V minulém příspěvku jsem uvedl ukázku použití nového nástroje Azure AD connect k integraci vaší domény on premise s Azure Active Directory. Postup je poměrně jednoduchý, ale dostal jsem jeden dotaz: Jak mám integrovat své předplatné Office 365 a uživatele s doménou on premise? Díky nástroji je tento proces poměrně snadný, pokud jste učinili krok k zajištění toho, aby uživatelské účty Office 365 přesně odpovídaly vašim stávajícím doménovým účtům. Pokud tomu tak není, budete pravděpodobně muset před integrací provést ruční vyčištění. Některými z těchto ručních kroků se budu zabývat později v tomto příspěvku.
Podrobnosti
Při vytváření předplatného Office 365 vám společnost Microsoft v zákulisí skutečně zajistí instanci služby Azure Active Directory. Pokud máte předplatné Azure, můžete je propojit, abyste mohli spravovat doménu O365 z portálu pro správu Azure. V podstatě je tedy tento proces až na několik drobných změn v konfiguraci velmi podobný tomu minulému. První změna se týká kroku Identifikace uživatelů. Zde budete vybírat atribut služby Active Directory, který bude odpovídat on premise a online účtům. V mém případě to bylo velmi jednoduché, protože e-mailové adresy byly stejné, takže jsem zvolil atribut Mail. Pro scénáře s Exchange může být vaší volbou SID.
Dále můžete v kroku Volitelné funkce zaškrtnout políčko vedle položky „Azure AD app and attribute filtering“, aby nástroj Connect věděl o dalších aplikacích, které mají být synchronizovány.
Jednou zaškrtnete možnost Apps, nástroj zpřístupní novou část, kde můžete nastavit explicitnější možnosti týkající se aplikací a atributů. Nástroj je natolik inteligentní, že dokáže namapovat další atributy služby AD, aby správně integroval aplikace s uživateli domény.
Vybral jsem všechny výchozí aplikace pro případ, že bych chtěl v budoucnu přidat nástroje Microsoft Online. Můžete být také podrobnější, pokud jde o konkrétní atributy AD, ale ty jsem ponechal tak, jak jsou. Po dokončení průvodce a první synchronizaci by se vaši uživatelé měli začít zobrazovat v O365.
To pokrývá tu snadnější část, kdy jsou vaši uživatelé a struktura poměrně jednoduché. Produkční prostředí jsou však často všechno, jen ne jednoduchá. Zde je několik věcí, na které byste si měli dávat pozor:
- Active Directory musí mít nakonfigurována určitá nastavení, aby správně fungovala s jednotným přihlášením. Zejména hlavní jméno uživatele (UPN) neboli přihlašovací jméno musí být pro každého uživatele nastaveno určitým způsobem. Pomocí nástroje Microsoft Deployment Readiness Tool můžete zkontrolovat své prostředí služby Active Directory a vygenerovat zprávu, která obsahuje informace o tom, zda jste připraveni na nastavení jednotného přihlášení a jaké změny je třeba provést, abyste se na jednotné přihlášení připravili.
- Doména, kterou se rozhodnete federovat, musí být registrována jako veřejná doména u registrátora domén nebo v rámci vašich vlastních veřejných serverů DNS.
- Pokud jste již nastavili synchronizaci služby Active Directory, UPN uživatele se nemusí shodovat s UPN uživatele na pracovišti definovaným ve službě Active Directory. Chcete-li to napravit, přejmenujte UPN uživatele pomocí rutiny Set-MsolUserPrincipalName v modulu Microsoft Azure Active Directory pro prostředí Windows PowerShell.
.