Lên kế hoạch đồng bộ thư mục cho Office 365

Tóm tắt   : Mô tả đồng bộ thư mục với công cụ Office 365, dọn dẹp Active Directory và công cụ Kết nối Azure Active Directory.

Tùy thuộc vào nhu cầu kinh doanh, yêu cầu kỹ thuật hoặc cả hai, đồng bộ thư mục là lựa chọn cấp phép phổ biến nhất cho khách hàng doanh nghiệp đang chuyển sang Office 365. Đồng bộ thư mục cho phép quản lý các danh tính trong Active Directory tại chỗ và tất cả các bản cập nhật cho danh tính đó đều được đồng bộ với Office 365.

Có một số điều cần ghi nhớ khi bạn lập kế hoạch triển khai đồng bộ thư mục, bao gồm việc chuẩn bị thư mục, cũng như các yêu cầu và chức năng của Azure Active Directory. Việc chuẩn bị thư mục bao gồm khá nhiều lĩnh vực. Những lĩnh vực này bao gồm cập nhật thuộc tính, kiểm tra và lập kế hoạch đặt bộ kiểm soát miền. Việc lập kế hoạch các yêu cầu và chức năng bao gồm xác định các quyền cần thiết, lập kế hoạch cho tình huống nhiều rừng/thư mục, hoạch định dung lượng và đồng bộ hai chiều.

Mô hình danh tính Office 365

Office 365 sử dụng hai mô hình định danh và xác thực chính: xác thực trên đám mây và xác thực có liên kết.

Xác thực trên đám mây

Danh tính đám mây – tạo và quản lý người dùng trong Trung tâm quản trị Office 365, bạn cũng có thể sử dụng Windows PowerShell hoặc Azure Active Directory để quản lý người dùng.

Đồng bộ hàm băm mật khẩu với đăng nhập một lần liền mạch - Cách đơn giản nhất để cho phép xác thực các đối tượng thư mục tại chỗ trong Azure AD. Với đồng bộ hàm băm mật khẩu (PHS), bạn đồng bộ hóa các đối tượng tài khoản người dùng Active Directory tại chỗ của mình với Office 365 và quản lý người dùng tại chỗ.

Xác thực chuyển qua với đăng nhập một lần liền mạch - Cung cấp xác thực bằng mật khẩu đơn giản cho các dịch vụ xác thực Azure AD sử dụng tác nhân phần mềm chạy trên một hoặc nhiều máy chủ tại chỗ để xác thực người dùng trực tiếp bằng Active Directory tại chỗ của bạn.

Xác thực có liên kết

Danh tính được liên kết với Active Directory Federation Services AD FS – Chủ yếu dành cho tổ chức doanh nghiệp lớn với yêu cầu xác thực phức tạp hơn, đối tượng thư mục tại chỗ được đồng bộ hóa với Office 365 và tài khoản người dùng được quản lý tại chỗ.

Các nhà cung cấp danh tính và xác thực bên thứ ba – Các đối tượng thư mục tại chỗ có thể được đồng bộ hóa với Office 365 và quyền truy nhập tài nguyên đám mây được quản lý chủ yếu bởi nhà cung cấp danh tính bên thứ ba (IdP).

Dọn sạch Active Directory

Nhằm đảm bảo chuyển tiếp liền mạch sang Office 365 bằng cách đồng bộ, chúng tôi khuyên bạn nên chuẩn bị rừng Active Directory của mình trước khi bắt đầu triển khai đồng bộ thư mục Office 365.

Khi bạn thiết lập đồng bộ thư mục trong Office 365, một trong các bước là tải xuống và chạy công cụ IdFix. Bạn có thể sử dụng công cụ IdFix để hỗ trợ dọn dẹp thư mục.

Việc dọn dẹp thư mục của bạn nên tập trung vào các nhiệm vụ sau:

  • Loại bỏ các thuộc tính proxyAddress và userPrincipalName trùng lặp.

  • Cập nhật các thuộc tính userPrincipalName trống và không hợp lệ bằng các thuộc tính userPrincipalName hợp lệ.

  • Loại bỏ các ký tự không hợp lệ và đáng nghi trong các thuộc tính givenName, họ (sn), sAMAccountName, displayName, mail, proxyAddresses, mailNickname và userPrincipalName. Để biết chi tiết về việc chuẩn bị thuộc tính, hãy xem Danh sách các thuộc tính được đồng bộ bằng Công cụ Đồng bộ Azure Active Directory.

