準備目錄同步處理的不可路由網域
當您同步處理內部部署目錄與 Microsoft 365 時,必須在Microsoft Entra識別碼中具有已驗證的網域。 只會同步處理與 內部部署的 Active Directory Domain Services (AD DS) ) 網域相關聯的 UPN (使用者主體名稱。 不過,任何包含不可路由網域的 UPN,例如 「.local」 (範例: billa@contoso.local) ,都會同步至 .onmicrosoft.com 網域, (範例: billa@contoso.onmicrosoft.com) 。
如果您目前在 AD DS 中為使用者帳戶使用 「.local」 網域,建議您將它們變更為使用已驗證的網域。 例如, billa@contoso.com 為了正確地與您的 Microsoft 365 網域同步處理。
如果我只有 「.local」 內部部署網域,該怎麼辦?
您可以使用 Microsoft Entra Connect 將 AD DS 同步至 Microsoft 365 租使用者的Microsoft Entra租使用者。 如需詳細資訊,請參閱整合內部部署身分識別與Microsoft Entra識別碼。
Microsoft Entra Connect 會同步處理使用者的 UPN 和密碼,讓使用者可以使用他們使用內部部署的相同認證登入。 不過,Microsoft Entra Connect 只會將使用者同步至由 Microsoft 365 驗證的網域。 Microsoft Entra識別碼會在管理 Microsoft 365 身分識別時驗證網域。 換句話說,網域必須是有效的網際網路網域 (例如 .com、.org、.NET、.us) 。 如果您的內部 AD DS 只使用非可路由網域 (例如 「.local」) ,這不可能符合您在 Microsoft 365 租使用者中擁有的已驗證網域。 您可以藉由變更內部部署 AD DS 中的主域,或新增一或多個 UPN 尾碼來修正此問題。
變更您的主域
將您的主域變更為您已在 Microsoft 365 中驗證的網域,例如,contoso.com。 接著,每個具有 contoso.local 網域的使用者都會更新為 contoso.com。 不過,這是一個相關的程式,下一節將說明更簡單的解決方案。
新增 UPN 尾碼並更新使用者
您可以在 AD DS 中註冊新的 UPN 尾碼或尾碼,以符合您在 Microsoft 365 中驗證的網域 (或網域) ,以解決 「.local」 問題。 註冊新的尾碼之後,您會更新使用者 UPN,以新的功能變數名稱取代 「.local」,例如,讓使用者帳戶看起來像 。 billa@contoso.com
更新 UPN 以使用已驗證的網域之後,您就可以開始同步處理內部部署 AD DS 與 Microsoft 365。
步驟 1:新增 UPN 尾碼
在 AD DS 網域控制站的伺服器管理員選擇[工具>] [Active Directory 網域和信任]。
或者,如果您沒有Windows Server 2012
按 下 Windows 鍵 + R 以開啟 [ 執行] 對話方塊,然後輸入 Domain.msc,然後選擇 [ 確定]。
![選擇 [Active Directory 網域與信任]。](../media/46b6e007-9741-44af-8517-6f682e0ac974.png?view=o365-worldwide)
在 [ Active Directory 網域與信任 ] 視窗中,以滑鼠右鍵按一下 [Active Directory 網域和信任],然後選擇 [ 屬性]。
![以滑鼠右鍵按一下 [Active Directory 網域和信任],然後選擇 [屬性]。](../media/39d20812-ffb5-4ba9-8d7b-477377ac360d.png?view=o365-worldwide)
在[UPN 尾碼] 索引標籤的 [替代 UPN 尾碼] 方塊中,輸入新的 UPN 尾碼或尾碼,然後選擇 [新增> 套用]。
當您完成新增尾碼時,請選擇 [ 確定 ]。
步驟 2:變更現有使用者的 UPN 尾碼
在 AD DS 網域控制站的伺服器管理員選擇 [工具>Active Directory 消費者和電腦。
或者,如果您沒有Windows Server 2012
按 下 Windows 鍵 + R 以開啟 [ 執行 ] 對話方塊,然後輸入 Dsa.msc,然後選取 [ 確定]
選取使用者,按一下滑鼠右鍵,然後選擇 [ 屬性]。
在 [ 帳戶] 索引標籤的 [UPN 尾碼] 下拉式清單中,選擇新的 UPN 尾碼,然後選擇 [ 確定]。
為每個使用者完成這些步驟。
使用 PowerShell 變更所有使用者的 UPN 尾碼
如果您有許多要更新的使用者帳戶,使用 PowerShell 會比較容易。 下列範例會使用 Get-ADUser 和 Set-ADUser Cmdlet,將 AD DS 中的所有 contoso.local 尾碼變更為 contoso.com。
例如,您可以執行下列 PowerShell 命令,將所有 contoso.local 尾碼更新為 contoso.com:
$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}
若要深入瞭解如何在 AD DS 中使用 Windows PowerShell,請參閱Active Directory Windows PowerShell模組。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應