Chuẩn bị để cung cấp người dùng thông qua việc đồng bộ hóa thư mục với Office 365

Việc cung cấp cho người dùng chức năng đồng bộ hóa thư mục đòi hỏi phải lên kế hoạch và chuẩn bị nhiều hơn so với việc chỉ quản lý tài khoản công ty hoặc trường học của bạn trực tiếp trong Office 365. Cần thực hiện thêm việc lên kế hoạch và chuẩn bị để đảm bảo rằng Active Directory tại cơ sở sẽ đồng bộ hóa đúng cách với Azure Active Directory. Những lợi ích khác cho tổ chức của bạn bao gồm:

  • Giảm các chương trình quản trị trong tổ chức của bạn

  • Cho phép bạn tùy chọn những tình huống đăng nhập đơn

  • Tự động hóa những thay đổi tài khoản trong Office 365

Để biết thêm thông tin về những ưu điểm của việc sử dụng đồng bộ hóa thư mục, hãy xem phần Lộ trình đồng bộ hóa thư mục và Tìm hiểu về Căn cước Office 365 và Azure Active Directory.

Để xác định kịch bản phù hợp nhất với tổ chức của bạn, hãy xem xét so sánh các công cụ tích hợp thư mục.

Tác vụ dọn sạch thư mục

Trước khi bạn bắt đầu đồng bộ hóa thư mục của mình, bạn cần làm sạch thư mục.

Đồng thời xem xét thuộc tính được đồng bộ hóa với Azure Active Directory qua Azure AD Connect.

Cảnh báo: Sẽ có ảnh hưởng tiêu cực đáng kể lên quy trình triển khai nếu bạn không thực hiện dọn sạch thư mục trước khi đồng bộ hóa. Có thể mất nhiều ngày hoặc thậm chí nhiều tuần để thực hiện chu trình đồng bộ hóa thư mục, nhận diện lỗi và tái đồng bộ hóa.

Trong thư mục tại cơ sở của bạn, hãy thực hiện các tác vụ dọn sạch sau:

  • Hãy đảm bảo rằng khi mỗi người dùng được cấp cho những ưu đãi dịch vụ Office 365 thì họ có một địa chỉ email hợp lệ và duy nhất trong thuộc tính proxyAddresses.

  • Loại bỏ bất kỳ các giá trị trùng lặp trong thuộc tính proxyAddresses.

  • Nếu có thể, hãy đảm bảo rằng từng người dùng khi được cấp cho những ưu đãi về dịch vụ Office 365 thì họ sẽ có một giá trị hợp lệ và duy nhất cho thuộc tính userPrincipalName trong đối tượng user của người dùng. Để có được trải nghiệm đồng bộ hóa tốt nhất, hãy đảm bảo rằng UPN Active Directory tại chỗ khớp với UPN trên đám mây. Nếu người dùng không có giá trị cho thuộc tính userPrincipalName thì đối tượng user phải chứa một giá trị hợp lệ và duy nhất cho thuộc tính sAMAccountName. Hãy loại bỏ mọi giá trị trùng lặp trong thuộc tính userPrincipalName.

  • Để sử dụng tối ưu danh sách địa chỉ toàn cầu (GAL), hãy đảm bảo thông tin trong những thuộc tính sau là chính xác:

    • givenName

    • surname

    • displayName

    • Chức vụ

    • Phòng ban

    • Văn phòng

    • Điện thoại Văn phòng

    • Điện thoại Di động

    • Số Fax

    • Địa chỉ Đường

    • Thành phố

    • Bang hoặc Tỉnh

    • ZIP hoặc Mã Bưu chính

    • Quốc gia hoặc Khu vực

Chuẩn bị cho đối tượng và thuộc tính của thư mục

Đồng bộ hóa thư mục thành công giữa thư mục tại chỗ và Office 365 sẽ yêu cầu chuẩn bị đúng cách các thuộc tính của thư mục tại chỗ. Ví dụ: bạn cần phải đảm bảo rằng ký tự đặc biệt không được sử dụng trong một số thuộc tính nhất định vốn được đồng bộ hóa với môi trường Office 365. Ký tự không mong đợi không gây ảnh hưởng cho quá trình đồng bộ hóa thư mục nhưng có thể sẽ trả về một cảnh báo. Ký tự không hợp lệ sẽ khiến quá trình đồng bộ hóa thư mục không thực hiện được.

Quá trình đồng bộ hóa thư mục cũng sẽ không thành công nếu một số người dùng Active Directory có một hoặc nhiều thuộc tính trùng lặp. Mỗi người dùng phải có các thuộc tính duy nhất.

Các thuộc tính mà bạn cần chuẩn bị đều được liệt kê tại đây:

LƯU Ý: Bạn cũng có thể dùng công cụ IdFix để thực hiện quá trình này dễ dàng hơn.

  • displayName

    • Nếu thuộc tính tồn tại trong đối tượng người dùng, nó sẽ được đồng bộ hóa với Office 365.

    • Nếu thuộc tính này tồn tại trong đối tượng người dùng thì phải có một giá trị dành cho thuộc tính đó. Nghĩa là, thuộc tính không được để trống.

    • Số ký tự tối đa: 255

  • givenName

    • Nếu thuộc tính tồn tại trong đối tượng người dùng, nó sẽ được đồng bộ hóa với Office 365, nhưng Office 365 không yêu cầu hoặc không dùng nó.

    • Số ký tự tối đa: 63

  • mail

    • Giá trị thuộc tính phải là duy nhất trong thư mục.

      Ghi chú: Nếu không có các giá trị trùng lặp, người dùng đầu tiên có giá trị này sẽ được đồng bộ hóa. Người dùng tiếp theo sẽ không xuất hiện trong Office 365. Bạn phải sửa đổi giá trị trong Office 365 hoặc sửa đổi cả hai giá trị trong thư mục tại chỗ theo thứ tự cho cả hai người dùng xuất hiện trong Office 365.

  • mailNickname (bí danh Exchange)

    • Giá trị thuộc tính không thể bắt đầu bằng một dấu chấm (.).

    • Giá trị thuộc tính phải là duy nhất trong thư mục.

  • proxyAddresses

    • Thuộc tính đa giá trị

    • Số ký tự tối đa cho mỗi giá trị: 256

    • Giá trị thuộc tính không được chứa một khoảng trống.

    • Giá trị thuộc tính phải là duy nhất trong thư mục.

    • Ký tự không hợp lệ: < > ( ) ; , [ ] “

      Lưu ý rằng các ký tự không hợp lệ áp dụng cho các ký tự đi sau dấu tách kiểu và ":", chẳng hạn như SMTP:User@contso.com được cho phép nhưng SMTP:user:M@contoso.com thì không.

      Quan trọng: Tất cả địa chỉ Giao thức Truyền tải Thư tín Đơn giản (SMTP) nên tuân theo các tiêu chuẩn gửi email. Nếu tồn tại những địa chỉ trùng lặp hoặc không mong muốn, hãy xem chủ đề Trợ giúp Loại bỏ địa chỉ proxy trùng lặp và không mong muốn trong Exchange.

  • sAMAccountName

    • Số ký tự tối đa: 20

    • Giá trị thuộc tính phải là duy nhất trong thư mục.

    • Ký tự không hợp lệ: [ \ “ | , / : < > + = ; ? * ]

    • Nếu người dùng có một thuộc tính sAMAccountName không hợp lệ nhưng có một thuộc tính userPrincipalName hợp lệ, thì tài khoản người dùng sẽ được tạo ra trong Office 365.

    • Nếu sAMAccountNameuserPrincipalName đều không hợp lệ, thì thuộc tính Active DirectoryuserPrincipalName tại cơ sở phải được cập nhật.

