Kasutajate kataloogisünkroonimise kaudu Office 365 peale üleviimiseks valmistumine

Kasutajate ettevalmistamine kataloogisünkroonimise abil nõuab rohkem plaanimist ja ettevalmistustöid kui töö- või koolikonto lihtsalt otse Office 365 kaudu haldamine. Täiendavad plaanimis- ja ettevalmistoimingud aitavad tagada, et teie kohapealne Active Directory ja Azure Active Directory sünkroonitakse õigesti. Teie asutuse jaoks kaasnevad sellega järgmised eelised:

  • haldustoimingute vähendamine teie asutuses;

  • võimalus lubada ühekordse sisselogimise stsenaariumid;

  • Office 365 kontomuudatuste automatiseerimine.

Lisateavet kataloogisünkroonimise eeliste kohta leiate artiklitest Kataloogisünkroonimise teejuht ja Office 365 identiteedi ja Azure Active Directory ülevaade.

Kui soovite otsustada, milline stsenaarium sobib teie asutuse jaoks kõige paremini, vaadake läbi kataloogiintegreerimise tööriistade võrdlus.

Kataloogipuhastamisega seotud toimingud

Enne kataloogi sünkroonimise alustamist peate kataloogi puhastama.

Vaadake läbi ka Azure AD Connecti abil Azure Active Directoryga sünkroonitud atribuudid.

Hoiatus. : Kui jätate kataloogi enne sünkroonimist puhastamata, võib see juurutamisele negatiivselt mõjuda. Kataloogisünkroonimise ülevaatamine, vigade leidmine ja uuesti sünkroonimine võib võtta päevi või isegi nädalaid.

Kohapealse kataloogi puhastamiseks tehke järgmist.

  • Veenduge, et igal kasutajal, kellele määratakse mõni Office 365 raames pakutav teenus, on atribuudis proxyAddresses olemas kehtiv, kordumatu meiliaadress.

  • Eemaldage atribuudist proxyAddresses kõik dubleeritud väärtused.

  • Võimaluse korral tagage, et igal kasutajal, kellele määratakse mõni Office 365 raames pakutav teenus, oleks sobiv ja kordumatu väärtus ka kasutaja objekti user atribuudis userPrincipalName. Parimaks sünkroonimiseks kontrollige, et kohapealne Active Directory UPN vastaks pilve UPN-ile. Kui kasutajal pole atribuudi userPrincipalName jaoks väärtust, peab objekt user sisaldama sobivat, kordumatut väärtust atribuudi sAMAccountName jaoks. Eemaldage atribuudist userPrincipalName kõik dubleeritud väärtused.

  • Globaalse aadressiloendi (GAL) optimaalse kasutamise huvides kontrollige kindlasti üle, kas järgmistes atribuutides sisalduv teave on õige:

    • givenName

    • surname

    • displayName

    • Ametinimetus

    • Osakond

    • Office

    • Töötelefoninumber

    • Mobiiltelefon

    • Faksinumber

    • Tänav, maja

    • Linn

    • Maakond või vald

    • Sihtnumber

    • Riik või regioon

Kataloogiobjektide ja -atribuutide ettevalmistamine

Teie kohapealse kataloogi ja Office 365 vahelise kataloogisünkroonimise õnnestumiseks peavad kohapealse kataloogi atribuudid olema õigesti ette valmistatud. Näiteks peate tagama, et Office 365 keskkonnaga sünkroonitavates teatud atribuutides poleks kasutatud teatud kindlaid märke. Ootamatud märgid ei põhjusta küll kataloogisünkroonimise nurjumist, ent võivad tagastada hoiatuse. Lubamatud märgid seevastu põhjustavad kataloogisünkroonimise nurjumise.

Kataloogisünkroonimine nurjub ka siis, kui mõnel teie Active Directory kasutajal on üks või mitu dubleeritud atribuuti. Igal kasutajal peavad olema kordumatud atribuudid.

Atribuudid, mille peate ette valmistama, on ära toodud siin.

MÄRKUS. Selle protsessi hõlbustamiseks võite kasutada ka tööriista IdFix.

  • displayName

    • Kui atribuut on kasutajaobjektis olemas, sünkroonitakse see Office 365-ga.

    • Kui see atribuut on kasutajaobjektis olemas, peab selle jaoks olema ka väärtus. See tähendab, et atribuut ei tohi olla tühi.

    • Märkide arvu ülempiir: 255

  • givenName

    • Kui atribuut on kasutajaobjektis olemas, sünkroonitakse see Office 365-ga, kuid Office 365 ei nõua ega vaja seda.

