الاستعداد لمزامنة الدليل مع Microsoft 365

تنطبق هذه المقالة على كل من Microsoft 365 Enterprise Office 365 Enterprise.

إذا اخترت نموذج الهوية المختلطة وقمت بتكوين الحماية لحسابات المسؤول في الخطوة 2 وحسابات المستخدمين في الخطوة 3 من هذا الحل، فإن مهمتك التالية هي نشر مزامنة الدليل. تتضمن فوائد مزامنة الدليل لمؤسستك ما يلي:

  • تقليل البرامج الإدارية في مؤسستك
  • تمكين سيناريو تسجيل الدخول الأحادي اختياريا
  • أتمتة تغييرات الحساب في Microsoft 365

لمزيد من المعلومات حول مزايا استخدام مزامنة الدليل، راجع الهوية المختلطة مع معرف Microsoft Entra.

ومع ذلك، تتطلب مزامنة الدليل التخطيط والتحضير للتأكد من مزامنة خدمات مجال Active Directory (AD DS) مع المستأجر Microsoft Entra لاشتراك Microsoft 365 بحد أدنى من الأخطاء.

اتبع هذه الخطوات للحصول على أفضل النتائج.

ملاحظة

لا تتم مزامنة الأحرف غير ASCII لأي سمات على حساب مستخدم AD DS.

إعداد AD DS

للمساعدة في ضمان الانتقال السلس إلى Microsoft 365 باستخدام المزامنة، يجب عليك إعداد غابة AD DS قبل بدء نشر مزامنة دليل Microsoft 365.

يجب أن يركز إعداد الدليل على المهام التالية:

  • إزالة سمات proxyAddressوuserPrincipalName المكررة.

  • تحديث سمات userPrincipalName فارغة وغير صالحة مع سمات userPrincipalName صالحة.

  • قم بإزالة الأحرف غير الصالحة والمشككة في السمات givenName, surname ( sn ) وsAMAccountName, displayName, mail, proxyAddresses, mailNickname, and userPrincipalName . للحصول على تفاصيل حول إعداد السمات، راجع قائمة السمات التي تتم مزامنتها بواسطة أداة مزامنة Azure Active Directory.

    ملاحظة

    هذه هي نفس السمات التي Microsoft Entra مزامنة الاتصال.

اعتبارات التوزيع متعددة الغابات

بالنسبة لغابات متعددة وخيارات SSO، استخدم تثبيت مخصص Microsoft Entra Connect.

إذا كان لدى مؤسستك غابات متعددة للمصادقة (غابات تسجيل الدخول)، نوصي بشدة بما يلي:

  • ضع في اعتبارك دمج غاباتك. بشكل عام، هناك المزيد من النفقات العامة المطلوبة للحفاظ على غابات متعددة. ما لم يكن لدى مؤسستك قيود أمنية تملي الحاجة إلى غابات منفصلة، ففكر في تبسيط بيئتك المحلية.
  • استخدم فقط في غابة تسجيل الدخول الأساسية. ضع في اعتبارك نشر Microsoft 365 فقط في غابة تسجيل الدخول الأساسية الخاصة بك للإصدار الأولي من Microsoft 365.

إذا لم تتمكن من دمج توزيع AD DS متعدد الغابات أو كنت تستخدم خدمات دليل أخرى لإدارة الهويات، فقد تتمكن من مزامنتها بمساعدة Microsoft أو شريك.

راجع طبولوجيا Microsoft Entra Connect لمزيد من المعلومات.

الميزات التي تعتمد على مزامنة الدليل

مزامنة الدليل مطلوبة للميزات والوظائف التالية:

  • Microsoft Entra تسجيل الدخول الأحادي السلس (SSO)
  • تعايش Skype
  • توزيع Exchange المختلط، بما في ذلك:
    • قائمة العناوين العمومية المشتركة بالكامل (GAL) بين بيئة Exchange المحلية وMicrosoft 365.
    • مزامنة معلومات GAL من أنظمة بريد مختلفة.
    • القدرة على إضافة مستخدمين إلى عروض خدمة Microsoft 365 وإزالتها منها. وهذا يتطلب ما يلي:
      • يجب تكوين المزامنة ثنائية الاتجاه أثناء إعداد مزامنة الدليل. بشكل افتراضي، تكتب أدوات مزامنة الدليل معلومات الدليل إلى السحابة فقط. عند تكوين المزامنة ثنائية الاتجاه، يمكنك تمكين وظيفة إعادة الكتابة بحيث يتم نسخ عدد محدود من سمات الكائن من السحابة، ثم كتابتها مرة أخرى إلى AD DS المحلي. يشار إلى إعادة الكتابة أيضا باسم وضع Exchange المختلط.
    • توزيع Exchange المختلط المحلي.
    • القدرة على نقل بعض علب بريد المستخدمين إلى Microsoft 365 مع الاحتفاظ بعلب بريد المستخدمين الأخرى محليا.
    • يتم نسخ المرسلين الآمنين والمرسلين المحظورين محليا إلى Microsoft 365.
    • وظيفة التفويض والإرسال نيابة عن البريد الإلكتروني الأساسية.
    • لديك بطاقة ذكية محلية متكاملة أو حل مصادقة متعدد العوامل.
  • مزامنة الصور والصور المصغرة وغرف المؤتمرات ومجموعات الأمان

