Förbereda för att tillhandahålla användare via katalogsynkronisering till Office 365

Att distribuera till användarna med katalogsynkronisering kräver mer planering och förberedelse än när du bara hanterar ditt arbets- eller skolkonto direkt i Office 365. Planeringen och förberedelserna som tillkommer krävs för att ditt lokala Active Directory ska synkroniseras korrekt i Azure Active Directory. Det innebär följande extra fördelar för din organisation:

  • Minskat behov av administrativa program

  • Valfri aktivering av scenarier med enkel inloggning

  • Automatiserade kontoändringar i Office 365

Mer information om fördelarna med att använda katalogsynkronisering finns i Översikt över katalogsynkronisering och Förklaring av Office 365 Identity och Azure Active Directory.

För att avgöra vilket scenario som passar bäst för din organisation kan du gå igenom jämförelsen av verktyg för katalogintegrering.

Katalogrensningsuppgifter

Innan du börjar synkronisera en katalog måste den rensas.

Gå även igenom attributen som synkroniseras till Azure Active Directory med Azure AD Connect.

Varning: Om du inte rensar katalogen innan du synkroniserar, kan distributionen påverkas mycket negativt. Det kan ta dagar eller veckor att gå igenom hela katalogsynkroniseringen, att identifiera fel och omsynkronisera.

I den lokala katalogen utför du följande rensningsuppgifter:

  • Se till att varje användare som ska tilldelas Office 365-tjänsterbjudanden har en giltig och unik e-postadress i attributet proxyAddresses.

  • Ta bort alla dubblettvärden i attributet proxyAddresses.

  • Om möjligt, se till att varje användare som ska tilldelas Office 365-tjänsterbjudanden har ett giltigt och unikt värde för attributet userPrincipalName i användarens user-objekt. För bästa möjliga synkronisering, se till att lokalt Active Directory-UPN matchar moln-UPN. Om en användare saknar värde för attributet userPrincipalName måste user-objektet innehålla ett giltigt och unikt värde för attributet sAMAccountName. Ta bort alla dubblettvärden i attributet userPrincipalName.

  • Se till att informationen i följande attribut stämmer, för att den globala adresslistan (GAL) ska användas optimalt:

    • GivenName

    • Surname

    • DisplayName

    • Befattning

    • Avdelning

    • Arbete

    • Telefonnr till arbetet

    • Mobiltelefon

    • Faxnummer

    • Gatuadress

    • Ort

    • Delstat eller region

    • Postnummer

    • Land eller region

Förberedelse av katalogobjekt och katalogattribut

För att synkroniseringen mellan den lokala katalogen och Office 365 ska fungera måste den lokala katalogens attribut ha förberetts ordentligt. Du måste till exempel se till att inga specialtecken används i vissa attribut som synkroniseras med Office 365-miljön. Katalogsynkroniseringen stoppas inte om oväntade tecken påträffas, men kan returnera en varning. Ogiltiga tecken leder till att katalogsynkroniseringen misslyckas.

Katalogsynkroniseringen misslyckas också om en del av Active Directory-användarna har ett eller flera dubblettattribut. Alla användare måste ha unika attribut.

De attribut som du behöver förbereda visas här:

OBS! Du kan också använda verktyget IdFix för att underlätta processen.

  • displayName

    • Om attributet finns i användarobjektet synkroniseras det med Office 365.

    • Om det här attributet finns i användarobjektet måste det ha ett värde. Det innebär att attributet inte får vara tomt.

    • Maximalt antal tecken: 255

  • givenName

    • Om attributet finns i användarobjektet synkroniseras det med Office 365, men det måste inte finnas och det används inte av Office 365.

    • Maximalt antal tecken: 63

  • mail

    • Attributvärdet måste vara unikt inom katalogen.

      Obs!: Om det finns dubblettvärden synkroniseras den första användare som har det aktuella värdet. Efterföljande användare visas inte i Office 365. Du måste antingen ändra värdet i Office 365 eller båda värdena i den lokala katalogen för att båda användarna ska visas i Office 365.

  • mailNickname (Exchange-alias)

    • Attributvärdet får inte börja med en punkt (.).

    • Attributvärdet måste vara unikt inom katalogen.

  • proxyAddresses

    • Attribut med flera värden

    • Maximalt antal tecken per värde: 256

    • Attributvärdet får inte innehålla blanksteg.

    • Attributvärdet måste vara unikt inom katalogen.

    • Ogiltiga tecken: < > ( ) ; : , [ ] “

      Viktigt!: Alla SMTP-adresser (Simple Mail Transport Protocol) ska överensstämma med e-poststandarderna. Om det finns adressdubbletter eller oönskade adresser läser du hjälpavsnittet Ta bort dubbletter och oönskade proxyadresser i Exchange.

  • sAMAccountName

    • Maximalt antal tecken: 20

    • Attributvärdet måste vara unikt inom katalogen.

    • Ogiltiga tecken: [ \ “ | , / : < > + = ; ? * ]

    • Om en användare har ett ogiltigt sAMAccountName-attribut men ett giltigt userPrincipalName-attribut, skapas användarkontot i Office 365.

    • Om både sAMAccountName och userPrincipalName är ogiltiga måste det lokala Active DirectoryuserPrincipalName-attributet uppdateras.

  • sn (efternamn)

    • Om attributet finns i användarobjektet synkroniseras det med Office 365, men det måste inte finnas och det används inte av Office 365.

