Подготовка к синхронизации каталогов с Microsoft 365

Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.

Если вы выбрали модель гибридного удостоверения и настроили защиту для учетных записей администраторов на шаге 2 и учетных записей пользователей на шаге 3 этого решения, следующей задачей будет развертывание синхронизации каталогов. К преимуществам синхронизации каталогов для вашей организации относятся:

  • Сокращение административных программ в организации
  • При необходимости включение сценария единого входа
  • Автоматизация изменений учетной записи в Microsoft 365

Дополнительные сведения о преимуществах синхронизации каталогов см. в статье Гибридное удостоверение с идентификатором Microsoft Entra.

Однако синхронизация каталогов требует планирования и подготовки, чтобы убедиться, что доменные службы Active Directory (AD DS) синхронизируется с Microsoft Entra клиентом подписки Microsoft 365 с минимальным числом ошибок.

Выполните следующие действия для достижения наилучших результатов.

Примечание.

Символы, отличные от ASCII, не синхронизируются для каких-либо атрибутов в учетной записи пользователя AD DS.

Подготовка AD DS

Чтобы обеспечить простой переход на Microsoft 365 с помощью синхронизации, необходимо подготовить лес AD DS перед развертыванием синхронизации каталогов Microsoft 365.

Подготовка каталога должна быть сосредоточена на следующих задачах:

  • Удалите повторяющиеся атрибуты proxyAddress и userPrincipalName .

  • Обновите пустые и недопустимые атрибуты userPrincipalName допустимыми атрибутами userPrincipalName .

  • Удалите недопустимые и сомнительные символы в атрибутах givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname и userPrincipalName . Дополнительные сведения о подготовке атрибутов см. в разделе Список атрибутов, синхронизированных средством синхронизации Azure Active Directory.

    Примечание.

    Это те же атрибуты, которые Microsoft Entra синхронизации Connect.

Рекомендации по развертыванию с несколькими лесами

Для нескольких лесов и параметров единого входа используйте настраиваемую установку Microsoft Entra Connect.

Если в вашей организации есть несколько лесов для проверки подлинности (леса входа), мы настоятельно рекомендуем выполнить следующие действия.

  • Рассмотрите возможность консолидации лесов. Как правило, для обслуживания нескольких лесов требуется больше накладных расходов. Если в вашей организации нет ограничений безопасности, которые диктуют необходимость в отдельных лесах, рассмотрите возможность упрощения локальной среды.
  • Используйте только в основном лесу входа. Рассмотрите возможность развертывания Microsoft 365 только в основном лесу входа для первоначального развертывания Microsoft 365.

Если вы не можете консолидировать развертывание AD DS с несколькими лесами или используете другие службы каталогов для управления удостоверениями, вы можете синхронизировать их с помощью корпорации Майкрософт или партнера.

Дополнительные сведения см. в разделе Топологии для Microsoft Entra Connect.

Функции, зависящие от синхронизации каталогов

Синхронизация каталогов требуется для следующих функций и функций:

  • Microsoft Entra простой единый вход
  • Сосуществование Skype
  • Гибридное развертывание Exchange, в том числе:
    • Полностью общий глобальный список адресов (GAL) между локальной средой Exchange и Microsoft 365.
    • синхронизацию данных глобального списка адресов из разных почтовых систем;
    • Возможность добавлять пользователей в предложения служб Microsoft 365 и удалять их из нее. Для этого требуется следующее:
      • Двусторонняя синхронизация должна быть настроена во время настройки синхронизации каталогов. По умолчанию средства синхронизации каталогов записывают сведения только в облако. При настройке двусторонней синхронизации вы включаете функцию обратной записи, чтобы ограниченное количество атрибутов объектов скопировалось из облака, а затем записывайте их обратно в локальные доменные службы Active Directory. Обратная запись также называется гибридным режимом Exchange.
    • Локальное гибридное развертывание Exchange.
    • Возможность перемещать некоторые почтовые ящики пользователей в Microsoft 365, сохраняя при этом другие почтовые ящики пользователей в локальной среде.
    • Безопасные и заблокированные локальные отправители реплицируются в Microsoft 365.
    • базовое делегирование и функциональную возможность отправки электронной почты от имени кого-либо.
    • У вас есть интегрированное локальное решение интеллектуальной карта или многофакторной проверки подлинности.
  • Синхронизация фотографий, эскизов, конференц-залов и групп безопасности

1. Задачи очистки каталога

Прежде чем синхронизировать AD DS с клиентом Microsoft Entra, необходимо очистить AD DS.

Важно!

Если не выполнить очистку AD DS перед синхронизацией, это может привести к значительному негативному влиянию на процесс развертывания. Для прохождения цикла синхронизации каталогов, выявления ошибок и повторной синхронизации может потребоваться несколько дней или даже недель.

