Как перенастроить синхронизацию Azure AD, используемую для обеспечения возможности единого входа в Office365 из домена, чтобы часть имени домена в имени участника-пользователя могла измениться при синхронизации?
Например. предположим, что локальный домен ad.contosolocal.com, а внешний домен contoso.com. В настоящее время работает только точное копирование, путем сопоставления его идентификатора, например. используя MSonline;
$ имя пользователя = "боб"
$UPN = (-join($username, "contoso.com"))
$guid=(get-ADUser $username).Objectguid
$ immutableID = [system.convert] :: ToBase64String ($ guid.tobytearray ())
Set-MsolUser -UserPrincipalName $UPN -ImmutableId $immutableID
Это работает не очень плавно и надежно: требуется несколько попыток синхронизации, полная ручная синхронизация и запуск каждого возможного варианта дважды для обоих соединителей, всего 16 синхронизаций (2x2x импорт, экспорт, синхронизация и дельта), прежде чем Azure AD примет решение. чтобы установить правильное значение имени участника-пользователя, и не сразу, а примерно через 15 минут. Кажется, он хочет установить UPN на боб вместо [email protected] по какой-то мне пока еще необъяснимой причине. Работа с этим для многих пользователей разочаровывает их, поскольку вход в систему прерывается, а значения не установлены правильно.
Тогда я хочу:
+--------------------------+------------------+--- ---------------+
| Местное значение | Отправлено в Azure | Ценность Azure |
+--------------------------+------------------+--- ---------------+
| [email protected] | [email protected] | [email protected] |
| [email protected] | [email protected] | [email protected] |
+--------------------------+------------------+--- ---------------+
Если это делается наивно, создавая мои собственные «правила синхронизации», это нарушает пароли (пользователи больше не могут войти в систему с ошибками «неверный пароль»).Пароли работают только тогда, когда имя участника-пользователя соответствует тому, что он находится в сети, даже если синхронизация паролей отключена (похоже, это ошибка). Конечно, домен электронной почты совпадает с доменом веб-сайта, а это означает, что если локальные пути начинают работать одинаково, это приводит к проблемам с DNS; больше не может получить доступ к веб-сайту компании из локального домена.
Наоборот, используя ad.contosolocal.com поскольку онлайн-вход в систему также не является жизнеспособным вариантом, пользователи хотят входить в систему, используя «настоящее» доменное имя. (Помимо количества часов поддержки, потребуется, чтобы все они изменили домен входа во всех своих программах на всех своих устройствах)
Я также могу поместить удаленный UPN пользователя в другой локальный атрибут AD (обычно почта атрибут), в этом случае я мог бы изменить синхронизацию, чтобы она соответствовала почта к Имя участника-пользователя.
К сожалению, повторный запуск мастера Azure AD Connect; это не дает мне возможности изменить то, с чем у меня сопоставлено имя участника-пользователя. Кажется, что эта опция просто не отображается после первого запуска.
Я хочу, чтобы это произошло:
- Пароли и имена пользователей синхронизируются из локальной AD в Azure AD.
- Локальная доменная часть имен участников-пользователей всегда является фиксированным значением.
- Часть удаленного домена совпадающих имен участников-пользователей всегда является фиксированной (другое значение).
- Пользователи должны иметь возможность входить в Office365 как извне, так и из внутренней сети.
- Office-365 использует единый вход; локальный внешний вид/слово/и т. д. автоматически входит в Office-365 без необходимости предоставления учетных данных.
Вопрос: Как?
