Posted on

Azure Active Directory Connect til et O365-domæne

, Author

I det sidste indlæg gav jeg en demonstration af, hvordan du bruger det nye Azure AD Connect-værktøj til at integrere dit domæne på stedet med Azure Active Directory. Processen er ret enkel, men et spørgsmål, jeg har modtaget, er: Hvordan integrerer jeg mit Office 365-abonnement og mine brugere med mit on premise-domæne? Takket være værktøjet er denne proces ret let, hvis du har taget skridt til at sikre, at dine Office 365-brugerkonti svarer nøje til dine eksisterende domænekonti. Hvis de ikke gør det, skal du sandsynligvis foretage noget manuel oprydning inden din integration. Jeg vil dække nogle af disse trin manuelle trin senere i indlægget.

Detaljer

Når du opretter et Office 365-abonnement, vil Microsoft faktisk stille en Azure Active Directory-instans til rådighed for dig bag kulisserne. Hvis du har et Azure-abonnement, kan du forbinde de to, så du kan administrere dit O365-domæne fra Azure Management Portal. Så i bund og grund er processen meget tæt på den sidste proces bortset fra et par mindre konfigurationsændringer. Den første ændring er under trinene Identificering af brugere. Her skal du vælge en Active Directory-attribut, der skal matche on premise- og online-konti. I mit tilfælde var det meget enkelt, da e-mail-adresserne var de samme, så jeg valgte attributten Mail. SID’er kan være dit valg for Exchange-scenarier.

Næst kan du på trinet Valgfri funktioner markere afkrydsningsfeltet ud for “Azure AD app and attribute filtering” for at lade Connect-værktøjet vide om andre programmer, der skal synkroniseres.

Når du markerer indstillingen Apps, aktiverer værktøjet et nyt afsnit, hvor du kan indstille mere eksplicitte indstillinger om programmer og attributter. Værktøjet er smart nok til at kortlægge yderligere AD-attributter for at integrere programmerne korrekt med dine domænebrugere.

Jeg valgte alle standardprogrammerne, hvis jeg nu skulle ønske at tilføje Microsoft Online-værktøjer i fremtiden. Du kan også være mere granulær med hensyn til specifikke AD-attributter, men jeg lod dem stå som de er. Når du har gennemført guiden og den første synkronisering, bør dine brugere begynde at dukke op i O365.

Det dækker den nemme del, når dine brugere og struktur er ret enkle. Men produktionsmiljøer er ofte alt andet end enkle. Her er et par ting, som du bør være opmærksom på:

  • Active Directory skal have visse indstillinger konfigureret for at kunne fungere korrekt med single sign-on. Især skal brugerhovednavnet (UPN), eller logon-navnet, være konfigureret på en bestemt måde for hver enkelt bruger. Brug Microsoft Deployment Readiness Tool til at inspicere dit Active Directory-miljø for at generere en rapport, der indeholder oplysninger om, hvorvidt du er klar til at konfigurere single sign-on, og hvilke ændringer du skal foretage for at forberede dig på single sign-on.
  • Det domæne, du vælger at forbunde, skal være registreret som et offentligt domæne hos en domæneregistrator eller i dine egne offentlige DNS-servere.
  • Hvis du allerede har konfigureret Active Directory-synkronisering, stemmer brugerens UPN muligvis ikke overens med brugerens lokale UPN, der er defineret i Active Directory. Du kan afhjælpe dette ved at omdøbe brugerens UPN ved hjælp af cmdletten Set-MsolUserPrincipalName i Microsoft Azure Active Directory-modulet til Windows PowerShell.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.