Підготовка до надання користувачам доступу до Office 365 через синхронізацію служби каталогів

На відміну від простого керування робочим або навчальним обліковим записом безпосередньо в Office 365, підготовка користувачів до синхронізації служби каталогів передбачає ґрунтовніше планування й підготовку. Знадобиться виконати додаткові завдання, щоб забезпечити належну синхронізацію локальної служби Active Directory з Azure Active Directory. Синхронізація служби каталогів для вашої організації дає певні переваги:

  • зменшення кількості адміністративних програм в організації;

  • можливість увімкнення функції єдиного входу (необов’язково);

  • автоматичне змінення облікового запису в Office 365.

Докладні відомості про переваги синхронізації служби каталогів див. в статтях Стратегія синхронізації служби каталогів і Поняття ідентичності Office 365 і основи Azure Active Directory.

Щоб визначити оптимальний сценарій для своєї організації, перегляньте порівняння інструментів інтеграції каталогів.

Очищення каталогу

Перш ніж почати синхронізацію свого каталогу, його потрібно очистити.

Також вивчіть атрибути, що синхронізуються з Azure Active Directory за допомогою Azure AD Connect.

Попередження : Якщо не очистити каталог перед синхронізацією, розгортання може значно ускладнитися. Для синхронізації каталогу, пошуку помилок і повторної синхронізації може знадобитися кілька днів або навіть тижнів.

Очистьте свій локальний каталог, зробивши ось що:

  • Переконайтеся, що всі користувачі, яких ви збираєтеся перенести до служби Office 365, мають припустимі й унікальні адреси електронної пошти в атрибуті proxyAddresses.

  • Видаліть будь-які повторювані значення з атрибута proxyAddresses.

  • Якщо це можливо, переконайтеся, що всі користувачі, для яких буде призначено пропозицію з використання служби Office 365, мають дійсні й унікальні значення атрибута userPrincipalName в об’єкті user користувача. Щоб синхронізація пройшла ефективніше, переконайтеся, що локальний суфікс UPN Active Directory збігається з хмарним суфіксом UPN. Якщо відсутнє значення атрибута userPrincipalName користувача, тоді об’єкт user має містити дійсне й унікальне значення атрибута sAMAccountName. Видаліть будь-які повторювані значення з атрибута userPrincipalName.

  • Щоб забезпечити належне використання глобального списку адрес (GAL), перевірте, чи правильні значення мають такі атрибути:

    • givenName (Призначене ім’я)

    • surname (Прізвище)

    • displayName (Коротке ім’я)

    • Job Title (Посада)

    • Department (Підрозділ)

    • Office (Кабінет)

    • Office Phone (Робочий телефон)

    • Mobile Phone (Мобільний телефон)

    • Fax Number (Номер факсу)

    • Вулиця

    • City (Місто)

    • State or Province (Область або республіка)

    • ZIP or Postal Code (Поштовий індекс)

    • Country or Region (Країна або регіон)

Підготовка об’єкта й атрибута каталогу

Вдала синхронізації служби каталогів між вашим локальним каталогом і Office 365 передбачає належну підготовку атрибутів локального каталогу. Наприклад, потрібно зробити так, щоб певні символи не використовувалися в певних атрибутах, синхронізованих із середовищем Office 365. Неочікувані символи не призводять до зупинки синхронізації служби каталогів, але можуть викликати появу повідомлення з попередженням. Неприпустимі символи призведуть до зупинки синхронізації служби каталогів.

Синхронізація служби каталогів також завершиться помилкою, якщо деякі користувачі Active Directory мають один або кілька повторюваних атрибутів. Кожен користувач повинен мати унікальні атрибути.

Ось атрибути, які потрібно підготувати:

ПРИМІТКА. Також можна скористатися засобом IdFix, щоб суттєво спростити цей процес.

  • displayName

    • Якщо атрибут існує в об’єкті користувача, його буде синхронізовано з Office 365.

    • Якщо цей атрибут існує в об’єкті користувача, для нього має бути вказано значення. Тому цей атрибут не можна залишати пустим.

