Príprava na zriadenie používateľov v Office 365 prostredníctvom synchronizácie adresárov

Na zriadenie používateľov prostredníctvom synchronizácie adresárov sa vyžaduje viac plánovania a prípravy než v prípade, že jednoducho spravujete svoje pracovné alebo školské konto priamo v Office 365. Ďalšie úlohy plánovania a prípravy sú potrebné na to, aby sa vaša lokálna služba Active Directory synchronizovala do služby Azure Active Directory správne. Ďalšie výhody pre vašu organizáciu:

  • zníženie administratívnej záťaže v organizácii,

  • možnosť povolenia scenárov jediného prihlásenia,

  • automatizácia zmien kont v Office 365.

Ďalšie informácie o výhodách používania synchronizácie adresárov nájdete v témach Stratégia synchronizácie adresárov a Objasnenie identity v službách Office 365 a Azure Active Directory.

Ak chcete zistiť, ktorý scenár je pre vašu organizáciu najlepší, pozrite si porovnanie nástrojov na integráciu adresárov.

Úlohy čistenia adresára

Pred začatím synchronizácie adresára treba adresár vyčistiť.

Pozrite si aj atribúty synchronizované do služby Azure Active Directory pomocou nástroja Azure AD Connect.

Upozornenie : Ak pred synchronizáciou adresár nevyčistíte, na proces nasadenia to môže mať výrazný negatívny vplyv. Prechod cyklom synchronizácie adresára, identifikácie chýb a opätovnej synchronizácie môže trvať dni, dokonca aj týždne.

V lokálnom adresári vykonajte nasledujúce úlohy čistenia:

  • Postarajte sa o to, aby každý používateľ, ktorý bude mať priradené ponuky služieb Office 365, mal v atribúte proxyAddresses jedinečnú e-mailovú adresu.

  • V atribúte proxyAddresses odstráňte všetky duplicitné hodnoty.

  • Ak je to možné, postarajte sa o to, aby každý používateľ, ktorý bude mať priradené ponuky služieb Office 365, mal pre atribút userPrincipalName v používateľovom objekte user platnú a jedinečnú hodnotu. Najlepšiu synchronizáciu dosiahnete, ak zabezpečíte, že lokálne hlavné meno používateľa v službe Active Directory bude zodpovedať cloudovému hlavnému menu používateľa. Ak používateľ nemá pre atribút userPrincipalName hodnotu, objekt user musí obsahovať platnú a jedinečnú hodnotu pre atribút sAMAccountName. V atribúte userPrincipalName odstráňte všetky duplicitné hodnoty.

  • Na optimálne využívanie globálneho zoznamu adries musia byť správne informácie v nasledujúcich atribútoch:

    • givenName

    • surname

    • displayName

    • Funkcia

    • Oddelenie

    • Office

    • Telefón do práce

    • Mobilný telefón

    • Číslo faxu

    • Ulica

    • Mesto

    • Štát alebo okres

    • PSČ

    • Krajina alebo oblasť

Príprava objektov a atribútov adresára

Na úspešnú synchronizáciu adresárov medzi lokálnym adresárom a službami Office 365 sa vyžadujú správne pripravené atribúty adresárov. Treba sa napríklad postarať o to, aby sa určité znaky nepoužívali v niektorých atribútoch, ktoré sa synchronizujú s prostredím služieb Office 365. Neočakávané znaky nespôsobia zlyhanie synchronizácie adresárov, môžu však vrátiť upozornenie. Neplatné znaky spôsobia zlyhanie synchronizácie adresárov.

Synchronizácia adresárov zlyhá aj vtedy, ak má niektorý z používateľov služby Active Directory jeden alebo viac duplicitných atribútov. Každý používateľ musí mať jedinečné atribúty.

Tu sú uvedené atribúty, ktoré treba pripraviť:

Poznámka: Nástroj IdFix vám tento proces môže výrazne zjednodušiť.

  • displayName

    • Ak sa tento atribút nachádza v objekte používateľa, bude sa synchronizovať so službami Office 365.

    • Ak sa tento atribút nachádza v objekte používateľa, musí byť preň uvedená hodnota. To znamená, že atribút nemôže byť prázdny.

    • Maximálny počet znakov: 255

  • givenName

    • Ak sa tento atribút nachádza v objekte používateľa, bude sa so službami Office 365 synchronizovať, Office 365 ho však nevyžaduje ani nepoužíva.

    • Maximálny počet znakov: 63

  • mail

    • Hodnota atribútu musí byť v rámci adresára jedinečná.