    • Märkide arvu ülempiir: 63

  • mail

    • Atribuudi väärtus peab kataloogi raames olema kordumatu.

      Märkus. : Duplikaatväärtuste korral sünkroonitakse üksnes esimene selle väärtusega kasutaja. Järgmisi kasutajaid Office 365-s ei kuvata. Kui soovite, et mõlemad kasutajad kuvataks Office 365-s, peate kas muutma väärtust Office 365-s või muutma mõlemaid väärtusi kohapealses kataloogis.

  • mailNickname (Exchange’i pseudonüüm)

    • Atribuudi väärtus ei tohi alata punktiga (.).

    • Atribuudi väärtus peab kataloogi raames olema kordumatu.

  • proxyAddresses

    • Mitme väärtusega atribuut

    • Märkide arvu ülempiir väärtuse kohta: 256

    • Atribuudi väärtus ei tohi sisaldada tühikut.

    • Atribuudi väärtus peab kataloogi raames olema kordumatu.

    • Lubamatud märgid: < > ( ) ; , [ ] “

      Arvestage, et lubamatute märkide tingimus kehtib ainult tüübieraldajale ja märkidele ":" järgnevatele märkidele. Lubatud on näiteks SMTP:Kasutaja@contso.com, aga mitte SMTP:kasutaja:M@contoso.com.

      NB! : Kõik SMTP-protokolli aadressid peavad vastama meilisõnumside standarditele. Kui on duplikaat- või soovimatuid aadresse, siis lugege spikriteemat Duplikaat- ja soovimatute puhverserveriaadresside eemaldamine Exchange’is.

  • sAMAccountName

    • Märkide arvu ülempiir: 20

    • Atribuudi väärtus peab kataloogi raames olema kordumatu.

    • Lubamatud märgid: [ \ “ | , / : < > + = ; ? * ]

    • Kui kasutajal on sobimatu atribuut sAMAccountName, ent sobiv atribuut userPrincipalName, luuakse kasutajakonto Office 365-s.

    • Kui sobimatud on nii sAMAccountName kui ka userPrincipalName, tuleb värskendada kohapealset Active Directory atribuuti userPrincipalName.

  • sn (perekonnanimi)

    • Kui atribuut on kasutajaobjektis olemas, sünkroonitakse see Office 365-ga, kuid Office 365 ei nõua ega vaja seda.

  • targetAddress

    Kasutaja jaoks asustatav atribuut targetAddress(nt SMTP:tom@contoso.com) peab olema Office 365 globaalses aadressiloendis. Kolmandast isikust teenusepakkuja sõnumside migreerimisstsenaariumide korral on selleks vaja kohapealse kataloogi Office 365 skeemi laiendit. Office 365 skeemi laiend lisaks ka muid kasulikke atribuute Office 365 objektide haldamiseks, mis asustatakse kohapealse kataloogisünkroonimise tööriistaga. Näiteks lisatakse atribuut msExchHideFromAddressLists, millega saab hallata peidetud postkaste ja levirühmi.

    • Märkide arvu ülempiir: 255

    • Atribuudi väärtus ei tohi sisaldada tühikut.

    • Atribuudi väärtus peab kataloogi raames olema kordumatu.

    • Lubamatud märgid: \ < > ( ) ; , [ ] “

      Kõik SMTP-protokolli aadressid peavad vastama meilisõnumside standarditele.

  • userPrincipalName

    • Atribuut userPrincipalName peab olema Interneti-laadis sisselogimiskujul, kus kasutajanimele järgneb @-märk ja domeeninimi, näiteks kasutaja@contoso.com.

      Kõik SMTP-protokolli aadressid peavad vastama meilisõnumside standarditele.

    • Atribuudi userPrincipalName jaoks lubatud märkide arvu ülempiir on 113. Enne ja pärast @-märki on lubatud teatud kindel arv märke.

      • @-märgile eelneva kasutajanime märkide arvu ülempiir: 64

      • @-märgile järgneva domeeninime märkide arvu ülempiir: 48

    • Lubamatud märgid: \ % & * + / = ? { } | < > ( ) ; : , [ ] “

      Ka täpitähed on lubamatud märgid.

    • @-märk on nõutav iga userPrincipalName-väärtuse jaoks.

    • @-märk ei tohi olla userPrincipalName-väärtuse esimene märk.

    • Kasutajanimi ei tohi lõppeda punkti (.), ampersandi (&), tühiku ega @-märgiga.

    • Kasutajanimi ei tohi sisaldada tühikuid.

    • Kasutada tuleb marsruuditavaid domeene; kohalikke ega sisevõrgudomeene ei tohi kasutada.

    • Unicode teisendatakse allkriipsumärkideks.

