Förbereda för katalogsynkronisering till Microsoft 365
Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.
Om du har valt hybrididentitetsmodellen och konfigurerat skydd för administratörskonton i steg 2 och användarkonton i steg 3 av den här lösningen är nästa uppgift att distribuera katalogsynkronisering. Fördelarna med katalogsynkronisering för din organisation är bland annat:
- Minska administratörsprogrammen i organisationen
- Om du vill aktiverar du scenariot för enkel inloggning
- Automatisera kontoändringar i Microsoft 365
Mer information om fördelarna med att använda katalogsynkronisering finns i hybrididentitet med Azure Active Directory (Azure AD).
Men katalogsynkronisering kräver planering och förberedelse för att säkerställa att DIN AD DS (Active Directory Domain Services) synkroniserar till Azure AD-klientorganisationen för Microsoft 365-prenumerationen med så få fel som möjligt.
Följ de här anvisningarna för att uppnå bästa resultat.
Anteckning
Icke-ASCII-tecken synkroniseras inte för attribut i AD DS-användarkontot.
Förberedelse av AD DS
För att säkerställa en smidig övergång till Microsoft 365 med hjälp av synkronisering måste du förbereda AD DS-skogen innan du påbörjar Microsoft 365 distribution av katalogsynkronisering.
Katalogförberedelser bör fokusera på följande uppgifter:
Ta bort dubbletter av proxyAddress- och userPrincipalName-attribut .
Uppdatera tomma och ogiltiga userPrincipalName-attribut med giltiga userPrincipalName-attribut .
Ta bort ogiltiga och tveksamma tecken i attributen givenName, efternamn ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname och userPrincipalName . Mer information om hur du förbereder attribut finns i listan över attribut som synkroniseras Azure Active Directory synkroniseringsverktyget.
Anteckning
Det här är samma attribut som Azure AD Anslut synkroniserar.
Distributionsöverväganden för flera skogar
För flera skogar och SSO-alternativ använder du en anpassad installation av Azure AD Anslut.
Om din organisation har flera skogar för autentisering (skogar för inloggning) rekommenderar vi följande:
- Överväg att konsolidera dina skogar. I allmänhet går det att underhålla flera skogar omkostnader. Om organisationen inte har säkerhetsbegränsningar som kräver separata skogar kan du överväga att förenkla din lokala miljö.
- Använd endast i din primära skog för inloggning. Överväg att Microsoft 365 i din primära skog för inloggning för din inledande distribution av Microsoft 365.
Om du inte kan konsolidera din AD DS-distribution med flera skogar eller använder andra katalogtjänster för att hantera identiteter kan du eventuellt synkronisera dessa med hjälp av Microsoft eller en partner.
Mer information finns i Topologier för Azure AD Anslut.
Funktioner som är beroende av katalogsynkronisering
Katalogsynkronisering krävs för följande funktioner och funktioner:
- Smidig och enkel Sign-On i Azure AD (SSO)
- Skype samexistens
- Exchange hybriddistribution, inklusive:
- Fullständigt delad global adresslista (GAL) mellan din lokala Exchange och Microsoft 365.
- Synkronisera GAL-information från olika e-postsystem.
- Möjligheten att lägga till och ta bort användare från Microsoft 365 tjänsterbjudanden. Det kräver följande:
- Tvåvägssynkronisering måste konfigureras under katalogsynkroniseringskonfigurationen. Som standard skriver katalogsynkroniseringsverktyg bara kataloginformation till molnet. När du konfigurerar tvåvägssynkronisering kan du aktivera återskrivningsfunktioner så att ett begränsat antal objektattribut kopieras från molnet och sedan skrivs tillbaka till din lokala AD DS. Återskrivning kallas även för Exchange-hybridläge.
- En lokal Exchange hybriddistribution
- Möjligheten att flytta vissa användarpostlådor till Microsoft 365 att behålla andra användarpostlådor lokalt.
- Valv lokala avsändare och spärrade avsändare replikeras till Microsoft 365.
- Grundläggande delegering och e-postfunktioner för att skicka för.
- Du har ett integrerat lokalt smartkort eller en multifaktorautentiseringslösning.
- Synkronisering av foton, miniatyrer, konferensrum och säkerhetsgrupper
1. Katalogrensningsuppgifter
Innan du synkroniserar DIN AD DS till Azure AD-klientorganisationen måste du rensa dina AD DS.
Viktigt
Om du inte rensar AD DS innan du synkroniserar kan det leda till en betydande negativ inverkan på distributionsprocessen. Det kan ta dagar eller veckor att gå igenom hela katalogsynkroniseringen, att identifiera fel och omsynkronisering.