    • Максимальна кількість символів: 255

  • givenName

    • Якщо цей атрибут існує в об’єкті користувача, його буде синхронізовано з Office 365, але в службі Office 365 він не вимагається або не використовується.

    • Максимальна кількість символів: 63

  • mail

    • На рівні каталогу значення атрибута має бути унікальне.

      Примітка : Якщо значення повторюються, синхронізуються дані першого користувача з цим значенням. Інші користувачі в Office 365 не відображаються. Щоб відобразити обох користувачів у цій службі, потрібно змінити значення в Office 365 або обидва значення в локальному каталозі.

  • mailNickname (Псевдонім Exchange)

    • Значення атрибута не може починатися крапкою (.).

    • На рівні каталогу значення атрибута має бути унікальне.

  • proxyAddresses

    • Атрибут із кількома значеннями

    • Максимальна кількість символів одного значення: 256

    • Значення атрибута не може містити пробіл.

    • На рівні каталогу значення атрибута має бути унікальне.

    • Неприпустимі символи: < > ( ) ; : , [ ] “

      Увага! : Усі адреси SMTP мають відповідати стандартам повідомлень електронної пошти. Якщо є повторювані або непотрібні адреси, див. статтю Видалення повторюваних або непотрібних адрес проксі-серверів у службі Exchange.

  • sAMAccountName

    • Максимальна кількість символів: 20

    • На рівні каталогу значення атрибута має бути унікальне.

    • Неприпустимі символи: [ \ “ | , / : < > + = ; ? * ]

    • Якщо в об‘єкті користувача є неприпустимий атрибут sAMAccountName і припустимий атрибут userPrincipalName, у службі Office 365 створиться обліковий запис.

    • Якщо неприпустимі значення обох атрибутів (sAMAccountName і userPrincipalName), локальний атрибут Active DirectoryuserPrincipalName потрібно оновити.

  • sn (Прізвище)

    • Якщо цей атрибут існує в об’єкті користувача, його буде синхронізовано з Office 365, але в службі Office 365 він не вимагається або не використовується.

  • targetAddress

    Атрибут targetAddress (наприклад, SMTP:oleh@contoso.com), який зазначається для користувача, має відображатися в полі GAL служби Office 365. У сценаріях перенесення сторонніх служб обміну миттєвими повідомленнями вимагається розширення схеми Office 365 для локального каталогу. Крім того, розширення схеми Office 365 додасть інші корисні атрибути для керування об’єктами Office 365, які зазначаються під час використання засобу синхронізації служби каталогів із локального каталогу. Наприклад, воно додасть атрибут msExchHideFromAddressLists для керування прихованими поштовими скриньками або групами розсилки.

    • Максимальна кількість символів: 255

    • Значення атрибута не може містити пробіл.

    • На рівні каталогу значення атрибута має бути унікальне.

    • Неприпустимі символи: \ < > ( ) ; : , [ ] “

      Усі адреси SMTP мають відповідати стандартам повідомлень електронної пошти.

  • userPrincipalName

    • Атрибут userPrincipalName потрібно вказувати у форматі облікових даних для входу в Інтернеті, де за іменем користувача слідує символ @ та ім’я домену (наприклад, користувач@contoso.com).

      Усі адреси SMTP мають відповідати стандартам повідомлень електронної пошти.

    • Максимальна кількість символів атрибута userPrincipalName становить 113. До та після символу @ можна ввести тільки певну кількість символів, наприклад:

      • максимальна кількість символів імені користувача, яке передує символу @: 64

      • максимальна кількість символів в імені домену після равлика (@): 48

    • Неприпустимі символи: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      Умляут також вважається неприпустимим символом.

    • Символ равлика (@) потрібно вводити в кожному значенні атрибута userPrincipalName.

    • Символ равлика (@) не може бути першим символом значення атрибута userPrincipalName.

    • Ім’я користувача не може закінчуватися крапкою (.), амперсандом (&), символом пробілу або символом равлика (@).

    • Ім’я користувача не може містити символ пробілу.

