Подготовка пользователей к работе путем синхронизации каталогов с Office 365

Чтобы предоставить пользователям возможность применять синхронизацию службы каталогов, требуются более детальные планирование и подготовка, чем просто управление учебной или рабочей учетной записью непосредственно в Office 365. Дополнительные задачи по подготовке и планированию необходимы для того, чтобы убедиться, что ваш локальный каталог Active Directory синхронизируется с Azure Active Directory надлежащим образом. Вот несколько дополнительных преимуществ для организации:

  • сокращение программ администрирования в организации;

  • возможность при необходимости включать сценарии единого входа;

  • автоматизация изменений учетной записи в Office 365.

Дополнительные сведения о преимуществах использования синхронизации службы каталогов см. в статьях Интеграция локальных каталогов с Azure Active Directory и Общие сведения об удостоверениях Office 365 и службе Azure Active Directory.

Чтобы определить, какой сценарий лучше всего подходит вашей организации, сравните инструменты интеграции каталогов.

Задачи очистки каталогов

Прежде чем начать синхронизацию каталога, необходимо очистить его.

Также ознакомьтесь с атрибутами, синхронизируемыми с Azure Active Directory с помощью Azure AD Connect.

Предупреждение : Если не выполнить очистку каталога перед его синхронизацией, может быть существенное отрицательное воздействие на процесс развертывания. Цикл синхронизации службы каталогов, определение ошибок и повторная синхронизация может занять дни или даже недели.

Выполните следующие задачи очистки в локальном каталоге.

  • Убедитесь, что все пользователи, которым будут назначены предлагаемые услуги Office 365, указали допустимый и уникальный электронный адрес в атрибуте proxyAddresses.

  • Удалите все повторяющиеся значения в атрибуте proxyAddresses.

  • По возможности убедитесь, что все пользователи, которым будут назначены предлагаемые услуги Office 365, указали допустимое и уникальное значение для атрибута userPrincipalName в объекте user. Чтобы обеспечить оптимальные условия для синхронизации, убедитесь в том, что локальное имя участника-службы Active Directory совпадает с облачным именем участника-службы. Если значение для атрибута userPrincipalName отсутствует, то объект user должен содержать допустимое и уникальное значение для атрибута sAMAccountName. Удалите все повторяющиеся значения в атрибуте userPrincipalName.

  • Для оптимального использования глобального списка адресов (GAL) убедитесь, что указаны правильные данные в следующих атрибутах:

    • givenName

    • surname

    • DisplayName

    • Должность

    • Отдел

    • Офис

    • Рабочий телефон

    • Мобильный телефон

    • Номер факса

    • адрес;

    • Город

    • Область или край

    • Почтовый индекс

    • Страна или регион

Подготовка объекта и атрибута каталога

Чтобы синхронизация службы каталогов между локальным каталогом и Office 365 прошла успешно, атрибуты локального каталога должны быть подготовлены надлежащим образом. Например, необходимо убедиться в том, что некоторые символы не используются в определенных атрибутах, синхронизируемых со средой Office 365. Непредвиденные символы не приводят к сбою синхронизации службы каталогов, но могут выдавать предупреждение. Недопустимые символы приведут к сбою синхронизации службы каталогов.

Синхронизация службы каталогов также завершится сбоем, если некоторые пользователи Active Directory имеют один или несколько повторяющихся атрибутов. У каждого пользователя должны быть уникальные атрибуты.

Ниже приведены атрибуты, которые необходимо подготовить.

ПРИМЕЧАНИЕ. Вы также можете воспользоваться средством IdFix, что существенно упростит этот процесс.

  • displayName

    • Если в объекте пользователя имеется атрибут, он будет синхронизирован с Office 365.

    • Если этот атрибут существует в объекте пользователя, то ему должно соответствовать значение. Это означает, что атрибут не должен быть пустым.

