Klargjøre for katalogsynkronisering til Microsoft 365

  • Artikkel

Denne artikkelen gjelder for både Microsoft 365 Enterprise og Office 365 Enterprise.

Hvis du valgte hybrid identitetsmodell og konfigurert beskyttelse for administratorkontoer i trinn 2 og brukerkontoer i trinn 3 i denne løsningen, er den neste oppgaven å distribuere katalogsynkronisering. Fordelene med katalogsynkronisering for organisasjonen omfatter:

  • Redusere administrative programmer i organisasjonen
  • Du kan også aktivere scenario for enkel pålogging
  • Automatisere kontoendringer i Microsoft 365

Hvis du vil ha mer informasjon om fordelene ved å bruke katalogsynkronisering, kan du se hybrididentitet med Microsoft Entra-ID.

Katalogsynkronisering krever imidlertid planlegging og forberedelse for å sikre at Active Directory Domain Services (AD DS) synkroniseres til den Microsoft Entra leieren av Microsoft 365-abonnementet med minst mulig feil.

Følg disse trinnene for å få best mulig resultat.

Obs!

Ikke-ASCII-tegn synkroniseres ikke for attributter på AD DS-brukerkontoen.

Klargjøring av AD DS

For å sikre en sømløs overgang til Microsoft 365 ved hjelp av synkronisering, må du klargjøre AD DS-skogen før du begynner distribusjonen av Katalogsynkronisering for Microsoft 365.

Katalogforberedelsen bør fokusere på følgende oppgaver:

  • Fjern dupliserte proxyAddress- og userPrincipalName-attributter .

  • Oppdater tomme og ugyldige userPrincipalName-attributter med gyldige userPrincipalName-attributter .

  • Fjern ugyldige og tvilsomme tegn i attributtene givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname og userPrincipalName . Hvis du vil ha mer informasjon om klargjøring av attributter, kan du se Liste over attributter som er synkronisert av synkroniseringsverktøyet for Azure Active Directory.

    Obs!

    Dette er de samme attributtene som Microsoft Entra Koble til-synkroniseringer.

Vurderinger ved distribusjon av flere skoger

Bruk en egendefinert installasjon av Microsoft Entra Connect for flere skoger og SSO-alternativer.

Hvis organisasjonen har flere skoger for godkjenning (påloggingsskoger), anbefaler vi på det sterkeste følgende:

  • Vurder å konsolidere skogene dine. Generelt er det mer overhead som kreves for å opprettholde flere skoger. Med mindre organisasjonen har sikkerhetsbegrensninger som dikterer behovet for separate skoger, bør du vurdere å forenkle det lokale miljøet.
  • Bruk bare i den primære påloggingsskogen. Vurder å distribuere Microsoft 365 bare i den primære påloggingsskogen for den første utrullingen av Microsoft 365.

Hvis du ikke kan konsolidere AD DS-distribusjonen med flere skoger eller bruker andre katalogtjenester til å administrere identiteter, kan du kanskje synkronisere dem ved hjelp av Microsoft eller en partner.

Se Topologier for Microsoft Entra Connect for mer informasjon.

Funksjoner som er avhengige av katalogsynkronisering

Katalogsynkronisering kreves for følgende funksjoner og funksjonalitet:

  • Microsoft Entra sømløs enkel pålogging (SSO)
  • Skype-sameksistens
  • Hybrid Exchange-distribusjon, inkludert:
    • Fullstendig delt global adresseliste (GAL) mellom det lokale Exchange-miljøet og Microsoft 365.
    • Synkroniserer GAL-informasjon fra ulike e-postsystemer.
    • Muligheten til å legge til brukere i og fjerne brukere fra Microsoft 365-tjenestetilbud. Dette krever følgende:
      • Toveis synkronisering må konfigureres under konfigurasjonen av katalogsynkronisering. Som standard skriver katalogsynkroniseringsverktøy kataloginformasjon bare til skyen. Når du konfigurerer toveis synkronisering, aktiverer du tilbakeskrivingsfunksjonalitet slik at et begrenset antall objektattributter kopieres fra skyen, og deretter skriver du dem tilbake til ditt lokale AD DS. Tilbakeskriving kalles også Exchange-hybridmodus.
    • En lokal Exchange-hybriddistribusjon.
    • Muligheten til å flytte noen brukerpostbokser til Microsoft 365 samtidig som andre brukerpostbokser beholdes lokalt.
    • Klarerte avsendere og blokkerte avsendere lokalt replikeres til Microsoft 365.
    • Grunnleggende delegering og send på vegne av e-postfunksjonalitet.
    • Du har en integrert lokal smartkort- eller flerfaktorgodkjenningsløsning.
  • Synkronisering av bilder, miniatyrbilder, konferanserom og sikkerhetsgrupper

1. Katalogoppryddingsoppgaver

Før du synkroniserer AD DS til Microsoft Entra-leieren, må du rydde opp i AD DS.

Viktig

Hvis du ikke utfører AD DS-opprydding før du synkroniserer, kan det føre til en betydelig negativ innvirkning på distribusjonsprosessen. Det kan ta dager, eller til og med uker, å gå gjennom syklusen for katalogsynkronisering, identifisering av feil og ny synkronisering.

