Forberede klargøring af brugere via katalogsynkronisering med Office 365

Klargøring af brugere med katalogsynkronisering kræver mere planlægning og forberedelse end blot at administrere dine arbejds- eller skolekonto direkte i Office 365. Den ekstra opgaver med planlægning og forberedelse er påkrævet for at sikre, at dine lokale Active Directory synkroniseres korrekt til Azure Active Directory. De ekstra fordele for din organisation består i:

  • Reduktion af administrative programmer i organisationen

  • Du kan vælge at aktivere enkeltlogon-scenarier

  • Automatisering af kontoændringer i Office 365

Du kan finde flere oplysninger om fordelene ved at bruge katalogsynkronisering i Oversigt over mappesynkronisering og Om Office 365 identitet og Azure Active Directory.

For at afgøre hvilket scenarie passer bedst til din organisation, skal du gennemgå sammenligning af katalogintegrationsværktøjer.

Katalogoprydningsopgaver

Før du begynder at synkronisere kataloget, skal du rydde op i kataloget.

Gennemgå også attributter, der er synkroniseret til Azure Active Directory af Azure AD Connect.

Advarsel: Hvis du ikke udfører katalogoprydning, før du synkroniserer, kan det have en væsentlig negativ effekt på installationsprocessen. Det kan tage dage eller endda uger at gå gennem cyklen af katalogsynkronisering, identificere fejl og fornyet synkronisering.

I dit lokale katalog skal du udføre følgende oprydningsopgaver:

  • Sørg for, at hver enkelt bruger, der skal tildeles Office 365-servicetilbud har en gyldig og entydige mailadresse i proxyAddresses-attributten.

  • Fjern eventuelle dubletter i proxyAddresses-attributten.

  • Hvis det er muligt, sikr at hver enkelt bruger, der tildeles Office 365 servicetilbud har en gyldig og entydig værdi for userPrincipalName attributten i brugerens user objekt. For at få den bedste synkroniseringsoplevelse skal du sikre, at de lokale Active Directory UPN svarer til skyen UPN. Hvis en bruger ikke har en værdi for userPrincipalName attributten, så skal user objektet indeholde en gyldig og entydig værdi for sAMAccountName attributten. Fjern alle gentagne værdier i userPrincipalName attributten.

  • Til optimal brug af den globale adresseliste (GAL), skal du sørge for, at oplysningerne i følgende attributter er korrekte:

    • givenName

    • efternavn

    • visningsNavn

    • Stilling

    • Afdeling

    • Office

    • Kontortelefon

    • Mobiltelefon

    • Faxnummer

    • Adresse

    • By

    • Område

    • Postnummer

    • Land eller område

Katalog-objekt og forberedelse af attribut

Vellykket katalogsynkronisering mellem dit lokale katalog og Office 365 kræver, at dine lokale katalogattributter er ordentligt forberedt. F.eks. skal du sikre dig, at bestemte tegn ikke bruges i visse attributter, der synkroniseres med Office 365 miljøet. Uventede tegn får ikke katalogsynkronisering til at mislykkes, men returnerer måske en advarsel. Ugyldige tegn vil få katalogsynkronisering til at mislykkes.

Katalogsynkronisering vil heller ikke mislykkes, hvis nogle af dine Active Directory-brugere har en eller flere duplikerede attributter. Hver enkelt bruger skal have entydige attributter.

De attributter, du skal bruge til at forberede, er angivet her:

Tip: Du kan også bruge IdFix-værktøjet for at gøre denne proces meget lettere.

displayName

  • Hvis attributten findes i brugerobjektet, synkroniseres den med Office 365.

  • Hvis denne attribut findes i brugerobjektet, skal der være en værdi for den. Det vil sige, at attributten ikke må være tom.

  • Maksimale antal tegn: 255

  • Uventede tegn: ? @ \ +

givenName

  • Hvis attributten findes i brugerobjektet, synkroniseres den med Office 365, men Office 365 kræver den ikke eller bruger den ikke.

  • Maksimale antal tegn: 63

  • Uventede tegn: ? @ \ +

mail

  • Maksimale antal tegn: 255

  • Ugyldige tegn: [ \ ! # $ % & * + / = ? ^ ` { } ]

  • Attributværdien skal være entydig i kataloget.

