Windows Azure Active Directory Sync с локальными AD (субдоменами)

Question

Я настроил наш корпоративный AD для синхронизации с нашим Azure AD и задал вопрос для сообщества или команды WAAD о субдоменах и передовой практике.

В WAAD Я проверил наш домен org.net, но наш локальный AD находится в домене hq.corporate.net.

От моего технического директора мне сказали, что это нормально для создания доменов AD AD внутри корпорации. Это означает, что когда пользователи синхронизируются, они просто получают имя пользователя @ < waad-name> .onmicrosoft.com в качестве своего имени/имени пользователя в WAAD.

Я решил, что, проверяя hq.corporate.net также на WAAD, и все пользователи были обновлены, так что теперь они могут входить в систему с username@hq.corporate.net по приложениям с WAAD.

Это намеченный путь? Мое первое впечатление было бы в том, что я хотел бы, чтобы все наши сотрудники имели возможность войти в систему с username@corporate.net и не включать этот префикс/поддомен в филиале.

Какие варианты я должен сделать, чтобы это произошло? Если нет, лучше всего сказать нашему почтовому серверу, что вместо username@hq.corporate.net следует отправить письмо на имя пользователя username@corporate.net? Причина, почему username@hq.corporate.net не так уж хороша, заключается в том, что пользователи должны помнить hq. префикс, а также сообщение электронной почты, переданное приложениям как идентификатор, когда они подписываются, где их реальная электронная почта на самом деле username@corporate.net.

Answer 1

Вот что вы можете сделать:

1. Добавить и проверить corporate.net в AAD.
2. Добавить hq.corporate.net. Вы сможете пропустить проверку, потому что это субдомен проверенного домена.
3. Настройка синхронизации каталогов (DirSync). Это создаст всех ваших пользователей как username@hq.corporate.net.
4. Используйте командлеты AAD PowerShell, чтобы изменить UserPrincipalName (UPN) всех пользователей на username@corporate.net.

Это звучит, как вы уже сделали 1, 2 и 3, так что вы должны быть хорошо идти с 4.

Новые пользователи должны пройти через этот процесс (первый DirSync их к облако, затем измените их UPN с помощью PowerShell). С этого момента DirSync должен продолжать работать нормально.

Вот как бы вы изменили имя участника одного пользователя:

Get-MsolUser -UserPrincipalName "user@hq.corporate.net" | ` 
    Set-MsolUserPrincipalName -NewUserPrincipalName "user@corporate.net" 

Вот как вы могли бы сделать это для всех пользователей:

$oldDomain = "hq.corporate.net" 
$newDomain = "corporate.net" 
Get-MsolUser | ? { $_.UserPrincipalName.EndsWith("@" + $oldDomain) } | % { 
    $alias = $_.UserPrincipalName.Substring(0, $_.UserPrincipalName.IndexOf("@")); 
    Set-MsolUserPrincipalName -ObjectId $_.ObjectId ` 
           -NewUserPrincipalName ($alias + "@" + $newDomain) 
} 

Как всегда, проверить это первое! :)

Philippe

Answer 2

Вы должны добавить свой домен corporate.net как UPN (UserPrincipleName) суффикс в Active Directory Domains and Trusts tool (см Чтобы добавить альтернативный суффикс UPN). После его добавления вы можете назначить суффикс UPN для своих пользователей в инструменте «Пользователи и каталоги Active Directory» на вашем контроллере домена. Предполагая, что вы уже установили настройку синхронизации каталогов, он подберет пользователей с новым суффиксом UPN, предполагая, что они были добавлены после корпоративного.net domain был проверен. Если нет, вам может потребоваться использовать командную команду Set-MsolUserPrincipal PowerShell, чтобы вручную установить правильный суффикс UPN (см. Match On-Premise UPN with Office 365 UPN)