Fullfør følgende oppryddingsoppgaver for hver brukerkonto som skal tilordnes en Microsoft 365-lisens, i AD DS:

  1. Sikre en gyldig og unik e-postadresse i proxyAddresses-attributtet .

  2. Fjern eventuelle dupliserte verdier i proxyAddresses-attributtet .

  3. Hvis det er mulig, må du kontrollere en gyldig og unik verdi for userPrincipalName-attributtet i brukerens brukerobjekt . For den beste synkroniseringsopplevelsen må du sørge for at AD DS UPN samsvarer med Microsoft Entra UPN. Hvis en bruker ikke har en verdi for userPrincipalName-attributtet , må brukerobjektet inneholde en gyldig og unik verdi for sAMAccountName-attributtet . Fjern eventuelle dupliserte verdier i userPrincipalName-attributtet .

  4. Hvis du vil ha optimal bruk av den globale adresselisten (GAL), må du kontrollere at informasjonen i følgende attributter for AD DS-brukerkontoen er riktig:

    • givenName
    • Etternavn
    • displayName
    • Stilling
    • Avdeling
    • Office
    • Kontortelefon
    • Mobiltelefon
    • Faksnummer
    • Gateadresse
    • By
    • Delstat eller område
    • Postnummer
    • Land eller område

2. Klargjøring av katalogobjekter og attributter

Vellykket katalogsynkronisering mellom AD DS og Microsoft 365 krever at AD DS-attributtene er riktig klargjort. Du må for eksempel sikre at bestemte tegn ikke brukes i enkelte attributter som er synkronisert med Microsoft 365-miljøet. Uventede tegn fører ikke til at katalogsynkronisering mislykkes, men kan returnere en advarsel. Ugyldige tegn vil føre til at katalogsynkronisering mislykkes.

Katalogsynkronisering vil også mislykkes hvis noen av AD DS-brukerne har ett eller flere dupliserte attributter. Hver bruker må ha unike attributter.

Attributtene du må klargjøre, er oppført her:

  • displayName

    • Hvis attributtet finnes i brukerobjektet, synkroniseres det med Microsoft 365.
    • Hvis dette attributtet finnes i brukerobjektet, må det være en verdi for det. Det vil se ut som om attributtet ikke kan være tomt.
    • Maksimalt antall tegn: 256

  • givenName

    • Hvis attributtet finnes i brukerobjektet, synkroniseres det med Microsoft 365, men Microsoft 365 krever eller bruker det ikke.
    • Maksimalt antall tegn: 64

  • mail

    • Attributtverdien må være unik i katalogen.

      Obs!

      Hvis det finnes dupliserte verdier, synkroniseres den første brukeren med verdien. Etterfølgende brukere vises ikke i Microsoft 365. Du må endre enten verdien i Microsoft 365 eller endre begge verdiene i AD DS for at begge brukerne skal kunne vises i Microsoft 365.

  • mailNickname (Exchange-alias)

    • Attributtverdien kan ikke begynne med et punktum (.).

    • Attributtverdien må være unik i katalogen.

      Obs!

      Understrekingstegn ("_") i det synkroniserte navnet angir at den opprinnelige verdien for dette attributtet inneholder ugyldige tegn. Hvis du vil ha mer informasjon om dette attributtet, kan du se Exchange-aliasattributtet.

  • proxyAddresses

    • Attributt med flere verdier

    • Maksimalt antall tegn per verdi: 256

    • Attributtverdien kan ikke inneholde et mellomrom.

    • Attributtverdien må være unik i katalogen.

    • Ugyldige tegn: <> ( ) ; , [ ] "

    • Bokstaver med diakritiske merker, for eksempel omlyder, aksenter og tilder, er ugyldige tegn.

      De ugyldige tegnene gjelder for tegnene som følger typeskilletegnet og ":", slik at SMTP:User@contso.com er tillatt, men SMTP:bruker:M@contoso.com er ikke det.

      Viktig

      Alle SMTP-adresser (Simple Mail Transport Protocol) bør overholde standarder for e-postmeldinger. Fjern dupliserte eller uønskede adresser hvis de finnes.

  • sAMAccountName

    • Maksimalt antall tegn: 20
    • Attributtverdien må være unik i katalogen.
    • Ugyldige tegn: [ \ " | , / : <> + = ; ? * ']
    • Hvis en bruker har et ugyldig sAMAccountName-attributt , men har et gyldig userPrincipalName-attributt , opprettes brukerkontoen i Microsoft 365.
    • Hvis både sAMAccountName og userPrincipalName er ugyldige, må attributtet AD DS userPrincipalName oppdateres.

  • sn (etternavn)

    • Hvis attributtet finnes i brukerobjektet, synkroniseres det med Microsoft 365, men Microsoft 365 krever eller bruker det ikke.