    Bemærk: Hvis der er dublerede værdier, bliver den første bruger med værdien synkroniseret. Efterfølgende brugere vil ikke blive vist i Office 365. Du skal redigere enten værdien i Office 365, eller ændre begge værdier i det lokale katalog for at begge brugere skal vises i Office 365.

mailNickname (Exchange alias)

  • Maksimale antal tegn: 63

  • Ugyldige tegn: [ \ ! # $ % & * + / = ? ^ ` { } | ~ < > ( ) ‘ ; : , ] “ @

  • Attributværdien må ikke indeholde et mellemrum " ".

  • Attributværdien må ikke starte eller slutte med et punktum (.).

  • Attributværdien skal være entydig i kataloget.

proxyAddresses

  • Attribut med flere værdier

  • Maksimale antal tegn pr. værdi: 256

  • Attributten værdi må ikke indeholde et mellemrum.

  • Attributværdien skal være entydig i kataloget.

  • Ugyldige tegn: \ % & * + / = ? ‘ { } | < > ( ) ; : , [ ] “

    Vigtigt: Alle SMTP-adresser skal overholde mailstandarder. Hvis duplikerede eller uønskede adresser findes, kan du se i Hjælp-emnet Fjerne duplikerede og uønskede proxyadresser i Exchange.

sAMAccountName

  • Maksimale antal tegn: 20

  • Attributværdien skal være entydig i kataloget.

  • Ugyldige tegn: [ \ “ | , / : < > + = ; ? * ]

  • Hvis en bruger har en ugyldig sAMAccountName-attribut, men har en gyldig userPrincipalName-attribut, er brugerkontoen oprettet i Office 365.

  • Hvis både sAMAccountName og userPrincipalName er ugyldige, skal den lokale Active DirectoryuserPrincipalName-attribut opdateres.

sn (efternavn)

  • Hvis attributten findes i brugerobjektet, synkroniseres den med Office 365, men Office 365 kræver den ikke eller bruger den ikke.

  • Maksimale antal tegn: 63

  • Uventede tegn: ? @ \ +

targetAddress

Det er påkrævet, at targetAddress-attributten (f.eks. SMTP:tom@contoso.com ), som er udfyldt for brugeren, skal vises i den globale adresseliste (GAL) i Office 365. I tredjeparts beskedoverførselsscenarier ville det kræve Office 365-skemaudvidelsen til det lokale katalog. Office 365-skemaudvidelsen tilføjer også andre nyttige attributter til at administrere Office 365-objekter, der udfyldes ved hjælp af et katalogsynkroniseringsværktøj fra det lokale katalog. F.eks. msExchHideFromAddressLists-attributten til at administrere skjulte postkasser eller distributionsgrupper ville blive tilføjet.

  • Maksimale antal tegn: 255

  • Attributten værdi må ikke indeholde et mellemrum.

  • Attributværdien skal være entydig i kataloget.

  • Ugyldige tegn: \ % & * + / = ? ‘ { } | < > ( ) ; : , [ ] “

    Alle SMTP-adresser skal overholde mailstandarder.

userPrincipalName

  • userPrincipalName-attributten skal være som i internet-logonformat, hvor brugernavnet er efterfulgt af snabel-a (@) og et domænenavn: F.eks. user@contoso.com.

    Alle SMTP-adresser skal overholde mailstandarder.

  • Det maksimale antal tegn for userPrincipalName-attributten er 113. Et bestemt antal tegn er tilladt før og efter snabel-a (@), som følger:

    • Maksimale antal tegn for brugernavnet, der står foran snabel-a (@): 64

    • Maksimale antal tegn for domænenavnet, der står bagved snabel-a (@): 48

  • Ugyldige tegn: \ % & * + / = ? ‘ { } | < > ( ) ; : , [ ] “ ~

    en omlyd er også et ugyldigt tegn.

  • Tegnet @ er påkrævet i hver userPrincipalName-værdi.

  • Tegnet @ kan ikke være det første tegn i hver userPrincipalName-værdi.

  • Brugernavnet kan ikke slutte med et punktum (.), et og-tegn (&), et mellemrum eller et snabel-a (@).

  • Brugernavnet kan ikke indeholde mellemrum.

