Käyttäjien Office 365 -käytön valmistelu hakemistosynkronoinnin avulla

Käyttäjien valmistelu hakemistosynkronoinnin avulla vaatii enemmän suunnittelu- ja valmistelutyötä kuin pelkkä työpaikan tai oppilaitoksen tilin hallinnointi suoraan Office 365:ssä. Vaadittavilla suunnittelu- ja valmistelutöillä varmistetaan, että paikallinen Active Directory synkronoituu oikein Azure Active Directoryn kanssa. Organisaation saamat lisäedut ovat seuraavat:

  • organisaation hallinnollisten ohjelmien väheneminen

  • kertakirjautumisen käyttöönottomahdollisuus

  • tilimuutosten automatisointi Office 365:ssä.

Lisätietoja hakemistosynkronoinnin käytön eduista on artikkeleissa Hakemistosynkronoinnin ohjeet ja Tietoja Office 365 -käyttäjätiedoista ja Azure Active Directorysta.

Voit määrittää omalle organisaatiollesi sopivimman skenaarion tutustumalla hakemistointegroinnin työkalujen vertailuun.

Hakemiston siivoaminen

Ennen kuin aloitat hakemiston synkronoinnin, hakemisto on siivottava.

Tutustu myös Azure AD Connectin Azure Active Directoryyn synkronoimiin määritteisiin.

Varoitus: Jos hakemistoa ei siivota ennen synkronointia, sillä voi olla merkittävä negatiivinen vaikutus käyttöönottoprosessiin. Hakemistosynkronointisyklin läpikäyntiin, virheiden tunnistamiseen ja uudelleensynkronointiin voi kulua päiviä – jopa viikkoja.

Siivoa paikallista hakemistoa seuraavasti:

  • Varmista, että kullekin käyttäjälle, jolle määritetään Office 365 -palveluja, on proxyAddresses-määritteeseen tallennettuna voimassa oleva yksilöllinen sähköpostiosoite.

  • Poista proxyAddresses-määritteestä mahdolliset arvojen kaksoiskappaleet.

  • Varmista mahdollisuuksien mukaan, että kullakin käyttäjällä, jolle määritetään Office 365 -palveluja, on voimassa oleva ja yksilöllinen userPrincipalName -määritteen arvo tallennettuna käyttäjän user-objektiin. Paras mahdollinen synkronointitulos saadaan varmistamalla, että paikallinen täydellinen Active Directory -käyttäjätunnus vastaa pilvipalvelun täydellistä käyttäjätunnusta. Jos käyttäjällä ei ole userPrincipalName-määritteen arvoa, user-objektissa on oltava voimassa oleva ja yksilöllinen sAMAccountName-määritteen arvo. Poista userPrincipalName-määritteestä arvojen mahdolliset kaksoiskappaleet.

  • Yleisen osoiteluettelon optimaalisen käytön varmistamiseksi varmista, että seuraavien määritteiden tiedot ovat oikein:

    • etunimi

    • sukunimi

    • näyttönimi

    • tehtävänimike

    • osasto

    • toimisto

    • toimiston puhelinnumero

    • matkapuhelin

    • faksinumero

    • katuosoite

    • kaupunki

    • osavaltio tai provinssi

    • postinumero

    • maa tai alue.

Hakemiston objektien ja määritteiden valmistelu

Jotta hakemistosynkronointi paikallisen hakemiston ja Office 365:n välillä onnistuu, paikallisen hakemiston määritteet on valmisteltava asianmukaisesti. Sinun on esimerkiksi varmistettava, että tietyissä Office 365 -ympäristön kanssa synkronoitavissa määritteissä ei ole käytetty tiettyjä merkkejä. Odottamattomat merkit eivät johda hakemistosynkronoinnin epäonnistumiseen, mutta ne voivat aiheuttaa varoituksen. Jos määritteissä on käytetty virheellisiä merkkejä, hakemistosynkronointi epäonnistuu.

