共计 2880 个字符,预计需要花费 8 分钟才能阅读完成。
这篇文章跟大家分析一下“如何实现 Office 365 Azure AD 的账户同步研究”。内容详细易懂,对“如何实现 Office 365 Azure AD 的账户同步研究”感兴趣的朋友可以跟着丸趣 TV 小编的思路慢慢深入来阅读一下,希望阅读后能够对大家有所帮助。下面跟着丸趣 TV 小编一起深入学习“如何实现 Office 365 Azure AD 的账户同步研究”的知识吧。
如果是纯云端的用户,那么我觉得没有什么问题,但如果有一天想把云端的 Azure AD 的用户同步到本地的 AD 如何做呢?当然云端的 Azure AD 用户是无法同步到本地的 AD 的,但可以曲线救国实现类似的需求目标。接下来详细看看:
假设我这有一个环境是纯云端的 Office 365 用户(Azure AD)
域是 basehome.com.cn
云端的这些用户密码都是统一的 abc123!@#,都具备自己的 Exchange Online 邮箱,并且邮箱里有信件,而不是空邮箱
问题来了,因为企业的不断扩张,想建立本地的 AD 与 Office 365 做 AD 混合,实现张三的账号能在本地 AD 里,且张三 Office 365 的邮箱数据不丢失。那怎么办呢?我首先在本地建立一套 AD,域名也是 basehome.com.cn,同样的建立和云端 Office 365 用户一样的账户登录名,比如先建立一个账户:
本地 AD 再增加一台 Windows Server 2012 R2 加域,配置好 Azure AD Connect。
同步的也不是本地整个域,而是具体的指定一个 OU:
检查同步状态可以用这个工具:miisclient
配置好以后会看到本地 AD 的 zhangjunsen@basehome.com.cn 账户同步到了 Office 365 的 Azure AD 里并不是覆盖 Office 365 Azure AD 的 zhangjunsen@basehome.com.cn,而是自动出现了一个随机编码的账户名
从同步的信息来看也是写得很清楚的,重复了
当然这不是我们所期望的,还是希望本地 AD 的张三和 Office 365 云端的张三能是匹配相关联的。
那怎么办呢?首先需要在本地 AD 的 AADConnect 服务器上配置下 AD Connect 关闭密码同步,避免本地 AD 账户把云端账户密码覆盖掉(相同账户前提下)
什么是相同账户,判断主要是三个属性:
UserPrincipalName;Emailaddress;Proxyaddresses
所以需要将在本地 AD 中创建的用户 UserPrincipalName,Emailaddress,Proxyaddresses 三者的属性值需与云端相对应的账号属性值相匹配,如下示例:
示例:
云端已经使用的账户 A 地址如下
UserPrincipalName:a@contoso.com
Emailaddress:a@contoso.com
Proxyaddresses :SMTP:a@contoso.com
要匹配至云端的本地用户 A 创建时
UserPrincipalName:a@contoso.com
Emailaddress:a@contoso.com
Proxyaddresses :SMTP:a@contoso.com
先看看 Office 365 上云端 Azure AD 的张三账户属性,连接到 Office 365 的 Azure AD 只能看到 UserPrincipalName 和 Proxyaddresses 属性:
Emailaddress 属性需要该账户开通了 Exchange Online 才可以连接到 Exchange Online 里才可以看到
那么我在本地 AD 里新建张三的账户就需要注意这三点,先不要在同步的 OU 里创建张三,我在 Stand by Users 的 OU 里创建张三
密码我就设置成 zhangsan
张三创建好放在 Stand by Users 的 OU 里
设置 Proxyaddresses 需要先点开 AD 用户和计算机的高级选项
选择张三用户,点击属性会多一个属性编辑器选项,找到 Proxyaddresses,点击编辑
因为之前在 Office 365 Azure AD 里看到了云端的张三这项属性值是:
{smtp:zhangsan@homebase.partner.onmschina.cn, SMTP:zhangsan@basehome.com.cn}
在这里指需要填写 SMTP:zhangsan@basehome.com.cn 即可(注意大小写的 SMTP 哦,哪个 SMTP 是大写就意味着是主要登录地址以及主要邮箱的发件地址)
添加进去点击确定
当然在属性编辑器里也可以看到 UserPrincipalName 的值是否和 Office 365 云端的张三一致
对于 Emailaddress 属性默认是没有的,这里也不用太在意
接下来张三准备就绪了,我就把张三账户从 Stand by Users 移动到 Users 的 OU 里同步到 Office 365 的 Azure AD 看有什么变化
默认同步周期为 30 分钟同步一次,如果您需要立即执行同步,请在本地 AADConnect 服务器的 Powershell 执行
增量同步 Start-ADSyncSyncCycle -PolicyType Delta
完全同步 Start-ADSyncSyncCycle -PolicyType Initial
再看看 Office 365 上 Azure AD 的账户会发现没有新建一个随机编码的 AD 同步账号上来,而是张三的账号由原来的”在云中“变成了”已与 AD 同步“
此刻让张三的账号登录,当然还是以 abc123!@# 密码登录看邮箱里的数据是否依然存在,答案是没变化,但账户的同步关系和隶属变了,张三不再是纯云端的用户,而是从本地 AD 同步上来的用户
下来我在本地 AD Connect 开启密码哈希同步
我们再试下张三是否还可以以 abc123!@# 密码登录吗?提示密码错误了
但如果我此刻采用本地 AD 张三的密码 zhangsan 来登录呢?答案是可以登录的
这说明说明问题呢?说明可以通过这样的方法实现“曲线救国”式的将云端 Office 365 实现和本地 AD 的合并或者说把云端的 Office 365 账户同步回本地 AD 吧。
接着我再做个测试,之前的张俊森账户已经同步上 Office 365 成为了如下这样的账户(因为 UserPrincipalName 属性重名)
接下来我直接修改本地 AD 里 Users OU 里张俊森账户的属性,把 Proxyaddresses 属性值添加上
看同步会发生变化吗?张俊森的云端账户同步类型也变了,说明本地 AD 的张俊森也云端张俊森建立了新的匹配对应关系
那么之前那个同步上来的张三(Sync_AADCONNECT_8686494b4295@homebase.partner.onmschina.cn)可以删除吗?答案是无法删除
那么要删除它可以通过 Powershell
这样 Office 365 上就没有这个账户了
张俊森以本地 AD 的密码登录 Office 365 邮箱看到邮箱数据依然存在
到此就介绍到这了。
关于如何实现 Office 365 Azure AD 的账户同步研究就分享到这里啦,希望上述内容能够让大家有所提升。如果想要学习更多知识,请大家多多留意丸趣 TV 小编的更新。谢谢大家关注一下丸趣 TV 网站!