  • Du skal bruge distribuerbare domæner. F.eks. lokale eller interne domæner kan ikke anvendes.

  • Unicode konverteres til understregningstegn.

  • userPrincipalName kan ikke indeholde dubletter i kataloget.

Forberede UserPrincipalName-attributten

Active Directory er udviklet til at give slutbrugerne i organisationen mulighed for at logge på dit katalog, enten ved hjælp af sAMAccountName eller userPrincipalName. Ligeledes kan slutbrugere logge på Office 365 ved hjælp af brugerens hovednavn (UPN) i deres arbejds- eller skolekonto. Katalogsynkronisering forsøger at oprette nye brugere i Azure Active Directory ved hjælp af det samme UPN fra dit lokale katalog. UPN er formateret som en mailadresse. I Office 365 er UPN standardattributten, der bruges til at generere mailadressen. Det er nemt at indstille userPrincipalName (lokalt og i Azure Active Directory) og den primære mailadresse i proxyAddresses til forskellige værdier. Når de har forskellige værdier, kan der opstå forvirring blandt administratorer og slutbrugere.

Det er bedst at justere disse attributter for at mindske forvirringen. For at overholde de krav i ADFS 2.0 (Active Directory Federation Services), der gælder for enkeltlogon, skal du sørge for, at UPN i Azure Active Directory og dit lokale Active Directory match bruger et gyldigt domænenavneområde.

Tilføj et alternativt UPN-suffiks til AD DS

Det kan være nødvendigt at tilføje et alternativt UPN-suffiks for at knytte brugerens firmalegitimationsoplysninger til Office 365-miljøet. Et UPN-suffiks er den del af et UPN, som står til højre for tegnet @. UPN'er, der bruges til enkeltlogon, kan indeholde bogstaver, tal, punktummer, bindestreger og understregninger, men ikke andre typer tegn.

Du kan finde flere oplysninger om, hvordan du tilføjer et alternativt UPN-suffiks til Active Directory i Forberede katalogsynkronisering.

Sammenlign det lokale UPN med Office 365-UPN

Hvis du allerede har konfigureret katalogsynkronisering, stemmer brugerens Office 365-UPN muligvis ikke overens med brugerens lokale UPN, der er defineret i din lokale katalogtjeneste. Dette kan forekomme, når en bruger er blevet tildelt en licens, før domænet blev bekræftet. Dette løses ved at bruge PowerShell til at løse duplikerede UPN. Hermed opdateres brugerens UPN for at sikre, at Office 365-UPN matcher virksomhedens brugernavn og domæne. Hvis du opdaterer UPN i den lokale katalogtjeneste og ønsker at den skal synkroniseres med Azure Active Directory-identiteten, skal du fjerne brugerens licens i Office 365, før du ændrer det lokalt.

Se også Sådan forberedes et domæne, der ikke kan routes, (f.eks. domænet .local) til katalogsynkronisering.

Katalogintegrationsværktøjer

Katalogsynkronisering er synkroniseringen af katalogobjekter (brugere, grupper og kontakter) fra dit lokale Active Directory miljø til Office 365 mappe-infrastrukturen, Azure Active Directory. Se Katalogintegrationsværktøjer for en liste over de tilgængelige værktøjer og deres funktionalitet. Det anbefalede værktøj er Microsoft Azure Active Directory Connect. Du kan se flere oplysninger Azure Active Directory Connect under Integration af lokale identiteter med Azure Active Directory.

Når brugerkonti synkroniseres med Office 365-kataloget for første gang, er de markeret som ikke aktiveret. De kan ikke sende eller modtage mails, og de forbruger ikke abonnementslicenser. Når du er klar til at tildele Office 365-abonnementer til bestemte brugere, skal du vælge og aktivere dem ved at tildele en gyldig licens.

Du kan også bruge PowerShell til at tildele licenser. Se Hvordan bruger du PowerShell til automatisk at tildele licenser til dine Office 365-brugere for en automatiseret løsning.

Se også

Office 365-integration med lokale miljøer

Løse problemer med katalogsynkronisering til Office 365

Del Facebook Facebook Twitter Twitter Mail Mail

Var disse oplysninger nyttige?

Fantastisk! Har du mere feedback?

Hvordan kan vi forbedre det?

Tak for din feedback!

×