如何實現(xiàn)Office 365 Azure AD的賬戶同步研究

這篇文章跟大家分析一下“如何實現(xiàn)Office 365 Azure AD的賬戶同步研究”。內(nèi)容詳細易懂，對“如何實現(xiàn)Office 365 Azure AD的賬戶同步研究”感興趣的朋友可以跟著小編的思路慢慢深入來閱讀一下，希望閱讀后能夠?qū)Υ蠹矣兴鶐椭?。下面跟著小編一起深入學習“如何實現(xiàn)Office 365 Azure AD的賬戶同步研究”的知識吧。

如果是純云端的用戶，那么我覺得沒有什么問題，但如果有一天想把云端的Azure AD的用戶同步到本地的AD如何做呢？當然云端的Azure AD用戶是無法同步到本地的AD的，但可以曲線救國實現(xiàn)類似的需求目標。接下來詳細看看：

假設我這有一個環(huán)境是純云端的Office 365用戶（Azure AD）

域是basehome.com.cn

云端的這些用戶密碼都是統(tǒng)一的abc123!@#，都具備自己的Exchange Online郵箱，并且郵箱里有信件，而不是空郵箱

問題來了，因為企業(yè)的不斷擴張，想建立本地的AD與Office 365做AD混合，實現(xiàn)張三的賬號能在本地AD里，且張三Office 365的郵箱數(shù)據(jù)不丟失。那怎么辦呢？我首先在本地建立一套AD，域名也是basehome.com.cn，同樣的建立和云端Office 365用戶一樣的賬戶登錄名，比如先建立一個賬戶：

本地AD再增加一臺Windows Server 2012 R2加域，配置好Azure AD Connect。

同步的也不是本地整個域，而是具體的指定一個OU：

檢查同步狀態(tài)可以用這個工具：miisclient

配置好以后會看到本地AD的zhangjunsen@basehome.com.cn賬戶同步到了Office 365的Azure AD里并不是覆蓋Office 365 Azure AD的zhangjunsen@basehome.com.cn，而是自動出現(xiàn)了一個隨機編碼的賬戶名

從同步的信息來看也是寫得很清楚的，重復了

當然這不是我們所期望的，還是希望本地AD的張三和Office 365云端的張三能是匹配相關(guān)聯(lián)的。

那怎么辦呢？首先需要在本地AD的AADConnect服務器上配置下AD Connect關(guān)閉密碼同步，避免本地AD賬戶把云端賬戶密碼覆蓋掉（相同賬戶前提下）

什么是相同賬戶，判斷主要是三個屬性：

UserPrincipalName；Emailaddress；Proxyaddresses

所以需要將在本地AD中創(chuàng)建的用戶UserPrincipalName，Emailaddress，Proxyaddresses三者的屬性值需與云端相對應的賬號屬性值相匹配，如下示例：

示例：

云端已經(jīng)使用的賬戶A地址如下

UserPrincipalName:a@contoso.com

Emailaddress:a@contoso.com

Proxyaddresses :SMTP:a@contoso.com

要匹配至云端的本地用戶A創(chuàng)建時

UserPrincipalName:a@contoso.com

Emailaddress:a@contoso.com

Proxyaddresses :SMTP:a@contoso.com

先看看Office 365上云端Azure AD的張三賬戶屬性，連接到Office 365的Azure AD只能看到UserPrincipalName和Proxyaddresses屬性：

Emailaddress屬性需要該賬戶開通了Exchange Online才可以連接到Exchange Online里才可以看到

那么我在本地AD里新建張三的賬戶就需要注意這三點，先不要在同步的OU里創(chuàng)建張三，我在Stand by Users的OU里創(chuàng)建張三

密碼我就設置成zhangsan

張三創(chuàng)建好放在Stand by Users的OU里

設置Proxyaddresses需要先點開AD用戶和計算機的高級選項

選擇張三用戶，點擊屬性會多一個屬性編輯器選項，找到Proxyaddresses，點擊編輯

因為之前在Office 365 Azure AD里看到了云端的張三這項屬性值是：

{smtp:zhangsan@homebase.partner.onmschina.cn, SMTP:zhangsan@basehome.com.cn}

在這里指需要填寫SMTP:zhangsan@basehome.com.cn即可（注意大小寫的SMTP哦，哪個SMTP是大寫就意味著是主要登錄地址以及主要郵箱的發(fā)件地址）

添加進去點擊確定

當然在屬性編輯器里也可以看到UserPrincipalName的值是否和Office 365云端的張三一致

對于Emailaddress屬性默認是沒有的，這里也不用太在意

接下來張三準備就緒了，我就把張三賬戶從Stand by Users移動到Users的OU里同步到Office 365的Azure AD看有什么變化

默認同步周期為30分鐘同步一次，如果您需要立即執(zhí)行同步，請在本地AADConnect服務器的Powershell執(zhí)行

增量同步Start-ADSyncSyncCycle -PolicyType Delta

完全同步Start-ADSyncSyncCycle -PolicyType Initial

再看看Office 365上Azure AD的賬戶會發(fā)現(xiàn)沒有新建一個隨機編碼的AD同步賬號上來，而是張三的賬號由原來的”在云中“變成了”已與AD同步“

此刻讓張三的賬號登錄，當然還是以abc123!@#密碼登錄看郵箱里的數(shù)據(jù)是否依然存在，答案是沒變化，但賬戶的同步關(guān)系和隸屬變了，張三不再是純云端的用戶，而是從本地AD同步上來的用戶

下來我在本地AD Connect開啟密碼哈希同步

我們再試下張三是否還可以以abc123!@#密碼登錄嗎？提示密碼錯誤了

但如果我此刻采用本地AD張三的密碼zhangsan來登錄呢？答案是可以登錄的

這說明說明問題呢？說明可以通過這樣的方法實現(xiàn)“曲線救國”式的將云端Office 365實現(xiàn)和本地AD的合并或者說把云端的Office 365賬戶同步回本地AD吧。

接著我再做個測試，之前的張俊森賬戶已經(jīng)同步上Office 365成為了如下這樣的賬戶（因為UserPrincipalName屬性重名）

接下來我直接修改本地AD里Users OU里張俊森賬戶的屬性，把Proxyaddresses屬性值添加上

看同步會發(fā)生變化嗎？張俊森的云端賬戶同步類型也變了，說明本地AD的張俊森也云端張俊森建立了新的匹配對應關(guān)系

那么之前那個同步上來的張三（Sync_AADCONNECT_8686494b4295@homebase.partner.onmschina.cn）可以刪除嗎？答案是無法刪除

那么要刪除它可以通過Powershell

這樣Office 365上就沒有這個賬戶了

張俊森以本地AD的密碼登錄Office 365郵箱看到郵箱數(shù)據(jù)依然存在

到此就介紹到這了。

關(guān)于如何實現(xiàn)Office 365 Azure AD的賬戶同步研究就分享到這里啦，希望上述內(nèi)容能夠讓大家有所提升。如果想要學習更多知識，請大家多多留意小編的更新。謝謝大家關(guān)注一下億速云網(wǎng)站！