    • userPrincipalName ei tohi kataloogis sisaldada duplikaatväärtusi.

Atribuudi userPrincipalName ettevalmistamine

Active Directory on loodud selliselt, et teie asutuse lõppkasutajad saaksid teie kataloogi sisse logida kas atribuudile sAMAccountName või userPrincipalName vastava kasutajanimega. Samamoodi saavad lõppkasutajad Office 365 teenustesse sisse logida oma töö- või koolikonto kasutaja turbesubjekti nimega (UPN). Kataloogisünkroonimine proovib Azure Active Directorys uute kasutajate loomiseks kasutada sama UPN-i, mida sisaldab teie kohapealne kataloog. UPN on vormindatud sarnaselt meiliaadressiga. Office 365-s on UPN vaikeatribuut, mida kasutatakse meiliaadressi genereerimiseks. Väga lihtsalt võib juhtuda, et userPrincipalName (kohapealne ja Azure Active Directorys) ning atribuudi proxyAddresses esmase meiliaadressi väärtused on erinevad. Kui need väärtused on erinevad, võib see põhjustada segadust nii administraatorite kui ka lõppkasutajate jaoks.

Seetõttu võiks need atribuudid segaduse vältimiseks ühtlustada. Teenuse Active Directory Federation Services (AD FS) 2.0 abil ühekordse sisselogimise nõuete täitmiseks peate tagama, et Azure Active Directory ja kohapealse Active Directory UPN-id on samad ning kasutavad sobivat domeeninimeruumi.

Alternatiivse UPN-i järelliite lisamine teenuses AD DS

Kasutaja ettevõttemandaatide seostamiseks Office 365 keskkonnaga võib olla vaja lisada alternatiivne UPN-i järelliide. UPN-i järelliide on @-märgist paremale jääv UPN-i osa. UPN-id, mida kasutatakse ühekordseks sisselogimiseks, võivad sisaldada tähti, numbreid, punkte, kriipse (sh allkriipse), kuid mitte muud tüüpi märke.

Lisateavet alternatiivse UPN-i järelliite lisamise kohta teenuses Active Directory leiate artiklist Kataloogisünkroonimise ettevalmistamine.

Kohapealse UPN-i ja Office 365 UPN-i vastavusse viimine

Kui olete kataloogisünkroonimise juba häälestanud, siis ei pruugi kasutaja Office 365 UPN olla sama tema kohapealse UPN-iga, mis on määratletud kohapealses kataloogiteenuses. See võib juhtuda näiteks siis, kui kasutajale määrati litsents enne domeeni kinnitamist. Probleemi lahendamiseks kasutage UPN-i duplikaadi parandamiseks PowerShelli: värskendage kasutaja UPN nii, et Office 365 UPN vastaks ettevõtte kasutajanimele ja domeenile. Kui värskendate UPN-i kohapealses kataloogiteenuses ja soovite selle sünkroonida Azure Active Directory identiteediga, siis tuleb enne kohapealsete muudatuste tegemist kasutaja litsents teenusekomplektist Office 365 eemaldada.

Lugege ka artiklit Mittemarsruuditava domeeni (nt domeen .local) ettevalmistamine kataloogisünkroonimiseks.

Kataloogiintegreerimise tööriistad

Kataloogisünkroonimine on teie kohapealse Active Directory keskkonna kataloogiobjektide (kasutajad, rühmad ja kontaktid) sünkroonimine Office 365 kataloogitaristuga, Azure Active Directoryga. Saadaolevate tööriistade loendi koos nende funktsioonide kirjeldusega leiate artiklist Kataloogiintegreerimise tööriistad. Soovitatav tööriist on Microsoft Azure Active Directory Connect. Lisateavet Azure Active Directory Connecti kohta leiate artiklist Kohapealsete identiteetide integreerimine Azure Active Directoryga.

Kasutajakontode esmakordsel sünkroonimisel Office 365 kataloogiga märgitakse need mitteaktiveerituks. Kontode kaudu ei saa meili saata ega vastu võtta ja need ei kasuta tellimuse litsentse. Kui olete valmis määrama Office 365 tellimuse konkreetsetele kasutajatele, peate kasutajad valima ja aktiveerima neile kehtiva litsentsi määramise kaudu.

Litsentside määramiseks võite kasutada ka PowerShelli. Automatiseeritud lahenduse kohta leiate teavet teemast PowerShelli kasutamine Office 365 kasutajatele automaatselt litsentside määramiseks.

Seotud teemad

Office 365 integreerimine kohapealsete keskkondadega
Office 365 kataloogisünkroonimisega seotud probleemide lahendamine

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liituge Office Insideri programmiga

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×