Förbereda för katalogsynkronisering till Microsoft 365

  • Artikel

Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.

Om du väljer hybrididentitetsmodellen och konfigurerat skydd för administratörskonton i steg 2 och användarkonton i steg 3 i den här lösningen är nästa uppgift att distribuera katalogsynkronisering. Fördelarna med katalogsynkronisering för din organisation är:

  • Minska de administrativa programmen i din organisation
  • Du kan också aktivera scenario för enkel inloggning
  • Automatisera kontoändringar i Microsoft 365

Mer information om fördelarna med att använda katalogsynkronisering finns i Hybrididentitet med Microsoft Entra-ID.

Katalogsynkronisering kräver dock planering och förberedelse för att säkerställa att din Active Directory Domain Services (AD DS) synkroniseras till den Microsoft Entra klientorganisationen för din Microsoft 365-prenumeration med minst fel.

Följ de här stegen för att få bästa resultat.

Obs!

Icke-ASCII-tecken synkroniseras inte för några attribut på AD DS-användarkontot.

Förberedelse av AD DS

För att säkerställa en smidig övergång till Microsoft 365 med hjälp av synkronisering måste du förbereda AD DS-skogen innan du påbörjar distributionen av Katalogsynkronisering i Microsoft 365.

Katalogförberedelserna bör fokusera på följande uppgifter:

  • Ta bort dubblettattributen proxyAddress och userPrincipalName .

  • Uppdatera tomma och ogiltiga userPrincipalName-attribut med giltiga userPrincipalName-attribut .

  • Ta bort ogiltiga och tvivelaktiga tecken i attributen givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname och userPrincipalName . Mer information om hur du förbereder attribut finns i Lista över attribut som synkroniseras av Azure Active Directory Sync Tool.

    Obs!

    Det här är samma attribut som Microsoft Entra Connect synkroniserar.

Distributionsöverväganden för flera skogar

För flera skogar och alternativ för enkel inloggning använder du en anpassad installation av Microsoft Entra Connect.

Om din organisation har flera skogar för autentisering (inloggningsskogar) rekommenderar vi starkt följande:

  • Överväg att konsolidera dina skogar. I allmänhet krävs mer omkostnader för att underhålla flera skogar. Om inte din organisation har säkerhetsbegränsningar som avgör behovet av separata skogar bör du överväga att förenkla din lokala miljö.
  • Använd endast i den primära inloggningsskogen. Överväg att endast distribuera Microsoft 365 i din primära inloggningsskog för din första distribution av Microsoft 365.

Om du inte kan konsolidera AD DS-distributionen med flera skogar eller använder andra katalogtjänster för att hantera identiteter kan du kanske synkronisera dem med hjälp av Microsoft eller en partner.

Mer information finns i Topologier för Microsoft Entra Connect.

Funktioner som är beroende av katalogsynkronisering

Katalogsynkronisering krävs för följande funktioner:

  • Microsoft Entra sömlös enkel inloggning (SSO)
  • Skype-samexistens
  • Distribution av Exchange-hybrid, inklusive:
    • Fullständigt delad global adresslista (GAL) mellan din lokala Exchange-miljö och Microsoft 365.
    • Synkroniserar GAL-information från olika e-postsystem.
    • Möjligheten att lägga till användare i och ta bort användare från Microsoft 365-tjänsterbjudanden. Detta kräver följande:
      • Dubbelriktad synkronisering måste konfigureras under konfigurationen av katalogsynkronisering. Som standard skriver katalogsynkroniseringsverktyg endast kataloginformation till molnet. När du konfigurerar dubbelriktad synkronisering aktiverar du återskrivningsfunktioner så att ett begränsat antal objektattribut kopieras från molnet och sedan skriver tillbaka dem till din lokala AD DS. Tillbakaskrivning kallas även för Exchange-hybridläge.
    • En lokal Exchange-hybriddistribution.
    • Möjligheten att flytta vissa användarpostlådor till Microsoft 365 samtidigt som andra användarpostlådor finns lokalt.
    • Säkra avsändare och blockerade avsändare lokalt replikeras till Microsoft 365.
    • Grundläggande funktioner för delegering och skicka för e-post.
    • Du har en integrerad lokal smartkorts- eller multifaktorautentiseringslösning.
  • Synkronisering av foton, miniatyrbilder, konferensrum och säkerhetsgrupper

1. Rensningsuppgifter för katalog

Innan du synkroniserar din AD DS till din Microsoft Entra klientorganisation måste du rensa AD DS.

Viktigt

Om du inte utför AD DS-rensning innan du synkroniserar kan det leda till en betydande negativ inverkan på distributionsprocessen. Det kan ta dagar, eller till och med veckor, att gå igenom katalogsynkroniseringscykeln, identifiera fel och omsynkronisera.

