Příprava synchronizace adresářů do Microsoftu 365
Tento článek se týká Microsoft 365 Enterprise i Office 365 Enterprise.
Pokud jste zvolili model hybridní identity a nakonfigurovali ochranu pro účty správců v kroku 2 a uživatelské účty v kroku 3 tohoto řešení, vaším dalším úkolem je nasadit synchronizaci adresářů. Mezi výhody synchronizace adresářů pro vaši organizaci patří:
- Omezení programů pro správu ve vaší organizaci
- Volitelný scénář povolení jednotného přihlašování
- Automatizace změn účtu v Microsoftu 365
Další informace o výhodách používání synchronizace adresářů najdete v tématu Hybridní identita s id Microsoft Entra.
Synchronizace adresářů ale vyžaduje plánování a přípravu, aby se vaše Active Directory Domain Services (AD DS) synchronizovala s Microsoft Entra tenantem vašeho předplatného Microsoft 365 s minimem chyb.
Pokud chcete dosáhnout nejlepších výsledků, postupujte podle těchto kroků.
Poznámka
Znaky jiného než ASCII se nesynchronizují pro žádné atributy v uživatelském účtu služby AD DS.
Příprava služby AD DS
Pokud chcete zajistit bezproblémový přechod na Microsoft 365 pomocí synchronizace, musíte před zahájením nasazení synchronizace adresářů Microsoftu 365 připravit doménovou strukturu služby AD DS.
Příprava adresáře by se měla zaměřit na následující úlohy:
Odeberte duplicitní atributy proxyAddress a userPrincipalName .
Aktualizujte prázdné a neplatné atributy userPrincipalName platnými atributy userPrincipalName .
Odeberte neplatné a pochybné znaky v atributech givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname a userPrincipalName . Podrobnosti o přípravě atributů najdete v tématu Seznam atributů synchronizovaných synchronizačním nástrojem Azure Active Directory.
Poznámka
Jedná se o stejné atributy, které Microsoft Entra Connect synchronizuje.
Aspekty nasazení ve více doménových strukturách
Pro více doménových struktur a možností jednotného přihlašování použijte vlastní instalaci nástroje Microsoft Entra Connect.
Pokud má vaše organizace více doménových struktur pro ověřování (přihlašovací doménové struktury), důrazně doporučujeme následující:
- Zvažte konsolidaci doménových struktur. Obecně platí, že údržba více doménových struktur vyžaduje větší režijní náklady. Pokud vaše organizace nemá omezení zabezpečení, která určují potřebu samostatných doménových struktur, zvažte zjednodušení místního prostředí.
- Používejte pouze v primární přihlašovací doménové struktuře. Zvažte nasazení Microsoftu 365 pouze v primární přihlašovací doménové struktuře pro počáteční zavedení Microsoftu 365.
Pokud nemůžete konsolidovat nasazení služby AD DS s více doménovými strukturami nebo ke správě identit používáte jiné adresářové služby, možná je budete moct synchronizovat s pomocí Microsoftu nebo partnera.
Další informace najdete v tématu Topologie pro Microsoft Entra Connect.
Funkce, které jsou závislé na synchronizaci adresářů
Synchronizace adresářů se vyžaduje pro následující funkce a funkce:
- Microsoft Entra bezproblémové jednotné přihlašování (SSO)
- Koexistence skypu
- Hybridní nasazení Exchange, včetně:
- Plně sdílený globální adresář mezi místním prostředím Exchange a Microsoftem 365.
- Synchronizace informací globálního adresáře z různých poštovních systémů
- Možnost přidávat uživatele do nabídek služeb Microsoft 365 a odebírat je z nich. To vyžaduje následující:
- Při nastavování synchronizace adresářů musí být nakonfigurovaná obousměrná synchronizace. Ve výchozím nastavení nástroje pro synchronizaci adresářů zapisují informace o adresáři jenom do cloudu. Když konfigurujete obousměrnou synchronizaci, povolíte funkci zpětného zápisu, aby se z cloudu zkopíroval omezený počet atributů objektů a pak je zapisoval zpět do místní služby AD DS. Zpětný zápis se také označuje jako hybridní režim Exchange.
