Příprava synchronizace adresářů pro Office 365

Shrnutí:    Popisuje synchronizaci adresářů s Office 365, čištění Active Directory a nástroj Azure Active Directory Connect.

V závislosti na podnikových potřebách, technických požadavcích, nebo na obou těchto položkách, je synchronizace adresářů nejběžnější volbou zřizování pro podnikové zákazníky, kteří přecházejí na Office 365. Synchronizace adresářů umožňuje správu identit v místní službě Active Directory a všechny aktualizace dané identity se synchronizují do Office 365.

Existuje několik věcí, které je třeba při plánování implementace synchronizace adresářů brát v úvahu, například příprava adresářů a požadavky a funkčnost Azure Active Directory. Příprava adresářů zahrnuje několik oblastí. Patří mezi ně aktualizace atributů, auditování a naplánování umístění řadičů domén. Plánování požadavků a funkčnosti zahrnuje určení potřebných oprávnění, naplánování scénářů pro více doménových struktur a adresářů, naplánování kapacity a obousměrnou synchronizaci.

Modely identit v Office 365

Office 365 používá dva hlavní ověřovací a identifikační modely: cloudové ověřování a federované ověřování.

Cloudové ověřování

Cloudová identita: Uživatele můžete vytvářet a spravovat v Centru pro správu Office 365. Ke správě uživatelů také můžete používat Windows PowerShell nebo Azure Active Directory.

Synchronizace hodnot hash hesel s bezproblémovým jednotným přihlašováním: Jde o nejjednodušší způsob, jak v Azure AD zapnout ověřování místních adresářových objektů. Při synchronizaci hodnot hash hesel (PHS) synchronizujete objekty uživatelských účtů v místním systému Active Directory s Office 365 a uživatele spravujete místně.

Předávací ověřování s bezproblémovým jednotným přihlašováním: Provádí jednoduché ověření hesla pro ověřovací služby Azure AD. Používá softwarového agenta spuštěného na jednom nebo několika místních serverech, který uživatele ověřuje přímo v místním systému Active Directory.

Federované ověřování

Federovaná identita se službou AD FS (Active Directory Federation Services): Je určená hlavně velkým organizacím, které mají složitější požadavky na ověřování. Místní adresářové objekty se synchronizují s Office 365 a uživatelské účty se spravují místně.

Ověřování třetí stranou a poskytovatelé identit: Místní adresářové objekty mohou být synchronizované s Office 365. Přístup k cloudovým prostředkům spravuje primárně externí poskytovatel identit (IdP).

Čištění Active Directory

Pro zajištění bezproblémového přechodu na Office 365 pomocí synchronizace důrazně doporučujeme, abyste provedli přípravu vaší doménové struktury Služba Active Directory ještě předtím, než s nasazením synchronizace adresářů Office 365 začnete.

Při nastavení synchronizace adresářů v Office 365 je jedním z kroků stažení a spuštění nástroje IdFix. Nástroj IdFix vám pomůže s čištěním adresáře.

Čištění adresáře by se mělo zaměřit na tyto úlohy:

  • Odebrání duplicitních atributů proxyAddress a userPrincipalName

  • Aktualizace prázdných a neplatných atributů userPrincipalName platnými atributy userPrincipalName

  • Odebrání neplatných a podezřelých znaků v atributech givenName, surname (sn), sAMAccountName, displayName, mail, proxyAddresses, mailNickname a userPrincipalName. Podrobnosti o přípravě atributů najdete v tématu Seznam atributů, které synchronizuje synchronizační nástroj Azure Active Directory.

    Poznámka: Jde o stejné atributy, které synchronizuje Azure AD Connect.

Požadavky pro nasazení více doménových struktur

Pro více doménových struktur a možností jednotného přihlašování použijte vlastní instalaci Azure AD Connect.

Pokud má vaše organizace více doménových struktur k ověřování (přihlašovacích doménových struktur), důrazně doporučujeme tyto postupy:

  • Zvažte možnost sloučení vašich doménových struktur.    Udržování více doménových struktur obecně vyžaduje vyšší režijní náklady. Pokud nemá vaše organizace omezení zabezpečení, která vyžadují samostatné doménové struktury, zvažte možnost zjednodušení místního prostředí.

  • Použijte nasazení jenom ve vaší primární přihlašovací doménové struktuře.    Zvažte možnost nasazení Office 365 při úvodním zavádění Office 365 jenom ve vaší primární přihlašovací doménové struktuře.

Pokud vaše nasazení Služba Active Directory ve více doménových strukturách nemůžete sloučit nebo používáte ke správě identit jiné adresářové služby, je možné, že je budete moct synchronizovat za pomoci Microsoftu nebo partnera.

Další informace najdete v tématu Scénář synchronizace adresářů ve více doménových strukturách s jednotným přihlašováním.

Nástroje pro integraci adresářů

Synchronizace adresářů znamená synchronizaci adresářových objektů (uživatelů, skupin a kontaktů) z místního prostředí Služba Active Directory do adresářové infrastruktury Office 365. Seznam dostupných nástrojů a jejich funkcí najdete v článku o nástrojích integrace adresáře. Doporučujeme použít nástroj Azure Active Directory Connect.

Při první synchronizaci uživatelských účtů s adresářem Office 365 jsou uživatelské účty označené jako neaktivní. Nemůžou odesílat ani přijímat e-maily a nevyužívají licence předplatného. Jakmile budete mít všechno připravené a budete chtít předplatná Office 365 přiřadit konkrétním uživatelům, musíte je vybrat a aktivovat přiřazením platné licence.

Synchronizace adresářů se vyžaduje pro následující funkce a možnosti:

  • Jednotné přihlašování

  • Koexistence aplikace Lync

  • Hybridní nasazení Exchange, například tyto možnosti:

    • Plně sdílený globální adresář mezi místním prostředím Exchange a Office 365

    • Synchronizace informací globálního adresáře z jiných e-mailových systémů

    • Možnost přidávat a odebírat uživatele z nabídek služeb Office 365. V tom případě se vyžaduje toto:

      • Během nastavení synchronizace adresářů je nutné nakonfigurovat obousměrnou synchronizaci. Ve výchozím nastavení nástroje pro synchronizaci adresářů zapisují adresářové informace jenom do cloudu. Při konfiguraci obousměrné synchronizace povolíte funkci zpětného zápisu a tak se omezený počet atributů objektů zkopíruje z cloudu a pak zapíše zpět do místní služby Active Directory. Zpětný zápis se označuje také jako hybridní režim Exchange.

      • Místní hybridní nasazení Exchange

    • Možnost přesunout poštovní schránky některých uživatelů do Office 365 a ponechat poštovní schránky ostatních uživatelů v místním prostředí

    • Bezpeční odesílatelé a blokovaní odesílatelé v místním prostředí se replikují do Office 365.

    • Základní delegování a funkce odeslání e-mailu za jiného uživatele

    • Máte integrované místní řešení ověřování čipovou kartou nebo vícefaktorového ověřování.

  • Synchronizace fotek, miniatur, konferenčních místností a skupin zabezpečení

Viz také

Upgrade ze synchronizace Azure Active Directory (DirSync) na Azure AD Connect

Azure AD Connect – historie verzí

Rozšiřte své dovednosti s Office
Projít školení
Získejte nové funkce jako první
Připojte se k účastníkům programu Office Insiders

Byly tyto informace užitečné?

Děkujeme vám za zpětnou vazbu.

Děkujeme vám za váš názor. Vypadá to, že bude užitečné, když vás spojíme s některým z našich agentů z podpory Office.

×