    • Максимальное количество символов: 255

  • givenName

    • Если в объекте пользователя имеется атрибут, он будет синхронизирован с Office 365, но он не требуется и не используется службой Office 365.

    • Максимальное количество символов: 63

  • mail

    • Значение атрибута должно быть уникальным в пределах каталога.

      Примечание : Если существуют повторяющиеся значения, синхронизируется первый пользователь с этим значением. Последующие пользователи не будут отображаться в Office 365. Чтобы были видны оба пользователя, необходимо изменить либо значение в Office 365, либо оба значения в локальном каталоге.

  • mailNickname (псевдоним Exchange)

    • Значение атрибута не может начинаться с точки (.).

    • Значение атрибута должно быть уникальным в пределах каталога.

  • proxyAddresses

    • Атрибут с несколькими значениями

    • Максимальное количество символов для значения: 256

    • Значение атрибута не должно содержать пробелы.

    • Значение атрибута должно быть уникальным в пределах каталога.

    • Недопустимые символы: < > ( ) ; : , [ ] “

      Важно : Все адреса протокола передачи электронной почты (SMTP) должны соответствовать стандартам обмена электронными сообщениями. При наличии повторяющихся или нежелательных адресов обратитесь к разделу справки Удаление повторяющихся и нежелательных прокси-адресов в Exchange.

  • sAMAccountName

    • Максимальное количество символов: 20

    • Значение атрибута должно быть уникальным в пределах каталога.

    • Недопустимые символы: [ \ “ | , / : < > + = ; ? * ]

    • Если пользователь указал недопустимый атрибут sAMAccountName, но допустимый атрибут userPrincipalName, то учетная запись пользователя будет создана в Office 365.

    • Если оба атрибута sAMAccountName и userPrincipalName недопустимы, то необходимо обновить локальный атрибут Active DirectoryuserPrincipalName.

  • sn (фамилия)

    • Если в объекте пользователя имеется атрибут, он будет синхронизирован с Office 365, но он не требуется и не используется службой Office 365.

  • targetAddress

    Атрибут targetAddress (например, SMTP:anton@contoso.com), заполняемый для пользователя, обязательно должен отображаться в глобальном списке адресов Office 365. При переносе сообщений сторонней службы требуется расширить схему Office 365 для локального каталога. Расширение схемы Office 365 также добавляет и другие полезные атрибуты для управления объектами Office 365, которые заполняются с использованием средства синхронизации службы каталогов из локального каталога. Например, будет добавлен атрибут msExchHideFromAddressLists для управления скрытыми почтовыми ящиками или группами рассылки.

    • Максимальное количество символов: 255

    • Значение атрибута не должно содержать пробелы.

    • Значение атрибута должно быть уникальным в пределах каталога.

    • Недопустимые символы: \ < > ( ) ; : , [ ] “

      Все адреса протокола передачи электронной почты (SMTP) должны соответствовать стандартам обмена электронными сообщениями.

  • userPrincipalName

    • Атрибут userPrincipalName должен быть в формате входа, характерного для Интернета, где после имени пользователя следует символ (@) и имя домена: например, user@contoso.com.

      Все адреса протокола передачи электронной почты (SMTP) должны соответствовать стандартам обмена электронными сообщениями.

    • Максимальное количество символов для атрибута userPrincipalName — 113. Определенное количество символов разрешено до и после знака "@":

      • Максимальное количество символов для имени пользователя перед знаком "@": 64

      • Максимальное количество символов для доменного имени после знака "@": 48

    • Недопустимые символы: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      Умляут также является недопустимым символом.

    • Знак "@" должен быть в каждом значении userPrincipalName.

    • Знак "@" не может быть первым символом в каждом значении userPrincipalName.

    • Имя пользователя не может оканчиваться точкой (.), амперсандом (&), пробелом или знаком "@".

    • Имя пользователя не может содержать пробелы.

    • Необходимо использовать маршрутизируемые домены; локальные или внутренние домены использовать нельзя.

