В настоящее время я работаю с существующим Office 365 подписка, в которой должен быть новый экземпляр Windows Server 2012 R2 в Azure управлять пользователями через Active Directory. Виртуальная машина server 2012 совершенно новая и ничего не настроено. Я понимаю, что если пойти противоположным путем и создать новую учетную запись 365, вы можете просто использовать DirSync инструмент и подтолкните своих пользователей AD в облако 365.
Мне не удалось получить поддержку от MS по этому поводу, поэтому мне интересно, есть ли у кого-нибудь предложения о том, как перевести пользователей из облака в AD, чтобы я мог в конечном итоге настроить SSO ситуация для пользователей сервера.
Я не верю, что у Microsoft в настоящее время есть решение для того, что вы ищете. Как вы упомянули, это противоположность типичному развертыванию Office 365.
В более долгосрочной перспективе выпуск Azure Active Directory Premium с объявленным, но еще не доступным, «Средством синхронизации удостоверений» с «расширенными возможностями обратной записи» (см. http://channel9.msdn.com/Events/TechEd/Europe/2014/CDP-B312) мощь делай, что хочешь, но у меня такое ощущение, что этого еще точно не существует.
Вы можете написать что-нибудь с помощью Модуль Azure Active Directory PowerShell для выгрузки данных из AD вашего клиента Azure и подготовки пользователей в вашем собственном Active Directory, но я не может image, что вы собираетесь получить хэши паролей из Azure. Это оставит неприятную проблему с паролями.
В конечном итоге Microsoft должна поддерживать вас в этом вопросе. Я бы занялся продажами и поддержкой, чтобы определить наилучший способ достижения ваших бизнес-целей, а не собирать вместе ужасные разовые вещи, которые в итоге приносят больше вреда, чем пользы.
Вы ищете соответствие SMTP: http://support.microsoft.com/kb/2641663
Как правило, синхронизация AD -> O365 работает так, что для каждого пользователя в AD создается уникальное значение идентификатора, а затем пользователь перемещается в O365. Обновления выполняются с использованием значения идентификатора для соответствия учетным записям.
Сопоставление SMTP сообщает инструменту DirSync о первоначальном сопоставлении на основе основного адреса SMTP. Дальнейшие синхронизации выполняются с использованием значения идентичности.
Также убедитесь, что вы прочитали это, поскольку оно включает в себя, как изменить полномочия вашего каталога: Синхронизация каталогов и источник полномочий
Я задавал тот же вопрос. Вот мой подход:
Итак, я сделал стандартную настройку сервера. Предоставлено в Azure и установлены доменные службы Active Directory.
Затем я использовал этот инструмент: http://blogs.technet.com/b/ad/archive/2014/12/15/azure-ad-connect-one-simple-fast-lightweight-tool-to-connect-active-directory-and-azure- активный каталог.aspx
Конечно, у меня это не работает, потому что ни один из моих пользователей не находится в AD!
Итак, я провел дополнительное исследование и наткнулся на следующее: Перенести учетные записи пользователей из Azure AD в локальную AD?
Используя второй ответ, я смог экспортировать из Azure и импортировать в AD.
Предупреждение: с первого раза я нарушил аутентификацию. Но это похоже на то, что я настроил DirSync / SSO и ADFS перед импортом. Все импортированные мной учетные записи заблокированы, поэтому каждый раз при запуске DirSync он блокирует мои учетные записи в Azure. Поэтому я рекомендую вам начать с этого процесса:
1) Добавьте две учетные записи в свою AD. - Один для вашего локального AD, один на вашем сервере. - Один для вашего Azure AD, который НЕ ЯВЛЯЕТСЯ частью вашей подписки на Office 365. Используйте свой домен .onmicrosoft.com. Дайте ему админ над вашим AD. 2) Настройте Azure Active Directory Powershell и убедитесь, что у вас есть обычная Active Directory Powershell: https://msdn.microsoft.com/en-us/library/azure/jj151815.aspx
3) Подключите свой MSOL, используя созданную вами учетную запись Azure AD.
4) Выполните экспорт из Azure AD в руководстве, указанном ранее.
5) Выполните импорт в локальную AD в соответствии с тем же руководством.
6) Подтвердите свои учетные записи.
Вот где я все еще разбираюсь. Вышеизложенное должно ответить на ваш вопрос о том, как перенести пользователей. Но теперь, что касается настройки SSO и DirSync, я не могу вам руководить. Но я использовал AD Connect, и мне кажется, что это поможет мне. Но убедитесь, что вы научились отменять то, что он делает! Удалось взломать аутентификацию почти на час, пока разбирался!
Удачи! Сообщите мне, как продвигается ваш проект, и я дам вам знать, как продвигается мой.
Выполнил все шаги, предоставленные Крисом, все прошло хорошо, я изменяю команду импорта, чтобы не отключать учетную запись после запуска синхронизации, я добавил Enabled $ True перед паролем учетной записи выполнялась синхронизация, и учетная запись была создана и включена одновременно.
Попробуй это:
import-csv C:\Azure_Export_26_15_1.csv -Encoding UTF8 | foreach-object {New-ADUser -Name ($_.Firstname + "." + $_.Lastname) -SamAccountName ($_.Firstname + "." + $_.Lastname) -GivenName $_.FirstName -Surname $_.LastName -City $_.City -Department $_.Department -DisplayName $_.DisplayName -Fax $_.Fax -MobilePhone $_.MobilePhone -Office $_.Office -PasswordNeverExpires ($_.PasswordNeverExpires -eq "True") -OfficePhone $_.PhoneNumber -PostalCode $_.PostalCode -EmailAddress $_.SignInName -State $_.State -StreetAddress $_.StreetAddress -Title $_.Title -UserPrincipalName $_.UserPrincipalName -Enabled $True -AccountPassword (ConvertTo-SecureString -string "Secret!" -AsPlainText -force) }
Роль Windows Server Essentials имеет ограниченный соединитель в консоли с возможностью импорта. Однако невозможно использовать этот коннектор и включить ADFS с O365, необходимо переключиться на AD Connect.