Hakemistosynkronointi epäonnistuu myös, jos joillain Active Directory -käyttäjillä on yksi tai useampia määritteiden kaksoiskappaleita. Kunkin käyttäjän määritteiden on oltava yksilöllisiä.

Tässä on luettelo valmisteltavista määritteistä:

HUOM. Voit myös käyttää prosessia huomattavasti helpottavaa IdFix-työkalua.

  • displayName

    • Jos määrite on käyttäjäobjektissa, se synkronoidaan Office 365:n kanssa.

    • Jos määrite on käyttäjäobjektissa, sille on oltava arvo. Toisin sanoen määrite ei voi olla tyhjä.

    • Merkkien enimmäismäärä: 255

  • givenName

    • Jos määrite on käyttäjäobjektissa, se synkronoidaan Office 365:n kanssa, mutta Office 365 ei vaadi tai käytä sitä.

    • Merkkien enimmäismäärä: 63

  • mail

    • Hakemistossa määritteen on oltava yksilöllinen.

      Huomautus: Jos arvoista on kaksoiskappaleita, ensimmäinen kyseisen arvon käyttäjä synkronoidaan. Myöhemmin esiintyvät käyttäjät eivät tule näkyviin Office 365:een. Sinun on joko muokattava Office 365:ssä olevaa arvoa tai molempia paikallisessa hakemistossa olevia arvoja, jotta kummatkin käyttäjät saadaan näkyviin Office 365:een.

  • mailNickname (Exchange-alias)

    • Määritteen arvo ei voi alkaa pisteellä (.).

    • Hakemistossa määritteen on oltava yksilöllinen.

  • proxyAddresses

    • Useita arvoja sisältävä määrite

    • Arvokohtainen merkkien enimmäismäärä: 256

    • Määritteen arvossa ei saa olla välilyöntiä.

    • Hakemistossa määritteen on oltava yksilöllinen.

    • Virheelliset merkit: < > ( ) ; : , [ ] “

      Tärkeää: Kaikkien SMTP (Simple Mail Transport Protocol) -osoitteiden on oltava sähköpostistandardien mukaisia. Jos käytössä on osoitteiden kaksoiskappaleita tai muuten ei-toivottuja osoitteita, tutustu ohjeaiheeseen Päällekkäisten ja ei-toivottujen välityspalvelinosoitteiden poistaminen Exchangessa.

  • sAMAccountName

    • Merkkien enimmäismäärä: 20

    • Hakemistossa määritteen on oltava yksilöllinen.

    • Virheelliset merkit: [ \ “ | , / : < > + = ; ? * ]

    • Jos käyttäjällä on virheellinen sAMAccountName-määrite mutta kelvollinen userPrincipalName-määrite, käyttäjätili luodaan Office 365:een.

    • Jos sekä sAMAccountName että userPrincipalName ovat virheellisiä, paikallista Active Directoryn userPrincipalName-määritettä on päivitettävä.

  • sn (sukunimi)

    • Jos määrite on käyttäjäobjektissa, se synkronoidaan Office 365:n kanssa, mutta Office 365 ei vaadi tai käytä sitä.

  • targetAddress

    Käyttäjän tietoihin täyttyvän targetAddress-määritteen (esimerkiksi SMTP:jaakko@contoso.com) on oltava Office 365:n yleisessä osoiteluettelossa. Kolmannen osapuolen viestiliikennettä siirrettäessä tarvitaan Office 365 -rakennelaajennusta paikallista hakemistoa varten. Office 365 -rakennelaajennuksen avulla voidaan lisätä myös muita hyödyllisiä Office 365 -objektien hallinnassa käytettäviä määritteitä, joihin saadaan tiedot hakemistosynkronointityökalulla paikallisesta hakemistosta. Laajennuksella lisätään esimerkiksi piilotettujen postilaatikoiden ja jakeluryhmien hallinnassa käytettävä msExchHideFromAddressLists-määrite.

