Priprema za dodjelu resursa korisnicima pomoću sinkronizacije direktorija u sustavu Office 365

Dodjeljivanje sinkronizacije direktorija korisnicima zahtijeva više planiranja i pripreme od jednostavnog upravljanja značajkom račun tvrtke ili škole u sustavu Office 365. Dodatno planiranje i priprema potrebni su zato da bi se lokalni Active Directory ispravno sinkronizirao na Azure Active Directory. Dodatne prednosti za vašu tvrtku ili ustanovu obuhvaćaju:

  • smanjivanje administrativnih programa u tvrtki ili ustanovi

  • po želji, omogućivanjem scenarija jedinstvene prijave

  • Automatske promjene računa u sustavu Office 365

Dodatne informacije o prednostima korištenja sinkronizacije direktorija potražite u članku Vodič za sinkronizaciju direktorija i Identitet sustava Office 365 i Azure Active Directory.

Da biste utvrdili koji je najbolji scenarij za vašu tvrtku ili ustanovu, pogledajte usporedbu alata za integraciju direktorija.

Zadaci čišćenja direktorija

Prije nego što počnete sa sinkronizacijom direktorija, morate ga očistiti.

Pregledajte i atribute koje je s imeničkim direktorijem Azure Active Directory sinkronizirao Azure AD Connect.

Upozorenje : Ako ne provedete čišćenje direktorija prije sinkronizacije, moglo bi doći do negativnih učinaka na postupak implementacije. Prolaženje kroz ciklus sinkronizacije direktorija, pronalaženja pogrešaka i ponovne sinkronizacije moglo bi potrajati danima, čak tjednima.

Zato na svojem lokalnom direktoriju provedite sljedeće zadatke čišćenja:

  • Provjerite ima li svaki korisnik kojemu će biti dodijeljena ponuda servisa Office 365 valjanu i jedinstvenu adresu e-pošte u atributu proxyAddresses.

  • Uklonite sve dvostruke vrijednosti iz atributa proxyAddresses.

  • Ako je to moguće, pobrinite se da svaki korisnik kojemu će biti dodijeljena ponuda servisa Office 365 ima valjanu i jedinstvenu vrijednost atributauserPrincipalName u korisnikovu objektu user. Radi najboljih performansi sinkronizacije, provjerite podudara li se UPN lokalnog servisa Active Directory s UPN-om oblaka. Ako korisnik nema vrijednost za atribut userPrincipalName, tada objekt user mora sadržavati valjanu i jedinstvenu vrijednost za atribut sAMAccountName. Uklonite sve dvostruke vrijednosti iz atributa userPrincipalName.

  • Radi optimalnog korištenja popisa globalnih adresa (GAL) provjerite jesu li točni podaci u sljedećim atributima:

    • givenName

    • prezime

    • DisplayName

    • Poslovna titula

    • Odjel

    • Ured

    • Telefon u uredu

    • Mobilni telefon

    • Broj faksa

    • kućnu adresu

    • Grad

    • Država ili županija

    • Poštanski broj

    • Država ili regija

Priprema objekta i atributa direktorija

Uspješna sinkronizacija direktorija između vašeg lokalnog direktorija i sustava Office 365 zahtijeva odgovarajuću pripremu atributa vašeg lokalnog direktorija. Primjerice, morate se pobrinuti da se ne koriste određeni znakovi u određenim atributima koji se sinkroniziraju s okruženjem sustava Office 365. Neočekivani znakovi ne uzrokuju neuspjeh sinkronizacije direktorija, ali bi vam se zbog njih moglo prikazati upozorenje. Znakovi koji nisu valjani uzrokovat će neuspjeh u sinkronizaciji direktorija.

Sinkronizacija direktorija neće uspjeti ako neki korisnici servisa Active Directory imaju duplicirane atribute. Svaki korisnik mora imati jedinstvene atribute.

Atribute koje morate pripremiti navedeni su ovdje:

Napomena: možete se poslužiti i alatom IdFix da biste uvelike olakšali taj proces.

  • displayName

    • Ako atribut postoji u korisničkom objektu, bit će sinkroniziran sa sustavom Office 365.

    • Ako taj atribut postoji u korisničkom objektu, za njega mora postojati vrijednost. Drugim riječima, atribut ne smije biti prazan.

    • Najveći broj znakova: 255

  • givenName

    • Ako atribut postoji u korisničkom objektu, bit će sinkroniziran sa sustavom Office 365, ali Office 365 ne zahtijeva njegovo korištenje.

    • Najveći broj znakova: 63

  • mail

    • Vrijednost atributa mora biti jedinstvena u direktoriju.