- Místní hybridní nasazení Exchange.
- Možnost přesunout některé poštovní schránky uživatelů do Microsoftu 365 a současně ponechat jiné poštovní schránky uživatelů v místním prostředí.
- Bezpeční odesílatelé a blokovaní odesílatelé v místním prostředí se replikují do Microsoftu 365.
- Základní funkce delegování a odesílání e-mailů jménem.
- Máte integrované místní řešení čipové karty nebo vícefaktorového ověřování.
- Synchronizace fotek, miniatur, konferenčních místností a skupin zabezpečení
1. Úlohy čištění adresářů
Před synchronizací služby AD DS s tenantem Microsoft Entra musíte vyčistit službu AD DS.
Důležité
Pokud před synchronizací neprovedete vyčištění služby AD DS, může to mít významný negativní dopad na proces nasazení. Může trvat dny nebo dokonce týdny, než projde cyklus synchronizace adresářů, identifikace chyb a opětovné synchronizace.
Ve službě AD DS proveďte následující úlohy čištění pro každý uživatelský účet, kterému bude přiřazena licence Microsoftu 365:
V atributu proxyAddresses zajistěte platnou a jedinečnou e-mailovou adresu.
Odeberte všechny duplicitní hodnoty v atributu proxyAddresses .
Pokud je to možné, zajistěte v objektu uživatele platnou a jedinečnou hodnotu atributu userPrincipalName. Pokud chcete zajistit nejlepší možnosti synchronizace, ujistěte se, že hlavní název uživatele služby AD DS odpovídá Microsoft Entra hlavní název uživatele (UPN). Pokud uživatel nemá hodnotu atributu userPrincipalName , musí objekt uživatele obsahovat platnou a jedinečnou hodnotu pro atribut sAMAccountName . Odeberte všechny duplicitní hodnoty v atributu userPrincipalName .
Pro optimální použití globálního adresáře se ujistěte, že jsou informace v následujících atributech uživatelského účtu služby AD DS správné:
- givenName
- Příjmení
- displayName
- Funkce
- Department
- Office
- Telefon do kanceláře
- Mobilní telefon
- Faxové číslo
- Adresa ulice
- Město
- Kraj
- PSČ
- Země nebo oblast
2. Příprava objektu a atributu adresáře
Úspěšná synchronizace adresářů mezi službami AD DS a Microsoft 365 vyžaduje, aby atributy služby AD DS byly správně připravené. Musíte například zajistit, aby se určité znaky nepoužívaly v určitých atributech synchronizovaných s prostředím Microsoftu 365. Neočekávané znaky nezpůsobí selhání synchronizace adresářů, ale můžou vrátit upozornění. Neplatné znaky způsobí selhání synchronizace adresářů.
Synchronizace adresářů selže také v případě, že někteří uživatelé služby AD DS mají jeden nebo více duplicitních atributů. Každý uživatel musí mít jedinečné atributy.
Atributy, které potřebujete připravit, jsou uvedené tady:
displayName
- Pokud atribut v objektu uživatele existuje, synchronizuje se s Microsoftem 365.
- Pokud tento atribut v objektu uživatele existuje, musí pro něj existovat hodnota. To znamená, že atribut nesmí být prázdný.
- Maximální počet znaků: 256
givenName
- Pokud atribut v objektu uživatele existuje, synchronizuje se s Microsoftem 365, ale Microsoft 365 ho nevyžaduje ani nepoužívá.
- Maximální počet znaků: 64
mail
Hodnota atributu musí být v rámci adresáře jedinečná.
