Preparar-se para provisionar usuários por meio da sincronização de diretório para o Office 365

Os usuários de provisionamento da sincronização de diretório exigem mais planejamento e preparação do que um simples gerenciamento na conta corporativa ou de estudante, diretamente no Office 365. As tarefas de planejamento e preparação adicionais são necessárias para garantir que o Active Directory local seja sincronizado corretamente com o Azure Active Directory. Os benefícios adicionais para a organização incluem:

  • Redução dos programas administrativos na organização

  • Opcionalmente, a habilitação dos cenários de logon único

  • Automação das alterações de conta do Office 365

Veja mais informações sobre as vantagens de usar a sincronização de diretórios em Roteiro de sincronização de diretório e Noções básicas sobre identidade do Office 365 e o Azure Active Directory.

Para determinar qual é o cenário ideal para a organização, examine a comparação de ferramentas de integração de diretórios.

Tarefas de limpeza do diretório

Será necessário limpar seu diretório, antes de iniciar a sincronização de diretório.

Examine também os atributos sincronizados com o Azure Active Directory pelo Azure AD Connect.

Aviso : Se você não executar a limpeza do diretório antes de sincronizar, poderá haver um efeito negativo significativo no processo de implantação. O ciclo de sincronização de diretório pode levar dias, ou até mesmo semanas, para identificar erros e sincronizar novamente.

No diretório local, execute estas tarefas de limpeza:

  • Verifique se os usuários que obtiverem as ofertas de serviço do Office 365 têm um endereço de email válido e exclusivo no atributo proxyAddresses .

  • Remova todos os valores duplicados do atributo proxyAddresses.

  • Se possível, verifique se os usuários que obtiverem a atribuição das ofertas de serviço do Office 365 têm um endereço de email válido e exclusivo para o atributo userPrincipalName no objeto user do usuário. Para ter uma experiência de sincronização melhor, garanta que o UPN do Active Directory local corresponda ao UPN da nuvem. Se um usuário não tiver um valor para o atributo userPrincipalName, então o objeto do user deverá conter um valor válido e exclusivo para o atributo sAMAccountName. Remova os valores duplicados do atributo userPrincipalName.

  • Para um uso ideal da lista de endereços global (GAL), verifique se as informações dos atributos a seguir estão corretas:

    • nome

    • sobrenome

    • nomedeexibição

    • Cargo

    • Departamento

    • Escritório

    • Telefone Comercial

    • Telefone Celular

    • Número do Fax

    • Endereço

    • Cidade

    • Estado ou Província

    • CEP

    • País ou Região

Preparação de objeto e de atributo de diretório

A sincronização de diretório bem-sucedida entre o diretório local e o Office 365 exige que os atributos do diretório local tenham sido preparados adequadamente. Por exemplo, você precisa garantir que caracteres específicos não sejam usados em determinados atributos sincronizados no ambiente do Office 365. Os caracteres inesperados não provocam falha na sincronização de diretório, mas podem retornar um aviso. Os caracteres inválidos poderão provocar falha na sincronização de diretório.

A sincronização de diretório também falhará se alguns dos seus usuários do Active Directory tiverem um ou mais atributos duplicados. Cada usuário deve ter atributos exclusivos.

É necessário preparar os atributos listados aqui:

OBSERVAÇÃO: use a ferramenta IdFix para tornar este processo muito mais fácil.

  • displayName

    • Se houver o atributo no objeto do usuário, ele será sincronizado com o Office 365.

    • Se o atributo existir no objeto do usuário, deverá haver um valor para ele. Ou seja, o atributo não deve ficar em branco.

    • Número máximo de caracteres: 255

  • givenName

    • Se houver o atributo no objeto do usuário, ele será sincronizado com o Office 365, mas não será obrigatório usá-lo com o Office 365.

    • Número máximo de caracteres: 63

  • mail

    • O valor do atributo deve ser exclusivo no diretório.

      Observação : Quando há valores duplicados, o sistema sincroniza o primeiro usuário com o valor. Os usuários subsequentes não são exibidos no Office 365. Você deve modificar cada valor no Office 365 ou alterar os valores no diretório local, de modo que os usuários sejam exibidos no Office 365.

  • mailNickname (alias do Exchange)

    • Não é possível iniciar o valor do atributo com um ponto (.).

    • O valor do atributo deve ser exclusivo no diretório.

  • proxyAddresses

    • Atributo de vários valores

    • Número máximo de caracteres por valor: 256

    • O valor do atributo não deve conter um espaço.

    • O valor do atributo deve ser exclusivo no diretório.

    • Caracteres inválidos: < > ( ) ; , [ ] “

      Observe que os caracteres inválidos se aplicam aos caracteres que seguem o delimitador de tipo e ":". Por exemplo, SMTP:Usuario@contoso.com é permitido, mas SMTP:usuario:M@contoso.com não é.

      Importante : Todos os endereços SMTP devem ser compatíveis com os padrões de mensagens de email. Se houver endereços indesejados ou duplicados, consulte o tópico Ajuda Removendo endereços de proxy duplicados e indesejados no Exchange.

  • sAMAccountName

    • Número máximo de caracteres: 20

    • O valor do atributo deve ser exclusivo no diretório.

    • Caracteres inválidos: [ \ “ | , / : < > + = ; ? * ]

    • Se um usuário tiver um atributo sAMAccountName inválido e um atributo userPrincipalName válido, a conta do usuário será criada no Office 365.

    • Se tanto o sAMAccountName quanto o userPrincipalName forem inválidos, o atributo Active DirectoryuserPrincipalName local deverá ser atualizado.

  • sn (sobrenome)

    • Se houver o atributo no objeto do usuário, ele será sincronizado com o Office 365, mas não será obrigatório usá-lo com o Office 365.