    • Merkkien enimmäismäärä: 255

    • Määritteen arvossa ei saa olla välilyöntiä.

    • Hakemistossa määritteen on oltava yksilöllinen.

    • Virheelliset merkit: \ < > ( ) ; : , [ ] “

      Kaikkien SMTP (Simple Mail Transport Protocol) -osoitteiden on oltava sähköpostistandardien mukaisia.

  • userPrincipalName

    • userPrincipalName-määritteen on oltava Internet-käytön mukaisessa kirjautumismuodossa niin, että käyttäjänimen perässä on ät-merkki (@) ja toimialuenimi, esimerkiksi käyttäjä@contoso.com.

      Kaikkien SMTP (Simple Mail Transport Protocol) -osoitteiden on oltava sähköpostistandardien mukaisia.

    • userPrincipalName-määritteessä merkkien enimmäismäärä on 113. Sallitut ät-merkkiä (@) ennen ja sen jälkeen olevat merkkimäärät ovat seuraavat:

      • ät-merkin (@) edessä olevan käyttäjänimen enimmäismerkkimäärä: 64

      • ät-merkin (@) perässä olevan toimialuenimen enimmäismerkkimäärä: 48.

    • Virheelliset merkit: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      myös umlaut on virheellinen merkki.

    • Kussakin userPrincipalName-arvossa on oltava @-merkki.

    • Missään userPrincipalName-arvossa @-merkki ei voi olla ensimmäisenä merkkinä.

    • Käyttäjänimi ei voi loppua pisteeseen (.), et-merkkiin (&), välilyöntiin tai ät-merkkiin (@).

    • Käyttäjänimessä ei voi olla välilyöntejä.

    • Käytössä on oltava reititettävät toimialueet. Esimerkiksi paikallisia tai sisäisiä toimialueita ei voi käyttää.

    • Unicode-merkit muunnetaan alaviivoiksi.

    • userPrincipalName ei voi sisältää arvojen kaksoiskappaleita hakemistossa.

userPrincipalName-määritteen valmisteleminen

Active Directory on suunniteltu niin, että organisaation käyttäjät voivat kirjautua hakemistoon käyttämällä joko sAMAccountName- tai userPrincipalName-määritettä. Samoin käyttäjät voivat kirjautua Office 365:een käyttämällä työpaikan tai oppilaitoksen tilinsä täydellistä käyttäjätunnusta. Hakemistosynkronointi yrittää luoda uusia käyttäjiä Azure Active Directoryssa käyttämällä samaa, paikallisessa hakemistossa olevaa täydellistä käyttäjätunnusta. Täydellinen käyttäjätunnus on muotoilultaan sähköpostiosoitteen kaltainen. Office 365:ssä täydellinen käyttäjätunnus on sähköpostiosoitteen muodostamisessa käytetty oletusmäärite. Erilaisiin arvoihin määritetyt (paikallinen ja Azure Active Directoryn) userPrincipalName sekä proxyAddresses-määritteessä oleva ensisijainen sähköpostiosoite ovat helposti käytettävissä. Erilaisiin arvoihin määritettyinä ne voivat aiheuttaa sekaannusta järjestelmänvalvojille ja käyttäjille.

Sekaannusten välttämiseksi määritteet kannattaa pitää yhtenäisinä kautta linjan. Jotta kertakirjautumista koskevat vaatimukset ovat Active Directory Federation Services (AD FS) 2.0:n mukaiset, varmista, että Azure Active Directoryn sekä paikallisen Active Directoryn täydelliset käyttäjätunnukset vastaavat toisiaan ja että niissä on asianmukainen toimialueen nimitila käytössä.