I din AD DS utför du följande rensningsuppgifter för varje användarkonto som ska tilldelas en Microsoft 365-licens:

  1. Kontrollera en giltig och unik e-postadress i attributet proxyAddresses .

  2. Ta bort eventuella dubblettvärden i attributet proxyAddresses .

  3. Om möjligt kontrollerar du ett giltigt och unikt värde för attributet userPrincipalName i användarens användarobjekt . För bästa synkroniseringsupplevelse kontrollerar du att AD DS UPN matchar Microsoft Entra UPN. Om en användare inte har något värde för attributet userPrincipalName måste användarobjektet innehålla ett giltigt och unikt värde för attributet sAMAccountName . Ta bort eventuella dubblettvärden i attributet userPrincipalName .

  4. För optimal användning av den globala adresslistan (GAL) kontrollerar du att informationen i följande attribut för AD DS-användarkontot är korrekt:

    • givenName
    • Efternamn
    • visningsNamn
    • Befattning
    • Department
    • Office
    • Telefonnr till arbetet
    • Mobiltelefon
    • Faxnummer
    • Gatuadress
    • Ort
    • Region
    • Postnummer
    • Land eller region

2. Förberedelse av katalogobjekt och attribut

Lyckad katalogsynkronisering mellan AD DS och Microsoft 365 kräver att AD DS-attributen är korrekt förberedda. Du måste till exempel se till att vissa tecken inte används i vissa attribut som synkroniseras med Microsoft 365-miljön. Oväntade tecken gör inte att katalogsynkroniseringen misslyckas, men kan returnera en varning. Ogiltiga tecken gör att katalogsynkroniseringen misslyckas.

Katalogsynkronisering misslyckas också om vissa av dina AD DS-användare har ett eller flera dubblettattribut. Varje användare måste ha unika attribut.

De attribut som du behöver förbereda visas här:

  • visningsNamn

    • Om attributet finns i användarobjektet synkroniseras det med Microsoft 365.
    • Om det här attributet finns i användarobjektet måste det finnas ett värde för det. Attributet får alltså inte vara tomt.
    • Maximalt antal tecken: 256

  • givenName

    • Om attributet finns i användarobjektet synkroniseras det med Microsoft 365, men Microsoft 365 kräver eller använder det inte.
    • Maximalt antal tecken: 64

  • mail

    • Attributvärdet måste vara unikt i katalogen.

      Obs!

      Om det finns dubblettvärden synkroniseras den första användaren med värdet. Efterföljande användare visas inte i Microsoft 365. Du måste ändra antingen värdet i Microsoft 365 eller ändra båda värdena i AD DS för att båda användarna ska visas i Microsoft 365.

  • mailNickname (Exchange-alias)

    • Attributvärdet kan inte börja med en punkt (.).

    • Attributvärdet måste vara unikt i katalogen.

      Obs!

      Understreck ("_") i det synkroniserade namnet anger att det ursprungliga värdet för det här attributet innehåller ogiltiga tecken. Mer information om det här attributet finns i Attributet Exchange-alias.

  • Proxyaddresses

    • Attribut för flera värden

    • Maximalt antal tecken per värde: 256

    • Attributvärdet får inte innehålla något blanksteg.

    • Attributvärdet måste vara unikt i katalogen.

    • Ogiltiga tecken: <> ( ) ; , [ ] "

    • Bokstäver med diakritiska tecken, till exempel umlauts, accenter och tildes, är ogiltiga tecken.

      Ogiltiga tecken gäller för tecknen som följer typ avgränsare och ":", så att SMTP:User@contso.com tillåts, men SMTP:user:M@contoso.com är inte det.

      Viktigt

      Alla SMTP-adresser (Simple Mail Transport Protocol) bör uppfylla e-poststandarder. Ta bort dubblettadresser eller oönskade adresser om de finns.

  • sAMAccountName

    • Maximalt antal tecken: 20
    • Attributvärdet måste vara unikt i katalogen.
    • Ogiltiga tecken: [ \ " | , / : <> + = ; ? * ']
    • Om en användare har ett ogiltigt sAMAccountName-attribut men har ett giltigt userPrincipalName-attribut skapas användarkontot i Microsoft 365.
    • Om både sAMAccountName och userPrincipalName är ogiltiga måste attributet AD DS userPrincipalName uppdateras.

  • sn (efternamn)

    • Om attributet finns i användarobjektet synkroniseras det med Microsoft 365, men Microsoft 365 kräver eller använder det inte.

