Příprava zřizování uživatelů v Office 365 prostřednictvím synchronizace adresářů

Zřizování uživatelů prostřednictvím synchronizace adresářů vyžaduje větší plánování a přípravu, než když jenom spravujete svůj pracovní nebo školní účet přímo v Office 365. K zajištění správné synchronizace místního adresáře Active Directory s adresářem Azure Active Directory jsou nezbytné další kroky plánování a přípravy. Vaše organizace tím získá například tyto výhody:

  • Méně aplikací pro správu ve vaší organizaci

  • Volitelná podpora scénářů jednotného přihlašování

  • Automatizace změn účtů v Office 365

Další informace o výhodách používání synchronizace adresářů najdete v článcích Synchronizace adresářů: rozcestník a Identity v Office 365 a služba Azure Active Directory.

K určení nejvhodnějšího scénáře pro vaši organizaci si projděte srovnání nástrojů pro integraci adresářů.

Postup vyčištění adresáře

Než začnete se synchronizací adresáře, je potřeba adresář vyčistit.

Zkontrolujte taky atributy synchronizované se službou Azure Active Directory pomocí Azure AD Connect.

Upozornění : Pokud adresáře před synchronizací nevyčistíte, může to mít poměrně velký negativní dopad na proces nasazování služby. Dokončení cyklu synchronizace adresáře, identifikace chyb a opětovné synchronizace by mohlo trvat dny nebo dokonce týdny.

V místním adresáři udělejte v rámci jeho čištění tyto kroky:

  • Zajistěte, aby každý uživatel, který bude mít přiřazené nabízené služby Office 365, měl platnou a jedinečnou e-mailovou adresu v atributu proxyAddresses.

  • Odeberte veškeré duplicitní hodnoty v atributu proxyAddresses.

  • Pokud je to možné, zajistěte, aby každý uživatel, který bude mít přiřazené nabízené služby Office 365, měl platnou a jedinečnou hodnotu v atributu userPrincipalName v objektu user daného uživatele. Pro co nejlepší průběh synchronizace zajistěte, aby místní hlavní název uživatele (UPN) adresáře Active Directory odpovídalo cloudovému UPN. Pokud uživatel nemá hodnotu v atributu userPrincipalName, pak musí mít objekt user platnou a jedinečnou hodnotu pro atribut sAMAccountName. Odeberte veškeré duplicitní hodnoty v atributu userPrincipalName.

  • Aby bylo možné globální seznam adres (GAL) optimálně používat, zkontrolujte, že jsou pro následující atributy nastavené správné informace:

    • givenName (Jméno)

    • surname (Příjmení)

    • displayName (Zobrazované jméno)

    • Job Title (Funkce)

    • Department (Oddělení)

    • Office (Kancelář)

    • Office Phone (Telefon do kanceláře)

    • Mobile Phone (Mobilní telefon)

    • Fax Number (Faxové číslo)

    • Street Address (Ulice)

    • City (Město)

    • State or Province (Kraj)

    • Zip or Postal Code (PSČ)

    • Country or Region (Země nebo oblast)

Příprava objektů a atributů adresáře

Aby synchronizace místního adresáře a adresáře Office 365 proběhla úspěšně, je nutné atributy místního adresáře správně připravit. Například je třeba zajistit, aby se v určitých atributech synchronizovaných s prostředím Office 365 nevyskytovaly některé konkrétní znaky. Neočekávané znaky nezpůsobují selhání synchronizace, můžou ale vyvolat zobrazení upozornění. Neplatné znaky způsobí selhání synchronizace adresářů.

Synchronizace adresářů selže i tehdy, když někteří z vašich uživatelů služby Active Directory budou mít jeden nebo víc duplicitních atributů. Každý uživatel musí mít jedinečný atributy.

Následuje seznam atributů, které je nutné připravit:

Poznámka: Práci si můžete výrazně usnadnit nástrojem IdFix.

  • displayName

    • Pokud atribut existuje v objektu uživatele, bude se synchronizovat s Office 365.

    • Pokud atribut existuje v objektu uživatele, musí mít zadanou hodnotu. Atribut tedy nesmí být prázdný.

    • Maximální počet znaků: 255

  • givenName

    • Pokud atribut existuje v objektu uživatele, bude se synchronizovat s Office 365, ale Office 365 ho nevyžaduje ani nepoužívá.

