規劃 Office 365 的目錄同步處理

摘要   :說明 Office 365 的目錄同步處理、Active Directory 清理,以及 Azure Active Directory Connect 工具。

根據業務需求、技術需求,或同時考慮這兩者,目錄同步處理是要移轉到 Office 365 的企業客戶最常用的佈建選擇。目錄同步處理可讓您在內部部署 Active Directory 中管理身分識別,並將該身分識別的所有更新同步處理至 Office 365。

當您在規劃目錄同步處理實作時,務必注意幾件事,包括目錄的準備工作以及 Azure Active Directory 的需求和功能。目錄的準備工作涵蓋了數個區域,包括更新屬性、稽核和規劃網域控制項位置。規劃需求和功能包括:判斷所需的使用權限、規劃多重樹系/目錄案例、規劃容量,以及雙向同步處理。

Office 365 身分識別模型

Office 365 使用三種主要的身分識別模型:雲端身分識別、同步處理身分識別和同盟身分識別。同步處理身分識別和同盟身分識別都會使用目錄同步處理。

ActiveDirectory 清理

為了協助確保使用同步處理順利移轉至 Office 365,我們強烈建議您在開始進行 Office 365 目錄同步處理部署前,先準備好您的 Active Directory 樹系。

當您為 Office 365 設定目錄同步處理時,其中一個步驟就是下載並執行 IdFix 工具。您可以使用 IdFix 工具來協助目錄清理

目錄清理時應著重在下列工作:

  • 移除重複的 proxyAddress 和 userPrincipalName 屬性。

  • 以有效的 userPrincipalName 屬性來更新空白和無效的 userPrincipalName 屬性。

  • 移除 givenName 中無效和有問題的字元、姓氏 (sn)、sAMAccountName、displayName、mail、proxyAddresses、mailNickname 和 userPrincipalName 屬性。如需有關準備屬性的詳細資料,請參閱 Azure Active Directory 同步作業工具所同步處理的屬性清單

    附註: 這些屬性與 Azure AD Connect 同步處理的屬性相同。

多重樹系部署考量

若為多重樹系和 SSO 選項,請採用 Azure AD Connect 的自訂安裝

如果貴組織的驗證 (登入樹系) 為多重樹系,我們強烈建議您:

  • 評估合併樹系。   一般而言,維護多個樹系的負擔較重。除非貴組織的安全性限制指出需要使用獨立樹系,否則請考慮簡化您的內部部署環境。

  • 只在您主要的登入樹系中使用。   請考慮在首次推行 Office 365 時,只在您主要的登入樹系中部署 Office 365。

如果您無法合併多重樹系 Active Directory 部署,或正在使用其他目錄服務來管理身分識別,您可能可以在 Microsoft 或合作夥伴的協助下,同步處理這些項目。

如需詳細資訊,請參閱使用單一登入案例進行多重樹系目錄同步處理

目錄整合工具

「目錄同步處理」是指將內部部署 Active Directory 環境的目錄物件 (使用者、群組和連絡人) 同步處理到 Office 365 目錄基礎結構的作業。請參閱目錄整合工具以取得可用工具清單並了解其功能。建議您使用的工具為 Azure Active Directory Connect

當使用者帳戶與 Office 365 目錄第一次同步處理時,會被標示為尚未啟用。他們無法傳送或接收電子郵件,也不會耗用訂閱授權。當您準備好要指派 Office 365 訂閱給特定的使用者時,您必須選取使用者並指派有效的授權來將他們啟用。

下列功能需要使用目錄同步處理:

  • SSO。

  • Lync 共存。

  • Exchange 混合式部署,包括:

    • 您的內部部署 Exchange 環境和 Office 365 之間完整共用的全域通訊清單 (GAL)。

    • 同步處理來自不同郵件系統的 GAL 資訊。

    • 在 Office 365 服務方案中能夠新增和移除使用者。這需要下列項目:

      • 您必須在設定目錄同步處理時,設定雙向同步作業。根據預設,目錄同步處理工具只會將目錄資訊寫入雲端。設定雙向同步作業後,您便啟用了「寫回」功能,可從雲端複製數量有限的物件屬性,然後將它們寫回至您的本機 Active Directory。寫回也稱為「Exchange 混合式」模式。

      • 內部部署 Exchange 混合式部署

    • 能夠將部分使用者信箱移至 Office 365,同時將其他使用者信箱保留在內部部署。

    • 將安全的寄件者和封鎖的寄件者內部部署複製到 Office 365。

    • 電子郵件的基本委派和代理傳送者功能。

    • 您有整合內部部署的智慧卡或多重要素驗證解決方案。

  • 同步處理相片、縮圖、會議室及安全性群組。

請參閱

從 Microsoft Azure Active Directory 同步作業 (DirSync) 升級至 Azure AD Connect

Azure AD Connect 版本發行歷程記錄

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×