  • Targetaddress

    Det krävs att attributet targetAddress (till exempel SMTP:tom@contoso.com) som är ifyllt för användaren måste visas i Microsoft 365 GAL. I scenarier med meddelandemigrering från tredje part skulle detta kräva Microsoft 365-schematillägget för AD DS. Microsoft 365-schematillägget skulle också lägga till andra användbara attribut för att hantera Microsoft 365-objekt som fylls i med hjälp av ett katalogsynkroniseringsverktyg från AD DS. Attributet msExchHideFromAddressLists för att hantera dolda postlådor eller distributionsgrupper skulle till exempel läggas till.

    • Maximalt antal tecken: 256
    • Attributvärdet får inte innehålla något blanksteg.
    • Attributvärdet måste vara unikt i katalogen.
    • Ogiltiga tecken: \ <> ( ) ; , [ ] "
    • Alla SMTP-adresser (Simple Mail Transport Protocol) bör uppfylla e-poststandarder.

  • userPrincipalName

    • Attributet userPrincipalName måste vara i inloggningsformatet i Internetstil där användarnamnet följs av vid-tecknet (@) och ett domännamn: till exempel user@contoso.com. Alla SMTP-adresser (Simple Mail Transport Protocol) bör uppfylla e-poststandarder.
    • Det maximala antalet tecken för attributet userPrincipalName är 113. Ett visst antal tecken tillåts före och efter vid tecknet (@), enligt följande:
    • Maximalt antal tecken för användarnamnet som finns framför vid tecknet (@): 64
    • Maximalt antal tecken för domännamnet efter vid tecknet (@): 48
    • Ogiltiga tecken: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • Tillåtna tecken: A – Z, a – z, 0 – 9, " . - _ ! # ^ ~
    • Bokstäver med diakritiska tecken, till exempel umlauts, accenter och tildes, är ogiltiga tecken.
    • @-tecknet krävs i varje userPrincipalName-värde .
    • @-tecknet får inte vara det första tecknet i varje userPrincipalName-värde .
    • Användarnamnet kan inte sluta med en punkt (.), ett et-tecken (&), ett blanksteg eller ett vid tecken (@).
    • Användarnamnet får inte innehålla några blanksteg.
    • Dirigerbara domäner måste användas. Lokala eller interna domäner kan till exempel inte användas.
    • Unicode konverteras till understreckstecken.
    • userPrincipalName får inte innehålla några dubblettvärden i katalogen.

3. Förbered attributet userPrincipalName

Active Directory är utformat för att tillåta slutanvändare i din organisation att logga in på din katalog med hjälp av antingen sAMAccountName eller userPrincipalName. På samma sätt kan slutanvändare logga in på Microsoft 365 med hjälp av användarens huvudnamn (UPN) för sitt arbets- eller skolkonto. Katalogsynkronisering försöker skapa nya användare i Microsoft Entra-ID med hjälp av samma UPN som finns i din AD DS. UPN är formaterat som en e-postadress.

I Microsoft 365 är UPN standardattributet som används för att generera e-postadressen. Det är enkelt att hämta userPrincipalName (i AD DS och i Microsoft Entra ID) och den primära e-postadressen i proxyAddresses inställd på olika värden. När de är inställda på olika värden kan det uppstå förvirring för administratörer och slutanvändare.

Det är bäst att justera dessa attribut för att minska förvirringen. För att uppfylla kraven för enkel inloggning med Active Directory Federation Services (AD FS) (AD FS) 2.0 måste du se till att UPN:erna i Microsoft Entra-ID och AD DS matchar och använder ett giltigt domännamnområde.

4. Lägg till ett alternativt UPN-suffix i AD DS

Du kan behöva lägga till ett alternativt UPN-suffix för att associera användarens företagsautentiseringsuppgifter med Microsoft 365-miljön. Ett UPN-suffix är en del av ett UPN till höger om @-tecknet. UPN:er som används för enkel inloggning kan innehålla bokstäver, siffror, punkter, bindestreck och understreck, men inga andra typer av tecken.

Mer information om hur du lägger till ett alternativt UPN-suffix i Active Directory finns i Förbereda för katalogsynkronisering.

5. Matcha AD DS UPN med Microsoft 365 UPN

Om du redan har konfigurerat katalogsynkronisering kanske användarens UPN för Microsoft 365 inte matchar användarens AD DS UPN som definieras i din AD DS. Det här villkoret kan inträffa när en användare tilldelades en licens innan domänen verifierades. Åtgärda detta genom att använda PowerShell för att åtgärda duplicerat UPN för att uppdatera användarens UPN för att säkerställa att Microsoft 365 UPN matchar företagets användarnamn och domän. Om du uppdaterar UPN i AD DS och vill att det ska synkroniseras med den Microsoft Entra identiteten måste du ta bort användarens licens i Microsoft 365 innan du gör ändringarna i AD DS.

Se även Förbereda en icke-dirigerbar domän (till exempel .local domain) för katalogsynkronisering.

Nästa steg

När du har slutfört steg 1 till 5 läser du Konfigurera katalogsynkronisering.