      Poznámka : V prípade duplicitných hodnôt sa synchronizuje prvý používateľ s touto hodnotou. Ďalší používatelia sa v Office 365 nezobrazia. Ak chcete ,aby sa v Office 365 zobrazovali obidvaja používatelia,musíte upraviť buď hodnotu v Office 365, alebo obe hodnoty v lokálnom adresári.

  • mailNickname (alias v Exchangei)

    • Hodnota atribútu sa nemôže začínať bodkou (.).

    • Hodnota atribútu musí byť v rámci adresára jedinečná.

  • proxyAddresses

    • Atribút s viacerými hodnotami

    • Maximálny počet znakov na hodnotu: 256

    • Hodnota atribútu nesmie obsahovať medzeru.

    • Hodnota atribútu musí byť v rámci adresára jedinečná.

    • Neplatné znaky: < > ( ) ; , [ ] “

      Neplatné znaky sa vzťahujú aj na znaky nasledujúce za oddeľovačom typov a dvojbodkou, napríklad verzia SMTP:Používateľ@contso.com je povolená, no verzia SMTP:používateľ:M@contoso.com povolená nie je.

      Dôležité : Všetky adresy SMTP by mali byť v súlade so štandardmi platnými pre e-mailové správy. V prípade existencie duplicitných alebo nechcených adries si pozrite tému Pomocníka Odstránenie duplicitných a nechcených adries proxy v Exchangei.

  • sAMAccountName

    • Maximálny počet znakov: 20

    • Hodnota atribútu musí byť v rámci adresára jedinečná.

    • Neplatné znaky: [ \ “ | , / : < > + = ; ? * ]

    • Ak má používateľ neplatný atribút sAMAccountName, no má platný atribút userPrincipalName, používateľské konto je vytvorené v Office 365.

    • Ak sú atribúty sAMAccountName aj userPrincipalName neplatné oba, lokálny atribút Active DirectoryuserPrincipalName treba aktualizovať.

  • sn (priezvisko)

    • Ak sa tento atribút nachádza v objekte používateľa, bude sa so službami Office 365 synchronizovať, Office 365 ho však nevyžaduje ani nepoužíva.

  • targetAddress

    Vyžaduje sa, aby atribút targetAddress (napríklad SMTP:milan@contoso.com), ktorý je vyplnený pre používateľa, bol zobrazený v globálnom zozname adries služieb Office 365. V scenároch migrácie správ tretích strán sa bude vyžadovať rozšírenie schémy v Office 365 pre lokálny adresár. Rozšírením schémy v Office 365 sa tiež pridajú ďalšie atribúty, ktoré sú užitočné pri spravovaní objektov služieb Office 365 naplnených z lokálneho adresára pomocou nástroja na synchronizáciu adresárov. Pridá sa napríklad atribút msExchHideFromAddressLists na spravovanie skrytých poštových schránok alebo distribučných skupín.

    • Maximálny počet znakov: 255

    • Hodnota atribútu nesmie obsahovať medzeru.

    • Hodnota atribútu musí byť v rámci adresára jedinečná.

    • Neplatné znaky: \ < > ( ) ; , [ ] “

      Všetky adresy SMTP by mali byť v súlade so štandardmi platnými pre e-mailové správy.

  • userPrincipalName

    • Atribút userPrincipalName musí byť vo formáte, ktorý sa používa na prihlasovanie na internete – za menom používateľa musí byť zavináč (@) a za ním názov domény, napríklad pouzivatel@contoso.com.

      Všetky adresy SMTP by mali byť v súlade so štandardmi platnými pre e-mailové správy.

    • Maximálny povolený počet znakov pre atribút userPrincipalName je 113. Pred zavináčom (@) a za ním je povolený konkrétny počet znakov:

      • Maximálny počet znakov mena používateľa pred zavináčom (@): 64

      • Maximálny počet znakov názvu domény za zavináčom (@): 48

    • Neplatné znaky: \ % & * + / = ? { } | < > ( ) ; : , [ ] “

      prehláska je tiež neplatný znak.

    • Zavináč (@) sa vyžaduje v každej hodnote atribútu userPrincipalName.

    • Zavináč (@) nemôže byť prvým znakom v žiadnej hodnote atribútu userPrincipalName.

    • Meno používateľa sa nemôže končiť bodkou (.), znakom &, medzerou ani zavináčom (@).

    • Meno používateľa nemôže obsahovať medzery.

    • Musia byť použité smerovateľné domény. Lokálne ani interné domény sa použiť nedajú.

    • Znaky kódovania Unicode sa skonvertujú na znaky podčiarknutia.

    • Atribút userPrincipalName nemôže v adresári obsahovať žiadne duplicitné hodnoty.