1. مهام تنظيف الدليل

قبل مزامنة AD DS مع مستأجر Microsoft Entra، تحتاج إلى تنظيف AD DS الخاص بك.

هام

إذا لم تقم بإجراء تنظيف AD DS قبل المزامنة، فقد يؤدي ذلك إلى تأثير سلبي كبير على عملية التوزيع. قد يستغرق الأمر أياما، أو حتى أسابيع، للانتقال إلى دورة مزامنة الدليل، وتحديد الأخطاء، وإعادة المزامنة.

في AD DS، أكمل مهام التنظيف التالية لكل حساب مستخدم سيتم تعيين ترخيص Microsoft 365 له:

  1. تأكد من وجود عنوان بريد إلكتروني صالح وفريد في السمة proxyAddresses .

  2. إزالة أي قيم مكررة في السمة proxyAddresses .

  3. إذا كان ذلك ممكنا، فتأكد من قيمة صالحة وفريدة للسمة userPrincipalName في كائن المستخدم الخاص بالمستخدم . للحصول على أفضل تجربة مزامنة، تأكد من تطابق AD DS UPN مع Microsoft Entra UPN. إذا لم يكن لدى المستخدم قيمة للسمة userPrincipalName ، فيجب أن يحتوي عنصر المستخدم على قيمة صالحة وفريدة للسمة sAMAccountName . إزالة أي قيم مكررة في السمة userPrincipalName .

  4. للاستخدام الأمثل لقائمة العناوين العمومية (GAL)، تأكد من صحة المعلومات الموجودة في السمات التالية لحساب مستخدم AD DS:

    • اسم المعطى
    • اللقب
    • العرض
    • المسمى الوظيفي
    • اداره
    • Office
    • Office Phone
    • الهاتف الجوال
    • رقم الفاكس
    • عنوان الشارع
    • المدينه
    • الولاية أو المقاطعة
    • الرمز البريدي أو البريدي
    • البلد أو المنطقة

2. عنصر الدليل وإعداد السمة

تتطلب مزامنة الدليل الناجحة بين AD DS وMicrosoft 365 إعداد سمات AD DS بشكل صحيح. على سبيل المثال، تحتاج إلى التأكد من عدم استخدام أحرف معينة في سمات معينة تتم مزامنتها مع بيئة Microsoft 365. لا تتسبب الأحرف غير المتوقعة في فشل مزامنة الدليل ولكنها قد ترجع تحذيرا. ستؤدي الأحرف غير الصالحة إلى فشل مزامنة الدليل.

ستفشل مزامنة الدليل أيضا إذا كان لدى بعض مستخدمي AD DS سمة واحدة أو أكثر من السمات المكررة. يجب أن يكون لكل مستخدم سمات فريدة.

يتم سرد السمات التي تحتاج إلى إعدادها هنا:

  • العرض

    • إذا كانت السمة موجودة في كائن المستخدم، فستتزامن مع Microsoft 365.
    • إذا كانت هذه السمة موجودة في كائن المستخدم، فيجب أن تكون هناك قيمة لها. أي، يجب ألا تكون السمة فارغة.
    • الحد الأقصى لعدد الأحرف: 256
  • اسم المعطى

    • إذا كانت السمة موجودة في كائن المستخدم، فستتزامن مع Microsoft 365، ولكن Microsoft 365 لا يتطلبها أو يستخدمها.
    • الحد الأقصى لعدد الأحرف: 64
  • البريد

    • يجب أن تكون قيمة السمة فريدة داخل الدليل.