В ad DS выполните следующие задачи очистки для каждой учетной записи пользователя, которому будет назначена лицензия Microsoft 365:

  1. Убедитесь, что в атрибуте proxyAddresses указан допустимый и уникальный адрес электронной почты.

  2. Удалите все повторяющиеся значения в атрибуте proxyAddresses.

  3. По возможности убедитесь в допустимом и уникальном значении атрибута userPrincipalName в объекте пользователя user . Для оптимальной синхронизации убедитесь, что имя участника-пользователя AD DS соответствует имени участника-пользователя Microsoft Entra. Если у пользователя нет значения для атрибута userPrincipalName , то объект user должен содержать допустимое и уникальное значение для атрибута sAMAccountName . Удалите все повторяющиеся значения в атрибуте userPrincipalName.

  4. Для оптимального использования глобального списка адресов убедитесь в правильности сведений в следующих атрибутах учетной записи пользователя AD DS:

    • givenName
    • surname
    • displayName
    • должность;
    • Отдел
    • Кабинет
    • рабочий телефон;
    • мобильный телефон;
    • номер факса;
    • адрес;
    • Город
    • регион или область;
    • почтовый индекс;
    • страна или регион.

2. Подготовка объекта каталога и атрибута

Для успешной синхронизации каталогов между AD DS и Microsoft 365 необходимо правильно подготовить атрибуты AD DS. Например, необходимо убедиться, что определенные символы не используются в определенных атрибутах, синхронизированных со средой Microsoft 365. Непредвиденные символы не приводят к сбою синхронизации каталогов, но могут возвращать предупреждение. Недопустимые символы приводят к сбою синхронизации каталогов.

Синхронизация каталогов также завершится ошибкой, если у некоторых пользователей AD DS есть один или несколько повторяющихся атрибутов. Каждый пользователь должен иметь уникальные атрибуты.

Атрибуты, которые необходимо подготовить, перечислены здесь:

  • displayName

    • Если атрибут существует в объекте user, он синхронизируется с Microsoft 365.
    • Если этот атрибут существует в объекте пользователя, для него должно быть значение. То есть атрибут не должен быть пустым.
    • Максимальное число символов: 256
  • givenName;

    • Если атрибут существует в объекте пользователя, он синхронизируется с Microsoft 365, но Microsoft 365 не требует и не использует его.
    • Максимальное число символов: 64
  • mail

    • Значение атрибута должно быть уникальным в каталоге.

      Примечание.

      При наличии повторяющихся значений синхронизируется первый пользователь со значением. Последующие пользователи не будут отображаться в Microsoft 365. Необходимо изменить значение в Microsoft 365 или оба значения в AD DS, чтобы оба пользователя отображались в Microsoft 365.

  • mailNickname (псевдоним Exchange)

    • Значение атрибута не может начинаться с точки (.).

    • Значение атрибута должно быть уникальным в каталоге.

      Примечание.

      Символы подчеркивания ("_") в синхронизированном имени указывают на то, что исходное значение этого атрибута содержит недопустимые символы. Дополнительные сведения об этом атрибуте см. в разделе Атрибут псевдонима Exchange.

  • proxyAddresses

    • Атрибут с несколькими значениями

    • Максимальное число символов на значение: 256

    • Значение атрибута не должно содержать пробел.

    • Значение атрибута должно быть уникальным в каталоге.

    • Недопустимые символы: <> ( ) ; , [ ] "

    • Буквы с диакритических знаков, такие как умлауты, акценты и тильды, являются недопустимыми символами.

      Недопустимые символы применяются к символам, следующим за разделителем типов и ":", таким образом, smtp:User@contso.com разрешен, а SMTP:user:M@contoso.com — нет.

      Важно!

      Все SMTP-адреса должны соответствовать стандартам обмена сообщениями электронной почты. Удалите повторяющиеся или нежелательные адреса, если они существуют.

  • Samaccountname

    • Максимальное число символов: 20
    • Значение атрибута должно быть уникальным в каталоге.
    • Недопустимые символы: [ \ " | , / : <> + = ; ? * ']
    • Если у пользователя есть недопустимый атрибут sAMAccountName , но допустимый атрибут userPrincipalName , учетная запись пользователя создается в Microsoft 365.
    • Если и sAMAccountName , и userPrincipalName недопустимы, необходимо обновить атрибут userPrincipalName AD DS.
  • sn (фамилия)

    • Если атрибут существует в объекте пользователя, он синхронизируется с Microsoft 365, но Microsoft 365 не требует и не использует его.
  • Targetaddress

    Необходимо, чтобы атрибут targetAddress (например, SMTP:tom@contoso.com), заполненный для пользователя, отображался в microsoft 365 GAL. В сценариях миграции сторонних служб обмена сообщениями для этого потребуется расширение схемы Microsoft 365 для AD DS. Расширение схемы Microsoft 365 также добавит другие полезные атрибуты для управления объектами Microsoft 365, которые заполняются с помощью средства синхронизации каталогов из AD DS. Например, будет добавлен атрибут msExchHideFromAddressLists для управления скрытыми почтовыми ящиками или группами рассылки.