    • Юникод преобразуется в символы подчеркивания.

    • userPrincipalName не может содержать в каталоге повторяющиеся значения.

Подготовка атрибута userPrincipalName

Active Directory позволяет конечным пользователям организации входить в каталог с помощью sAMAccountName или userPrincipalName. Кроме того, конечные пользователи могут входить в Office 365 с помощью имени участника-пользователя (UPN) своей учебной или рабочей учетной записи. Синхронизация службы каталогов пытается создать новых пользователей в Azure Active Directory с тем же именем участника-пользователя, что и в вашем локальном каталоге. Формат этого имени совпадает с форматом электронного адреса. В Office 365 имя участника-пользователя является атрибутом по умолчанию, на основе которого создается адрес электронной почты. Можно легко получить userPrincipalName (локально и в Azure Active Directory) и основной адрес электронной почты в proxyAddresses с разными значениями. Если они разные, это может вызвать путаницу у администраторов и конечных пользователей.

Лучше выровнять эти атрибуты, чтобы избежать подобных ситуаций. Согласно требованиям для единого входа с Службы федерации Active Directory (ADFS) 2.0 необходимо убедиться, что имена пользователей-участников в Azure Active Directory и ваш локальный каталог Active Directory соответствуют друг другу и используют допустимое пространство имен.

Добавление альтернативного UPN-суффикса в доменные службы Active Directory

Может потребоваться добавить UPN-суффикс, чтобы связать корпоративные учетные данные пользователя со средой Office 365. UPN-суффикс — это часть имени участника-пользователя справа от знака "@". Имена участников-пользователей, которые используются для единого входа, могут содержать буквы, цифры, точки, тире и символы подчеркивания, но не другие типы символов.

Дополнительные сведения о том, как добавить альтернативный UPN-суффикс в Active Directory, см. в статье Подключение Active Directory к Azure Active Directory.

Соответствие локального имени участника-пользователя имени участника-пользователя Office 365

Если вы уже настроили синхронизацию службы каталогов, имя участника-пользователя для Office 365 может не соответствовать локальному имени участника-пользователя, определенному в вашей локальной службе каталогов. Это может произойти, если лицензия была назначена пользователю до проверки домена. Чтобы устранить эту проблему, используйте PowerShell для устранения повторяющихся имен участников-пользователей, обновите имя участника-пользователя, чтобы убедиться, что имя участника-пользователя Office 365 соответствует корпоративному имени пользователя и домену. Если вы обновляете имя участника-пользователя в локальной службе каталогов и хотите, чтобы оно синхронизировалось с удостоверением Azure Active Directory, необходимо удалить лицензию пользователя в Office 365 до внесения изменений в локальную организацию.

См. также статью Сведения о подготовке немаршрутизируемого домена (например, .local) для синхронизации службы каталогов.

Средства интеграции каталогов

Синхронизация службы каталогов — это синхронизация объектов каталогов (пользователей, групп и контактов) из вашей локальной среды Active Directory с инфраструктурой каталога Office 365, Azure Active Directory. Список доступных средств и их функций см. в разделе Средства интеграции каталогов. Рекомендуемое средство — Microsoft Azure Active Directory Connect. Дополнительные сведения о службе Azure Active Directory Connect см. в статье Интеграция локальных каталогов с Azure Active Directory.

При первой синхронизации учетных записей пользователей с каталогом Office 365 они помечаются как не активированные. Они не могут отправлять или получать электронную почту. Кроме того, они не используют лицензии на подписку. Если вы готовы назначить подписки на Office 365 определенным пользователям, необходимо выбрать и активировать их путем назначения действительной лицензии.

Для назначения лицензий можно также использовать PowerShell. Сведения об автоматизированном решении см. в статье Использование PowerShell для автоматического назначения лицензии пользователям Office 365.

Статьи по теме

Интеграция Office 365 с локальными средами
Устранение проблем с синхронизацией службы каталогов для Office 365

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×