Planowanie synchronizacji katalogów dla usługi Office 365

Podsumowanie   : w tym artykule opisano synchronizację katalogów w usłudze Office 365, oczyszczanie usługi Active Directory oraz narzędzie Azure Active Directory Connect.

W zależności od potrzeb firmy i wymagań technicznych synchronizacja katalogów może być najpopularniejszą opcją obsługi dla klientów korporacyjnych, którzy przechodzą do usługi Office 365. Synchronizacja katalogów umożliwia zarządzanie tożsamościami w lokalnej infrastrukturze usługi Active Directory, a wszystkie aktualizacje tożsamości są synchronizowane z usługą Office 365.

Planując wdrożenie synchronizacji katalogów, trzeba pamiętać o kilku kwestiach, takich jak przygotowanie katalogów oraz wymagania i funkcje usługi Azure Active Directory. Przygotowanie katalogów obejmuje kilka obszarów. Należą do nich: aktualizacje atrybutów, inspekcja i planowanie położenia kontrolera domeny. Planowanie wymagań i funkcji obejmuje określanie wymaganych uprawnień, planowanie scenariuszy z obsługą wielu lasów/katalogów, planowanie dyspozycyjności i synchronizację dwukierunkową.

Modele tożsamości w usłudze Office 365

W usłudze Office 365 są używane dwa główne modele uwierzytelniania i tożsamości: uwierzytelnianie w chmurze i uwierzytelnianie federacyjne.

Uwierzytelnianie w chmurze

Tożsamość w chmurze — tworzenie użytkowników i zarządzanie nimi w centrum administracyjnym usługi Office 365 (do zarządzania użytkownikami można również używać usługi Windows PowerShell lub Azure Active Directory.)

Synchronizacja skrótów haseł z bezproblemowym logowaniem jednokrotnym — najprostszy sposób włączania uwierzytelniania dla lokalnych obiektów katalogu w usłudze Azure AD. Za pomocą funkcji synchronizacji skrótów haseł (PHS) można synchronizować lokalne obiekty kont użytkowników usługi Active Directory z usługą Office 365 i zarządzać użytkownikami lokalnymi.

Uwierzytelnianie przekazywane z bezproblemowym logowaniem jednokrotnym — zapewnia prostą weryfikację haseł dla usług uwierzytelniania usługi Azure AD przy użyciu agenta oprogramowania działającego na jednym lub wielu lokalnych serwerach w celu weryfikacji użytkowników bezpośrednio za pomocą lokalnej usługi Active Directory.

Uwierzytelnianie federacyjne

Tożsamość federacyjna z usługami Active Directory Federation Services (AD FS) — przede wszystkim dla dużych przedsiębiorstw z bardziej złożonymi wymaganiami uwierzytelniania. Lokalne obiekty katalogu są synchronizowane z usługą Office 365, a konta użytkowników są zarządzane lokalnie.

Zewnętrzni dostawcy uwierzytelniania i tożsamości – lokalne obiekty katalogu mogą być synchronizowane z usługą Office 365, a dostęp do zasobów w chmurze jest zarządzany głównie przez zewnętrznego dostawcę tożsamości (IdP).

Czyszczenie usługi Active Directory

Aby zapewnić bezproblemowe przejście do usługi Office 365 przy użyciu funkcji synchronizacji, przed rozpoczęciem wdrażania synchronizacji katalogów w usłudze Office 365 zdecydowanie zalecamy przygotowanie lasu Active Directory.

Podczas konfigurowania synchronizacji katalogów w usłudze Office 365 jedną z czynności jest pobranie i uruchomienie narzędzia IdFix. Narzędzie IdFix ułatwia oczyszczanie katalogów.

Oczyszczanie katalogów powinno koncentrować się na następujących zadaniach:

 • Usunięcie zduplikowanych atrybutów proxyAddress i userPrincipalName.

 • Zaktualizowanie pustych i nieprawidłowych atrybutów userPrincipalName za pomocą prawidłowych atrybutów userPrincipalName.

 • Usunięcie nieprawidłowych i budzących wątpliwości znaków w atrybutach givenName, nazwisko (sn), sAMAccountName, displayName, mail, proxyAddresses, mailNickname i userPrincipalName. Aby uzyskać szczegółowe informacje na temat przygotowywania atrybutów, zobacz Lista atrybutów synchronizowanych przez narzędzie Azure Active Directory Sync.

