我们强烈建议执行以下操作:

  • 请考虑合并林。 通常,维护多个林需要更多开销。 除非你的组织具有安全约束来规定需要单独的林,否则请考虑简化本地环境。
  • 仅在主登录林中使用。 考虑仅在主登录林中部署 Microsoft 365,以便首次推出 Microsoft 365。

如果无法合并多林 AD DS 部署或正在使用其他目录服务来管理标识,则可以在 Microsoft 或合作伙伴的帮助下将其同步。

有关详细信息,请参阅 Microsoft Entra Connect 的拓扑

依赖于目录同步的功能

以下特性和功能需要目录同步:

  • Microsoft Entra无缝单一登录 (SSO)
  • Skype 共存
  • Exchange 混合部署,包括:
    • 本地 Exchange 环境和 Microsoft 365 之间的完全共享全局地址列表 (GAL) 。
    • 同步不同邮件系统中的 GAL 信息。
    • 向 Microsoft 365 服务产品中添加用户和从中删除用户的功能。 这要求:
      • 必须在目录同步设置过程中配置双向同步。 默认情况下,目录同步工具仅将目录信息写入云。 配置双向同步时,可以启用写回功能,以便从云复制有限数量的对象属性,然后将其写回到本地 AD DS。 写回也称为 Exchange 混合模式。
    • 一个本地 Exchange 混合部署。
    • 能够将某些用户邮箱移动到 Microsoft 365,同时将其他用户邮箱保留在本地。
    • 本地的安全发件人和阻止的发件人将复制到 Microsoft 365。
    • 基本委托和代表发送电子邮件功能。
    • 你拥有集成的本地智能卡或多重身份验证解决方案。
  • 同步照片、缩略图、会议室和安全组

1. 目录清理任务

在将 AD DS 同步到Microsoft Entra租户之前,需要清理 AD DS。

重要

如果在同步之前未执行 AD DS 清理,可能会对部署过程产生重大负面影响。 可能需要数天甚至数周时间才能完成目录同步、识别错误和重新同步的周期。

在 AD DS 中,为将分配 Microsoft 365 许可证的每个用户帐户完成以下清理任务:

  1. 确保 proxyAddresses 属性中有效且唯一的电子邮件地址。

  2. 删除 proxyAddresses 属性中所有重复的值。

  3. 如果可能,请确保用户的用户对象中的 userPrincipalName 属性具有有效且唯一的值。 为了获得最佳同步体验,请确保 AD DS UPN 与Microsoft Entra UPN 匹配。 如果用户没有 userPrincipalName 属性的值,则 用户 对象必须包含 sAMAccountName 属性的有效且唯一的值。 删除 userPrincipalName 属性中所有重复的值。

  4. 为了最佳地使用全局地址列表 (GAL) ,请确保 AD DS 用户帐户的以下属性中的信息正确:

    • givenName
    • surname
    • displayName
    • 职务
    • 部门
    • 办公室
    • 办公室电话
    • 移动电话
    • 传真号码
    • 街道地址
    • 市/县
    • 省/自治区/直辖市
    • 邮政编码
    • 国家或地区

2. 目录对象和属性准备

AD DS 与 Microsoft 365 之间的目录同步成功需要正确准备 AD DS 属性。 例如,你需要确保在与 Microsoft 365 环境同步的某些属性中不使用特定字符。 意外字符不会导致目录同步失败,但可能会返回警告。 无效字符将导致目录同步失败。

如果某些 AD DS 用户具有一个或多个重复属性,目录同步也会失败。 每个用户必须具有唯一的属性。

此处列出了需要准备的属性:

  • displayName

    • 如果该属性存在于用户对象中,则会与 Microsoft 365 同步。
    • 如果此属性存在于用户对象中,则必须有一个值。 也就是说,属性不能为空。
    • 最大字符数:256

  • givenName

    • 如果该属性存在于用户对象中,则它与 Microsoft 365 同步,但 Microsoft 365 不需要或使用它。
    • 最大字符数:64

  • mail

    • 属性值在 目录中必须是唯一的。

      注意

      如果存在重复值,则会同步具有该值的第一个用户。 后续用户将不会显示在 Microsoft 365 中。 必须修改 Microsoft 365 中的值或修改 AD DS 中的两个值,以便两个用户都显示在 Microsoft 365 中。

  • mailNickname (Exchange 别名)

    • 属性值不能以句点 (.) 开头。

    • 属性值在 目录中必须是唯一的。

      注意

      同步名称中的下划线 (“_”) 指示此属性的原始值包含无效字符。 有关此属性的详细信息,请参阅 Exchange 别名属性

  • proxyAddresses

    • 多值属性

    • 每个值的最大字符数:256

    • 属性值不得包含空格。

    • 属性值在 目录中必须是唯一的。

    • 无效字符: <> ( ) ;、 [ ] ”

