Puxar usuários do Office 365 para o Active Directory

3

Atualmente, estou trabalhando com uma assinatura Office 365 existente que precisa ter uma nova instância de Windows Server 2012 R2 in Azure para gerenciar os usuários por meio do Active Directory. O servidor 2012 VM é novo e não tem nada configurado. Eu entendo que, ao seguir o caminho inverso e criar uma nova conta do 365, você pode simplesmente usar a ferramenta DirSync e empurrar seus usuários do AD para a nuvem 365.

Eu não consegui obter nenhum suporte da MS sobre isso, então estou pensando se alguém tem alguma sugestão sobre como obter usuários da nuvem para o AD, para que eu possa, eventualmente, configurar uma SSO situação para o servidor usuários.

    
por foochow 12.11.2014 / 21:55

5 respostas

5

O que você está procurando é a correspondência de SMTP: link

Normalmente, o modo AD - > A sincronização do O365 funciona porque um valor de identidade exclusivo é criado para cada usuário no AD e, em seguida, o usuário é enviado para o O365. As atualizações são realizadas usando o valor de identidade para corresponder às contas.

A correspondência de SMTP informa à ferramenta DirSync para corresponder inicialmente com base no endereço SMTP principal. Outras sincronizações são realizadas usando o valor de identidade.

Além disso, certifique-se de ler isso, pois inclui como alterar a autoridade do seu diretório: Sincronização de diretórios e fonte de autoridade

    
por 12.11.2014 / 22:17
6

Eu não acredito que a Microsoft atualmente tenha uma solução para o que você está procurando. Como você mencionou, isso é o oposto de uma implantação típica do Office 365.

A longo prazo, a edição do Azure Active Directory Premium com a "Ferramenta de Sincronização de Identidade" anunciada, mas ainda não disponível, com "recursos avançados de write-back" (consulte link ) pode fazer o que quiser, mas tenho a sensação de que isso ainda não existe exatamente.

Você poderia codificar algo com o Módulo do PowerShell do Active Directory do Azure para despejar dados fora do seu locatário do Azure AD e provisionando usuários em seu próprio Active Directory, mas eu não posso imaginar que você receberá hashes de senha do Azure. Isso vai deixar um problema persistente de senhas.

A Microsoft é, em última análise, quem precisa estar apoiando você nisso. Eu me envolveria com vendas e suporte para determinar a melhor maneira de alcançar seus objetivos de negócios, em vez de reunir alguns problemas que acabam fazendo mais mal do que bem.

    
por 12.11.2014 / 22:08
3

Fiz esta mesma pergunta pessoalmente. Aqui está a abordagem que fiz:

Então eu fiz a configuração padrão do servidor. Provisionado no Azure e instalado os Serviços de Domínio do Active Directory.

Então usei essa ferramenta:

Claro, isso não funciona para mim porque nenhum dos meus usuários está no AD!

Então eu fiz mais pesquisas e me deparei com isso: Migrar contas de usuários do Azure AD para o AD local?

Usando a segunda resposta, consegui exportar do Azure e importar para o AD.

Uma palavra de aviso: Na primeira vez, eu quebrei a autenticação. Mas isso parece ser porque eu configurei o DirSync / SSO e o ADFS antes de importar. Todas as contas que importei são bloqueadas, portanto, toda vez que o DirSync é executado, ele bloqueia minhas contas no Azure. Então, eu recomendo que você comece com esse processo:

1) Adicione duas contas ao seu anúncio.    - Um para o seu AD local, aquele no seu servidor.    - Um para o seu Azure AD que NÃO faz parte da sua assinatura do Office 365. Use seu domínio .onmicrosoft.com. Dê-lhe admin sobre o seu anúncio. 2) Configure o Powershell do Active Directory do Azure e verifique se você tem o Powershell do Active Directory regular: link

3) Conecte seu MSOL usando a conta do AD do Azure que você criou.

4) Execute a exportação do Azure AD no guia vinculado anteriormente.

5) Realize a importação no seu AD local, de acordo com o mesmo guia.

6) Verifique suas contas.

Aqui é onde eu ainda estou descobrindo. O acima deve responder sua pergunta sobre como transferir os usuários. Mas agora, como para configurar o SSO e o DirSync, não posso direcioná-lo. Mas eu usei o AD Connect e parece que vai fazer o truque para mim. Mas certifique-se de aprender a desfazer o que faz! Eu consegui quebrar a autenticação por quase uma hora enquanto eu descobri isso!

Boa sorte! Deixe-me saber como o seu projeto vai, e eu vou deixar você saber como o meu faz.

    
por 13.02.2015 / 07:38
2

Fiz todas as etapas fornecidas por Chris, tudo correu bem, modifico o comando de importação para evitar a desativação da conta assim que a sincronização for executada, adicionei Enabled $ True antes da senha da conta, fiz a sincronização e a conta foi criada e ativada em ao mesmo tempo.

Tente isto:

import-csv C:\Azure_Export_26_15_1.csv -Encoding UTF8 | foreach-object {New-ADUser -Name ($_.Firstname + "." + $_.Lastname) -SamAccountName ($_.Firstname + "." + $_.Lastname) -GivenName $_.FirstName -Surname $_.LastName -City $_.City -Department $_.Department -DisplayName $_.DisplayName -Fax $_.Fax -MobilePhone $_.MobilePhone -Office $_.Office -PasswordNeverExpires ($_.PasswordNeverExpires -eq "True") -OfficePhone $_.PhoneNumber -PostalCode $_.PostalCode -EmailAddress $_.SignInName -State $_.State -StreetAddress $_.StreetAddress -Title $_.Title -UserPrincipalName $_.UserPrincipalName -Enabled $True -AccountPassword (ConvertTo-SecureString -string "Secret!" -AsPlainText -force) }
    
por 29.06.2015 / 16:26
0

A função do Windows Server Essentials tem um conector limitado no console que possui recursos de importação. No entanto, não é possível usar esse conector e habilitar o ADFS com o O365, você precisa alternar para o AD Connect.

    
por 28.03.2017 / 22:39