  • targetAddress

    É necessário que o atributo targetAddress (por exemplo, SMTP:davi@contoso.com) preenchido para o usuário seja exibido na GAL do Office 365. Nos cenários de migração de mensagens de terceiros, a extensão de esquema do Office 365 é obrigatória para o diretório local. A extensão de esquema do Office 365 também adiciona outros atributos úteis para gerenciar os objetos do Office 365, preenchidos por meio da ferramenta de sincronização de diretório do diretório local. Por exemplo, é necessário adicionar o atributo msExchHideFromAddressLists para gerenciar as caixas de correio ocultas ou os grupos de distribuição.

    • Número máximo de caracteres: 255

    • O valor do atributo não deve conter um espaço.

    • O valor do atributo deve ser exclusivo no diretório.

    • Caracteres inválidos: \ < > ( ) ; , [ ] “

      Todos os endereços SMTP devem ser compatíveis com os padrões de mensagens de email.

  • userPrincipalName

    • O atributo userPrincipalName deve estar no formato de entrada no estilo da Internet, em que o nome do usuário é seguido pelo sinal (@) e por um nome de domínio: por exemplo, usuário@contoso.com.

      Todos os endereços SMTP devem ser compatíveis com os padrões de mensagens de email.

    • O número máximo de caracteres para o atributo userPrincipalName é 113. Um número específico de caracteres é permitido antes e depois do sinal (@), da seguinte forma:

      • O número máximo de caracteres para o nome de usuário na frente do sinal (@): 64

      • O número máximo de caracteres para o nome de domínio atrás do sinal (@): 48

    • Caracteres inválidos: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      um trema também é um caractere inválido.

    • O caractere @ é obrigatório em todos os valores de userPrincipalName.

    • O caractere @ não pode ser o primeiro no valor de userPrincipalName.

    • O nome de usuário não pode terminar com um ponto (.), com um E comercial (&), com um espaço ou com o arroba (@).

    • O nome de usuário não pode conter espaços.

    • Os domínios roteáveis devem ser usados; por exemplo, domínios internos ou locais não podem ser usados.

    • O Unicode é convertido em sublinhados.

    • O userPrincipalName não pode conter valores duplicados no diretório.

Preparar o atributo nomeUPN

Projetamos o Active Directory para que os usuários finais da organização possam entrar no diretório usando o sAMAccountName ou o userPrincipalName. Da mesma forma, os usuários finais podem entrar no Office 365 usando o nome UPN da conta corporativa ou de estudante. A sincronização de diretório tenta criar novos usuários no Azure Active Directory usando o mesmo UPN que está no diretório local. O UPN é formatado como um endereço de email. No Office 365, o UPN é o atributo padrão usado para gerar o endereço de email. É fácil obter o userPrincipalName (local e no Azure Active Directory) e o Endereço de Email Principal no proxyAddresses, definidos com valores diferentes. Quando eles são definidos com valores diferentes, isso pode causar confusão entre administradores e usuários finais.

É melhor alinhar esses atributos a fim de reduzir a confusão. Para atender aos requisitos de logon único com o Serviços de Federação do Active Directory (AD FS) 2.0, será necessário verificar se os UPNs do Azure Active Directory e do Active Directory local correspondem e se estão usando um namespace de domínio válido.

Adicionar um sufixo UPN para o AD DS

Talvez seja necessário adicionar um sufixo UPN alternativo para associar as credencias corporativas do usuário ao ambiente do Office 365. O sufixo UPN é a parte de um UPN à direita do caractere @. Os UPNs usados para logon único podem conter letras, números, pontos, traços e sublinhados, mas nenhum outro tipo de caractere.

Saiba mais sobre como adicionar um sufixo UPN alternativo ao Active Directory em Preparar para a sincronização de diretório.

Corresponder o UPN local ao UPN do Office 365

Se você já tiver configurado a sincronização de diretório, o UPN do usuário do Office 365 poderá não corresponder ao UPN local do usuário definido no serviço de diretório local. Isso poderá ocorrer quando uma licença tiver sido atribuída para um usuário antes da verificação do domínio. Use o PowerShell para corrigir o UPN duplicado e para atualizar o UPN do usuário para garantir que o UPN do Office 365 corresponda ao nome de usuário e ao domínio corporativos. Se você estiver atualizando o UPN no serviço de diretório local e quiser sincronizá-lo com a identidade do Azure Active Directory, será necessário remover a licença do usuário no Office 365 antes de fazer as alterações no local.

Veja também Como preparar um domínio não roteável (por exemplo, o domínio .local) para a sincronização de diretório.

Ferramentas de integração de diretório

Sincronização de diretório é a sincronização de objetos de diretório (usuários, grupos e contatos) do ambiente local do Active Directory para a infraestrutura de diretório do Office 365, Azure Active Directory. Confira Ferramentas de integração de diretório para obter uma lista das ferramentas disponíveis e as respectivas funcionalidades. Recomendamos a ferramenta Azure Active Directory Connect Health. Para saber mais sobre o Conexão do Azure Active Directory, confira Integrando suas identidades locais com o Azure Active Directory.

Quando as contas de usuários forem sincronizadas pela primeira vez ao diretório do Office 365, ficarão marcadas como não ativadas. Elas não poderão enviar ou receber email e não consumirão as licenças de assinatura. Quando estiver pronto para atribuir as assinaturas do Office 365 a usuários específicos, selecione-as e ative-as por meio da atribuição de uma licença válida.

Você também pode usar o PowerShell para atribuir licenças. Para obter uma solução automatizada, consulte Como usar o PowerShell para atribuir licenças automaticamente aos usuários do Office 365.

Tópicos Relacionados

Integração do Office 365 com os ambientes locais
Corrigindo problemas com a sincronização de diretório do Office 365

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×