    • Maximální počet znaků: 63

  • mail

    • Hodnota atributu musí být v rámci adresáře jedinečná.

      Poznámka : V případě výskytu duplicitních hodnot se bude synchronizovat první uživatel s danou hodnotou. Další uživatel(é) se v Office 365 nezobrazí. Aby se v Office 365 zobrazovali oba nebo všichni uživatelé, museli byste upravit hodnotu nebo hodnoty v Office 365 nebo upravit obě nebo všechny hodnoty v místním adresáři.

  • mailNickname (Exchange alias)

    • Hodnota atributu nesmí začínat tečkou (.).

    • Hodnota atributu musí být v rámci adresáře jedinečná.

  • proxyAddresses

    • Vícehodnotový atribut

    • Maximální počet znaků na hodnotu: 256

    • Hodnota atributu nesmí obsahovat mezeru.

    • Hodnota atributu musí být v rámci adresáře jedinečná.

    • Neplatné znaky: < > ( ) ; : , [ ] “

      Důležité : Všechny adresy SMTP (Simple Mail Transport Protocol) musí odpovídat standardům e-mailových zpráv. V případě duplicitních nebo nežádoucích adres si přečtěte téma nápovědy Odebrání duplicitních a nežádoucích adres proxy serverů v Exchangi.

  • sAMAccountName

    • Maximální počet znaků: 20

    • Hodnota atributu musí být v rámci adresáře jedinečná.

    • Neplatné znaky: [ \ “ | , / : < > + = ; ? * ]

    • Pokud má uživatel neplatný atribut sAMAccountName, ale má platný atribut userPrincipalName, uživatelský účet v Office 365 se vytvoří.

    • Pokud jsou neplatné oba atributy (tzn. jak sAMAccountName, tak i userPrincipalName), musí se aktualizovat atribut userPrincipalName místního adresáře Active Directory.

  • sn (surname)

    • Pokud atribut existuje v objektu uživatele, bude se synchronizovat s Office 365, ale Office 365 ho nevyžaduje ani nepoužívá.

  • targetAddress

    Atribut targetAddress zadaný pro daného uživatele (například SMTP:tom@contoso.com) se musí vyskytovat v globálním seznamu adres Office 365. To by v případě migrace řešení zasílání zpráv od třetích stran znamenalo rozšíření schématu Office 365 pro místní adresář. Rozšíření schématu Office 365 by zároveň přidalo další atributy užitečné pro správu objektů Office 365, které vyplňuje nástroj pro synchronizaci adresářů z místního adresáře. Přibyl by například atribut msExchHideFromAddressLists pro správu skrytých poštovních schránek nebo distribučních skupin.

    • Maximální počet znaků: 255

    • Hodnota atributu nesmí obsahovat mezeru.

    • Hodnota atributu musí být v rámci adresáře jedinečná.

    • Neplatné znaky: \ < > ( ) ; : , [ ] “

      Všechny adresy SMTP (Simple Mail Transport Protocol) musí odpovídat standardům e-mailových zpráv.

  • userPrincipalName

    • Formát atributu userPrincipalName musí odpovídat internetovému stylu přihlašování, kde za jménem uživatele následuje znak @ (zavináč) a název domény, například: uzivatel@contoso.com.

      Všechny adresy SMTP (Simple Mail Transport Protocol) musí odpovídat standardům e-mailových zpráv.

    • Maximální počet znaků pro atribut userPrincipalName je 113. Před a za znakem @ je povolený určitý počet znaků:

      • Maximální počet znaků pro uživatelské jméno, které je před znakem @: 64

      • Maximální počet znaků pro název domény, který je za znakem @: 48

    • Neplatné znaky: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      přehláska je taky neplatný znak.

    • Znak @ je povinný v každé hodnotě atributu userPrincipalName.

    • Znak @ nesmí být na první pozici žádné hodnoty atributu userPrincipalName.

    • Na konci uživatelského jména nesmí být tečka (.), ampersand (&), mezera ani znak @.

    • Uživatelské jméno nesmí obsahovat mezery.

    • Musí se používat směrovatelné domény, například není možné použít místní nebo interní domény.

    • Znaky v kódu Unicode se převedou na podtržítka.

    • Atribut userPrincipalName nesmí v adresáři obsahovat duplicitní hodnoty.