  • sn (họ)

    • Nếu thuộc tính tồn tại trong đối tượng người dùng, nó sẽ được đồng bộ hóa với Office 365, nhưng Office 365 không yêu cầu hoặc không dùng nó.

  • targetAddress

    Theo yêu cầu, thuộc tính targetAddress (ví dụ: SMTP:tom@contoso.com) được cấp cho người dùng phải xuất hiện trong GAL của Office 365. Trong những kịch bản di chuyển thư của bên thứ ba, điều này yêu cầu phần mở rộng sơ đồ của Office 365 cho thư mục tại cơ sở. Phần mở rộng sơ đồ của Office 365 cũng sẽ thêm các thuộc tính hữu ích khác để quản lý các đối tượng Office 365 được cấp bằng cách dùng công cụ đồng bộ hóa thư mục từ thư mục tại chỗ. Ví dụ: thuộc tính msExchHideFromAddressLists để quản lý hộp thư ẩn hoặc nhóm phân phối sẽ được thêm vào.

    • Số ký tự tối đa: 255

    • Giá trị thuộc tính không được chứa một khoảng trống.

    • Giá trị thuộc tính phải là duy nhất trong thư mục.

    • Ký tự không hợp lệ: \ < > ( ) ; , [ ] “

      Tất cả địa chỉ Giao thức Truyền tải Thư tín Đơn giản (SMTP) nên tuân theo các tiêu chuẩn gửi email.

  • userPrincipalName

    • Thuộc tính userPrincipalName phải ở định dạng đăng nhập kiểu Internet trong đó tên người dùng được tiếp theo sau dấu @ và tên miền: ví dụ như user@contoso.com.

      Tất cả địa chỉ Giao thức Truyền tải Thư tín Đơn giản (SMTP) nên tuân theo các tiêu chuẩn gửi email.

    • Số ký tự tối đa cho thuộc tính userPrincipalName là 113. Số lượng ký tự cụ thể được cho phép trước và sau dấu a còng (@) như sau:

      • Số ký tự tối đa cho tên người dùng nằm trước dấu a còng (@): 64

      • Số ký tự tối đa cho tên miền theo sau dấu a còng (@): 48

    • Ký tự không hợp lệ: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      dấu umlaut cũng là ký tự không hợp lệ.

    • Ký tự @ được yêu cầu trong mỗi giá trị userPrincipalName.

    • Ký tự @ không thể là ký tự đầu tiên trong mỗi giá trị userPrincipalName.

    • Tên người dùng không thể kết thúc bằng một dấu chấm (.), dấu và (&), khoảng trắng, hoặc dấu a còng (@).

    • Tên người dùng không thể chứa bất kỳ khoảng trắng nào.

    • Phải sử dụng tên miền có thể định tuyến; ví dụ, tên miền nội bộ hoặc nội bộ không dùng được.

    • Unicode được chuyển đổi sang ký tự gạch dưới.

    • userPrincipalName không thể chứa bất kỳ giá trị trùng lặp nào trong thư mục.

Chuẩn bị thuộc tính userPrincipalName

Active Directory được thiết kế để cho phép người dùng cuối trong tổ chức của bạn đăng nhập vào thư mục của bạn bằng cách sử dụng sAMAccountName hoặc userPrincipalName. Tương tự như vậy, người dùng cuối có thể đăng nhập vào Office 365 bằng cách sử dụng tên chính người dùng (UPN) của tài khoản công ty hoặc trường học. Đồng bộ hóa thư mục tìm cách tạo người dùng mới trong Azure Active Directory bằng cách sử dụng cùng một UPN vốn nằm trong thư mục tại chỗ của bạn. UPN được định dạng giống như một địa chỉ email. Trong Office 365, UPN là thuộc tính mặc định được dùng để tạo địa chỉ email. Thật dễ dàng để có được userPrincipalName (tại chỗ và trong Azure Active Directory) và địa chỉ email chính trong proxyAddresses được đặt các giá trị khác nhau. Khi chúng được đặt các giá trị khác nhau, người quản trị và người dùng cuối có thể sẽ gặp chút nhầm lẫn.

