Синхронизация Active Directory:Изменение имени участника-пользователя

Как перенастроить синхронизацию Azure AD, используемую для обеспечения возможности единого-входа-в Office365 изнутри домена, чтобы доменное имя было частью имени пользователя. UPN может меняться при синхронизации?

. предположим, что локальный домен — ad.contosolocal.com, а внешний домен — contoso.com. В настоящее время работает только точное копирование, путем сопоставления его идентификатора, например. с помощью MSonline;

$username="bob"
$UPN = (-join($username, "contoso.com"))
$guid=(get-ADUser $username).Objectguid
$immutableID=[system.convert]::ToBase64String($guid.tobytearray())
Set-MsolUser -UserPrincipalName $UPN -ImmutableId $immutableID

Это работает не очень плавно и надежно:требуется несколько попыток синхронизации, полная ручная синхронизация и запуск каждой возможной опции дважды для обоих коннекторов, всего 16 синхронизаций (2x2x импорт, экспорт, синхронизация и delta), прежде чем Azure AD решит установить для имени участника-пользователя правильное значение, и не сразу, а примерно через 15 минут. Кажется, хочет установить UPN на bobвместо bob@contoso.comдля некоторых мне по-по-необъяснимой причине. Работа с этим для многих пользователей разочаровывает их, поскольку вход в систему прерывается, а значения не установлены правильно.

Тогда я хочу:

+--------------------------+------------------+------------------+
|       Local value        |  Sent to Azure   |   Azure Value    |
+--------------------------+------------------+------------------+
| dan@ad.contosolocal.com  | dan@contoso.com  | dan@contoso.com  |
| john@ad.contosolocal.com | john@contoso.com | john@contoso.com |
+--------------------------+------------------+------------------+

Если это сделано наивно, путем создания моих собственных «Правил синхронизации», это нарушит пароли, (пользователи больше не смогут войти в систему с ошибками «неверный пароль»). Пароли работают только тогда, когда имя участника-пользователя соответствует тому, что он находится в сети, даже если синхронизация паролей отключена (похоже, это ошибка). Конечно, домен электронной-почты совпадает с доменом веб-сайта, а это означает, что если локальные пути начинают делать то же самое, это приводит к проблемам с DNS; больше не может получить доступ к веб-сайту компании из локального домена.

Наоборот, использование ad.contosolocal.comв качестве онлайн-входа в систему также не является жизнеспособным вариантом, пользователи хотят входить в систему, используя «настоящее» доменное имя.(Помимо количества часов поддержки, которые потребуются для того, чтобы все они изменили домен входа во всех своих программах на всех своих устройствах.)

Я также могу поместить удаленный-UPN пользователя в другой локальный-AD-атрибут (обычно атрибут mail), в этом случае я мог бы изменить синхронизацию, чтобы она соответствовала mailна UPN.

К сожалению, повторно-запуск мастера Azure AD Connect; это не дает мне возможности изменить то, с чем у меня сопоставлено имя участника-пользователя. Кажется, что эта опция просто не отображается после первого запуска.

Я хочу, чтобы это произошло:

• Пароли и имена пользователей синхронизируются из локальной AD в Azure AD.
• Локальная доменная часть UPN всегда является фиксированным значением.
• Часть удаленного домена совпадающих имен участников-пользователей всегда имеет фиксированное (различное значение.)
• Пользователи должны иметь возможность входить в Office365 как извне, так и из внутренней сети.
• Office-365 использует единый-вход; локальный внешний вид/слово/и т. д. автоматически входит в офис-365 без необходимости предоставления учетных данных.

В:Как?