Príprava atribútu userPrincipalName

Služba Active Directory je navrhnutá tak, aby sa koncoví používatelia vo vašej organizácii mohli do vášho adresára prihlasovať pomocou atribútu sAMAccountName alebo userPrincipalName. Koncoví používatelia sa tiež môžu do služieb Office 365 prihlásiť pomocou hlavného mena používateľa pre ich pracovné alebo školské konto. Synchronizácia adresárov sa pokúsi vytvoriť nových používateľov v službách Azure Active Directory pomocou rovnakého hlavného mena používateľa, aké je vo vašom lokálnom adresári. Hlavné meno používateľa je naformátované ako e-mailová adresa. V Office 365 je hlavné meno používateľa predvoleným atribútom, ktorý sa používa na generovanie e-mailovej adresy. Je jednoduché nastaviť atribút userPrincipalName (lokálny aj v službách Azure Active Directory) a primárnu e-mailovú adresu v atribúte proxyAddresses na rôzne hodnoty. Keď sú nastavené na rôzne hodnoty, správcov a koncových používateľov to môže zmiasť.

Najlepšie je zjednotiť tieto atribúty a vyhnúť sa tak zmätkom. Ak chcete splniť požiadavky na jediné prihlásenie so službou Active Directory Federation Services (AD FS) 2.0, hlavné mená používateľov v službách Azure Active Directory a lokálnej službe Active Directory sa musia zhodovať a musia používať platný priestor názvov domén.

Pridanie alternatívnej prípony hlavného mena používateľa do AD DS

Na priradenie používateľových podnikových poverení k prostrediu služieb Office 365 bude možno potrebné pridať alternatívnu príponu hlavného mena používateľa. Prípona hlavného mena používateľa je časťou hlavného mena používateľa napravo od zavináča (@). Hlavné mená používateľa, ktoré sa používajú na jediné prihlásenie, môžu obsahovať čísla, písmená, bodky, pomlčky a znaky podčiarknutia, nie však žiadne iné typy znakov.

Ďalšie informácie o pridávaní alternatívnej prípony hlavného mena používateľa do služby Active Directory nájdete v téme Príprava na synchronizáciu adresárov.

Zladenie lokálneho hlavného mena používateľa s hlavným menom používateľa v Office 365

Ak ste už nastavili synchronizáciu adresárov, hlavné meno používateľa v Office 365 sa pre konkrétneho používateľa nemusí zhodovať s jeho lokálnym hlavným menom používateľa definovaným vo vašej lokálnej adresárovej službe. Táto situácia môže nastať, keď bola používateľovi priradená licencia pred overením domény. Ak to chcete vyriešiť, pomocou prostredia PowerShell opravte duplicitné hlavné meno používateľa a aktualizujte používateľovo hlavné meno používateľa tak, aby sa hlavné meno používateľa v Office 365 zhodovalo s menom používateľa a doménou v podniku. Ak aktualizujete hlavné meno používateľa v lokálnej adresárovej službe a chcete ho synchronizovať s identitou v službách Azure Active Directory, pred vykonaním lokálnych zmien musíte odstrániť používateľovu licenciu v Office 365.

Pozrite si aj článok Príprava nesmerovateľnej domény (napríklad domény .local) na synchronizáciu adresárov.

Nástroje na integráciu adresárov

Synchronizácia adresárov je synchronizácia adresárových objektov (používateľov, skupín a kontaktov) z lokálneho prostredia služby Active Directory do infraštruktúry adresárov v Office 365, služby Azure Active Directory. Zoznam dostupných nástrojov a ich funkcií nájdete v téme Nástroje na integráciu adresárov. Odporúčaný nástroj je Microsoft Azure Active Directory Connect. Ďalšie informácie o programe Azure Active Directory Connect nájdete v téme Integrácia lokálnych identít so službou Azure Active Directory.

Používateľské kontá sa pri prvej synchronizácii s adresárom v Office 365 označia ako neaktivované. Nemôžu odosielať ani prijímať e-maily a nepoužívajú sa pre ne žiadne licencie na predplatné. Keď chcete konkrétnym používateľom priradiť predplatné na Office 365, musíte ich vybrať a aktivovať priradením platnej licencie.

Na priradenie licencií môžete použiť aj PowerShell. Automatické riešenie nájdete v téme Používanie prostredia PowerShell na automatické priradenie licencií používateľom služieb Office 365.

Súvisiace témy

Integrácia služieb Office 365 s lokálnymi prostrediami
Riešenie problémov so synchronizáciou adresárov v Office 365

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pridajte sa k insiderom pre Office

Boli tieto informácie užitočné?

Ďakujeme za vaše pripomienky!

Ďakujeme vám za pripomienky. Pravdepodobne vám pomôže, ak vás spojíme s pracovníkom podpory pre Office.

×