  Uwaga: Są to te same atrybuty, które synchronizuje funkcja Azure AD Connect.

Zagadnienia dotyczące wdrożenia z obsługą wielu lasów

W przypadku korzystania z wielu lasów i opcji logowania jednokrotnego zobacz Niestandardowa instalacja programu Azure AD Connect.

Jeśli Twoja organizacja ma wiele lasów uwierzytelniania (lasów logowania), zdecydowanie zalecamy wykonanie następujących czynności:

 • Oceń możliwość skonsolidowania swoich lasów.    Na ogół utrzymywanie wielu lasów powoduje większe obciążenie. Jeśli w Twojej organizacji nie ma ograniczeń dotyczących zabezpieczeń, które wymuszałyby konieczność utrzymywania osobnych lasów, rozważ uproszczenie środowiska lokalnego.

 • Używaj tylko w podstawowym lesie logowania.    Rozważ wdrożenie usługi Office 365 tylko w podstawowym lesie logowania na potrzeby wdrożenia początkowego usługi Office 365.

Jeśli nie możesz skonsolidować wdrożenia usługi Active Directory z obsługą wielu lasów lub używasz innych usług katalogowych do zarządzania tożsamościami, prawdopodobnie możesz zsynchronizować je z pomocą firmy Microsoft lub partnera.

Aby uzyskać więcej informacji, zobacz Scenariusz synchronizacji katalogów z obsługą wielu lasów i logowania jednokrotnego

Narzędzia integracji katalogu

Synchronizacja katalogów to synchronizacja obiektów katalogu (użytkowników, grup i kontaktów) pochodzących z lokalnego środowiska usługi Active Directory z infrastrukturą katalogu usługi Office 365. Aby zapoznać się z listą dostępnych narzędzi oraz ich funkcjami, zobacz Narzędzia integracji katalogów. Narzędziem zalecanym do użycia jest Azure Active Directory Connect.

Podczas pierwszej synchronizacji kont użytkowników z katalogiem usługi Office 365 są one oznaczane jako nieaktywowane. Nie można za ich pomocą wysyłać ani odbierać wiadomości e-mail, ani też korzystać z licencji w ramach subskrypcji. Aby przypisać subskrypcje usługi Office 365 określonym użytkownikom, musisz ich wybrać i aktywować, przypisując im prawidłowe licencje.

Synchronizacja katalogów jest wymagana w przypadku następujących funkcji:

 • Logowanie jednokrotne.

 • Współistnienie Lync.

 • Wdrożenie hybrydowe usługi Exchange obejmujące następujące elementy:

  • Całkowicie udostępniana globalna lista adresowa (GAL) między środowiskiem lokalnym Exchange a usługą Office 365.

  • Synchronizowanie informacji globalnej listy adresowej z innymi systemami poczty.

  • Możliwość dodawania i usuwania użytkowników z ofert usług Office 365. Wymagane są następujące elementy:

   • Podczas konfigurowania synchronizacji katalogów należy skonfigurować synchronizację dwukierunkową. Domyślnie narzędzia do synchronizacji katalogów zapisują informacje z katalogów tylko w chmurze. Po skonfigurowaniu synchronizacji dwukierunkowej włącz funkcję zapisywania, aby ograniczona liczba atrybutów obiektów była kopiowana z chmury, a następnie zapisywana z powrotem w lokalnym środowisku Active Directory. Zapisywanie jest również nazywane trybem hybrydowym programu Exchange.

   • Lokalne wdrożenie hybrydowe Exchange

  • Możliwość przeniesienia niektórych skrzynek pocztowych użytkowników do usługi Office 365 przy zachowaniu pozostałych skrzynek pocztowych użytkowników w środowisku lokalnym.

  • Bezpieczni i zablokowani nadawcy w środowisku lokalnym są powielani w usłudze Office 365.

  • Delegowanie podstawowe i funkcja wysyłania poczty e-mail w imieniu innego użytkownika.

  • Masz zintegrowane lokalne karty inteligentne lub rozwiązanie do uwierzytelniania wieloskładnikowego.

 • Synchronizacja zdjęć, miniatur, sal konferencyjnych i grup zabezpieczeń.

Zobacz też

Uaktualnianie narzędzia synchronizacji usługi Azure Active Directory (DirSync) do narzędzia Azure AD Connect

Historia wersji narzędzia Azure AD Connect

Rozwijaj umiejętności związane z pakietem Office
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów pakietu Office

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×