Как перенастроить синхронизацию Azure AD, используемую для обеспечения возможности единого-входа-в Office365 изнутри домена, чтобы доменное имя было частью имени пользователя. UPN может меняться при синхронизации?
. предположим, что локальный домен — ad.contosolocal.com
, а внешний домен — contoso.com
. В настоящее время работает только точное копирование, путем сопоставления его идентификатора, например. с помощью MSonline
;
$username="bob"
$UPN = (-join($username, "contoso.com"))
$guid=(get-ADUser $username).Objectguid
$immutableID=[system.convert]::ToBase64String($guid.tobytearray())
Set-MsolUser -UserPrincipalName $UPN -ImmutableId $immutableID
Это работает не очень плавно и надежно:требуется несколько попыток синхронизации, полная ручная синхронизация и запуск каждой возможной опции дважды для обоих коннекторов, всего 16 синхронизаций (2x2x импорт, экспорт, синхронизация и delta), прежде чем Azure AD решит установить для имени участника-пользователя правильное значение, и не сразу, а примерно через 15 минут. Кажется, хочет установить UPN на bob
вместо bob@contoso.com
для некоторых мне по-по-необъяснимой причине. Работа с этим для многих пользователей разочаровывает их, поскольку вход в систему прерывается, а значения не установлены правильно.
Тогда я хочу:
+--------------------------+------------------+------------------+
| Local value | Sent to Azure | Azure Value |
+--------------------------+------------------+------------------+
| dan@ad.contosolocal.com | dan@contoso.com | dan@contoso.com |
| john@ad.contosolocal.com | john@contoso.com | john@contoso.com |
+--------------------------+------------------+------------------+
Если это сделано наивно, путем создания моих собственных «Правил синхронизации», это нарушит пароли, (пользователи больше не смогут войти в систему с ошибками «неверный пароль»). Пароли работают только тогда, когда имя участника-пользователя соответствует тому, что он находится в сети, даже если синхронизация паролей отключена (похоже, это ошибка). Конечно, домен электронной-почты совпадает с доменом веб-сайта, а это означает, что если локальные пути начинают делать то же самое, это приводит к проблемам с DNS; больше не может получить доступ к веб-сайту компании из локального домена.
Наоборот, использование ad.contosolocal.com
в качестве онлайн-входа в систему также не является жизнеспособным вариантом, пользователи хотят входить в систему, используя «настоящее» доменное имя.(Помимо количества часов поддержки, которые потребуются для того, чтобы все они изменили домен входа во всех своих программах на всех своих устройствах.)
Я также могу поместить удаленный-UPN пользователя в другой локальный-AD-атрибут (обычно атрибут mail
), в этом случае я мог бы изменить синхронизацию, чтобы она соответствовала mail
на UPN
.
К сожалению, повторно-запуск мастера Azure AD Connect; это не дает мне возможности изменить то, с чем у меня сопоставлено имя участника-пользователя. Кажется, что эта опция просто не отображается после первого запуска.
Я хочу, чтобы это произошло:
В:Как?
Это звучит как «Подготовьте не-маршрутизируемый домен для синхронизации каталогов ». По сути, вам нужно добавить domain.com в «Active Directory Domains and Trusts» MMC. Щелкните правой кнопкой мыши -, перейдите в свойства и добавьте имя участника-пользователя. В целом посмотрите здесь: https://docs.microsoft.com/en-us/microsoft-365/enterprise/prepare-for-directory-synchronization?view=o365-worldwide