Preparar um domínio nãooutable para sincronização de diretório

  • Artigo

Quando você sincroniza seu diretório local com o Microsoft 365, você precisa ter um domínio verificado em Microsoft Entra ID. Somente os UPNs (Nomes de Entidade de Usuário) associados ao domínio Active Directory local Domain Services (AD DS) são sincronizados. No entanto, qualquer UPN que contenha um domínio nãooutable, como ".local" (exemplo: billa@contoso.local), é sincronizado com um domínio .onmicrosoft.com (exemplo: billa@contoso.onmicrosoft.com).

Se você atualmente usar um domínio ".local" para suas contas de usuário no AD DS, recomendamos alterá-las para usar um domínio verificado. Por exemplo, billa@contoso.com, para sincronizar corretamente com o domínio do Microsoft 365.

E se eu tiver apenas um domínio local ".local"?

Você usa Microsoft Entra Conectar para sincronizar seu AD DS com o locatário Microsoft Entra do locatário do Microsoft 365. Para obter mais informações, consulte Integrando suas identidades locais com Microsoft Entra ID.

Microsoft Entra Conectar sincroniza a UPN e a senha dos usuários para que os usuários possam entrar com as mesmas credenciais que usam localmente. No entanto, Microsoft Entra Conectar apenas sincroniza usuários com domínios verificados pelo Microsoft 365. Microsoft Entra ID verifica o domínio, pois gerencia as identidades do Microsoft 365. Em outras palavras, o domínio precisa ser um domínio válido da Internet (como .com, .org, .NET, .us). Se o AD DS interno usar apenas um domínio não disponível (por exemplo, ".local"), isso não poderá corresponder ao domínio verificado que você tem para o locatário do Microsoft 365. Você pode corrigir esse problema alterando seu domínio primário no AD DS local ou adicionando um ou mais sufixos UPN.

Alterar seu domínio primário

Altere seu domínio primário para um domínio verificado no Microsoft 365, por exemplo, contoso.com. Cada usuário que tem o domínio contoso.local é atualizado para contoso.com. Este é um processo envolvido, no entanto, e uma solução mais fácil é descrita na seção a seguir.

Adicionar sufixos UPN e atualizar seus usuários para eles

Você pode resolver o problema ".local" registrando novos sufixos ou sufixos UPN no AD DS para corresponder ao domínio (ou domínios) verificado no Microsoft 365. Depois de registrar o novo sufixo, você atualizará as UPNs de usuário para substituir o ".local" pelo novo nome de domínio, por exemplo, para que uma conta de usuário se pareça billa@contoso.comcom .

Depois de atualizar as UPNs para usar o domínio verificado, você estará pronto para sincronizar o AD DS local com o Microsoft 365.

Etapa 1: Adicionar o novo sufixo UPN

  1. No controlador de domínio do AD DS, no Gerenciador do Servidor escolha Ferramentas>Domínios e Trusts do Active Directory.

    Ou, se você não tiver Windows Server 2012

    Pressione a tecla do Windows + R para abrir a caixa de diálogo Executar e digite Domain.msc e escolha OK.

    Escolha Domínios e trusts do Active Directory.

  2. Na janela Domínios e Confianças do Active Directory , clique com o botão direito do mouse em Domínios e Confianças do Active Directory e escolha Propriedades.

    Clique com o botão direito do mouse em Domínios e Confianças do Active Directory e escolha Propriedades.

  3. Na guia Sufixos UPN , na caixa Sufixos DE UPN Alternativos, digite seu novo sufixo ou sufixo UPN e escolha Adicionar>Aplicar.

    Adicione um novo sufixo UPN.

    Escolha OK quando terminar de adicionar sufixos.

Etapa 2: alterar o sufixo UPN para usuários existentes

  1. No controlador de domínio do AD DS, no Gerenciador do Servidor escolha Ferramentas>Usuários e Computadores do Active Directory.

    Ou, se você não tiver Windows Server 2012

    Pressione a tecla do Windows + R para abrir a caixa de diálogo Executar e digite Dsa.msc e selecione OK

  2. Selecione um usuário, clique com o botão direito do mouse e escolha Propriedades.

  3. Na guia Conta , na lista suspensa de sufixo UPN, escolha o novo sufixo UPN e escolha OK.

    Adicione um novo sufixo UPN para um usuário.

  4. Conclua estas etapas para cada usuário.

Usar o PowerShell para alterar o sufixo UPN para todos os usuários

Se você tiver várias contas de usuário para atualizar, será mais fácil usar o PowerShell. O exemplo a seguir usa os cmdlets Get-ADUser e Set-ADUser para alterar todos os sufixos contoso.local para contoso.com no AD DS.

Por exemplo, você pode executar os seguintes comandos do PowerShell para atualizar todos os sufixos contoso.local para contoso.com:

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}

Consulte o módulo Windows PowerShell do Active Directory para saber mais sobre como usar Windows PowerShell no AD DS.