Fyll i följande rensningsuppgifter i AD DS för varje användarkonto som ska tilldelas en Microsoft 365 licens:
Kontrollera en giltig och unik e-postadress i attributet proxyAddresses .
Ta bort alla dubblettvärden i attributet proxyAddresses .
Om möjligt bör du säkerställa ett giltigt och unikt värde för attributet userPrincipalName i användarens användarobjekt . För bästa möjliga synkronisering ser du till att AD DS UPN matchar Azure AD UPN. Om en användare inte har något värde för attributet userPrincipalName måste användarobjektet innehålla ett giltigt och unikt värde för attributet sAMAccountName. Ta bort alla dubblettvärden i attributet userPrincipalName .
För optimal användning av den globala adresslistan (GAL) ser du till att informationen i följande attribut för AD DS-användarkontot är korrekt:
- givenName
- efternamn
- visningsNamn
- Befattning
- Department
- Office
- Telefonnr till arbetet
- Mobiltelefon
- Faxnummer
- Gatuadress
- Ort
- Region
- Postnummer
- Land eller region
2. Förberedelse av katalogobjekt och katalogattribut
För att synkroniseringen mellan AD DS och Microsoft 365 ska fungera måste AD DS-attributen vara ordentligt förberedda. Du måste till exempel se till att inga specifika tecken används i vissa attribut som synkroniseras med den Microsoft 365 miljön. Katalogsynkroniseringen misslyckas inte om oväntade tecken visas, men kan returnera en varning. Ogiltiga tecken leder till att katalogsynkroniseringen misslyckas.
Katalogsynkroniseringen misslyckas också om en del av AD DS-användarna har ett eller flera dubblettattribut. Varje användare måste ha unika attribut.
Attributen du behöver förbereda visas här:
visningsNamn
- Om attributet finns i användarobjektet synkroniseras det med Microsoft 365.
- Om det här attributet finns i användarobjektet måste det ha ett värde. Det innebär att attributet inte får vara tomt.
- Maximalt antal tecken: 256
givenName
- Om attributet finns i användarobjektet synkroniseras det med Microsoft 365 men det Microsoft 365 inte eller använder det.
- Maximalt antal tecken: 64
mail
Attributvärdet måste vara unikt i katalogen.
Anteckning
Om det finns dubblettvärden synkroniseras den första användaren med värdet. Efterföljande användare visas inte i Microsoft 365. Du måste antingen ändra värdet i Microsoft 365 eller ändra båda värdena i AD DS för att båda användarna ska visas i Microsoft 365.
mailNickname (Exchange alias)
Attributvärdet kan inte börja med en punkt (.).
Attributvärdet måste vara unikt i katalogen.
Anteckning
Understreck ("_") i det synkroniserade namnet anger att det ursprungliga värdet för det här attributet innehåller ogiltiga tecken. Mer information om det här attributet finns i Exchange aliasattribut.
proxyAddresses
Attribut med flera värden
Maximalt antal tecken per värde: 256
Attributvärdet får inte innehålla blanksteg.
Attributvärdet måste vara unikt i katalogen.
Ogiltiga tecken: < > ( ) ; , [ ] "
Bokstäver med diakritiska tecken som omljud, accenter och tilde är ogiltiga tecken.
Observera att ogiltiga tecken gäller tecknen som kommer efter avgränsaren och ":", så att SMTP:User@contso.com är tillåtet, men SMTP:user:M@contoso.com är det inte.
Viktigt
Alla SMTP-adresser (Simple Mail Transport Protocol) ska följa e-poststandarderna. Ta bort dubbletter eller oönskade adresser om de finns.
sAMAccountName
- Maximalt antal tecken: 20
- Attributvärdet måste vara unikt i katalogen.
- Ogiltiga tecken: [ \ " | , / : < > + = ; ? * ']
- Om en användare har ett ogiltigt sAMAccountName-attribut men ett giltigt userPrincipalName-attribut skapas användarkontot i Microsoft 365.
- Om både sAMAccountName och userPrincipalName är ogiltiga måste AD DS-attributet userPrincipalName uppdateras.
sn (efternamn)
- Om attributet finns i användarobjektet synkroniseras det med Microsoft 365 men det Microsoft 365 inte eller använder det.
targetAddress
Attributet targetAddress (till exempel SMTP:tom@contoso.com) som fylls i för användaren måste visas i den Microsoft 365 GAL. Vid migrering av tredjepartsmeddelanden kräver detta tillägget Microsoft 365 FÖR AD DS. Tillägget Microsoft 365 skulle också lägga till andra användbara attribut för att hantera Microsoft 365 objekt som fylls i med hjälp av ett katalogsynkroniseringsverktyg från AD DS. Till exempel läggs attributet msExchHideFromAddressLists till för att hantera dolda postlådor eller distributionsgrupper.
