Przygotowywanie do zapewniania obsługi użytkowników za pomocą funkcji synchronizacji katalogów z usługą Office 365

Zapewnienie obsługi użytkowników za pomocą funkcji synchronizacji katalogów wymaga więcej planowania i przygotowań niż proste zarządzanie kontem służbowym bezpośrednio w usłudze Office 365. Te dodatkowe zadania planowania i przygotowywania są wymagane w celu zapewnienia poprawnej synchronizacji lokalnej usługi Active Directory z usługą Azure Active Directory. Do dodatkowych korzyści dla Twojej organizacji należą:

  • Zmniejszenie liczby programów administracyjnych w organizacji

  • Opcjonalne umożliwienie realizacji scenariuszy z logowaniem jednokrotnym

  • Automatyzacja zmian kont w usłudze Office 365

Aby uzyskać więcej informacji na temat zalet korzystania z synchronizacji katalogów, zobacz Plan synchronizowania katalogu i Opis tożsamości w usłudze Office 365 i usługi Azure Active Directory.

Aby określić, który scenariusz jest najlepszy dla Twojej organizacji, zapoznaj się z porównaniem narzędzi integracji katalogów.

Zadania oczyszczania katalogu

Przed rozpoczęciem synchronizowania katalogu należy go oczyścić.

Zapoznaj się również z atrybutami synchronizowanymi z usługą Azure Active Directory za pomocą programu Azure AD Connect.

Ostrzeżenie : Pominięcie oczyszczania katalogu przed synchronizacją może mieć znaczący negatywny wpływ na proces wdrażania. Cykl synchronizacji katalogów, identyfikowania błędów i ponownej synchronizacji może zająć kilka dni lub nawet kilka tygodni.

W katalogu lokalnym wykonaj następujące zadania oczyszczania:

  • Upewnij się, że każdy użytkownik, któremu zostaną przypisane produkty z oferty usługi Office 365, ma prawidłowy i unikatowy adres e-mail w atrybucie proxyAddresses.

  • Usuń wszelkie zduplikowane wartości atrybutu proxyAddresses.

  • Jeśli to możliwe, upewnij się, że każdy użytkownik, któremu zostaną przypisane produkty z oferty usługi Office 365, ma prawidłową i unikatową wartość atrybutu userPrincipalName w swoim obiekcie user. Aby uzyskać najlepsze efekty synchronizacji, lokalna nazwa UPN w usłudze Active Directory musi być zgodna z nazwą UPN w chmurze. Jeśli atrybut userPrincipalName użytkownika nie ma wartości, to obiekt user musi zawierać prawidłową i unikatową wartość atrybutu sAMAccountName. Usuń wszelkie zduplikowane wartości atrybutu userPrincipalName.

  • W celu optymalnego wykorzystania możliwości globalnej listy adresowej upewnij się, że informacje w następujących atrybutach są poprawne:

    • givenName (imię)

    • surname (nazwisko)

    • displayName (nazwa wyświetlana)

    • Stanowisko

    • Dział

    • Biuro

    • Tel. w biurze

    • Telefon komórkowy

    • Numer faksu

    • Ulica

    • Miasto

    • Województwo

    • Kod pocztowy

    • Kraj lub region

Przygotowywanie atrybutów i obiektów katalogu

Pomyślna synchronizacja katalogów między katalogiem lokalnym a usługą Office 365 wymaga odpowiedniego przygotowania atrybutów katalogu lokalnego. Należy się na przykład upewnić, że w pewnych atrybutach synchronizowanych ze środowiskiem usługi Office 365 nie są używane określone znaki. Nieoczekiwane znaki nie spowodują niepowodzenia synchronizacji katalogów, ale mogą spowodować zwrócenie ostrzeżenia. Nieprawidłowe znaki spowodują niepowodzenie synchronizacji katalogów.

Synchronizacja katalogów również zakończy się niepowodzeniem, jeśli niektórzy użytkownicy usługi Active Directory mają co najmniej jeden zduplikowany atrybut. Każdy użytkownik musi mieć unikatowe atrybuty.

Oto atrybuty, które należy przygotować:

UWAGA: Możesz też skorzystać z narzędzia IdFix, aby znacznie ułatwić ten proces.

  • displayName

    • Jeśli ten atrybut istnieje w obiekcie użytkownika, zostanie zsynchronizowany z usługą Office 365.

    • Jeśli ten atrybut istnieje w obiekcie użytkownika, musi mieć wartość. Oznacza to, że ten atrybut nie może być pusty.

    • Maksymalna liczba znaków: 255

  • givenName

    • Jeśli ten atrybut istnieje w obiekcie użytkownika, zostanie zsynchronizowany z usługą Office 365, ale usługa Office 365 go nie wymaga ani nie używa.

    • Maksymalna liczba znaków: 63

  • mail

    • Wartość atrybutu musi być unikatowa w katalogu.

      Uwaga : Jeśli istnieją wartości zduplikowane, zsynchronizowany zostanie pierwszy użytkownik, dla którego występuje dana wartość. Kolejni użytkownicy nie pojawią się w usłudze Office 365. Należy zmodyfikować albo wartość w usłudze Office 365, albo obie wartości w katalogu lokalnym, aby obaj użytkownicy pojawili się w usłudze Office 365.

  • mailNickname (alias programu Exchange)

    • Wartość atrybutu nie może rozpoczynać się kropką (.).

    • Wartość atrybutu musi być unikatowa w katalogu.

  • proxyAddresses

    • Atrybut wielowartościowy

    • Maksymalna liczba znaków wartości: 256

    • Wartość atrybutu nie może zawierać spacji.

    • Wartość atrybutu musi być unikatowa w katalogu.

    • Nieprawidłowe znaki: < > ( ) ; , [ ] “

      Informacja o nieprawidłowych znakach dotyczy znaków występujących po ograniczniku typu i znaku „:”, a więc ciąg SMTP:użytkownik@contoso.com jest dozwolony, ale ciąg SMTP:użytkownik:M@contoso.com — nie jest.

      Ważne : Wszystkie adresy SMTP (Simple Mail Transport Protocol) powinny być zgodne ze standardami wiadomości e-mail. Jeśli istnieją zduplikowane lub niechciane adresy, zobacz temat Pomocy Usuwanie zduplikowanych i niechcianych adresów serwerów proxy w programie Exchange.

  • sAMAccountName

    • Maksymalna liczba znaków: 20

    • Wartość atrybutu musi być unikatowa w katalogu.

    • Nieprawidłowe znaki: [ \ “ | , / : < > + = ; ? * ]

    • Jeśli użytkownik ma nieprawidłowy atrybut sAMAccountName i prawidłowy atrybut userPrincipalName, konto tego użytkownika w usłudze Office 365 zostanie utworzone.

    • Jeśli oba atrybuty sAMAccountName i userPrincipalName są nieprawidłowe, należy zaktualizować atrybut userPrincipalName w lokalnej usłudze Active Directory.

  • sn (surname)

    • Jeśli ten atrybut istnieje w obiekcie użytkownika, zostanie zsynchronizowany z usługą Office 365, ale usługa Office 365 go nie wymaga ani nie używa.

  • targetAddress

    Wymagane jest, aby atrybut targetAddress (na przykład: SMTP:tomasz@contoso.com), który jest wypełniony dla danego użytkownika, występował na globalnej liście adresowej usługi Office 365. W scenariuszach z migracją z systemów obsługi wiadomości innych producentów wymagałoby to rozszerzenia schematu usługi Office 365 dla katalogu lokalnego. Rozszerzenie schematu usługi Office 365 spowodowałoby też dodanie innych przydatnych atrybutów do zarządzania obiektami usługi Office 365, które są wypełniane za pomocą narzędzia do synchronizacji katalogów z katalogu lokalnego. Na przykład dodany zostałby atrybut msExchHideFromAddressLists do zarządzania ukrytymi skrzynkami pocztowymi lub grupami dystrybucyjnymi.

    • Maksymalna liczba znaków: 255

    • Wartość atrybutu nie może zawierać spacji.

    • Wartość atrybutu musi być unikatowa w katalogu.

    • Nieprawidłowe znaki: \ < > ( ) ; , [ ] “

      Wszystkie adresy SMTP (Simple Mail Transport Protocol) powinny być zgodne ze standardami wiadomości e-mail.

  • userPrincipalName

    • Atrybut userPrincipalName musi mieć format logowania typu internetowego, czyli po nazwie użytkownika musi występować znak „@” i nazwa domeny. Na przykład osoba@contoso.com.

      Wszystkie adresy SMTP (Simple Mail Transport Protocol) powinny być zgodne ze standardami wiadomości e-mail.

    • Maksymalna liczba znaków dla atrybutu userPrincipalName wynosi 113. Przed znakiem „@” i po nim są dozwolone określone liczby znaków:

      • Maksymalna liczba znaków w nazwie użytkownika przed znakiem „@”: 64

      • Maksymalna liczba znaków w nazwie domeny po znaku „@”: 48

    • Nieprawidłowe znaki: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      Umlaut jest również nieprawidłowym znakiem.

    • Każda wartość atrybutu userPrincipalName musi zawierać znak „@”.

    • Żadna wartość atrybutu userPrincipalName nie może rozpoczynać się od znaku „@”.

    • Nazwa użytkownika nie może kończyć się kropką (.), znakiem handlowe „i” (&) ani znakiem „@”.

    • Nazwa użytkownika nie może zawierać spacji.

    • Należy używać domen rutowalnych. Nie można na przykład używać domen lokalnych ani wewnętrznych.

    • Znaki Unicode są konwertowane na znaki podkreślenia.

    • Atrybut userPrincipalName nie może zawierać zduplikowanych wartości w katalogu.

