准备通过目录同步将用户设置到 Office 365

为用户设置目录同步不仅仅只是直接在 Office 365 中管理 工作或学校帐户,还需要详细的规划和准备。需要执行其他计划和准备任务来确保本地 Active Directory 正确同步到 Azure Active Directory。为组织带来的额外好处包括:

  • 减少你的组织中的管理程序

  • 选择性地启用单一登录方案

  • 自动化 Office 365 中的帐户更改

有关使用目录同步的优点的详细信息,请参阅目录同步路线图了解 Office 365 身份和 Azure Active Directory

若要确定哪个方案最适合你的组织,请查看目录集成工具比较

目录清理任务

在开始同步目录之前,你需要清理你的目录。

此外,也请查看通过 Azure AD Connect 同步到 Azure Active Directory 的属性

警告: 如果同步之前不执行目录清理,则可能会对部署过程产生重大负面影响。完成目录同步周期、识别错误和重新同步可能需要数天或甚至数周。

在你的本地目录中,执行下列清理任务:

  • 确保分配有 Office 365 服务的每个用户都在 proxyAddresses 属性中具有有效且唯一的电子邮件地址。

  • 删除 proxyAddresses 属性中的任何重复值。

  • 如果可能,请确保分配有 Office 365 服务的每个用户在用户的 user 对象中均具有有效且唯一的 userPrincipalName 属性值。为获得最佳同步体验,请确保本地 Active Directory UPN 与云 UPN 相匹配。如果用户没有 userPrincipalName 属性值,则 user 对象必须包含有效且唯一的 sAMAccountName 属性值。删除 userPrincipalName 属性中的任何重复值。

  • 为合理利用全局地址列表 (GAL),请确保下列属性中的信息是正确的:

    • 名字

    • 姓氏

    • 显示姓名

    • 职务

    • 部门

    • 办公室

    • 办公室电话

    • 移动电话

    • 传真号码

    • 街道地址

    • 城市

    • 省/自治区/直辖市

    • 邮政编码

    • 国家/地区

目录对象和属性准备

本地目录和 Office 365 之间成功的目录同步要求你的本地目录属性已妥善准备。例如,你需要确保与 Office 365 环境同步的某些属性中不会使用特定字符。意外字符不会导致目录同步失败,但可能会返回一条警告。无效字符将导致目录同步失败。

如果某些 Active Directory 用户具有一个或多个重复的属性,目录同步也将失败。每个用户必须具有唯一的属性。

下面列出了你需要准备的属性:

请注意:也可以使用 IdFix 工具更轻松地执行此过程。

  • displayName

    • 如果用户对象中存在该属性,则它将与 Office 365 同步。

    • 如果用户对象中存在此属性,则属性必须有值。 也就是说,属性不能为空。

    • 最大字符数:255

  • givenName

    • 如果用户对象中存在该属性,则它将与 Office 365 同步,但 Office 365 不需要或不使用它。

    • 最大字符数:63

  • mail

    • 属性值在目录中必须是唯一的。

      注意: 如果有重复值,则将同步使用该值的第一个用户。后续用户将不会显示在 Office 365 中。必须修改 Office 365 中的值,或者修改本地目录中的两个值,以便两个用户都出现在 Office 365 中。

  • mailNickname(Exchange 别名)

    • 属性值不能以句点 (.) 开头。

    • 属性值在目录中必须是唯一的。

  • proxyAddresses

    • 多值属性

    • 每个值的最大字符数:256

    • 属性值不得包含空格。

    • 属性值在目录中必须是唯一的。

    • 无效字符:< > ( ) ; , [ ] “

      请注意,无效字符适用于后跟类型分隔符和“:”的字符,例如:允许使用 SMTP:User@contso.com,不允许使用 SMTP:user:M@contoso.com。

      重要: 所有简单邮件传输协议 (SMTP) 地址应遵守电子邮件消息传递标准。 如果存在重复或不需要的地址,请参阅帮助主题删除 Exchange 中重复或不需要的代理地址

  • sAMAccountName

    • 最大字符数:20

    • 属性值在目录中必须是唯一的。

    • 无效的字符:[ \ “ | , / : < > + = ; ? * ]

    • 如果用户具有无效的 sAMAccountName 属性,但具有有效的 userPrincipalName 属性,则将在 Office 365 中创建用户帐户。

    • 如果 sAMAccountNameuserPrincipalName 都无效,则必须更新 Active DirectoryuserPrincipalName 属性。

  • sn(姓氏)

