Cum reconfigurez sincronizarea Azure AD, utilizată pentru a face posibilă conectarea unică pentru Office365 din interiorul domeniului, astfel încât partea de nume de domeniu a UPN-ului unui utilizator să se poată modifica atunci când este sincronizată?
De exemplu. presupunem că domeniul local este ad.contosolocal.com, iar domeniul extern este contoso.com. În prezent, funcționează doar copierea exactă, prin potrivirea ID-ului acestuia, de ex. prin utilizarea MSonline;
$username="bob"
$UPN = (-join($nume utilizator, "contoso.com"))
$guid=(get-ADUser $nume utilizator).Objectguid
$immutableID=[system.convert]::ToBase64String($guid.tobytearray())
Set-MsolUser -UserPrincipalName $UPN -ImmutableId $immutableID
Acest lucru nu funcționează foarte bine sau fiabil: este nevoie de mai multe încercări de sincronizare, sincronizând manual complet și rulând fiecare opțiune posibilă de două ori pentru ambii conectori, pentru un total de 16 sincronizări (2x2x import, export, sincronizare și delta), înainte ca Azure AD să decidă pentru a seta UPN la valoarea corectă și nu imediat, ci aproximativ 15 minute mai târziu. Se pare că vrea să seteze UPN la bob în loc de [email protected] pentru unii pentru mine un motiv încă inexplicabil. A face față acestui lucru pentru mulți utilizatori este frustrant pentru ei, deoarece conectările se întrerup în timp ce valorile nu sunt setate corect.
Atunci vreau:
+--------------------------+------------------+--- ---------------+
| Valoare locală | Trimis la Azure | Valoare Azure |
+--------------------------+------------------+--- ---------------+
| [email protected] | [email protected] | [email protected] |
| [email protected] | [email protected] | [email protected] |
+--------------------------+------------------+--- ---------------+
Dacă acest lucru se face în mod naiv, creând propriile mele „Reguli de sincronizare”, se rupe parolele (utilizatorii nu se mai pot conecta, cu erori de „parolă invalidă”).Parolele funcționează numai atunci când UPN-ul utilizatorului se potrivește cu ceea ce este online, chiar dacă sincronizarea parolei este dezactivată (se pare că aceasta este o eroare). Desigur, domeniul de e-mail se potrivește cu cel al site-ului web, ceea ce înseamnă că dacă căile locale încep să facă același lucru, aceasta duce la probleme DNS; nemaiputând accesa site-ul companiei din domeniul local.
invers, folosind ad.contosolocal.com întrucât autentificarea online nu este, de asemenea, o opțiune viabilă, utilizatorii doresc să se autentifice folosind numele de domeniu „real”. (Pe lângă numărul de ore de asistență pe care le-ar fi nevoie pentru ca toți să-și schimbe domeniul de conectare în toate programele lor de pe toate dispozitivele lor)
De asemenea, este posibil să plasez UPN-ul de la distanță al utilizatorului într-un alt atribut local-AD (de obicei, Poștă atribut), în acest caz, aș putea schimba sincronizarea pentru a se potrivi Poștă la UPN.
Din păcate, re-execuți expertul Azure AD Connect; nu îmi oferă nicio opțiune de a schimba ceea ce am mapat UPN-ul. Se pare că pur și simplu nu afișează opțiunea după prima dată când ați rulat-o.
Vreau să se întâmple asta:
- Parolele și numele de utilizator sunt sincronizate de la AD local la Azure AD.
- Partea de domeniu local a UPN-urilor este întotdeauna o valoare fixă.
- Partea domeniului la distanță a UPN-urilor potrivite este întotdeauna o valoare fixă (o valoare diferită)
- Utilizatorii trebuie să se poată conecta la Office365 atât din afara rețelei interne, cât și din interior.
- Office-365 utilizează Single-Sign On; perspectiva locală/cuvântul/etc. se conectează automat la office-365 fără a fi nevoie să furnizeze acreditări.
Î: Cum?
