Планиране за идентичността на потребителите в Поетапно мигриране на Exchange
Отнася се за: Office 365 for enterprises
Последна промяна на темата: 2011-11-23
За поетапно мигриране на Exchange трябва да копирате потребителските обекти от локалната справочна услуга на Active Directory в имейл организацията ви, базирана на облак. За да направите това в Microsoft Office 365 за предприятия, трябва да инсталирате инструмента за синхронизиране на указател на Microsoft Online Services.
Нещата, които трябва да имате предвид, когато планирате поетапно мигриране на Exchange в Office 365 за предприятия
Инструментът за синхронизиране на указател има определени изисквания относно управлението на потребителските самоличности в облака. Нека разгледаме изводите от тези изисквания, когато планирате поетапното мигриране на Exchange.
Процесът на синхронизиране на справочни указатели копира локалните потребителски обекти от Active Directory към облака, където създава нови съответстващи потребители с разрешен имейл. По време на поетапно мигриране на Exchange тези потребители с разрешен имейл се преобразуват в пощенски кутии. След като процесът на мигриране създаде пощенската кутия на потребителя, процесът на синхронизиране на справочни указатели продължава да актуализира атрибутите на потребителя в пощенската кутия в облака според промените, направени локално в Active Directory. Свойствата на потребителите и пощенските кутии, създадени от процеса на синхронизиране на директории, са само за четене дори за администраторите на Exchange Online.
След поетапното мигриране на Exchange, обаче, можете да дезактивирате синхронизирането на справочни указатели, така че да можете да направите промени в потребителските атрибути с помощта на инструментите в Office 365 и Exchange Online.
Важно е да се разбере, че дългосрочно управление на потребителските акаунти може да се извършва или от локалната услуга Active Directory, или от директорията на Office 365, след като изпълните поетапно мигриране на Exchange за преместване на данните на пощенските кутии от локалната организация на Exchange към облака. Това означава, че трябва да решите как искате да управлявате потребителските самоличности след поетапното мигриране на Exchange.
Управление на потребителската самоличност от Active Directory
Има два начина да управлявате потребителските самоличности от локалната услуга Active Directory:
Управлявани самоличности
Федериране на самоличност за единично влизане
Управлявани самоличности
Когато процесът на синхронизиране на справочни указатели създаде потребители с разрешен имейл в облака, той го създава със същото основно име на потребителя (UPN) (name@contoso.com), което се намира в изходния обект на потребителя в локалната услуга Active Directory. По подразбиране, обаче, паролите за облака и локалното UPN не са синхронизирани.
Този тип управление на потребителската самоличност, когато базираното на облака UPN се получава от изходния акаунт на локалната услуга Active Directory и подлежащите механизми на упълномощаване не са външни, се нарича управлявани самоличности. Управляваните самоличности се създават по подразбиране, когато извършвате синхронизиране на директории.
Използването на управлявани самоличности може да бъде удобно за малки организации, в които администраторът може да обучи относително малък брой потребители да помнят и да използват два набора идентификационни данни – един за локалните системи и един за облака. За големи организации, обаче, е вероятно този подход да изисква ниво на поддръжка от бюрото за помощ, което не може да се постигне.
Федериране на самоличност за единично влизане
Препоръчване по-големите организации да разполагат Active Directory Federation Services 2.0 (услуги на Active Directory за улесняване на достъпа) (AD FS 2.0) за разрешаване на единично влизане (SSO). С единично влизане потребителите могат да влизат в имейл или други услуги в Office 365 за предприятия със своите съществуващи идентификационни данни за Active Directory. Този тип управление на самоличността се нарича също така федериране на самоличност.
Когато използвате федериране на самоличност за SSO, можете да създавате потребители в локалната услуга Active Directory, да задавате паролите им, както правите това и сега, а съответните потребители в облака могат да се удостоверят, като използват своите съществуващи идентификационни данни за Active Directory. Съществува първоначален разход за разполагане на AD FS локална инфраструктура, но за по-големите организации дългосрочният разход за управление на потребителите трябва да е по-нисък, отколкото да се опитват да поддържат управлявани самоличности.
Въпреки че можете да разположите AD FS и SSO, след като сте извършили поетапно мигриране на Exchange, препоръчваме да разположите AD FS преди инсталиране и конфигуриране на инструментите за синхронизиране на директории. За повече информация относно разполагане на SSO в Office 365 за предприятия вижте Подготовка за единично влизане.
За да разберете как да извършите поетапно мигриране на Exchange вижте Мигриране на подмножество от пощенски кутии към облака с Поетапно мигриране на Exchange.
Управление на потребителската самоличност от Office 365
За някои организации изпълнението на поетапно мигриране на Exchange е фаза от пълното мигриране към облака. Някои организации може да желаят да разделят организацията си в облака от локалната си организация или напълно да извадят от експлоатация локалната си услуга Active Directory. И в двата случая потребителските самоличности от пощенските кутии в облака трябва да се управляват с помощта на инструментите в Office 365 и Exchange Online. Както беше споменато по-горе, можете да дезактивирате синхронизирането на справочни указатели, след което да управлявате потребителските самоличности в Office 365. За повече информация вижте: