Hakemistosynkronoinnin valmisteleminen Microsoft 365:een

  • Artikkeli

Tämä artikkeli koskee sekä Microsoft 365 Enterprise että Office 365 Enterprise.

Jos valitsit yhdistelmäkäyttäjätietomallin ja määritit järjestelmänvalvojatilien suojauksen vaiheessa 2 ja käyttäjätileille tämän ratkaisun vaiheessa 3 , seuraava tehtäväsi on ottaa hakemistosynkronointi käyttöön. Organisaation hakemistosynkronoinnin etuja ovat seuraavat:

  • Vähennetään organisaation hallintaohjelmia
  • Vaihtoehtoisesti kertakirjautumisskenaarion ottaminen käyttöön
  • Automatisoidaan tilin muutoksia Microsoft 365:ssä

Lisätietoja hakemistosynkronoinnin käyttämisen eduista on kohdassa yhdistelmätunnukset, joissa on Microsoft Entra tunnus.

Hakemistojen synkronointi edellyttää kuitenkin suunnittelua ja valmistelua sen varmistamiseksi, että Active Directory -toimialueen palvelut (AD DS) synkronoidaan Microsoft 365 -tilauksesi Microsoft Entra vuokraajan kanssa niin, että siinä on mahdollisimman vähän virheitä.

Saat parhaat tulokset noudattamalla näitä vaiheita.

Huomautus

Muut kuin ASCII-merkit eivät synkronoidu AD DS -käyttäjätilin määritteitä.

AD DS -valmistelu

Jotta voit varmistaa saumattoman siirtymisen Microsoft 365:een synkronoinnin avulla, sinun on valmisteltava AD DS -puuryhmä ennen Microsoft 365 -hakemistosynkronoinnin käyttöönoton aloittamista.

Hakemiston valmistelun tulisi keskittyä seuraaviin tehtäviin:

  • Poista proxyAddress - ja userPrincipalName-määritteiden kaksoiskappaleet.

  • Päivitä tyhjät ja virheelliset userPrincipalName-määritteet kelvollisten userPrincipalName-määritteiden avulla.

  • Poista virheelliset ja kyseenalaiset merkit määritteistä givenName, sukunimi ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname ja userPrincipalName . Lisätietoja määritteiden valmistelemisesta on artikkelissa Luettelo määritteistä, jotka Azure Active Directory -synkronointityökalu synkronoi.

    Huomautus

    Nämä ovat samoja määritteitä, jotka Microsoft Entra Yhdistä synkronoinnit.

Monen toimialuepuuryhmän käyttöön liittyviä seikkoja

Jos haluat käyttää useita toimialuepuuryhmien ja kertakirjautumisen asetuksia, käytä Microsoft Entra Connectin mukautettua asennusta.

Jos organisaatiossasi on useita todennusmetsiä (kirjautumismetsät), suosittelemme seuraavaa:

  • Harkitse metsien yhdistämistä. Yleensä useiden metsien ylläpitämiseen tarvitaan enemmän kuormituksia. Ellei organisaatiollasi ole suojausrajoitteita, jotka sanelevat erillisten puuryhmien tarpeen, harkitse paikallisen ympäristön yksinkertaistamista.
  • Käytä vain ensisijaisessa kirjautumispuuryhmässäsi. Harkitse Microsoft 365:n käyttöönottoa vain ensisijaisessa kirjautumispuuryhmässä microsoft 365:n ensimmäistä käyttöönottoa varten.

Jos et pysty yhdistämään usean toimialuepuuryhmän AD DS -käyttöönottoa tai käytät muita hakemistopalveluita käyttäjätietojen hallintaan, voit ehkä synkronoida ne Microsoftin tai kumppanin avulla.

Lisätietoja on artikkelissa Topologies for Microsoft Entra Connect.

Hakemistosynkronaatiosta riippuvaiset ominaisuudet

Hakemistosynkronointi vaaditaan seuraaville ominaisuuksille ja toiminnoille:

