W ostatnim poście przedstawiłem demo na temat użycia nowego narzędzia Azure AD connect do integracji domeny on premise z Azure Active Directory. Proces jest dość prosty, ale jedno pytanie, które otrzymałem to: Jak zintegrować moją subskrypcję Office 365 i użytkowników z moją domeną on premise? Cóż, dzięki narzędziu, proces ten jest dość łatwy, jeśli podjąłeś krok w celu zapewnienia, że konta użytkowników Office 365 ściśle odpowiadają istniejącym kontom domeny. Jeśli tak nie jest, to prawdopodobnie będziesz musiał wykonać pewne ręczne porządki przed integracją. I’ll cover some of those steps manual steps later in the post.
Details
Gdy tworzysz subskrypcję Office 365 Microsoft faktycznie zapewni Azure Active Directory instancji dla Ciebie za kulisami. Jeśli masz subskrypcji Azure można połączyć te dwa tak, że można zarządzać domeną O365 z Azure Management Portal. Więc w zasadzie proces jest bardzo zbliżony do ostatniego procesu, oprócz kilku drobnych zmian w konfiguracji. Pierwsza zmiana jest podczas Identyfikacja użytkowników krok. Tutaj trzeba będzie wybrać atrybut Active Directory, który będzie pasował do kont on premise i online. W moim przypadku było to bardzo proste, ponieważ adresy e-mail były takie same, więc wybrałem atrybut Mail. SID’s może być twoim wyborem dla scenariuszy Exchange.
Następnie, w kroku Optional Features możesz zaznaczyć pole wyboru obok „Azure AD app and attribute filtering” aby pozwolić narzędziu Connect wiedzieć o innych aplikacjach, które powinny być synchronizowane.
Jednokrotnie zaznaczasz opcję Apps, narzędzie włączy nową sekcję, gdzie możesz ustawić bardziej wyraźne opcje dotyczące aplikacji i atrybutów. Narzędzie jest wystarczająco inteligentne, aby zmapować dodatkowe atrybuty AD w celu prawidłowej integracji aplikacji z użytkownikami domeny.
Wybrałem wszystkie domyślne aplikacje na wszelki wypadek, gdybym chciał dodać narzędzia Microsoft Online w przyszłości. Można również bardziej szczegółowo określić konkretne atrybuty AD, ale ja pozostawiłem je bez zmian. Po zakończeniu kreatora i pierwszej synchronizacji, użytkownicy powinni zacząć pojawiać się w O365.
To obejmuje łatwą część, gdy użytkownik i struktura są dość proste. Jednak środowiska produkcyjne często nie są proste. Oto kilka rzeczy, o których należy pamiętać:
- Active Directory musi mieć skonfigurowane pewne ustawienia, aby poprawnie działać z pojedynczym logowaniem. W szczególności nazwa główna użytkownika (UPN), czyli nazwa logowania, musi być skonfigurowana w określony sposób dla każdego użytkownika. Użyj narzędzia Microsoft Deployment Readiness Tool, aby sprawdzić swoje środowisko Active Directory i wygenerować raport zawierający informacje o tym, czy jesteś gotowy do skonfigurowania pojedynczego logowania i jakie zmiany należy wprowadzić, aby przygotować się do pojedynczego logowania.
- Domena, którą wybierzesz do federacji, musi być zarejestrowana jako domena publiczna u rejestratora domen lub na własnych publicznych serwerach DNS.
- Jeśli już skonfigurowano synchronizację Active Directory, UPN użytkownika może nie odpowiadać UPN użytkownika w siedzibie firmy zdefiniowanemu w Active Directory. Aby to naprawić, należy zmienić nazwę UPN użytkownika za pomocą polecenia Set-MsolUserPrincipalName w module Microsoft Azure Active Directory Module for Windows PowerShell.
.