      ملاحظة

      إذا كانت هناك قيم مكررة، تتم مزامنة المستخدم الأول الذي يحمل القيمة. لن يظهر المستخدمون اللاحقون في Microsoft 365. يجب تعديل القيمة في Microsoft 365 أو تعديل القيمتين في AD DS لكي يظهر كلا المستخدمين في Microsoft 365.

  • mailNickname (اسم Exchange المستعار)

    • لا يمكن أن تبدأ قيمة السمة بنقطة (.).

    • يجب أن تكون قيمة السمة فريدة داخل الدليل.

      ملاحظة

      تشير التسطيرات السفلية ("_") في الاسم المتزامن إلى أن القيمة الأصلية لهذه السمة تحتوي على أحرف غير صالحة. لمزيد من المعلومات حول هذه السمة، راجع سمة الاسم المستعار Exchange.

  • Proxyaddresses

    • سمة متعددة القيم

    • الحد الأقصى لعدد الأحرف لكل قيمة: 256

    • يجب ألا تحتوي قيمة السمة على مسافة.

    • يجب أن تكون قيمة السمة فريدة داخل الدليل.

    • الأحرف غير الصالحة: <> ( ) ; , [ ] "

    • الأحرف ذات العلامات التشكيلية، مثل الأحرف الكبيرة واللهجات والتلديس، هي أحرف غير صالحة.

      تنطبق الأحرف غير الصالحة على الأحرف التالية لمحدد النوع و":"، مثل SMTP:User@contso.com مسموح به، ولكن SMTP:user:M@contoso.com غير مسموح به.

      هام

      يجب أن تتوافق جميع عناوين بروتوكول نقل البريد البسيط (SMTP) مع معايير مراسلة البريد الإلكتروني. إزالة العناوين المكررة أو غير المرغوب فيها إذا كانت موجودة.

  • sAMAccountName

    • الحد الأقصى لعدد الأحرف: 20
    • يجب أن تكون قيمة السمة فريدة داخل الدليل.
    • الأحرف غير الصالحة: [ \ " | , / : <> + = ; ? * ']
    • إذا كان لدى المستخدم سمة sAMAccountName غير صالحة ولكن لديه سمة userPrincipalName صالحة، يتم إنشاء حساب المستخدم في Microsoft 365.
    • إذا كان كل من sAMAccountNameوuserPrincipalName غير صالحين، يجب تحديث السمة AD DS userPrincipalName .
  • sn (اللقب)

    • إذا كانت السمة موجودة في كائن المستخدم، فستتزامن مع Microsoft 365، ولكن Microsoft 365 لا يتطلبها أو يستخدمها.
  • Targetaddress

    من المطلوب أن تظهر السمة targetAddress (على سبيل المثال، SMTP:tom@contoso.com) التي تم ملؤها للمستخدم في Microsoft 365 GAL. في سيناريوهات ترحيل المراسلة التابعة لجهة خارجية، قد يتطلب ذلك ملحق مخطط Microsoft 365 ل AD DS. سيضيف ملحق مخطط Microsoft 365 أيضا سمات مفيدة أخرى لإدارة كائنات Microsoft 365 التي يتم ملؤها باستخدام أداة مزامنة الدليل من AD DS. على سبيل المثال، ستتم إضافة السمة msExchHideFromAddressLists لإدارة علب البريد المخفية أو مجموعات التوزيع.

    • الحد الأقصى لعدد الأحرف: 256
    • يجب ألا تحتوي قيمة السمة على مسافة.
    • يجب أن تكون قيمة السمة فريدة داخل الدليل.
    • الأحرف غير الصالحة: \ <> ( ) ; , [ ] "
    • يجب أن تتوافق جميع عناوين بروتوكول نقل البريد البسيط (SMTP) مع معايير مراسلة البريد الإلكتروني.
  • userPrincipalName