  • Microsoft Entra saumaton kertakirjautuminen
  • Skypen rinnakkaiskäyttö
  • Exchange-yhdistelmäkäyttöönotto, mukaan lukien:
    • Täysin jaettu yleinen osoiteluettelo (GAL) paikallisen Exchange-ympäristön ja Microsoft 365:n välillä.
    • Synkronoidaan eri postijärjestelmien GAL-tietoja.
    • Mahdollisuus lisätä käyttäjiä Microsoft 365 -palvelutarjouksiin ja poistaa käyttäjiä siitä. Tämä edellyttää seuraavia:
      • Kaksisuuntainen synkronointi on määritettävä hakemistosynkronoinnin asennuksen aikana. Oletusarvoisesti hakemiston synkronointityökalut kirjoittavat hakemistotietoja vain pilvipalveluun. Kun määrität kaksisuuntaisen synkronoinnin, otat käyttöön takaisinkirjoitustoiminnon niin, että rajoitettu määrä objektimääritteitä kopioidaan pilvestä ja kirjoitetaan sitten takaisin paikalliseen AD DS:hen. Takaisinkirjoitusta kutsutaan myös Exchange-yhdistelmätilaksi.
    • Paikallinen Exchange-yhdistelmäkäyttöönotto.
    • Mahdollisuus siirtää joitakin käyttäjän postilaatikoita Microsoft 365:een säilyttäen samalla muita käyttäjän postilaatikoita paikallisesti.
    • Turvalliset lähettäjät ja estetyt lähettäjät replikoidaan Microsoft 365:een.
    • Perus delegointi ja sähköpostin lähetys puolesta -toiminto.
    • Sinulla on integroitu paikallinen älykortti tai monimenetelmäinen todentamisratkaisu.
  • Valokuvien, pikkukuvien, neuvotteluhuoneiden ja käyttöoikeusryhmien synkronointi

1. Hakemiston puhdistustehtävät

Ennen kuin synkronoit AD DS:n Microsoft Entra vuokraajaan, sinun on puhdistettava AD DS.

Tärkeää

Jos et suorita AD DS -puhdistusta ennen synkronointia, se voi vaikuttaa käyttöönottoprosessiin merkittävästi kielteisesti. Hakemistosynkronoinnin läpivienti, virheiden tunnistaminen ja uudelleensynkronointi voi kestää päiviä tai jopa viikkoja.

Suorita seuraavat puhdistustehtävät AD DS:ssä kullekin käyttäjätilille, jolle määritetään Microsoft 365 -käyttöoikeus:

  1. Varmista kelvollinen ja yksilöllinen sähköpostiosoite proxyAddresses-määritteessä .

  2. Poista kaikki proxyAddresses-määritteen arvojen kaksoiskappaleet .

  3. Jos mahdollista, varmista kelvollinen ja yksilöllinen arvo userPrincipalName-määritteelle käyttäjän käyttäjäobjektissa . Jotta synkronointi olisi mahdollisimman helppoa, varmista, että AD DS -upN vastaa Microsoft Entra UPN:ä. Jos käyttäjällä ei ole userPrincipalName-määritteen arvoa, käyttäjäobjektin on sisällettävä kelvollinen ja yksilöllinen arvo sAMAccountName-määritteelle . Poista kaikki userPrincipalName-määritteen arvojen kaksoiskappaleet.

  4. Yleisen osoiteluettelon (GAL) optimaalisen käytön varmistamiseksi varmista, että seuraavien AD DS -käyttäjätilin määritteiden tiedot ovat oikein:

    • givenName
    • Sukunimi
    • displayName
    • Tehtävänimike
    • Osasto
    • Office
    • Toimiston puhelinnumero
    • Matkapuhelin
    • Faksinumero
    • Katuosoite
    • Kaupunki
    • Osavaltio tai provinssi
    • Postinumero
    • Maa tai alue

2. Hakemiston objektien ja määritteiden valmistelu

Onnistunut hakemistosynkronointi AD DS:n ja Microsoft 365:n välillä edellyttää, että AD DS -määritteet on valmisteltu oikein. Sinun on esimerkiksi varmistettava, että tiettyjä merkkejä ei käytetä tietyissä määritteissä, jotka synkronoidaan Microsoft 365 -ympäristön kanssa. Odottamattomat merkit eivät aiheuta hakemistosynkronoinnin epäonnistumista, mutta ne saattavat palauttaa varoituksen. Virheelliset merkit aiheuttavat hakemiston synkronoinnin epäonnistumisen.

Hakemiston synkronointi epäonnistuu myös, jos joillakin AD DS -käyttäjilläsi on vähintään yksi määritteiden kaksoiskappale. Jokaisella käyttäjällä on oltava yksilölliset määritteet.

Valmistellaan seuraavat määritteet:

  • displayName

    • Jos määrite on olemassa käyttäjäobjektissa, se synkronoidaan Microsoft 365:n kanssa.
    • Jos tämä määrite on olemassa käyttäjäobjektissa, sille on oltava arvo. Määrite ei siis saa olla tyhjä.
    • Merkkien enimmäismäärä: 256

  • givenName

    • Jos määrite on olemassa käyttäjäobjektissa, se synkronoidaan Microsoft 365:n kanssa, mutta Microsoft 365 ei vaadi tai käytä sitä.
    • Merkkien enimmäismäärä: 64

  • sähköposti

    • Määritteen arvon on oltava yksilöllinen hakemistossa.

      Huomautus

      Jos arvojen kaksoiskappaleita on, synkronoidaan ensimmäinen käyttäjä, jolla on arvo. Seuraavat käyttäjät eivät näy Microsoft 365:ssä. Sinun on muokattava joko Microsoft 365:n arvoa tai muokattava AD DS:n molempia arvoja, jotta molemmat käyttäjät näkyvät Microsoft 365:ssä.

  • mailNickname (Exchange-alias)

    • Määritteen arvo ei voi alkaa pisteellä (.).

    • Määritteen arvon on oltava yksilöllinen hakemistossa.

      Huomautus

      Synkronoidun nimen alaviivat (_) ilmaisevat, että tämän määritteen alkuperäinen arvo sisältää virheellisiä merkkejä. Lisätietoja tästä määritteesta on kohdassa Exchange-aliasmäärite.

  • proxyAddresses

    • Moniarvoinen määrite

    • Merkkien enimmäismäärä arvoa kohden: 256

    • Määritteen arvo ei saa sisältää välilyöntiä.

    • Määritteen arvon on oltava yksilöllinen hakemistossa.

    • Virheellisiä merkkejä: <> ( ) ; , [ ] "

    • Diakriittisiä merkkejä( kuten umlauts, korostus ja aaltoviiva) sisältävien kirjainten merkit ovat virheellisiä merkkejä.

      Virheelliset merkit koskevat merkkejä, jotka ovat tyyppierotinta ja ":", siten, että SMTP:User@contso.com on sallittu, mutta SMTP:user:M@contoso.com ei ole.

      Tärkeää

      Kaikkien SMTP (Simple Mail Transport Protocol) -osoitteiden on oltava sähköpostistandardien mukaisia. Poista päällekkäiset tai ei-toivotut osoitteet, jos niitä on olemassa.

  • sAMAccountName

    • Merkkien enimmäismäärä: 20
    • Määritteen arvon on oltava yksilöllinen hakemistossa.
    • Virheellisiä merkkejä: [ \ " | , / : <> + = ; ? * ']
    • Jos käyttäjällä on virheellinen sAMAccountName-määrite , mutta hänellä on kelvollinen userPrincipalName-määrite , käyttäjätili luodaan Microsoft 365:ssä.
    • Jos sekä sAMAccountName että userPrincipalName ovat virheellisiä, AD DS userPrincipalName - määrite on päivitettävä.

  • sn (sukunimi)

    • Jos määrite on olemassa käyttäjäobjektissa, se synkronoidaan Microsoft 365:n kanssa, mutta Microsoft 365 ei vaadi tai käytä sitä.

  • Targetaddress

    Käyttäjälle täytetyn targetAddress-määritteen (esimerkiksi SMTP:tom@contoso.com) on oltava microsoft 365 GAL -muodossa. Kolmannen osapuolen viestien siirtoskenaariossa tämä edellyttäisi Microsoft 365 -rakennelaajennusta AD DS:lle. Microsoft 365:n rakennelaajennus lisäisi myös muita hyödyllisiä määritteitä, joilla hallitaan Microsoft 365 -objekteja, jotka täytetään AD DS:n hakemistosynkronointityökalulla. Voit esimerkiksi lisätä msExchHideFromAddressLists-määritteen piilotettujen postilaatikoiden tai jakeluryhmien hallintaan.

    • Merkkien enimmäismäärä: 256
    • Määritteen arvo ei saa sisältää välilyöntiä.
    • Määritteen arvon on oltava yksilöllinen hakemistossa.
    • Virheellisiä merkkejä: \ <> ( ) ; , [ ] "
    • Kaikkien SMTP (Simple Mail Transport Protocol) -osoitteiden on oltava sähköpostistandardien mukaisia.

