規劃 Office 365 的目錄同步處理

附註:  我們想要以您的語言,用最快的速度為您提供最新的說明內容。 本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。讓這些內容對您有所幫助是我們的目的。希望您能在本頁底部告訴我們這項資訊是否有幫助。 此為 英文文章 出處,以供參考。

摘要   :說明 Office 365 的目錄同步處理、Active Directory 清理,以及 Azure Active Directory Connect 工具。

根據業務需求、技術需求,或同時考慮這兩者,目錄同步處理是要移轉到 Office 365 的企業客戶最常用的佈建選擇。目錄同步處理可讓您在內部部署 Active Directory 中管理身分識別,並將該身分識別的所有更新同步處理至 Office 365。

當您在規劃目錄同步處理實作時,務必注意幾件事,包括目錄的準備工作以及 Azure Active Directory 的需求和功能。目錄的準備工作涵蓋了數個區域,包括更新屬性、稽核和規劃網域控制項位置。規劃需求和功能包括:判斷所需的使用權限、規劃多重樹系/目錄案例、規劃容量,以及雙向同步處理。

Office 365 身分識別模型

Office 365使用兩個主要的驗證及身分識別模型: 雲端驗證和同盟的驗證。

雲端驗證

雲端身分識別– 建立及管理使用者在 Office 365 系統管理中心中的,您也可以使用 Windows PowerShell 或 Azure Active Directory,來管理您的使用者。

密碼雜湊同步處理與順暢單一登入-啟用的驗證內部部署目錄物件中 Azure AD 最簡單的方法。密碼雜湊同步處理 (PHS),您可以與 Office 365 同步處理您的內部部署 Active Directory 使用者帳戶物件並管理您的使用者的內部部署。

通過驗證順暢單一登入-提供 Azure AD 驗證服務驗證的使用者,直接使用一或多個內部部署伺服器上執行軟體代理程式的簡單密碼驗證您內部部署的 Active Directory。

同盟的驗證

使用 Active Directory Federation Services AD FS 聯盟身分識別– 主要的大型企業組織,更複雜的驗證需求,內部部署目錄物件會與 Office 365 同步處理且使用者帳戶受管理的內部部署。

第三方驗證與身分識別提供者-內部部署目錄物件可能同步至 Office 365 和雲端存取資源主要是由協力廠商身分識別提供者 (IdP) 管理。

Active Directory 清理

為了協助確保使用同步處理順利移轉至 Office 365,我們強烈建議您在開始進行 Office 365 目錄同步處理部署前,先準備好您的 Active Directory 樹系。

當您為 Office 365 設定目錄同步處理時,其中一個步驟就是下載並執行 IdFix 工具。您可以使用 IdFix 工具來協助目錄清理

目錄清理時應著重在下列工作:

  • 移除重複的 proxyAddress 和 userPrincipalName 屬性。

  • 以有效的 userPrincipalName 屬性來更新空白和無效的 userPrincipalName 屬性。

  • 移除 givenName 中無效和有問題的字元、姓氏 (sn)、sAMAccountName、displayName、mail、proxyAddresses、mailNickname 和 userPrincipalName 屬性。如需有關準備屬性的詳細資料,請參閱 Azure Active Directory 同步作業工具所同步處理的屬性清單

    附註: 這些屬性與 Azure AD Connect 同步處理的屬性相同。

多重樹系部署考量

若為多重樹系和 SSO 選項,請採用 Azure AD Connect 的自訂安裝

如果貴組織的驗證 (登入樹系) 為多重樹系,我們強烈建議您:

  • 評估合併樹系。   一般而言,維護多個樹系的負擔較重。除非貴組織的安全性限制指出需要使用獨立樹系,否則請考慮簡化您的內部部署環境。

  • 只在您主要的登入樹系中使用。   請考慮在首次推行 Office 365 時,只在您主要的登入樹系中部署 Office 365。

如果您無法合併多重樹系 Active Directory 部署,或正在使用其他目錄服務來管理身分識別,您可能可以在 Microsoft 或合作夥伴的協助下,同步處理這些項目。

如需詳細資訊,請參閱使用單一登入案例進行多重樹系目錄同步處理

目錄整合工具

目錄同步處理會是從內部部署Active Directory環境目錄物件 (使用者、 群組和連絡人) 的同步處理, Office 365目錄基礎結構。請參閱目錄整合工具提供的工具和其功能的清單。若要使用的建議的工具是Azure [Active Directory 連線

當使用者帳戶與 Office 365 目錄第一次同步處理時,會被標示為尚未啟用。他們無法傳送或接收電子郵件,也不會耗用訂閱授權。當您準備好要指派 Office 365 訂閱給特定的使用者時,您必須選取使用者並指派有效的授權來將他們啟用。

下列功能需要使用目錄同步處理:

  • SSO。

  • Lync 共存。

  • Exchange 混合式部署,包括:

    • 您的內部部署 Exchange 環境和 Office 365 之間完整共用的全域通訊清單 (GAL)。

    • 同步處理來自不同郵件系統的 GAL 資訊。

    • 在 Office 365 服務方案中能夠新增和移除使用者。這需要下列項目:

      • 您必須在設定目錄同步處理時,設定雙向同步作業。根據預設,目錄同步處理工具只會將目錄資訊寫入雲端。設定雙向同步作業後,您便啟用了「寫回」功能,可從雲端複製數量有限的物件屬性,然後將它們寫回至您的本機 Active Directory。寫回也稱為「Exchange 混合式」模式。

      • 內部部署 Exchange 混合式部署

    • 能夠將部分使用者信箱移至 Office 365,同時將其他使用者信箱保留在內部部署。

    • 將安全的寄件者和封鎖的寄件者內部部署複製到 Office 365。

    • 電子郵件的基本委派和代理傳送者功能。

    • 您有整合內部部署的智慧卡或多重要素驗證解決方案。

  • 同步處理相片、縮圖、會議室及安全性群組。

另請參閱

從 Azure Active Directory 同步處理 (DirSync) 升級至 Azure AD 連線

Azure AD Connect 版本歷程記錄

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×