A legutóbbi bejegyzésben bemutattam az új Azure AD connect eszköz használatát a helyi tartomány és az Azure Active Directory integrálásához. A folyamat meglehetősen egyszerű, de egy kérdést kaptam: Hogyan integrálhatom az office 365 előfizetésemet és felhasználóimat a helyben lévő tartományommal? Nos, az eszköznek köszönhetően ez a folyamat meglehetősen egyszerű, ha megtette azt a lépést, hogy az Office 365 felhasználói fiókjai szorosan illeszkedjenek a meglévő tartományi fiókokhoz. Ha nem így van, akkor valószínűleg némi manuális tisztítást kell végeznie az integráció előtt. E lépések közül néhány manuális lépéssel a bejegyzés későbbi részében foglalkozom.
Details
Az Office 365-előfizetés létrehozásakor a Microsoft a színfalak mögött ténylegesen biztosít egy Azure Active Directory-példányt az Ön számára. Ha rendelkezik Azure-előfizetéssel, akkor a kettőt összekapcsolhatja, így az Azure Management Portalból kezelheti O365-tartományát. A folyamat tehát lényegében nagyon közel áll az előző folyamathoz, néhány kisebb konfigurációs változtatástól eltekintve. Az első változtatás a Felhasználók azonosítása lépés során történik. Itt ki kell választania egy Active Directory-attribútumot, amely a helyben lévő és az online fiókokat egyezteti. Az én esetemben ez nagyon egyszerű volt, mivel az e-mail címek azonosak voltak, így a Mail attribútumot választottam. Exchange forgatókönyvek esetén az SID lehet a választás.
A következő lépésben, az Opcionális funkciók lépésben bejelölheti az “Azure AD app and attribute filtering” melletti jelölőnégyzetet, hogy a Connect eszköz tudjon a szinkronizálandó egyéb alkalmazásokról.
Az alkalmazások opció bejelölésével az eszköz engedélyez egy új részt, ahol az alkalmazásra és az attribútumokra vonatkozó részletesebb beállításokat állíthat be. Az eszköz elég okos ahhoz, hogy további AD-attribútumokat képezzen le annak érdekében, hogy az alkalmazásokat helyesen integrálja a tartományi felhasználókkal.
Az összes alapértelmezett alkalmazást kiválasztottam arra az esetre, ha a jövőben Microsoft Online eszközöket szeretnék hozzáadni. Az egyes AD-attribútumok tekintetében is lehet részletesebben meghatározni, de én ezeket úgy hagytam, ahogy vannak. Miután befejezte a varázslót és az első szinkronizálást, a felhasználóinak meg kell jelenniük az O365-ben.
Ez már a könnyű részt jelenti, ha a felhasználók és a struktúra meglehetősen egyszerű. A termelési környezetek azonban gyakran mindenek, csak nem egyszerűek. Íme néhány dolog, amire érdemes odafigyelni:
- Active Directorynak bizonyos beállításokkal kell rendelkeznie ahhoz, hogy az egyszeri bejelentkezés megfelelően működjön. Különösen a felhasználói főnevet (UPN), vagyis a bejelentkezési nevet kell minden egyes felhasználó számára meghatározott módon beállítani. A Microsoft Deployment Readiness Tool eszközzel vizsgálja meg Active Directory-környezetét, és hozzon létre egy jelentést, amely információkat tartalmaz arról, hogy készen áll-e az egyszeri bejelentkezés beállítására, és milyen változtatásokat kell végrehajtania az egyszeri bejelentkezés előkészítéséhez.
- Az összevonáshoz választott tartománynak nyilvános tartományként kell regisztrálva lennie egy tartományregisztrátornál vagy a saját nyilvános DNS-kiszolgálóin belül.
- Ha már beállította az Active Directory szinkronizálást, előfordulhat, hogy a felhasználó UPN-je nem egyezik meg a felhasználó Active Directoryban meghatározott helyi UPN-jével. Ennek kijavításához nevezze át a felhasználó UPN-jét a Microsoft Azure Active Directory Module for Windows PowerShell modulban található Set-MsolUserPrincipalName cmdlet segítségével.