  • userPrincipalName

    • userPrincipalName-määritteen on oltava Internet-tyylistä kirjautumismuotoa, jossa käyttäjänimeä seuraa at-merkki (@) ja toimialuenimi, esimerkiksi user@contoso.com. Kaikkien SMTP (Simple Mail Transport Protocol) -osoitteiden on oltava sähköpostistandardien mukaisia.
    • userPrincipalName-määritteen merkkien enimmäismäärä on 113. Tietty määrä merkkejä sallitaan ennen at-merkkiä (@) ja sen jälkeen seuraavasti:
    • Merkin edessä olevan käyttäjänimen merkkien enimmäismäärä (@): 64
    • Merkin (@) jälkeen olevan toimialuenimen merkkien enimmäismäärä: 48
    • Virheellisiä merkkejä: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • Merkit sallittu: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
    • Diakriittisiä merkkejä( kuten umlauts, korostus ja aaltoviiva) sisältävien kirjainten merkit ovat virheellisiä merkkejä.
    • @-merkki vaaditaan jokaisessa userPrincipalName-arvossa .
    • @-merkki ei voi olla jokaisen userPrincipalName-arvon ensimmäinen merkki.
    • Käyttäjänimi ei voi päättyä pisteeseen (.), et-merkkiin (&), välilyöntiin tai merkkiin (@).
    • Käyttäjänimi ei voi sisältää välilyöntejä.
    • Reititystaulukon toimialueita on käytettävä. Esimerkiksi paikallisia tai sisäisiä toimialueita ei voi käyttää.
    • Unicode muunnetaan alaviivaksi.
    • userPrincipalName ei voi sisältää arvojen kaksoiskappaleita hakemistossa.

3. Valmistele userPrincipalName-määrite

Active Directory on suunniteltu siten, että organisaatiosi loppukäyttäjät voivat kirjautua hakemistoosi joko sAMAccountName - tai userPrincipalName-toiminnolla. Käyttäjät voivat myös kirjautua Microsoft 365:een työpaikan tai oppilaitoksen tilinsä täydellisen käyttäjätunnuksen (UPN) avulla. Hakemiston synkronointi yrittää luoda uusia käyttäjiä Microsoft Entra tunnuksella käyttämällä samaa upn-tunnusta, joka on AD DS:ssäsi. Käyttäjänimi on muotoiltu sähköpostiosoitteeksi.

Microsoft 365:ssä upn on oletusmäärite, jota käytetään sähköpostiosoitteen luomiseen. On helppoa saada userPrincipalName (AD DS:ssä ja Microsoft Entra tunnuksella) ja ensisijainen sähköpostiosoite proxyAddresses-kohteessa eri arvoille määritettynä. Kun ne on määritetty eri arvoihin, järjestelmänvalvojilla ja loppukäyttäjillä voi olla sekaannusta.

Nämä määritteet kannattaa kohdistaa sekaannusten vähentämiseksi. Jos haluat täyttää kertakirjautumisen vaatimukset Active Directory -liittoutumispalvelut (AD FS) 2.0:lla, sinun on varmistettava, että Microsoft Entra tunnuksen ja AD DS:n upnit vastaavat toisiaan ja että ne käyttävät kelvollista toimialueen nimitilaa.

4. Lisää vaihtoehtoinen UPN-jälkiliite AD DS:ään

Sinun on ehkä lisättävä vaihtoehtoinen UPN-jälkiliite, jotta voit liittää käyttäjän yrityksen tunnistetiedot Microsoft 365 -ympäristöön. UPN-jälkiliite on UPN:n osa @-merkin oikealla puolella. Kertakirjautumisessa käytettävät upn-käyttäjätunnukset voivat sisältää kirjaimia, numeroita, pisteitä, ajatusviivoja ja alaviivoja, mutta ei muuntyyppisiä merkkejä.

Lisätietoja vaihtoehtoisen UPN-jälkiliitteen lisäämisestä Active Directoryyn on kohdassa Hakemiston synkronoinnin valmisteleminen.

5. Täsmää AD DS -upn ja Microsoft 365 UPN

Jos olet jo määrittänyt hakemistosynkronoinnin, käyttäjän Microsoft 365:n täydellinen käyttäjätunnus ei ehkä vastaa käyttäjän AD DS UPN:iä, joka on määritetty AD DS:ssä. Tämä ehto voi ilmetä, kun käyttäjälle on määritetty käyttöoikeus ennen toimialueen tarkistamista. Voit korjata tämän päivittämällä täydellisen käyttäjätunnuksen PowerShellin avulla varmistaaksesi, että Microsoft 365:n täydellinen käyttäjätunnus vastaa yrityksen käyttäjänimeä ja toimialuetta. Jos päivität täydellisen käyttäjätunnuksen AD DS:ssä ja haluat sen synkronoivan Microsoft Entra käyttäjätietojen kanssa, sinun on poistettava käyttäjän käyttöoikeus Microsoft 365:ssä ennen muutosten tekemistä AD DS:ssä.

Katso myös Ohjeet muun kuin reititettävän toimialueen (kuten .local domainin) valmistelemiseen hakemiston synkronointia varten.

Seuraavat vaiheet

Kun olet suorittanut vaiheet 1–5, katso Hakemiston synkronoinnin määrittäminen.