  • targetAddress

    Attributet targetAddress (till exempel SMTP:tom@contoso.com) som fylls i för användaren måste visas i GAL i Office 365. Vid migrering av tredjepartsmeddelanden innebär detta att Office 365-schematillägget krävs för den lokala katalogen. Med Office 365-schematillägget läggs också andra användbara attribut till för att hantera Office 365-objekt som fylls i med hjälp av ett katalogsynkroniseringsverktyg från den lokala katalogen. Till exempel läggs attributet msExchHideFromAddressLists till för att hantera dolda postlådor eller distributionsgrupper.

    • Maximalt antal tecken: 255

    • Attributvärdet får inte innehålla blanksteg.

    • Attributvärdet måste vara unikt inom katalogen.

    • Ogiltiga tecken: \ < > ( ) ; : , [ ] “

      Alla SMTP-adresser (Simple Mail Transport Protocol) ska överensstämma med e-poststandarderna.

  • userPrincipalName

    • Attributet userPrincipalName måste ha ett inloggningsformat som fungerar på Internet, dvs. användarnamnet följs av ett at-tecken (@) och ett domännamn, till exempel user@contoso.com.

      Alla SMTP-adresser (Simple Mail Transport Protocol) ska överensstämma med e-poststandarderna.

    • Attributet userPrincipalName får innehålla högst 113 tecken. Ett visst antal tecken tillåts före och efter at-tecknet (@) enligt följande:

      • Högsta antal tecken för det användarnamn som står före at-tecknet (@): 64

      • Högsta antal tecken för domännamn som står efter at-tecknet (@): 48

    • Ogiltiga tecken: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      Ett omljud är också ett ogiltigt tecken.

    • Tecknet @ måste finnas med i varje userPrincipalName-värde.

    • Tecknet @ får inte vara det första tecknet i ett userPrincipalName-värde.

    • Användarnamnet får inte avslutas med punkt (.), et-tecken (&), blanksteg eller at-tecken (@).

    • Användarnamnet får inte innehålla blanksteg.

    • Dirigerbara domäner måste användas. Till exempel kan inte lokala eller interna domäner användas.

    • Unicode konverteras till understreck.

    • userPrincipalName får inte innehålla dubblettvärden i katalogen.

Förbereda attributet userPrincipalName

Active Directory har utformats så att slutanvändarna i organisationen ska kunna logga in i din katalog genom att använda antingen sAMAccountName eller userPrincipalName. På samma sätt kan slutanvändarna logga in i Office 365 med användarhuvudnamnet (UPN) för sin arbets- eller skolkonto. Katalogsynkroniseringen försöker skapa nya användare i Azure Active Directory med samma UPN som finns i den lokala katalogen. UPN har samma format som en e-postadress. I Office 365 är UPN det standardattribut som används för att skapa e-postadressen. Det är lätt att ange olika värden för userPrincipalName (lokalt och i Azure Active Directory) och den primära e-postadressen i proxyAddresses. De olika värdena kan vara förvirrande för administratörer och slutanvändare.

Därför är det bäst att attributen stämmer överens. För att du ska uppfylla kraven för enkel inloggning med AD FS (Active Directory Federation Services) 2.0 måste du kontrollera att UPN-namnen i Azure Active Directory och ditt lokala Active Directory stämmer överens och använder ett giltigt domännamnsområde.

Lägga till ett alternativt UPN-suffix till AD DS

Du kanske måste lägga till ett alternativt UPN-suffix för att associera användarens företagsinloggning med Office 365-miljön. Ett UPN-suffix är den del av ett UPN som står till höger om @-tecknet. UPN-namn som används för enkel inloggning får innehålla bokstäver, siffror, punkter, bindestreck och understreck, men inga andra typer av tecken.

Mer information om hur du lägger till ett alternativt UPN-suffix i Active Directory finns i Förbereda katalogsynkronisering.

Matcha lokalt UPN med Office 365-UPN

Om du redan har konfigurerat katalogsynkronisering kanske användarens UPN för Office 365 inte överensstämmer med användarens lokala UPN som definierats i den lokala katalogen. Det kan inträffa när en användare har tilldelats en licens innan domänen verifierats. Du kan korrigera det genom att använda PowerShell för att åtgärda UPN-dubbletter och uppdatera användarens UPN så att UPN i Office 365 stämmer överens med företagets användarnamn och domän. Om du uppdaterar UPN i den lokala katalogen och vill att det ska synkroniseras med Azure Active Directory-identiteten måste du ta bort användarens licens i Office 365 innan du gör ändringar lokalt.

Se även Så här förbereder du en icke-dirigerbar domän (till exempel .local) för katalogsynkronisering.

Katalogintegreringsverktyg

Katalogsynkronisering är synkroniseringen av katalogobjekt (användare, grupper och kontakter) från den lokala Active Directory-miljön till Office 365-kataloginfrastrukturen, Azure Active Directory. I Katalogintegreringsverktyg finns en lista över tillgängliga verktyg och deras funktioner. Det rekommenderade verktyget är Microsoft Azure Active Directory Connect. Mer information om Azure Active Directory Connect finns i Integrera lokala identiteter med Azure Active Directory.

När användarkonton synkroniseras med Office 365-katalogen för första gången markeras de som ej aktiverade. De kan inte skicka eller ta emot e-post och använder inga prenumerationslicenser. När du vill tilldela Office 365-prenumerationer till specifika användare måste du välja och aktivera dem genom att tilldela en giltig licens.

Du kan också använda PowerShell för att tilldela licenser. I Så här använder du PowerShell för att automatiskt tilldela licenser till din Office 365-användare kan du läsa om en automatiserad lösning.

Närliggande avsnitt

Office 365-integrering med lokala miljöer
Åtgärda problem med katalogsynkronisering för Office 365

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Office Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×