Вытяните пользователей Office 365 к Active Directory
Я в настоящее время работаю с существующим Office 365 подписка, которая должна иметь новый экземпляр Windows Server 2012 R2 в Azure управляйте пользователями через Active Directory. Сервер 2012 VM являются совершенно новыми и не имеют ничего настроенного. Я понимаю, что при хождении противоположным путем и создании новых 365 учетных записей можно просто использовать DirSync инструмент и нажатие Ваши AD пользователи к 365 облакам.
Я не смог получить любую поддержку со стороны MS на этом, таким образом, я задаюсь вопросом, есть ли у кого-либо какие-либо предложения о том, как получить пользователей от облака до AD так, чтобы я мог в конечном счете настроить a SSO ситуация для пользователей сервера.
То, что вам нужно, это соответствие SMTP: http: / /support.microsoft.com/kb/2641663
Обычно синхронизация AD -> O365 работает так, что для каждого пользователя в AD создается уникальное значение идентификатора, а затем пользователь отправляется в O365. Обновления выполняются с использованием значения идентификатора для сопоставления учетных записей.
Сопоставление SMTP сообщает инструменту DirSync о первоначальном сопоставлении на основе первичного SMTP-адреса. Дальнейшая синхронизация выполняется с использованием значения идентификатора.
Также убедитесь, что вы прочитали это, поскольку оно включает в себя, как изменить полномочия вашего каталога: Синхронизация каталога и источник полномочий
Я не верю, что у Microsoft в настоящее время есть решение для того, что вы ищете. Как вы упомянули, это противоположность типичному развертыванию Office 365.
В долгосрочной перспективе выпуск Azure Active Directory Premium с анонсированным, но еще не доступным, «Средством синхронизации идентификаторов» с «расширенными возможностями обратной записи» (см. http: //channel9.msdn. com / Events / TechEd / Europe / 2014 / CDP-B312 ) может делать то, что вы хотите, но у меня такое ощущение, что этого пока точно не существует.
Вы могли бы что-то закодировать с помощью модуля Azure Active Directory PowerShell для выгрузки данных из AD клиента Azure и подготовки пользователей в вашем собственном Active Directory, но я не могу образ, который вы собираетесь получить хэши обратно из Azure. Это оставит неприятную проблему с паролями.
В конечном итоге Microsoft должна помочь вам в этом. Я бы занялся продажами и поддержкой, чтобы определить наилучший способ достижения ваших бизнес-целей, а не собирать вместе какой-нибудь ужасный разовый продукт, который в итоге принесет больше вреда, чем пользы.
Я сам задавал этот же вопрос. Вот подход, который я выбрал:
Итак, я выполнил стандартную настройку сервера. Предоставил в Azure и установил Active Directory Domain Services.
Затем я воспользовался этим инструментом: http://blogs.technet.com/b/ad/archive/2014/12/15/azure-ad-connect-one-simple-fast-lightweight-tool-to-connect-active-directory-and-azure-active-directory.aspx
Конечно, это не работает, потому что ни один из моих пользователей не находится в AD!
Так что я провел больше исследований и наткнулся на это: Миграция учетных записей пользователей из Azure AD в местный AD?
Используя второй ответ, я смог экспортировать из Azure и импортировать в AD.
Предупреждаю: Во-первых, я нарушил аутентификацию. Но, похоже, это произошло из-за того, что я настроил DirSync/SSO и ADFS перед импортом. Все импортированные мною учетные записи блокируются, поэтому каждый раз, когда DirSync запускается, он блокирует мои учетные записи в Azure. Поэтому я рекомендую начать с этого процесса:
1) Добавьте две учетные записи в AD. - Одна - в вашем локальном AD, другая - на вашем сервере. - Одна - в вашем Azure AD, который не является частью вашей подписки Office 365. Используйте ваш домен .onmicrosoft.com. Дайте ему администратора над вашей AD. 2) Установите Azure Active Directory Powershell и убедитесь, что у вас есть обычная Active Directory Powershell: https://msdn.microsoft.com/en-us/library/azure/jj151815.aspx
3) Подключите ваш MSOL, используя созданную вами учетную запись Azure AD.
4) Выполните экспорт из Azure AD в руководстве, ссылки на которое даны ранее.
5) Выполните импорт в ваш локальный AD, согласно тому же руководству.
6) Проверьте свои учетные записи.
Здесь я все еще выясняю все самостоятельно. Выше следует ответить на ваш вопрос о том, как перевести пользователей. Но сейчас, что касается настройки SSO и DirSync, я не могу вас направить. Но я использовал AD Connect, и, похоже, это поможет мне. Но убедитесь, что вы научились отменять то, что он делает! Мне удалось сломать аутентификацию почти час, пока я это выяснял!
Удачи! Дайте мне знать, как продвигается ваш проект, и я дам вам знать, как продвигается мой.
Выполнены все шаги, предоставленные Крисом, все прошло хорошо, я изменяю команду импорта, чтобы не отключать учетную запись после запуска синхронизации, я добавил Включено $ True перед учетной записью пароль, синхронизация и учетная запись была создана и активирована одновременно.
Попробуйте следующее:
import-csv C:\Azure_Export_26_15_1.csv -Encoding UTF8 | foreach-object {New-ADUser -Name ($_.Firstname + "." + $_.Lastname) -SamAccountName ($_.Firstname + "." + $_.Lastname) -GivenName $_.FirstName -Surname $_.LastName -City $_.City -Department $_.Department -DisplayName $_.DisplayName -Fax $_.Fax -MobilePhone $_.MobilePhone -Office $_.Office -PasswordNeverExpires ($_.PasswordNeverExpires -eq "True") -OfficePhone $_.PhoneNumber -PostalCode $_.PostalCode -EmailAddress $_.SignInName -State $_.State -StreetAddress $_.StreetAddress -Title $_.Title -UserPrincipalName $_.UserPrincipalName -Enabled $True -AccountPassword (ConvertTo-SecureString -string "Secret!" -AsPlainText -force) }
Роль Windows Server Essentials имеет ограниченный соединитель в консоли с возможностью импорта. Однако невозможно использовать этот коннектор и включить ADFS с O365, вам нужно переключиться на AD Connect.