I det senaste inlägget visade jag hur du använder det nya verktyget Azure AD connect för att integrera din domän på plats med Azure Active Directory. Processen är ganska enkel men en fråga jag fått är: Hur integrerar jag min Office 365-prenumeration och användare med min on premise-domän? Tack vare verktyget är denna process ganska enkel om du har sett till att dina Office 365-användarkonton stämmer väl överens med dina befintliga domänkonton. Om de inte gör det måste du förmodligen göra en manuell rensning före integrationen. Jag kommer att täcka några av dessa steg manuella steg senare i inlägget.
Detaljer
När du skapar en Office 365-prenumeration kommer Microsoft faktiskt att tillhandahålla en Azure Active Directory-instans för dig bakom kulisserna. Om du har en Azure-prenumeration kan du ansluta de två så att du kan hantera din O365-domän från Azure Management Portal. Så i huvudsak är processen mycket nära den förra processen förutom några mindre konfigurationsändringar. Den första ändringen sker under steget Identifiera användare. Här ska du välja ett Active Directory-attribut som ska matcha konton på plats och onlinekonton. I mitt fall var det mycket enkelt eftersom e-postadresserna var desamma så jag valde attributet Mail. SID kan vara ditt val för Exchange-scenarier.
Nästan kan du i steget Valfria funktioner markera kryssrutan bredvid ”Azure AD app and attribute filtering” för att låta Connect-verktyget få veta om andra program som ska synkroniseras.
När du markerar alternativet Appar aktiverar verktyget ett nytt avsnitt där du kan ställa in mer explicita alternativ om program och attribut. Verktyget är smart nog att mappa ytterligare AD-attribut för att korrekt integrera programmen med dina domänanvändare.
Jag valde alla standardprogrammen ifall jag vill lägga till Microsoft Online-verktyg i framtiden. Du kan vara mer detaljerad när det gäller specifika AD-attribut också, men jag lämnade dem som de är. När du har slutfört guiden och den första synkroniseringen bör dina användare börja dyka upp i O365.
Det täcker den enkla delen när dina användare och din struktur är ganska enkla. Produktionsmiljöer är dock ofta allt annat än enkla. Här är några saker som du bör vara medveten om:
- Active Directory måste ha vissa inställningar konfigurerade för att fungera korrekt med single sign-on. Framför allt måste användarens huvudnamn (UPN), eller inloggningsnamn, konfigureras på ett visst sätt för varje användare. Använd Microsoft Deployment Readiness Tool för att inspektera din Active Directory-miljö och generera en rapport som innehåller information om huruvida du är redo att konfigurera single sign-on och vilka ändringar du behöver göra för att förbereda dig för single sign-on.
- Den domän du väljer att federera måste vara registrerad som en offentlig domän hos en domänregistrerare eller på dina egna offentliga DNS-servrar.
- Om du redan har konfigurerat Active Directory-synkronisering kanske användarens UPN inte stämmer överens med användarens UPN på plats som definieras i Active Directory. För att åtgärda detta byter du namn på användarens UPN med hjälp av cmdlet Set-MsolUserPrincipalName i Microsoft Azure Active Directory Module for Windows PowerShell.