În ultima postare am făcut o demonstrație privind utilizarea noului instrument Azure AD connect pentru a integra domeniul dvs. on premise cu Azure Active Directory. Procesul este destul de simplu, dar o întrebare pe care am primit-o este: Cum îmi integrez abonamentul Office 365 și utilizatorii cu domeniul meu on premise? Ei bine, mulțumită instrumentului, acest proces este destul de simplu dacă ați făcut pasul de a vă asigura că conturile de utilizator Office 365 se potrivesc îndeaproape cu conturile de domeniu existente. Dacă nu este așa, atunci probabil că va trebui să faceți o curățare manuală înainte de integrare. Voi aborda unele dintre aceste etape manuale mai târziu în această postare.
Detalii
Când creați un abonament Office 365, Microsoft va furniza de fapt o instanță Azure Active Directory pentru dvs. în spatele scenei. Dacă aveți un abonament Azure, puteți conecta cele două astfel încât să vă puteți gestiona domeniul O365 din Azure Management Portal. Deci, în esență, procesul este foarte apropiat de ultimul proces, în afară de câteva modificări minore de configurare. Prima modificare este în timpul etapei Identificarea utilizatorilor. Aici va trebui să selectați un atribut Active Directory care va face legătura între conturile on premise și cele online. În cazul meu a fost foarte simplu, deoarece adresele de e-mail erau aceleași, așa că am ales atributul Mail. SID-urile pot fi alegerea dvs. pentru scenariile Exchange.
În continuare, la pasul Optional Features (Caracteristici opționale), puteți selecta caseta de selectare de lângă „Azure AD app and attribute filtering” (Filtrarea aplicațiilor și a atributelor Azure AD) pentru a permite instrumentului Connect să știe despre alte aplicații care ar trebui sincronizate.
După ce bifați opțiunea Apps (Aplicații), instrumentul va activa o nouă secțiune în care puteți seta opțiuni mai explicite despre aplicații și atribute. Instrumentul este suficient de inteligent pentru a cartografia atributele AD suplimentare pentru a integra corect aplicațiile cu utilizatorii domeniului dumneavoastră.
Am ales toate aplicațiile implicite doar în cazul în care doresc să adaug instrumente Microsoft Online în viitor. Puteți fi mai granular în ceea ce privește atributele AD specifice, de asemenea, dar eu le-am lăsat așa cum sunt. După ce ați finalizat expertul și prima sincronizare, utilizatorii dvs. ar trebui să înceapă să apară în O365.
Aceasta acoperă partea ușoară atunci când utilizatorii și structura dvs. sunt destul de simple. Cu toate acestea, mediile de producție sunt adesea orice altceva decât simple. Iată câteva lucruri de care ar trebui să fiți atenți:
- Active Directory trebuie să aibă anumite setări configurate pentru a funcționa corect cu single sign-on. În special, numele principal al utilizatorului (UPN), sau numele de conectare, trebuie să fie configurat într-un mod specific pentru fiecare utilizator. Utilizați instrumentul Microsoft Deployment Readiness Tool pentru a inspecta mediul Active Directory pentru a genera un raport care include informații despre faptul că sunteți sau nu pregătit să configurați single sign-on și ce modificări trebuie să faceți pentru a vă pregăti pentru single sign-on.
- Domeniul pe care alegeți să îl federalizați trebuie să fie înregistrat ca domeniu public la un registrator de domenii sau în cadrul propriilor servere DNS publice.
- Dacă ați configurat deja sincronizarea Active Directory, este posibil ca UPN-ul utilizatorului să nu se potrivească cu UPN-ul de la fața locului al utilizatorului definit în Active Directory. Pentru a remedia acest lucru, redenumiți UPN-ul utilizatorului utilizând cmdlet-ul Set-MsolUserPrincipalName din modulul Microsoft Azure Active Directory pentru Windows PowerShell.
.