    • Максимальное число символов: 256
    • Значение атрибута не должно содержать пробел.
    • Значение атрибута должно быть уникальным в каталоге.
    • Недопустимые символы: \ <> ( ) ; , [ ] "
    • Все SMTP-адреса должны соответствовать стандартам обмена сообщениями электронной почты.
  • userPrincipalName.

    • Атрибут userPrincipalName должен быть в формате входа в интернет-стиле, где за именем пользователя следует знак at (@) и доменное имя: например. user@contoso.com Все SMTP-адреса должны соответствовать стандартам обмена сообщениями электронной почты.
    • Максимальное число символов для атрибута userPrincipalName — 113. Определенное количество символов допускается до и после знака at (@), как показано ниже.
    • Максимальное число символов для имени пользователя, которое находится перед знаком at (@): 64
    • Максимальное число символов для доменного имени после знака at (@): 48
    • Недопустимые символы: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • Допустимые символы: A – Z, a – z, 0 – 9, ' . - _ ! # ^ ~
    • Буквы с диакритических знаков, такие как умлауты, акценты и тильды, являются недопустимыми символами.
    • Символ @является обязательным в каждом значении userPrincipalName .
    • Символ @не может быть первым символом в каждом значении userPrincipalName .
    • Имя пользователя не может заканчиваться точкой (.), амперсандом (&), пробелом или знаком at (@).
    • Имя пользователя не может содержать пробелы.
    • Необходимо использовать маршрутизируемые домены; Например, нельзя использовать локальные или внутренние домены.
    • Символы кодировки Юникод преобразуются в символы подчеркивания.
    • userPrincipalName не может содержать повторяющиеся значения в каталоге.

3. Подготовка атрибута userPrincipalName

Служба Active Directory предназначена для того, чтобы пользователи в вашей организации могли входить в каталог с помощью SAMAccountName или userPrincipalName. Аналогичным образом пользователи могут войти в Microsoft 365, используя имя участника-пользователя (UPN) своей рабочей или учебной учетной записи. Синхронизация каталогов пытается создать новых пользователей в идентификаторе Microsoft Entra с помощью того же имени участника-пользователя, которое находится в доменных службах Active Directory. Имя участника-пользователя отформатировано как адрес электронной почты.

В Microsoft 365 имя участника-пользователя является атрибутом по умолчанию, который используется для создания адреса электронной почты. UserPrincipalName (в AD DS и идентификаторе Microsoft Entra) легко получить, а основной адрес электронной почты в proxyAddresses задать разные значения. Если для них заданы разные значения, администраторы и конечные пользователи могут вызвать путаницу.

Лучше всего выровнять эти атрибуты, чтобы уменьшить путаницу. Чтобы обеспечить соответствие требованиям единого входа в службы федерации Active Directory (AD FS) (AD FS) 2.0, необходимо убедиться, что имена субъектов-пользователей в идентификаторе Microsoft Entra и ad DS совпадают и используют допустимое пространство доменных имен.

4. Добавление альтернативного суффикса имени участника-пользователя в AD DS

Может потребоваться добавить альтернативный суффикс имени участника-пользователя, чтобы связать корпоративные учетные данные пользователя со средой Microsoft 365. Суффикс UPN — это часть имени участника-пользователя, расположенная справа от символа @. UPN-имена, которые используются для единого входа, могут содержать буквы, цифры, точки, дефисы и подчеркивания, другие символы запрещены.

Дополнительные сведения о добавлении альтернативного суффикса имени участника-пользователя в Active Directory см. в статье Подготовка к синхронизации каталогов.

5. Сопоставление имени участника-пользователя AD DS с имени участника-пользователя Microsoft 365

Если вы уже настроили синхронизацию каталогов, имя участника-пользователя для Microsoft 365 может не соответствовать имени участника-пользователя AD DS, определенному в доменных службах Active Directory. Это условие может возникать, когда пользователю была назначена лицензия до проверки домена. Чтобы устранить эту проблему, используйте PowerShell для исправления повторяющегося имени участника-пользователя , чтобы обновить имя участника-пользователя, чтобы убедиться, что имя участника-пользователя Microsoft 365 соответствует корпоративному имени пользователя и домену. Если вы обновляете имя участника-пользователя в AD DS и хотите, чтобы оно синхронизировалось с Microsoft Entra удостоверением, необходимо удалить лицензию пользователя в Microsoft 365, прежде чем вносить изменения в AD DS.

Также см . статью Как подготовить не-маршрутизируемый домен (например, локальный домен) для синхронизации каталогов.

Дальнейшие действия

После выполнения шагов 1–5 см . раздел Настройка синхронизации каталогов.