    • Потрібно використовувати керовані домени. Наприклад, використовувати локальні або внутрішні домени не можна.

    • Символи Юнікоду перетворюються на символи підкреслення.

    • Атрибут userPrincipalName не може містити повторювані значення в каталозі.

Підготовка атрибута userPrincipalName

Active Directory дає змогу користувачам вашої організації входити в каталог, використовуючи ім’я sAMAccountName або userPrincipalName. Так само вони можуть входити в Office 365 за допомогою імені учасника-користувача (UPN) або власних робочих чи навчальних облікових записів. Під час синхронізації служби каталогів служба спробує створити нових користувачів в Azure Active Directory, використовуючи ім’я UPN, зазначене у вашому локальному каталозі. Ім’я UPN указується у форматі адреси електронної пошти. В Office 365 ім’я UPN – це атрибут за замовчуванням, який використовується, щоб створити адресу електронної пошти. Ім’я userPrincipalName (локальне та ім’я в Azure Active Directory) і основна адреси електронної пошти в атрибуті proxyAddresses можуть виявитися різними. Якщо це станеться, адміністратори й користувачі можуть заплутатися.

Радимо виправити ці атрибути, щоб уникнути плутанини. Щоб задовольнити вимогам єдиного входу, висунутим Служба об’єднання AD FS 2.0, потрібно переконатися, що імена UPN в Azure Active Directory та в локальній службі Active Directory збігаються та використовуються припустимі простори імен домену.

Додавання додаткового суфікса UPN до служби AD DS

Можливо, знадобиться додати суфікс UPN, щоб пов’язати корпоративні облікові дані користувача із середовищем Office 365. Суфікс UPN – це частина імені UPN, що слідує за символом @. Імена UPN, які використовуються для єдиного входу, можуть містити тільки букви, цифри, крапки, тире й символи підкреслення.

Докладні відомості про додавання суфікса UPN до Active Directory див. в статті Підготовка до синхронізації служби каталогів.

Зіставлення локального імені UPN з іменем UPN у службі Office 365

Якщо синхронізацію служби каталогів уже настроєно, ім’я UPN користувача для Office 365 може не збігатися з його локальним іменем UPN, визначеним у вашій локальній службі каталогів. Це може статися, якщо користувачеві призначено ліцензію ще до перевірки домену. Вирішити цю проблему можна, скориставшись сценарієм PowerShell для видалення повторюваних імен UPN. Так ви оновите ім’я UPN користувача й переконаєтеся, що ім’я UPN в Office 365 збігається з корпоративним іменем користувача й доменом. Якщо ім’я UPN оновлюється в локальній службі каталогів і його потрібно синхронізувати з ідентичністю Azure Active Directory, знадобиться видалити ліцензію користувача в Office 365, перш ніж вносити зміни на локальному рівні.

Також див. Інструкції з підготовки домену без підтримки маршрутизації (наприклад .local) для синхронізації служби каталогів.

Інструменти інтеграції каталогів

Синхронізація служби каталогів – це синхронізація об’єктів каталогів (користувачів, груп і контактів) вашого локального середовища Active Directory з інфраструктурою каталогів Office 365 (Azure Active Directory). Докладніше про доступні засоби інтеграції каталогів можна дізнатися тут. Ми радимо використовувати Microsoft Azure Active Directory Connect. Докладні відомості про Azure Active Directory Connect див. в статті Інтеграція локальних посвідчень з Azure Active Directory.

Якщо облікові записи користувачів синхронізуються з каталогом Office 365 уперше, вони позначаються як неактивовані. З них не можна надсилати й отримувати електронну пошту, і для них не вимагаються ліцензії на передплати. Щоб пов’язати передплату Office 365 з певним користувачем, виберіть його й активуйте, призначивши йому дійсну ліцензію.

Крім того, призначити ліцензії користувачам Office 365 можна автоматично, використовуючи оболонку PowerShell (докладніше про це).

Пов’язані теми

Інтеграція Office 365 із локальними середовищами
Усунення проблем із синхронізацією служби каталогів в Office 365

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×