    • 如果用户对象中存在该属性,则它将与 Office 365 同步,但 Office 365 不需要或不使用它。

  • targetAddress

    为用户填充的 targetAddress 属性(例如,SMTP:tom@contoso.com)必须出现在 Office 365 GAL 中。在第三方消息迁移方案中,这将需要本地目录的 Office 365 架构扩展。Office 365 架构扩展也会添加其他有用的属性来管理使用目录同步工具从跟本地目录填充的 Office 365 对象。 例如,将添加 msExchHideFromAddressLists 属性来管理隐藏的邮箱或通讯组。

    • 最大字符数:255

    • 属性值不得包含空格。

    • 属性值在目录中必须是唯一的。

    • 无效字符:\ < > ( ) ; , [ ] “

      所有简单邮件传输协议 (SMTP) 地址应遵守电子邮件消息传递标准。

  • userPrincipalName

    • userPrincipalName 属性必须采用 Internet 样式的登录格式,其中,用户名后跟 @ 符号和域名:例如,user@contoso.com。

      所有简单邮件传输协议 (SMTP) 地址应遵守电子邮件消息传递标准。

    • userPrincipalName 属性的最大字符数为 113。 @ 符号之前和之后允许使用特定数目的字符,如下所示:

      • @ 符号之前用户名的最大字符数:64

      • @ 符号之后域名的最大字符数:48

    • 无效的字符:\ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      变音符号也是无效的字符。

    • 每个 userPrincipalName 值都需要 @ 字符。

    • @ 字符不能是每个 userPrincipalName 值中的第一个字符。

    • 用户名不能以句点 (.)、与号 (&)、空格或 @ 符号结尾。

    • 用户名不能包含任何空格。

    • 必须使用可路由域;例如,不能本地或内部域。

    • Unicode 将转换为下划线字符。

    • userPrincipalName 在目录中不得包含任何重复值。

准备 userPrincipalName 属性

Active Directory 旨在允许组织中的最终用户使用 sAMAccountNameuserPrincipalName 登录到你的目录。同样,最终用户可以使用其 工作或学校帐户 的用户主体名称 (UPN) 登录到 Office 365。目录同步通过使用本地目录中的相同 UPN 来尝试在 Azure Active Directory 中创建新用户。UPN 的格式与电子邮件地址类似。在 Office 365 中,UPN 是用于生成电子邮件地址的默认属性。将 userPrincipalName(本地和 Azure Active Directory 中)和 proxyAddresses 中的主要电子邮件地址设置为不同值非常简单。当它们设置为不同的值时,可能会让管理员和最终用户产生混淆。

最好让这些属性保持一致以减少混乱。 要满足 Active Directory 联合身份验证服务 (ADFS) 2.0 单一登录的要求,你需要确保 Azure Active Directory 和你的本地 Active Directory 中的 UPN 相匹配并使用有效的域命名空间。

向 AD DS 添加备用 UPN 后缀

你可能需要添加备用 UPN 后缀来将用户的公司凭据与 Office 365 环境相关联。 UPN 后缀是 UPN @ 字符后面的内容的一部分。 单一登录所使用的 UPN 可以包含字母、数字、句点、短划线和下划线,但不包括其他类型的字符。

有关如何将备用 UPN 后缀添加到 Active Directory 的详细信息,请参阅准备目录同步

将本地 UPN 与 Office 365 UPN 相匹配

如果你已经设置了目录同步,则用户的 Office 365 UPN 可能与你的本地目录服务中定义的用户的本地 UPN 不匹配。 如果在验证域之前为用户分配了许可证,则可能会发生这种情形。 若要解决此问题,请使用 PowerShell 来修复重复的 UPN以更新用户的 UPN,从而确保 Office 365 UPN 与企业用户名和域相匹配。 如果要更新本地目录服务中的 UPN,并且想让它与 Azure Active Directory 标识同步,你需要删除 Office 365 中用户的许可证,然后在本地进行更改。

另请参阅如何准备不可路由域(如 .local 域)进行目录同步

目录集成工具

目录同步是将目录对象(用户、组和联系人)从本地 Active Directory 环境同步到 Office 365 目录基础结构 Azure Active Directory。请参阅目录集成工具,了解可用工具及其功能的列表。推荐的工具是 Microsoft Azure Active Directory Connect。有关 Azure Active Directory Connect 的详细信息,请参阅将你的本地标识与 Azure Active Directory 进行集成

当用户帐户首次与 Office 365 目录进行同步时,它们将标记为未激活。 它们将无法发送或接收电子邮件,并且不占用订阅许可证。 当你准备好为特定用户分配 Office 365 订阅时,必须通过分配有效的许可证来选择并激活它们。

你也可以使用 PowerShell 分配许可证。 有关自动化解决方案,请参阅如何使用 PowerShell 自动将许可证分配给 Office 365 用户

相关主题

Office 365 与本地环境的集成
修复 Office 365 的目录同步问题

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×