    • يجب أن تكون سمة userPrincipalName بتنسيق تسجيل الدخول على نمط الإنترنت حيث يتبع اسم المستخدم علامة في (@) واسم مجال: على سبيل المثال، user@contoso.com. يجب أن تتوافق جميع عناوين بروتوكول نقل البريد البسيط (SMTP) مع معايير مراسلة البريد الإلكتروني.
    • الحد الأقصى لعدد الأحرف للسمة userPrincipalName هو 113. يسمح بعدد محدد من الأحرف قبل وبعد علامة عند (@)، كما يلي:
    • الحد الأقصى لعدد أحرف اسم المستخدم الموجود أمام علامة عند (@): 64
    • الحد الأقصى لعدد الأحرف لاسم المجال الذي يلي علامة عند (@): 48
    • الأحرف غير الصالحة: \ ٪ & * + / = ؟ { } | <> ( ) ; : , [ ] "
    • الأحرف المسموح بها: A – Z، a - z، 0 – 9، ' . - _ ! # ^ ~
    • الأحرف ذات العلامات التشكيلية، مثل الأحرف الكبيرة واللهجات والتلديس، هي أحرف غير صالحة.
    • الحرف @ مطلوب في كل قيمة userPrincipalName .
    • لا يمكن أن يكون الحرف @ الحرف الأول في كل قيمة userPrincipalName .
    • لا يمكن أن ينتهي اسم المستخدم بنقطة (.) أو علامة عطف (&) أو مسافة أو علامة على (@).
    • لا يمكن أن يحتوي اسم المستخدم على أي مسافات.
    • يجب استخدام المجالات القابلة للتوجيه؛ على سبيل المثال، لا يمكن استخدام المجالات المحلية أو الداخلية.
    • يتم تحويل Unicode إلى أحرف تسطير سفلية.
    • لا يمكن أن يحتوي userPrincipalName على أي قيم مكررة في الدليل.

3. إعداد سمة userPrincipalName

تم تصميم Active Directory للسماح للمستخدمين النهائيين في مؤسستك بتسجيل الدخول إلى الدليل الخاص بك باستخدام إما sAMAccountName أو userPrincipalName. وبالمثل، يمكن للمستخدمين النهائيين تسجيل الدخول إلى Microsoft 365 باستخدام اسم المستخدم الأساسي (UPN) لحساب العمل أو المؤسسة التعليمية. تحاول مزامنة الدليل إنشاء مستخدمين جدد في معرف Microsoft Entra باستخدام نفس UPN الموجود في AD DS. يتم تنسيق UPN مثل عنوان بريد إلكتروني.

في Microsoft 365، UPN هي السمة الافتراضية المستخدمة لإنشاء عنوان البريد الإلكتروني. من السهل الحصول على userPrincipalName (في AD DS وفي معرف Microsoft Entra) وعنوان البريد الإلكتروني الأساسي في proxyAddresses الذي تم تعيينه إلى قيم مختلفة. عند تعيينها إلى قيم مختلفة، قد يكون هناك ارتباك للمسؤولين والمستخدمين النهائيين.

من الأفضل محاذاة هذه السمات لتقليل الارتباك. لتلبية متطلبات تسجيل الدخول الأحادي باستخدام خدمات الأمان المشترك لـ Active Directory (AD FS) 2.0، تحتاج إلى التأكد من تطابق UPNs في معرف Microsoft Entra و AD DS الخاص بك واستخدام مساحة اسم مجال صالحة.

4. إضافة لاحقة UPN بديلة إلى AD DS

قد تحتاج إلى إضافة لاحقة UPN بديلة لربط بيانات اعتماد الشركة للمستخدم ببيئة Microsoft 365. لاحقة UPN هي جزء من UPN إلى يمين الحرف @ . يمكن أن تحتوي UPNs المستخدمة لتسجيل الدخول الأحادي على أحرف وأرقام ونقاط والشرطات والشرطات السفلية، ولكن لا تحتوي على أنواع أخرى من الأحرف.

لمزيد من المعلومات حول كيفية إضافة لاحقة UPN بديلة إلى Active Directory، راجع التحضير لمزامنة الدليل.

5. مطابقة AD DS UPN مع Microsoft 365 UPN

إذا قمت بالفعل بإعداد مزامنة الدليل، فقد لا يتطابق UPN الخاص بالمستخدم ل Microsoft 365 مع AD DS UPN الخاص بالمستخدم المحدد في AD DS. يمكن أن يحدث هذا الشرط عند تعيين ترخيص لمستخدم قبل التحقق من المجال. لإصلاح ذلك، استخدم PowerShell لإصلاح UPN المكرر لتحديث UPN الخاص بالمستخدم للتأكد من تطابق Microsoft 365 UPN مع اسم مستخدم الشركة ومجالها. إذا كنت تقوم بتحديث UPN في AD DS وترغب في مزامناته مع هوية Microsoft Entra، فأنت بحاجة إلى إزالة ترخيص المستخدم في Microsoft 365 قبل إجراء التغييرات في AD DS.

راجع أيضا كيفية إعداد مجال غير قابل للتوجيه (مثل المجال المحلي.) لمزامنة الدليل.

الخطوات التالية

بعد إكمال الخطوات من 1 إلى 5، راجع إعداد مزامنة الدليل.