- Maximalt antal tecken: 256
- Attributvärdet får inte innehålla blanksteg.
- Attributvärdet måste vara unikt i katalogen.
- Ogiltiga tecken: \ < > ( ) ; , [ ] "
- Alla SMTP-adresser (Simple Mail Transport Protocol) ska följa e-poststandarderna.
userPrincipalName
- Attributet userPrincipalName måste ha ett inloggningsformat som är internetformat där användarnamnet följs av at-tecknet (@) och ett domännamn, till exempel user@contoso.com. Alla SMTP-adresser (Simple Mail Transport Protocol) ska följa e-poststandarderna.
- Attributet userPrincipalName får ha högst 113 tecken. Ett visst antal tecken tillåts före och efter at-tecknet (@), enligt följande:
- Maximalt antal tecken för användarnamnet som står framför at-tecknet (@): 64
- Maximalt antal tecken för domännamnet som följer efter at-tecknet (@): 48
- Ogiltiga tecken: \ % & * + / = ? { } | < > ( ) ; : , [ ] "
- Tillåtna tecken: A – Ö, a - z, 0 – 9, ' . - _ ! # ^ ~
- Bokstäver med diakritiska tecken som omljud, accenter och tilde är ogiltiga tecken.
- Tecknet @ krävs i varje userPrincipalName-värde .
- Tecknet @ får inte vara det första tecknet i varje userPrincipalName-värde .
- Användarnamnet får inte sluta med punkt (.), et-tecken (&), blanksteg eller at-tecken (@).
- Användarnamnet får inte innehålla blanksteg.
- Dirigerbara domäner måste användas. Lokala eller interna domäner kan till exempel inte användas.
- Unicode konverteras till understreck.
- userPrincipalName får inte innehålla dubblettvärden i katalogen.
3. Förbereda attributet userPrincipalName
Active Directory har utformats så att slutanvändarna i organisationen ska kunna logga in i katalogen med hjälp av antingen sAMAccountName eller userPrincipalName. På samma sätt kan slutanvändarna logga in Microsoft 365 med hjälp av huvudnamnet (UPN) för sitt arbets- eller skolkonto. Katalogsynkronisering försöker skapa nya användare i Azure Active Directory med samma UPN som finns i din AD DS. UPN är formaterat som en e-postadress.
I Microsoft 365 är UPN standardattributet som används för att generera e-postadressen. Det är enkelt att ange olika värden för userPrincipalName (i AD DS och i Azure AD) och den primära e-postadressen i proxyAddresses . De olika värdena kan vara förvirrande för administratörer och slutanvändare.
Därför är det bäst att attributen stämmer överens. För att uppfylla kraven för enkel inloggning med Ad FS (Active Directory Federation Services) 2.0 måste du kontrollera att UPN-namn i Azure Active Directory och AD DS stämmer överens och använder ett giltigt domännamnsområde.
4. Lägg till ett alternativt UPN-suffix i AD DS
Du kan behöva lägga till ett alternativt UPN-suffix för att associera användarens företagsautentiseringsuppgifter med Microsoft 365 miljö. Ett UPN-suffix är den del av ett UPN som står till höger om @-tecknet. UPN-nummer som används för enkel inloggning får innehålla bokstäver, siffror, punkter, bindestreck och understreck, men inga andra typer av tecken.
Mer information om hur du lägger till ett alternativt UPN-suffix i Active Directory finns i Förbereda katalogsynkronisering.
5. Matcha AD DS UPN med MICROSOFT 365 UPN
Om du redan har konfigurerat katalogsynkronisering kanske användarens UPN för Microsoft 365 inte stämmer överens med användarens AD DS UPN som definierats i AD DS. Detta kan inträffa när en användare har tilldelats en licens innan domänen verifierades. Lös det genom att använda PowerShell för att åtgärda UPN-dubbletter och uppdatera användarens UPN så att UPN för Microsoft 365 matchar företagets användarnamn och domän. Om du uppdaterar UPN i AD DS och vill att det ska synkroniseras med Azure Active Directory-identiteten måste du ta bort användarens licens i Microsoft 365 innan du gör ändringarna i AD DS.
Se även Så här förbereder du en icke-dirigerbar domän (till exempel .local) för katalogsynkronisering.
Nästa steg
När du har gjort 1 till 5 ovan kan du gå till Konfigurera katalogsynkronisering.