  • Targetaddress

    Det kreves at targetAddress-attributtet (for eksempel SMTP:tom@contoso.com) som er fylt ut for brukeren, må vises i Microsoft 365 GAL. I tredjeparts scenarioer for meldingsoverføring krever dette Microsoft 365-skjemautvidelsen for AD DS. Skjemautvidelsen for Microsoft 365 legger også til andre nyttige attributter for å administrere Microsoft 365-objekter som fylles ut ved hjelp av et katalogsynkroniseringsverktøy fra AD DS. MsExchHideFromAddressLists-attributtet for å behandle skjulte postbokser eller distribusjonsgrupper vil for eksempel bli lagt til.

    • Maksimalt antall tegn: 256
    • Attributtverdien kan ikke inneholde et mellomrom.
    • Attributtverdien må være unik i katalogen.
    • Ugyldige tegn: \ <> ( ) ; , [ ] "
    • Alle SMTP-adresser (Simple Mail Transport Protocol) bør overholde standarder for e-postmeldinger.

  • userPrincipalName

    • UserPrincipalName-attributtet må være i påloggingsformatet i Internett-stil, der brukernavnet etterfølges av at-tegnet (@) og et domenenavn: for eksempel user@contoso.com. Alle SMTP-adresser (Simple Mail Transport Protocol) bør overholde standarder for e-postmeldinger.
    • Maksimalt antall tegn for userPrincipalName-attributtet er 113. Et bestemt antall tegn er tillatt før og etter at tegnet (@), som følger:
    • Maksimalt antall tegn for brukernavnet som er foran tegnet (@): 64
    • Maksimalt antall tegn for domenenavnet etter vedtegnet (@): 48
    • Ugyldige tegn: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • Tillatte tegn: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
    • Bokstaver med diakritiske merker, for eksempel omlyder, aksenter og tilder, er ugyldige tegn.
    • @-tegnet kreves i hver userPrincipalName-verdi .
    • @-tegnet kan ikke være det første tegnet i hver userPrincipalName-verdi .
    • Brukernavnet kan ikke slutte med punktum (.), et ampersand (&), et mellomrom eller et vedtegn (@).
    • Brukernavnet kan ikke inneholde mellomrom.
    • Domener som kan rutes, må brukes. Lokale eller interne domener kan for eksempel ikke brukes.
    • Unicode konverteres til understrekingstegn.
    • userPrincipalName kan ikke inneholde dupliserte verdier i katalogen.

3. Klargjøre userPrincipalName-attributtet

Active Directory er utformet slik at sluttbrukerne i organisasjonen kan logge på katalogen ved hjelp av sAMAccountName eller userPrincipalName. På samme måte kan sluttbrukere logge seg på Microsoft 365 ved hjelp av brukerhovednavnet (UPN) på jobb- eller skolekontoen. Katalogsynkronisering forsøker å opprette nye brukere i Microsoft Entra-ID ved hjelp av samme UPN som er i AD DS. UPN er formatert som en e-postadresse.

I Microsoft 365 er UPN standardattributtet som brukes til å generere e-postadressen. Det er enkelt å få userPrincipalName (i AD DS og i Microsoft Entra ID) og den primære e-postadressen i proxyAddresses satt til forskjellige verdier. Når de er satt til forskjellige verdier, kan det være forvirring for administratorer og sluttbrukere.

Det er best å justere disse attributtene for å redusere forvirring. For å oppfylle kravene for enkel pålogging med Active Directory Federation Services (AD FS) 2.0, må du sørge for at UPN-ene i Microsoft Entra ID og AD DS samsvarer og bruker et gyldig domenenavneområde.

4. Legg til et alternativt UPN-suffiks i AD DS

Du må kanskje legge til et alternativt UPN-suffiks for å knytte brukerens firmalegitimasjon til Microsoft 365-miljøet. Et UPN-suffiks er delen av et UPN til høyre for @-tegnet. UPN-er som brukes for enkel pålogging, kan inneholde bokstaver, tall, punktum, bindestreker og understrekingstegn, men ingen andre typer tegn.

Hvis du vil ha mer informasjon om hvordan du legger til et alternativt UPN-suffiks i Active Directory, kan du se Klargjøre for katalogsynkronisering.

5. Sammenligne AD DS UPN med Microsoft 365 UPN

Hvis du allerede har konfigurert katalogsynkronisering, kan det hende at brukerens UPN for Microsoft 365 ikke samsvarer med brukerens AD DS UPN som er definert i AD DS. Denne betingelsen kan oppstå når en bruker ble tilordnet en lisens før domenet ble bekreftet. Du kan løse dette ved å bruke PowerShell til å reparere dupliserte UPN-er for å oppdatere brukerens UPN for å sikre at Microsoft 365 UPN samsvarer med bedriftens brukernavn og domene. Hvis du oppdaterer UPN i AD DS og vil at det skal synkroniseres med Microsoft Entra identitet, må du fjerne brukerens lisens i Microsoft 365 før du gjør endringene i AD DS.

Se også Hvordan du klargjør et ikke-rutbart domene (for eksempel .local domain) for katalogsynkronisering.

Neste trinn

Når du har fullført trinn 1 til 5, kan du se Konfigurere katalogsynkronisering.