Làm cách nào để định cấu hình lại đồng bộ hóa Azure AD, được sử dụng để tạo khả năng đăng nhập một lần cho Office365 từ bên trong miền, sao cho phần tên miền trong UPN của người dùng có thể thay đổi khi được đồng bộ hóa?
Ví dụ. giả sử miền địa phương là ad.contosolocal.com, và miền bên ngoài là contoso.com. Hiện tại, chỉ sao chép chính xác mới hoạt động bằng cách khớp ID của nó, ví dụ:. bằng cách sử dụng MSonline;
$username="bob"
$UPN = (-join($username, "contoso.com"))
$guid=(get-ADUser $username).Objectguid
$immutableID=[system.convert]::ToBase64String($guid.tobytearray())
Set-MsolUser -UserPrincipalName $UPN -ImmutableId $immutableID
Điều này không hoạt động trơn tru hoặc đáng tin cậy: phải mất nhiều lần thử đồng bộ hóa, đồng bộ hóa hoàn toàn theo cách thủ công và chạy từng tùy chọn có thể hai lần cho cả hai trình kết nối, với tổng số 16 lần đồng bộ hóa (nhập, xuất, đồng bộ hóa và delta 2 lần), trước khi Azure AD quyết định để đặt UPN thành giá trị chính xác và không phải ngay lập tức mà khoảng 15 phút sau. Có vẻ như muốn đặt UPN thành bồng bềnh thay vì [email protected] đối với một số lý do cho đến nay vẫn chưa thể giải thích được. Xử lý vấn đề này đối với nhiều người dùng khiến họ khó chịu vì thông tin đăng nhập bị hỏng trong khi các giá trị không được đặt chính xác.
Sau đó, tôi muốn:
+---------------------------------+------------------+--- ---------------+
| Giá trị địa phương | Gửi tới Azure | Giá trị Azure |
+---------------------------------+------------------+--- ---------------+
| [email protected] | [email protected] | [email protected] |
| [email protected] | [email protected] | [email protected] |
+---------------------------------+------------------+--- ---------------+
Nếu điều này được thực hiện một cách ngây thơ bằng cách tạo 'Quy tắc đồng bộ hóa' của riêng tôi thì nó sẽ phá vỡ mật khẩu (người dùng không thể đăng nhập nữa do lỗi 'mật khẩu không hợp lệ').Mật khẩu chỉ hoạt động khi UPN của người dùng khớp với những gì nó đang trực tuyến, ngay cả khi đồng bộ hóa mật khẩu bị tắt (có vẻ như đây là một lỗi). Tất nhiên, miền e-mail khớp với miền của trang web, điều đó có nghĩa là nếu các đường dẫn cục bộ bắt đầu hoạt động giống như vậy thì điều này sẽ dẫn đến các sự cố DNS; không còn có thể truy cập trang web của công ty từ tên miền địa phương.
Theo cách khác, sử dụng ad.contosolocal.com vì đăng nhập trực tuyến cũng không thực sự là một lựa chọn khả thi, người dùng muốn đăng nhập bằng tên miền 'thực'. (Ngoài số giờ hỗ trợ, cần có để tất cả họ thay đổi miền đăng nhập trong tất cả các chương trình của họ trên tất cả các thiết bị của họ)
Tôi cũng có thể đặt UPN từ xa của người dùng trong một thuộc tính AD cục bộ khác (thường là thuộc tính email thuộc tính), trong trường hợp đó tôi có thể thay đổi đồng bộ hóa để phù hợp email đến UPN.
Thật không may, chạy lại trình hướng dẫn Azure AD Connect; nó không cung cấp cho tôi bất kỳ tùy chọn nào để thay đổi những gì tôi đã ánh xạ UPN tới. Nó dường như không hiển thị tùy chọn sau lần đầu tiên bạn chạy nó.
Tôi muốn điều này xảy ra:
- Mật khẩu và tên người dùng được đồng bộ hóa từ AD cục bộ sang Azure AD.
- Phần miền cục bộ của UPN luôn là một giá trị cố định.
- Phần miền từ xa của các UPN phù hợp luôn cố định (giá trị khác)
- Người dùng cần có khả năng đăng nhập vào Office365 từ cả bên ngoài mạng nội bộ cũng như bên trong.
- Office-365 sử dụng Đăng nhập một lần; triển vọng cục bộ/từ/v.v. tự động đăng nhập vào office-365 mà không cần phải cung cấp thông tin xác thực.
Hỏi: Thế nào?