    Lưu ý: Đó cũng là các thuộc tính mà Kết nối Azure AD đồng bộ.

Cân nhắc khi Triển khai Nhiều rừng

Đối với nhiều rừng và tùy chọn SSO, hãy sử dụng Cài đặt Tùy chỉnh Azure AD Connect.

Nếu tổ chức của bạn có nhiều rừng dành cho xác thực (rừng đăng nhập), chúng tôi khuyên bạn như sau:

  • Đánh giá việc hợp nhất các rừng của bạn.    Thông thường, chi phí để duy trì nhiều rừng thường cao hơn. Trừ khi tổ chức của bạn có những ràng buộc về bảo mật dẫn đến phải tách biệt các rừng, hãy cân nhắc việc đơn giản hóa môi trường tại chỗ của bạn.

  • Chỉ sử dụng trong rừng đăng nhập chính của bạn.    Cân nhắc việc chỉ triển khai Office 365 trong rừng đăng nhập chính của bạn trong lần đầu triển khai Office 365.

Nếu bạn không thể hợp nhất việc triển khai Active Directory nhiều rừng hoặc đang sử dụng các dịch vụ thư mục khác để quản lý danh tính, bạn có thể đồng bộ danh tính với sự trợ giúp của Microsoft hoặc một đối tác.

Để biết thêm thông tin, hãy xem Tình huống Đồng bộ Thư mục Nhiều rừng với Đăng nhập Một lần

Công cụ Tích hợp Thư mục

Đồng bộ hóa thư mục là quá trình đồng bộ hóa các đối tượng trong thư mục (người dùng, nhóm và liên hệ) từ môi trường Active Directory tại chỗ của bạn đến cơ sở hạ tầng thư mục Office 365. Hãy xem công cụ tích hợp thư mục để biết danh sách các công cụ sẵn dùng và chức năng của chúng. Công cụ được đề xuất sử dụng là Azure Active Directory Connect.

Khi các tài khoản người dùng được đồng bộ với thư mục Office 365 lần đầu, chúng được đánh dấu là chưa kích hoạt. Các tài khoản này không thể gửi hay nhận email và không sử dụng giấy phép đăng ký. Khi bạn đã sẵn sàng gán đăng ký Office 365 cho người dùng cụ thể, bạn phải chọn và kích hoạt họ bằng cách gán cho họ một giấy phép hợp lệ.

Đồng bộ thư mục là bắt buộc đối với các tính năng và chức năng sau đây:

  • SSO.

  • Tồn tại song song Lync.

  • Triển khai hỗn hợp Exchange, bao gồm:

    • Danh sách địa chỉ toàn cầu được chia sẻ toàn bộ (GAL) giữa môi trường Exchange tại chỗ của bạn và Office 365.

    • Đồng bộ thông tin GAL từ các hệ thống thư khác nhau.

    • Khả năng thêm người dùng và xóa người dùng khỏi dịch vụ Office 365. Khả năng này yêu cầu như sau:

      • Đồng bộ hai chiều phải được đặt cấu hình trong khi thiết lập đồng bộ thư mục. Theo mặc định, các công cụ đồng bộ thư mục chỉ ghi thông tin thư mục lên đám mây. Khi bạn đặt cấu hình đồng bộ hai chiều, bạn bật chức năng ghi lại sao cho một số ít thuộc tính của đối tượng được sao chép từ đám mây, và sau đó ghi chúng lại vào Active Directory cục bộ của bạn. Ghi lại cũng được gọi là chế độ Trao đổi hỗn hợp.

      • Triển khai hỗn hợp Exchange tại chỗ

    • Khả năng di chuyển một số hộp thư của người dùng đến Office 365 trong khi vẫn giữ các hộp thư của người dùng khác tại chỗ.

    • Người gửi an toàn và người gửi bị chặn tại chỗ đều được sao chép đến Office 365.

    • Chức năng ủy quyền cơ bản và email gửi hộ.

    • Bạn có một thẻ thông minh tại chỗ tích hợp hoặc giải pháp xác thực bằng nhiều yếu tố.

  • Đồng bộ ảnh, hình thu nhỏ, phòng họp và nhóm bảo mật.

Xem thêm

Nâng cấp từ đồng bộ Azure Active Directory (DirSync) lên Azure AD connect

Lịch sử phát hành Azure AD Connect

Phát triển kỹ năng Office của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Người dùng nội bộ Office

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×