Планирование синхронизации службы каталогов для Office 365

Примечание:  Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке) .

Сводка:    описание синхронизации службы каталогов с Office 365, очистки Active Directory и средства Azure Active Directory Connect.

Из-за потребностей бизнеса и технических требований синхронизация службы каталогов является наиболее распространенным способом подготовки к переходу корпоративных клиентов в среду Office 365. Синхронизация службы каталогов предусматривает управление удостоверениями в локальной среде Active Directory и синхронизацию их обновлений с Office 365.

Существуют некоторые нюансы, которые необходимо учитывать, планируя синхронизацию службы каталогов. К ним относятся подготовка каталога, а также требования и функциональность Azure Active Directory. Подготовка каталога охватывает несколько задач. В их число входят обновление атрибутов, проведение аудита и планирование размещения контроллера домена. При планировании требований и функциональности нужно определить необходимые разрешения, запланировать сценарии для топологии с несколькими лесами и каталога, выполнить планирование емкости и двусторонней синхронизации.

Модели удостоверений в Office 365

Office 365 используются два основных модели проверки подлинности и удостоверения: в облаке и федеративных проверки подлинности.

Проверка подлинности облака

Удостоверение облако — Создание и управление пользователями в центре администрирования Office 365, можно использовать Windows PowerShell и Azure Active Directory для управления пользователями.

Синхронизация хэш пароля и полная единого входа - самый простой способ включить проверку подлинности для локального каталога объектов в Azure AD. По синхронизации хэш пароля (PHS) синхронизация объектов учетной записи пользователя вашей локальной службы каталогов Active Directory с Office 365 и управлять своим пользователям локально.

Сквозная проверка подлинности с полная единого входа - предоставляет проверку простой пароль для служб Azure AD проверки подлинности с помощью программного обеспечения агент, работающий в один или несколько локальные серверы для проверки пользователей непосредственно с вашего локальные службы каталогов Active Directory.

Федеративный проверки подлинности

Федеративные удостоверения с AD FS службы федерации Active Directory — главным образом для крупных предприятий организаций с более сложные требования к проверке подлинности локальных объектов каталога синхронизируются с Office 365 и учетные записи пользователей управляемые локальные.

В основном сторонних поставщиков проверки подлинности и удостоверение — локальном каталоге объекты могут быть синхронизированы в Office 365 и облачных доступ к ресурсам осуществляется поставщиком удостоверений стороннего производителя (IdP).

Очистка Active Directory

Чтобы обеспечить плавный переход к Office 365 с помощью синхронизации, настоятельно рекомендуется подготовить лес Active Directory, перед тем как приступать к развертыванию синхронизации службы каталогов с Office 365.

Одним из этапов настройки синхронизации службы каталогов в Office 365 является скачивание и запуск средства IdFix. С помощью средства IdFix можно выполнить очистку каталога.

При этом необходимо сконцентрироваться на следующих задачах:

  • удаление повторяющихся значений атрибутов proxyAddress и userPrincipalName;

  • обновление пустых и недопустимых атрибутов userPrincipalName путем их замены допустимыми значениями userPrincipalName;

  • удаление недопустимых и сомнительных символов в атрибутах givenName, sn (фамилия), sAMAccountName, displayName, mail, proxyAddresses, mailNickname и userPrincipalName. Дополнительные сведения о подготовке атрибутов см. в статье Список атрибутов, которые синхронизируются с помощью средства синхронизации Azure Active Directory.

    Примечание: Это те же атрибуты, которые синхронизируются с помощью Azure AD Connect.

Вопросы развертывания топологии с несколькими лесами

Для вариантов с несколькими лесами и единым входом используйте выборочную установку Azure AD Connect.

Если в вашей организации есть несколько лесов для проверки подлинности (лесов входа), настоятельно рекомендуем следующее:

  • Оценить возможность консолидации лесов.    Как правило, поддержка нескольких лесов влечет за собой дополнительные накладные расходы. Если в вашей организации нет ограничений, связанных с безопасностью, которые требуют использовать отдельные леса, советуем упростить локальную среду.

  • Использовать только основной лес входа.    Рассмотрите возможность развернуть Office 365 только в основном лесу входа для первоначального развертывания Office 365.

Если вы не можете консолидировать развертывание Active Directory с несколькими лесами или используете для управления удостоверениями другие службы каталогов, то, возможно, вам удастся синхронизировать их с помощью корпорации Майкрософт или партнера.

Дополнительные сведения см. в статье Несколько лесов: DirSync с единым входом.

Средства интеграции каталогов

Синхронизации службы каталогов является синхронизации каталогов объектов (пользователей, групп и контактов) из Active Directory вашей локальной среде инфраструктуры каталога Office 365. Просмотреть список доступных средств и их функциональные возможности средства интеграции каталогов . Рекомендуется использовать оно Подключение Azure Active Directory.

При первой синхронизации учетных записей пользователей с каталогом Office 365 они помечаются как неактивированные. Они не могут отправлять или получать электронную почту. Кроме того, они не используют лицензии на подписку. Если вы готовы назначить подписки на Office 365 определенным пользователям, необходимо выбрать их и активировать путем назначения действующей лицензии.

Синхронизация службы каталогов необходима для поддержки следующих функций и возможностей:

  • единый вход;

  • гибридное развертывание Lync;

  • гибридное развертывание Exchange, в том числе:

    • полностью общий глобальный список адресов (GAL) между локальной средой Exchange и Office 365;

    • синхронизация информации GAL из разных почтовых систем;

    • возможность добавлять пользователей в предложения услуг Office 365 и удалять их оттуда, для чего необходимо следующее:

      • двусторонняя синхронизация должна быть настроена в ходе настройки синхронизации службы каталогов. По умолчанию средства синхронизации каталогов записывают сведения каталога только в облако. При настройке двусторонней синхронизации вы включите функцию обратной записи, так что ограниченное число атрибутов объектов будет скопировано из облака и записано назад, в локальную среду Active Directory. Другое название обратной записи — режим гибридного развертывания Exchange;

      • гибридное развертывание Exchange в локальной среде;

    • возможность перемещать почтовые ящики некоторых пользователей в Office 365, оставляя почтовые ящики других пользователей в локальной среде;

    • репликация надежных и заблокированных отправителей из локальной среды в Office 365;

    • основные функции делегирования прав и отправки сообщений электронной почты от имени другого пользователя;

    • использование интегрированного локального решения со смарт-картой или многофакторной проверкой подлинности;

  • синхронизация фотографий, эскизов, переговорных комнат и групп безопасности;

См. также

Подключение нельзя обновить с синхронизации Azure Active Directory (DirSync) и Azure AD

Журнал выпуска Azure AD Connect

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×