Vaihtoehtoisen täydellisen käyttäjätunnuksen jälkiliitteen lisääminen AD DS -palveluun

Jotta voit liittää käyttäjän yritystunnistetiedot Office 365 -ympäristöön, voit joutua lisäämään käyttöön vaihtoehtoisen täydellisen käyttäjätunnuksen jälkiliitteen. Täydellisen käyttäjätunnuksen jälkiliite on täydellisessä käyttäjätunnuksessa @-merkin oikealla puolella oleva osa. Kertakirjautumisessa käytettävissä täydellisissä käyttäjätunnuksissa voi olla kirjaimia, numeroita, pisteitä, ajatusviivoja ja alaviivoja. Niissä ei kuitenkaan saa olla muun tyyppisiä merkkejä.

Lisätietoja vaihtoehtoisen täydellisen käyttäjätunnuksen jälkiliitteen lisäämisestä Active Directoryyn on artikkelissa Hakemistosynkronoinnin valmisteleminen.

Paikallisen täydellisen käyttäjätunnuksen ja Office 365:n täydellisen käyttäjätunnuksen vastaavuuden varmistaminen

Jos olet jo määrittänyt hakemistosynkronoinnin, käyttäjän Office 365:ssä oleva täydellinen käyttäjätunnus ei välttämättä vastaa paikallisessa hakemistopalvelussa määritettyä paikallista tunnusta. Näin voi tapahtua silloin, kun käyttäjälle on määritetty käyttöoikeudet ennen toimialueen vahvistamista. Korjaa tilanne käyttämällä PowerShelliä päällekkäisten täydellisten käyttäjätunnusten korjaamiseksi. Näin voit päivittää käyttäjän täydellisen käyttäjätunnuksen ja varmistaa, että Office 365:n täydellinen käyttäjätunnus on yhdenmukainen yrityskäyttäjänimen ja -toimialueen kanssa. Jos päivität täydellisen käyttäjätunnuksen paikallisessa hakemistopalvelussa ja haluat sen synkronoituvan Azure Active Directory -tietojen kanssa, sinun on poistettava käyttäjän käyttöoikeudet Office 365:ssä ennen paikallisten muutosten tekemistä.

Katso myös artikkeli Ei-reititettävän toimialueen (kuten paikallinen toimialue) valmisteleminen hakemistosynkronointia varten.

Hakemistointegrointityökalut

Hakemistosynkronoinnilla tarkoitetaan hakemisto-objektien (käyttäjien, ryhmien ja yhteystietojen) synkronointia paikallisesta Active Directory -ympäristöstä Office 365 -hakemistoinfrastruktuuriin (Azure Active Directory). Voit tutustua käytettävissä olevien työkalujen luetteloon ja niiden ominaisuuksiin artikkelissa Hakemistointegrointityökalut. Suositeltava työkalu on Microsoft Azure Active Directory Connect. Saat lisätietoja Azure Active Directory Connectista artikkelista Paikallisten tunnistetietojen integrointi Azure Active Directoryn avulla.

Kun käyttäjätilit on synkronoitu Office 365 -hakemiston kanssa ensimmäisen kerran, ne on merkitty ei-aktivoiduiksi. Niillä ei voi lähettää tai vastaanottaa sähköpostia, ja niitä ei lasketa tilauskäyttöoikeuksiksi. Kun olet valmis määrittämään Office 365 -tilaukset tietyille käyttäjille, sinun on valittava ja aktivoitava kyseiset käyttäjät määrittämällä heille voimassa olevat käyttöoikeudet.

Voit käyttää käyttöoikeuksien määrittämisessä myös PowerShelliä. Lisätietoja automatisoidusta ratkaisusta on artikkelissa PowerShellin käyttäminen Office 365 -käyttäjien käyttöoikeuksien automaattisessa määrittämisessä.

Aiheeseen liittyvät artikkelit

Office 365:n integrointi paikallisten ympäristöjen kanssa
Office 365:n hakemistosynkronoinnin ongelmien vianmääritys

Kehitä taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Office Insider -käyttäjiin

Oliko näistä tiedoista hyötyä?

Kiitos palautteesta!

Kiitos palautteestasi! Näyttää siltä, että Office-tukiedustajamme avusta voi olla sinulle hyötyä.

×