Tốt nhất hãy căn chỉnh các thuộc tính này để giảm bớt sự nhầm lẫn. Để đáp ứng các yêu cầu của đăng nhập đơn với Dịch vụ Liên kết Active Directory (AD FS) 2.0, bạn cần phải đảm bảo rằng các UPN Azure Active Directory và Active Directory tại cơ sở phải khớp và đang dùng một không gian tên miền hợp lệ.

Thêm một hậu tố UPN khác vào AD DS

Bạn có thể cần phải thêm một hậu tố UPN khác để liên kết thông tin xác thực công ty của người dùng với môi trường Office 365. Hậu tố UPN là một phần của một UPN ở bên phải của ký tự @. Các UPN được dùng cho đăng nhập đơn có thể chứa chữ cái, số, dấu chấm, dấu gạch ngang và dấu gạch dưới, nhưng không được chứa loại ký tự khác.

Để biết thêm thông tin về cách thêm hậu tố UPN khác vào Active Directory, hãy xem Chuẩn bị cho việc đồng bộ hóa thư mục.

Khớp UPN tại cơ sở với UPN của Office 365

Nếu bạn đã thiết lập đồng bộ hóa thư mục, UPN của người dùng dành cho Office 365 có thể không khớp UPN tại cơ sở của người dùng vốn được xác định trong dịch vụ thư mục tại cơ sở. Điều này có thể xảy ra khi một người dùng đã được gán giấy phép trước khi tên miền đã được kiểm chứng. Để khắc phục vấn đề này, hãy sử dụng PowerShell để khắc phục vấn đề UPN trùng lặp để cập nhật UPN của người dùng nhằm đảm bảo rằng UPN của Office 365 sẽ khớp tên người dùng và tên miền của công ty. Nếu bạn đang cập nhật UPN trong dịch vụ thư mục tại cơ sở và muốn nó đồng bộ hóa với căn cước Azure Active Directory, bạn cần loại bỏ giấy phép của người dùng trong Office 365 trước khi thực hiện thay đổi trên hệ thống tại cơ sở.

Ngoài ra, hãy xem mục Cách chuẩn bị miền không thể định tuyến (như miền .local) để đồng bộ hóa thư mục.

Công cụ Tích hợp Thư mục

Đồng bộ hóa thư mục là đồng bộ hóa các đối tượng trong thư mục (người dùng, nhóm và liên hệ) từ môi trường Active Directory tại chỗ với cơ sở hạ tầng thư mục Office 365, Azure Active Directory. Hãy xem mục Công cụ Tích hợp Thư mục để biết danh sách các công cụ sẵn có và chức năng của chúng. Công cụ được khuyến nghị là Microsoft Azure Active Directory Connect. Để biết thêm thông tin về Kết nối Azure Active Directory, hãy xem mục Tích hợp danh tính tại chỗ với Azure Active Directory.

Khi tài khoản người dùng được đồng bộ hóa với thư mục Office 365 lần đầu tiên, chúng được đánh dấu là chưa được kích hoạt. Những tài khoản này không thể gửi hay nhận email và không sử dụng được các giấy phép thuê bao. Khi bạn sẵn sàng gán thuê bao Office 365 cho những người dùng cụ thể, bạn phải chọn và kích hoạt chúng bằng cách gán giấy phép hợp lệ.

Bạn cũng có thể dùng PowerShell để gán giấy phép. Hãy xem Làm thế nào Dùng PowerShell để Tự động Gán Giấy phép cho Người dùng Office 365 Của bạn để biết một giải pháp tự động hóa.

Chủ đề Liên quan

Tích hợp Office 365 với các môi trường tại chỗ
Khắc phục sự cố đồng bộ hóa thư mục cho Office 365

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Người dùng nội bộ Office

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×