Poznámka
Pokud existují duplicitní hodnoty, synchronizuje se první uživatel s hodnotou. Další uživatelé se v Microsoftu 365 nezobrazí. Musíte upravit hodnotu v Microsoft 365 nebo upravit obě hodnoty ve službě AD DS, aby se oba uživatelé zobrazili v Microsoftu 365.
mailNickname (alias Exchange)
Hodnota atributu nemůže začínat tečkou (.).
Hodnota atributu musí být v rámci adresáře jedinečná.
Poznámka
Podtržítka ("_") v synchronizovaným názvu označují, že původní hodnota tohoto atributu obsahuje neplatné znaky. Další informace o tomto atributu najdete v tématu Atribut aliasu Exchange.
Proxyaddresses
Atribut s více hodnotami
Maximální počet znaků na hodnotu: 256
Hodnota atributu nesmí obsahovat mezeru.
Hodnota atributu musí být v rámci adresáře jedinečná.
Neplatné znaky: <> ( ) ; , [ ] "
Písmena s diakritickými znaménkami, jako jsou přehlásky, zvýraznění a vlnky, jsou neplatné znaky.
Neplatné znaky platí pro znaky následující za oddělovačem typu a ":", například SMTP:User@contso.com je povolený, ale SMTP:user:M@contoso.com není.
Důležité
Všechny adresy SMTP (Simple Mail Transport Protocol) by měly být v souladu se standardy zasílání e-mailových zpráv. Odeberte duplicitní nebo nežádoucí adresy, pokud existují.
Samaccountname
- Maximální počet znaků: 20
- Hodnota atributu musí být v rámci adresáře jedinečná.
- Neplatné znaky: [ \ " | , / : <> + = ; ? * ']
- Pokud má uživatel neplatný atribut sAMAccountName , ale má platný atribut userPrincipalName , uživatelský účet se vytvoří v Microsoftu 365.
- Pokud jsou sAMAccountName i userPrincipalName neplatné, musí se aktualizovat atribut userPrincipalName služby AD DS.
sn (příjmení)
- Pokud atribut v objektu uživatele existuje, synchronizuje se s Microsoftem 365, ale Microsoft 365 ho nevyžaduje ani nepoužívá.
Targetaddress
Vyžaduje se, aby se atribut targetAddress (například SMTP:tom@contoso.com) vyplněný pro uživatele zobrazil v globálním adresáři Microsoftu 365. Ve scénářích migrace zasílání zpráv třetích stran by to vyžadovalo rozšíření schématu Microsoft 365 pro službu AD DS. Rozšíření schématu Microsoftu 365 by také přidalo další užitečné atributy pro správu objektů Microsoftu 365, které jsou naplněné pomocí nástroje pro synchronizaci adresářů ze služby AD DS. Například by byl přidán atribut msExchHideFromAddressLists pro správu skrytých poštovních schránek nebo distribučních skupin.
- Maximální počet znaků: 256
- Hodnota atributu nesmí obsahovat mezeru.
- Hodnota atributu musí být v rámci adresáře jedinečná.
- Neplatné znaky: \ <> ( ) ; , [ ] "
- Všechny adresy SMTP (Simple Mail Transport Protocol) by měly být v souladu se standardy zasílání e-mailových zpráv.
Userprincipalname
- Atribut userPrincipalName musí být ve formátu přihlašování ve stylu internetu, kde za uživatelským jménem následuje znak at (@) a název domény: například user@contoso.com. Všechny adresy SMTP (Simple Mail Transport Protocol) by měly být v souladu se standardy zasílání e-mailových zpráv.
- Maximální počet znaků atributu userPrincipalName je 113. Před znakem za (@) je povolen určitý počet znaků, a to následujícím způsobem:
- Maximální počet znaků pro uživatelské jméno, které je před znakem at (@): 64
- Maximální počet znaků pro název domény za znakem at (@): 48
- Neplatné znaky: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
- Povolené znaky: A – Z, a – z, 0 – 9, ' . - _ ! # ^ ~
- Písmena s diakritickými znaménkami, jako jsou přehlásky, zvýraznění a vlnky, jsou neplatné znaky.
