Поддерживает ли Multi-Forest Azure AD Connect леса с одинаковым суффиксом UPN?
У нас есть лес AD компании A (домен леса a.com) и лес AD компании B (домен леса b.com), связанные доверительными отношениями между лесами, и каждый с локальным Exchange 2010 SP3.
Мы планируем перенести оба сервера Exchange Server в один клиент Office 365 в гибридной среде с помощью Azure AD Connect с несколькими лесами для синхронизации обоих AD в отдельные каталоги в Azure.
a.com использует john.doe@a.com в качестве UPN.
b.com использует john.doe@b.com в качестве UPN.
Теперь, поскольку две организации как бы объединяют свои операции, мы изучаем возможность того, что сотрудники a.com и b.com будут войдите в систему, используя тот же UPN c.com, например john.doe@c.com как их UPN вместо этого.
Я знаю, что могу добавить c.om в лес a.com и b.com в качестве нового UPN без проблем, но когда дело доходит до AADC, это совсем другое дело.
При запуске AADC я не уверен, может ли он пройти мимо этого экрана?
Это вообще поддерживается?
Заранее спасибо.
ADConnect не заботится о AD UPN, только если его можно правильно сопоставить с Azure AD UPN; поэтому, если у вас есть немаршрутизируемые суффиксы UPN, такие как «@ domain.local», ADconnect предупредит вас об этом; если учетная запись пользователя с таким суффиксом UPN будет синхронизирована, пользователь Azure AD получит суффикс UPN по умолчанию («@ yourname.onmicrosoft.com»), поскольку исходный UPN нельзя будет использовать.
Если вы добавите третий суффикс UPN в лес (ы) AD, и его можно будет правильно сопоставить с суффиксом UPN Azure AD (т. Е. Доменом DNS, который вы проверили в Azure AD / Office 365), это вообще не будет проблемой; просто не забудьте настроить UPN ваших пользователей на использование нового суффикса до начала синхронизации.
Кроме того, будьте осторожны с повторяющимися именами UPN: если вы синхронизируете более чем из одного леса и существуют повторяющиеся UPN, это приведет к конфликтам синхронизации.
Дополнение: если вы переносите пользователей между лесами AD или если у вас есть дублирующиеся учетные записи пользователей в разных лесах, потому что они фактически являются одними и теми же пользователями, вам необходимо предпринять дополнительные шаги, чтобы ADConnect мог правильно сопоставить их.
Я бы предположил, что основной SMTP-адрес более важен для вас, чем UPN. Каждый запрос на вход в Office 365 запрашивает у пользователя адрес электронной почты. Это немного неправильное название. На самом деле в приглашении запрашивается UPN пользователя Office 365, но предполагается, что он совпадает с основным SMTP-адресом пользователя. Если вы выберете «общее» имя участника-пользователя, и если это имя участника-пользователя отличается от основного SMTP-адреса пользователя, то ваши пользователи будут сбиты с толку и вызовут звонки в ваш отдел поддержки, если они не могут войти в Office 365 с помощью их адрес электронной почты ... потому что он отличается от их UPN в Office 365.
Итак ... добавьте свой подтвержденный домен Office 365 для каждого домена AD в качестве суффикса UPN в каждом соответствующем AD и установите его для учетных записей пользователей. Предполагая, что UPN для каждого пользователя соответствует их основному SMTP-адресу, их UPN Office 365 будет соответствовать их адресу электронной почты, и вы избежите проблем, когда UPN и основной SMTP-адрес отличаются.
Я все время вижу эту проблему. UPN пользователя Office 365 - John.Doe@company A.com, но их основной SMTP-адрес - John.Doe@companyB.com. Они пытаются войти в Office 365 как John.Doe@companyB.com, и это, конечно, не работает, потому что их UPN Office 365 - John.Doe@companyA.com.
Поэтому убедитесь, что имя участника-пользователя каждого пользователя соответствует их основному SMTP-адресу, а затем синхронизируйте их из локальной службы AD с Office 365 / Azure AD.