Przygotowywanie atrybutu userPrincipalName

Usługa Active Directory umożliwia użytkownikom końcowym w organizacji logowanie się w katalogu przy użyciu danych z atrybutu sAMAccountName lub atrybutu userPrincipalName. W podobny sposób użytkownicy końcowi mogą logować się w usłudze Office 365 przy użyciu głównych nazw użytkowników swoich kont służbowych. W trakcie synchronizacji katalogów podejmowana jest próba utworzenia nowych użytkowników w usłudze Azure Active Directory za pomocą tych samych głównych nazw użytkowników, które są używane w katalogu lokalnym. Główna nazwa użytkownika jest sformatowana jak adres e-mail. W usłudze Office 365 główna nazwa użytkownika jest domyślnym atrybutem używanym do wygenerowania adresu e-mail. Łatwo może powstać sytuacja, w której atrybut userPrincipalName (we wdrożeniu lokalnym i w usłudze Azure Active Directory) i podstawowy adres e-mail w atrybucie proxyAddresses mają ustawione różne wartości. Ustawienie dla nich różnych wartości może powodować niejasności u administratorów i użytkowników końcowych.

Najlepiej jest zachować zgodność tych atrybutów w celu uniknięcia nieporozumień. W celu spełnienia wymagań logowania jednokrotnego obsługiwanego przez Usługi federacyjne Active Directory (AD FS) 2.0 należy się upewnić, że główne nazwy użytkowników w usłudze Azure Active Directory oraz w lokalnej usłudze Active Directory są zgodne i odwołują się do prawidłowej przestrzeni nazw domen.

Dodawanie alternatywnego sufiksu głównej nazwy użytkownika w usługach domenowych AD

W celu skojarzenia firmowych poświadczeń użytkownika ze środowiskiem usługi Office 365 może być konieczne dodanie alternatywnego sufiksu głównej nazwy użytkownika. Alternatywny sufiks głównej nazwy użytkownika jest częścią głównej nazwy użytkownika znajdującą się po prawej stronie znaku „@”. Główne nazwy użytkowników używane do logowania jednokrotnego mogą zawierać litery, liczby, kropki, kreski i podkreślenia, ale żadnych znaków innych typów.

Aby uzyskać więcej informacji na temat dodawania sufiksu głównej nazwy użytkownika do usługi Active Directory, zobacz Przygotowanie do synchronizacji katalogów.

Dopasowywanie lokalnej głównej nazwy użytkownika do głównej nazwy użytkownika w usłudze Office 365

Jeśli została już skonfigurowana synchronizacja katalogów, główna nazwa użytkownika w usłudze Office 365 może być niezgodna z lokalną główną nazwą użytkownika zdefiniowaną w lokalnej usłudze katalogowej. Może się tak zdarzyć, gdy użytkownikowi przypisano licencję przed zweryfikowaniem domeny. Aby rozwiązać ten problem, za pomocą programu PowerShell napraw zduplikowane główne nazwy użytkowników w celu zaktualizowania głównej nazwy użytkownika, aby zapewnić zgodność tej nazwy w usłudze Office 365 z firmową nazwą użytkownika i domeną. Jeśli aktualizujesz główną nazwę użytkownika w lokalnej usłudze katalogowej i chcesz zsynchronizować ją z tożsamością w usłudze Azure Active Directory, przed wprowadzeniem zmian lokalnych musisz usunąć licencję użytkownika w usłudze Office 365.

Zobacz też Jak przygotować domenę nierutowalną (taką jak domena .local) do synchronizacji katalogów.

Narzędzia integracji katalogu

Synchronizacja katalogów to synchronizacja obiektów katalogu (użytkowników, grup i kontaktów) pochodzących z lokalnego środowiska usługi Active Directory z infrastrukturą katalogu usługi Office 365, usługą Azure Active Directory. Aby zapoznać się z listą dostępnych narzędzi oraz ich funkcjami, zobacz Narzędzia integracji katalogów. Narzędziem zalecanym jest program Microsoft Azure Active Directory Connect. Aby uzyskać więcej informacji na temat programu Azure Active Directory Connect, zobacz Integrowanie tożsamości lokalnych z usługą Azure Active Directory.

Podczas pierwszej synchronizacji kont użytkowników z katalogiem usługi Office 365 są one oznaczane jako nieaktywowane. Nie można za ich pomocą wysyłać ani odbierać wiadomości e-mail, ani też korzystać z licencji w ramach subskrypcji. Aby przypisać subskrypcje usługi Office 365 określonym użytkownikom, musisz ich wybrać i aktywować, przypisując im prawidłowe licencje.

Licencje możesz też przypisać za pomocą programu PowerShell. Aby uzyskać zautomatyzowane rozwiązanie, zobacz Jak automatycznie przypisywać licencje użytkownikom usługi Office 365 za pomocą programu PowerShell.

Tematy pokrewne

Integracja usługi Office 365 ze środowiskami lokalnymi
Rozwiązywanie problemów dotyczących synchronizacji katalogów w usłudze Office 365

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów pakietu Office

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×