      Napomena : Ako postoje dvostruke vrijednosti, sinkronizirat će se prvi korisnik s vrijednošću. Daljnji korisnici neće se prikazivati u sustavu Office 365. Morate izmijeniti vrijednost u sustavu Office 365 ili promijeniti obje vrijednosti u lokalnom direktoriju da bi se oba korisnika prikazala u sustavu Office 365.

  • mailNickname (pseudonim za Exchange)

    • Vrijednost atributa ne smije početi točkom (.).

    • Vrijednost atributa mora biti jedinstvena u direktoriju.

  • proxyAddresses

    • Atribut s više vrijednosti

    • Najveći broj znakova po vrijednosti: 256

    • Vrijednost atributa ne smije sadržavati razmak.

    • Vrijednost atributa mora biti jedinstvena u direktoriju.

    • Znakovi koji nisu valjani: < > ( ) ; : , [ ] “

      Važno : Sve adrese protokola SMTP moraju biti usklađene sa standardima razmjene poruka e-poštom. Ako postoje dvostruke ili neželjene adrese, pogledajte temu pomoći Uklanjanje dvostrukih i neželjenih proxy adresa u sustavu Exchange.

  • sAMAccountName

    • Najveći broj znakova: 20

    • Vrijednost atributa mora biti jedinstvena u direktoriju.

    • Znakovi koji nisu valjani: [ \ “ | , / : < > + = ; ? * ]

    • Ako korisnik ima atribut sAMAccountName koji nije valjan, ali ima valjan atribut userPrincipalName, korisnički račun se stvara u sustavu Office 365.

    • Ako nisu valjani ni sAMAccountName ni userPrincipalName, mora se ažurirati lokalni atribut Active DirectoryuserPrincipalName.

  • sn (prezime)

    • Ako atribut postoji u korisničkom objektu, bit će sinkroniziran sa sustavom Office 365, ali Office 365 ne zahtijeva njegovo korištenje.

  • targetAddress

    Obvezno je da se atribut targetAddress (primjerice, SMTP:tom@contoso.com) koji je popunjen za korisnika pojavi u Office 365 GAL. U scenarijima migracije razmjene poruka treće strane, za ovo je potrebna ekstenzija sheme sustava Office 365 za lokalni direktorij. Ekstenzija sheme sustava Office 365 ujedno dodaje još neke korisne atribute za upravljanje objektima sustava Office 365 koji su popunjeni alatom za sinkronizaciju direktorija iz lokalnog direktorija. Primjerice, dodao bi se atribut msExchHideFromAddressLists za upravljanje skrivenih poštanskih sandučića ili grupa za raspodjelu.

    • Najveći broj znakova: 255

    • Vrijednost atributa ne smije sadržavati razmak.

    • Vrijednost atributa mora biti jedinstvena u direktoriju.

    • Znakovi koji nisu valjani: \ < > ( ) ; : , [ ] “

      Sve adrese protokola SMTP moraju biti usklađene sa standardima razmjene poruka e-poštom.

  • userPrincipalName

    • Atribut userPrincipalName mora biti u obliku internetske prijave, gdje nakon korisničkog imena slijedi znak (@) i naziv domene, primjerice korisnik@contoso.com.

      Sve adrese protokola SMTP moraju biti usklađene sa standardima razmjene poruka e-poštom.

    • Najveći broj znakova za atribut userPrincipalName jest 113. Dopušten je određeni broj znakova prije i nakon znaka (@), kako slijedi:

      • Najveći broj znakova za korisničko ime ispred znaka (@): 64

      • Najveći broj znakova za korisničko ime nakon znaka (@): 48

    • Znakovi koji nisu valjani: \ % & * + / = ? { } | < > ( ) ; : , [ ] “

      prijeglas je također nevaljan znak.

    • Znak @ obvezan je u svakoj vrijednosti userPrincipalName.

    • Znak @ ne smije biti prvi znak ni u jednoj vrijednosti userPrincipalName.

    • Korisničko ime ne smije završavati točkom (.), ampersandom (&), razmakom niti znakom (@).

    • Korisničko ime ne smije sadržavati razmake.

    • Moraju se koristiti domene koje se mogu usmjeravati, pa se zato, primjerice, ne mogu koristiti lokalne ni interne domene.

    • Unicode se pretvara u podvučene znakove.

    • userPrincipalName ne smije sadržavati dvostruke vrijednosti u direktoriju.