    • 带音调符号的字母(如元音、重音和音符)是无效字符。

      无效字符适用于类型分隔符和“:”后面的字符,因此允许 SMTP:User@contso.com ,但 SMTP:user:M@contoso.com 不允许。

      重要

      SMTP) 地址 (所有简单邮件传输协议应符合电子邮件标准。 删除重复或不需要的地址(如果存在)。

  • sAMAccountName

    • 最大字符数:20
    • 属性值在 目录中必须是唯一的。
    • 无效字符: [ \ “ | , / : <> + = ; ? * ']
    • 如果用户具有无效 的 sAMAccountName 属性,但具有有效的 userPrincipalName 属性,则会在 Microsoft 365 中创建用户帐户。
    • 如果 sAMAccountNameuserPrincipalName 都无效,则必须更新 AD DS userPrincipalName 属性。

  • sn (姓氏)

    • 如果该属性存在于用户对象中,则它与 Microsoft 365 同步,但 Microsoft 365 不需要或使用它。

  • targetAddress

    为用户填充的 targetAddress 属性 (必须出现在 Microsoft 365 GAL 中,例如 SMTP:tom@contoso.com) 。 在第三方消息传递迁移方案中,这需要 AD DS 的 Microsoft 365 架构扩展。 Microsoft 365 架构扩展还会添加其他有用的属性,以管理使用 AD DS 中的目录同步工具填充的 Microsoft 365 对象。 例如,将添加用于管理隐藏邮箱或通讯组的 msExchHideFromAddressLists 属性。

    • 最大字符数:256
    • 属性值不得包含空格。
    • 属性值在 目录中必须是唯一的。
    • 无效字符: \ <> ( ) ; , [ ] ”
    • SMTP) 地址 (所有简单邮件传输协议应符合电子邮件标准。

  • userPrincipalName

    • userPrincipalName 属性必须采用 Internet 样式的登录格式,其中用户名后跟 at sign (@) 和域名:例如 user@contoso.com。 SMTP) 地址 (所有简单邮件传输协议应符合电子邮件标准。
    • userPrincipalName 属性的最大字符数为 113。 允许在 符号 (@) 之前和之后使用特定数量的字符,如下所示:
    • at 符号前面的用户名的最大字符数 (@) :64
    • at 符号 (@) 后域名的最大字符数:48
    • 无效字符: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • 允许的字符:A – Z、a - z、0 – 9、' 。 - _ ! # ^ ~
    • 带音调符号的字母(如元音、重音和音符)是无效字符。
    • 每个 userPrincipalName 值中都需要 @ 字符。
    • @ 字符不能是每个 userPrincipalName 值中的第一个字符。
    • 用户名不能以句点 (.) 、和号 (&) 、空格或 at 符号 (@) 结尾。
    • 用户名不能包含任何空格。
    • 必须使用可路由域;例如,无法使用本地或内部域。
    • Unicode 将转换为下划线字符。
    • userPrincipalName 不能在目录中包含任何重复值。

3.准备 userPrincipalName 属性

Active Directory 旨在允许组织中的最终用户使用 sAMAccountNameuserPrincipalName 登录到目录。 同样,最终用户可以使用其工作或学校帐户的用户主体名称 (UPN) 登录到 Microsoft 365。 目录同步尝试使用 AD DS 中的同一 UPN 在 Microsoft Entra ID 中创建新用户。 UPN 的格式类似于电子邮件地址。

在 Microsoft 365 中,UPN 是用于生成电子邮件地址的默认属性。 很容易在 AD DS 和 Microsoft Entra ID) 中获取 userPrincipalName (,并将 proxyAddresses 中的主电子邮件地址设置为不同的值。 当它们设置为不同的值时,管理员和最终用户可能会感到困惑。

最好是调整这些属性以减少混淆。 若要满足 Active Directory 联合身份验证服务 (AD FS) 2.0 的单一登录要求,需要确保Microsoft Entra ID 中的 UPN 与 AD DS 匹配并使用有效的域命名空间。

4. 将备用 UPN 后缀添加到 AD DS

可能需要添加备用 UPN 后缀,以将用户的公司凭据与 Microsoft 365 环境相关联。 UPN 后缀是 @ 字符右侧的 UPN 的一部分。 用于单一登录的 UPN 可能包含字母、数字、句点、短划线和下划线,但不包含任何其他类型的字符。

有关如何将备用 UPN 后缀添加到 Active Directory 的详细信息,请参阅 准备目录同步

5. 将 AD DS UPN 与 Microsoft 365 UPN 匹配

如果已设置目录同步,则用户的适用于 Microsoft 365 的 UPN 可能与 AD DS 中定义的用户的 AD DS UPN 不匹配。 如果用户在验证域之前分配了许可证,则可能会出现这种情况。 若要解决此问题,请使用 PowerShell 修复重复的 UPN 以更新用户的 UPN,以确保 Microsoft 365 UPN 与公司用户名和域匹配。 如果要更新 AD DS 中的 UPN,并希望它与Microsoft Entra标识同步,则需要在 AD DS 中进行更改之前删除 Microsoft 365 中的用户许可证。

另请参阅 如何为目录同步准备不可路由的域 (例如 .local 域)

后续步骤

完成步骤 1 到 5 后,请参阅 设置目录同步