- Znak @ se vyžaduje v každé hodnotě userPrincipalName .
- Znak @ nemůže být prvním znakem v každé hodnotě userPrincipalName .
- Uživatelské jméno nemůže končit tečkou (.), ampersandem (&), mezerou nebo znakem at (@).
- Uživatelské jméno nemůže obsahovat žádné mezery.
- Musí být použity směrovatelné domény. Například místní nebo interní domény nelze použít.
- Unicode se převede na podtržítka.
- userPrincipalName nemůže v adresáři obsahovat žádné duplicitní hodnoty.
3. Příprava atributu userPrincipalName
Služba Active Directory je navržená tak, aby koncovým uživatelům ve vaší organizaci umožňovala přihlášení k vašemu adresáři pomocí sAMAccountName nebo userPrincipalName. Podobně se koncoví uživatelé můžou přihlásit k Microsoftu 365 pomocí hlavního názvu uživatele (UPN) svého pracovního nebo školního účtu. Synchronizace adresářů se pokusí vytvořit nové uživatele v Microsoft Entra ID pomocí stejného hlavního názvu uživatele, který je ve vaší službě AD DS. Hlavní název uživatele (UPN) je formátovaný jako e-mailová adresa.
V Microsoftu 365 je hlavní název uživatele výchozím atributem, který se používá k vygenerování e-mailové adresy. Je snadné získat userPrincipalName (ve službě AD DS a v Microsoft Entra ID) a primární e-mailovou adresu v proxyAddresses nastavit na jiné hodnoty. Když jsou nastavené na jiné hodnoty, může docházet k nejasnostem pro správce a koncové uživatele.
Nejlepší je tyto atributy sladit, aby se snížila nejasnost. Abyste splnili požadavky jednotného přihlašování pomocí služby Active Directory Federation Services (AD FS) (AD FS) 2.0, musíte zajistit, aby se hlavní názvy uživatele (UPN) v id Microsoft Entra a vaše služba AD DS shodovaly a používaly platný obor názvů domény.
4. Přidání alternativní přípony hlavního názvu uživatele (UPN) do služby AD DS
Možná budete muset přidat alternativní příponu hlavního názvu uživatele pro přidružení podnikových přihlašovacích údajů uživatele k prostředí Microsoft 365. Přípona hlavního názvu uživatele (UPN) je část hlavního názvu uživatele napravo od znaku @ . Názvy UPN, které se používají pro jednotné přihlašování, můžou obsahovat písmena, číslice, tečky, pomlčky a podtržítka, ale žádné jiné typy znaků.
Další informace o tom, jak přidat alternativní příponu UPN do služby Active Directory, najdete v tématu Příprava synchronizace adresářů.
5. Spárujte hlavní název uživatele služby AD DS s hlavními název uživatele (UPN) Microsoftu 365.
Pokud jste už nastavili synchronizaci adresářů, nemusí se hlavní název uživatele pro Microsoft 365 shodovat s hlavním názvem uživatele služby AD DS definovaným ve vaší službě AD DS. K této podmínce může dojít, když byla uživateli přiřazena licence před ověřením domény. Pokud chcete tento problém vyřešit, použijte PowerShell k opravě duplicitního hlavního názvu uživatele (UPN) a aktualizujte hlavní název uživatele uživatele (UPN) tak, aby se hlavní název uživatele Microsoftu 365 shodný s podnikovým uživatelským jménem a doménou. Pokud aktualizujete hlavní název uživatele (UPN) ve službě AD DS a chcete, aby se synchronizoval s identitou Microsoft Entra, musíte před provedením změn ve službě AD DS odebrat licenci uživatele v Microsoftu 365.
Přečtěte si také téma Příprava nesměrovatelné domény (například domény .local) na synchronizaci adresářů.
Další kroky
Po dokončení kroků 1 až 5 si přečtěte téma Nastavení synchronizace adresářů.