Priprema atributa userPrincipalName

Active Directory je osmišljen tako da krajnjih korisnicima u vašoj tvrtki ili ustanovi omogućuje prijavu u direktorij pomoću vrijednosti sAMAccountName ili userPrincipalName. Slično tome, krajnji se korisnici mogu prijaviti u Office 365 pomoću svojeg glavnog korisničkom imena (UPN) svojeg račun tvrtke ili škole. Sinkronizacijom direktorija nastoji se stvoriti nove korisnike u sustavu Azure Active Directory pomoću istoga UPN-a koji postoji u vašem lokalnom direktoriju. UPN se oblikuje kao adresa e-pošte. U sustavu Office 365, UPN je zadani atribut koji se koristi za generiranje adrese e-pošte. Lako je userPrincipalName (lokalno i u sustavu Azure Active Directory) i primarne adrese e-pošte u sustavu proxyAddresses postaviti na neke druge vrijednosti. Kada ih se postavi na neke druge vrijednosti, može doći do zbrke među administratorima i krajnjim korisnicima.

Zato je najbolje da se ti atributi poklapaju jer se tako izbjegava zbrka. Da bi se ispunili uvjeti jedinstvene prijave u sustavu Active Directory Federation Services (AD FS), morate se pobrinuti da se UPN-ovi u sustavu Azure Active Directory i na vašem lokalnom sustavu Active Directory poklapaju te da koriste valjani prostor za naziv domene.

Dodavanje zamjenskog UPN nastavka u AD DS

Možda ćete morati dodati zamjenski UPN nastavak da biste povezali korisnikove korporacijske vjerodajnice s okruženjem sustava Office 365. UPN nastavak dio je UPN-a desno od znaka @. UPN-ovi koji se koriste za jedinstvenu prijavu mogu sadržavati slova, brojke, točke, crtice i podvlake, ali nijednu drugu vrstu znaka.

Dodatne informacije o dodavanju zamjenskog nastavka UPN-a u Active Directory potražite u odjeljku Priprema sinkronizacije direktorija.

Podudaranje lokalnog UPN-a s UPN-om u sustavu Office 365

Ako ste već postavili sinkronizaciju direktorija, korisnički UPN za Office 365 možda se ne poklapa s korisničkim lokalnim UPN-om, koji je definiran u vašem lokalnom imeničkom servisu. To se može dogoditi kada je korisniku dodijeljena licenca prije potvrde domene. Da biste to ispravili, poslužite se značajkom PowerShell da biste ispravili dvostruki UPN te da biste ažurirali korisnikov UPN i da biste osigurali da se Office 365 UPN poklapa s korporacijskim korisničkim imenom i domenom. Ako ažurirate UPN u lokalnom imeničkom servisu i htjeli bi ga sinkronizirati s Azure Active Directory identitetom, morate ukloniti korisničku licencu u sustavu Office 365 prije nego što unesete lokalne promjene.

Pogledajte i članak Kako pripremiti neusmjerljivu domenu (kao što je domena .local) za sinkronizaciju direktorija.

Alati za integraciju s direktorijem

Sinkronizacija direktorija jest sinkronizacija objekata direktorija (korisnika, grupa i kontakata) iz vašeg lokalnog Active Directory okruženja s imeničkom infrastrukturom sustava Office 365, Azure Active Directory. Pogledajte Alati za integraciju s direktorijem, gdje ćete pronaći popis dostupnih alata i njihovih funkcija. Preporučeni je alat Microsoft Azure Active Directory Connect. Dodatne informacije o alatu Azure Active Directory Connect potražite u članku Integracija lokalnih identiteta sa servisom Azure Active Directory.

Kada se korisnički računi prvi put sinkroniziraju s Office 365 direktorijem, oni se označavaju kao neaktivirani. Ne mogu slati ni primati e-poštu i ne troše pretplatničke licence. Kada ste spremni na to da dodijelite Office 365 pretplatu određenim korisnicima, morate ih odabrati i aktivirati dodjelom valjane licence.

Licence možete dodijeliti i pomoću značajke PowerShell. Automatsko rješenje pronaći ćete u odjeljku Kako koristiti PowerShell za automatsku dodjelu licenca korisnicima sustava Office 365.

Povezane teme

Integracija sustava Office 365 s lokalnim okruženjima
Rješavanje problema sa sinkronizacijom direktorija u sustavu Office 365

Proširite svoje vještine
Istražite osposobljavanje

Jesu li vam ove informacije bile korisne?

Hvala vam na povratnim informacijama!

Hvala vam na povratnim informacijama! Čini se da bi vam pomoglo kad bismo vas povezali s nekim od naših agenata podrške za Office.

×