Příprava atributu userPrincipalName

Active Directory funguje tak, aby se koncoví uživatelé ve vaší organizaci mohli přihlásit do adresáře buď přes sAMAccountName, nebo přes userPrincipalName. Podobně se koncoví uživatelé můžou přihlásit k Office 365 pomocí hlavního názvu uživatele (UPN) pro svůj pracovní nebo školní účet. Synchronizace adresářů se pokouší vytvářet nové uživatele v Azure Active Directory pomocí hlavních názvů uživatele, které jsou v místním adresáři. Hlavní název uživatele má stejný formát jako e-mailová adresa. V Office 365 je hlavní název uživatele výchozím atributem používaným ke generování e-mailové adresy. Snadno se stane, že atribut userPrincipalName (v místním adresáři i v adresáři Azure Active Directory) a primární e-mailová adresa v proxyAddresses se nastaví na různé hodnoty. Jejich různé nastavení může mást správce i koncové uživatele.

Je vhodné hodnoty obou těchto atributů sjednotit, aby se předešlo nejasnostem. Abyste splnili požadavky na jednotné přihlašování se službou AD FS (Active Directory Federation Services) 2.0, musíte zajistit, aby si hlavní názvy uživatelů v adresáři Azure Active Directory a v místním adresáři Active Directory odpovídaly a používaly se pro ně platné obory názvů domén.

Přidání alternativní přípony hlavního názvu uživatele do služby AD DS

Abyste mohli propojit podnikové přihlašovací údaje uživatele s prostředím Office 365, může být potřeba přidat alternativní příponu hlavního názvu uživatele. Přípona hlavního názvu uživatele je část hlavního názvu uživatele vpravo od znaku @. Hlavní názvy uživatelů, které se používají pro jednotné přihlašování, můžou obsahovat písmena, číslice, tečky, pomlčky a podtržítka, ale žádné jiné typy znaků.

Další informace o tom, jak přidat alternativní příponu hlavního názvu uživatele v adresáři Active Directory, najdete v článku Příprava synchronizace adresářů.

Sjednocení místních hlavních názvů uživatelů s hlavními názvy uživatelů v Office 365

Po nastavení synchronizace adresářů se může ukázat, že hlavní název uživatele v Office 365 neodpovídá místnímu hlavnímu názvu uživatele definovanému v místní adresářové službě. Tato situace může nastat, pokud se uživateli přiřadila licence před ověřením domény. Tento problém můžete vyřešit tak, že opravíte duplicitní hlavní názvy uživatelů pomocí PowerShellu a aktualizujete tím hlavní název uživatele tak, aby hlavní název uživatele v Office 365 odpovídal podnikovému názvu uživatele a domény. Pokud aktualizujete hlavní název uživatele v místní adresářové službě a chtěli byste, aby se synchronizoval s identitou Azure Active Directory, musíte uživateli před provedením místních změn odebrat v Office 365 licenci.

Viz taky Příprava nesměrovatelné domény (jako je třeba doména .local) na synchronizaci adresářů.

Nástroje pro integraci adresářů

Synchronizace adresářů je synchronizace objektů adresáře (uživatelů, skupin a kontaktů) z vašeho místního prostředí Active Directory do adresářové infrastruktury Office 365, kterou je Azure Active Directory. Seznam dostupných nástrojů a jejich funkcí najdete v přehledu nástrojů pro integraci adresářů. Doporučujeme použít nástroj Microsoft Azure Active Directory Connect. Další informace o nástroji Azure Active Directory Connect najdete v článku o integraci místních identit se službou Azure Active Directory.

Při první synchronizaci uživatelských účtů s adresářem Office 365 jsou uživatelské účty označené jako neaktivní. Nemůžou odesílat ani přijímat e-maily a nevyužívají licence předplatného. Jakmile budete mít všechno připravené a budete chtít předplatná Office 365 přiřadit konkrétním uživatelům, musíte je vybrat a aktivovat přiřazením platné licence.

Pro přiřazování licencí můžete taky použít PowerShell. Popis automatizovaného řešení najdete v článku Jak pomocí PowerShellu automaticky přiřazovat licence uživatelům Office 365.

Příbuzná témata

Integrace Office 365 s místním prostředím
Řešení problémů se synchronizací adresářů v Office 365

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojte se k účastníkům programu Office Insiders

Byly tyto informace užitečné?

Děkujeme vám za zpětnou vazbu.

Děkujeme vám za váš názor. Vypadá to, že bude užitečné, když vás spojíme s některým z našich agentů z podpory Office.

×