如何將 Active Directory 使用者映射到 Azure AD Connect 中的現有 Azure AD 管理員?
多年來,我一直在以下情況下執行良好。
- 一個簡單的本地 AD 域 ( local.whatever.com ),使用者為LOCAL\john.doe ( Domain Admin )
- 一個獨立的 Office 365 租戶 ( whatever.com ),使用者為john.doe@whatever.com ( Office 365 全球管理員)
儘管本地 AD 使用者在概念上對應於 Office 365 使用者,但它們之間沒有特定的連結,因此本地域和 Office 365 租戶是獨立的儲存庫。
現在,我決定部署和配置 Azure AD Connect 以使我的本地域和 Azure AD 同步,因此我執行了以下操作:
- 將whatever.com UPN添加到本地活動目錄(local.whatever.com)
- 將LOCAL\john.doe上的電子郵件地址設置為john.doe@whatever.com
- 安裝和配置 Azure AD Connect
- 執行第一次完全同步
結果是:
- 在 Azure AD 中以 john.doe 1234 @whatevercom.onmicrosoft.com的形式創建了一個新帳戶(請注意使用者名末尾的隨機數)
- Office 365 帳戶和本地 AD 帳戶未關聯。
這是有道理的,因為我從來沒有機會指示 Azure AD Connect 將本地 AD 使用者與 Office 365 使用者映射。
所以,我找到了這篇文章: Azure AD Connect:當你有一個現有的租戶時
在閱讀了上一篇文章之後,在我看來,我應該在兩個使用者之間建立一個映射以使其工作。然而:
- 我不明白進行此映射的步驟是什麼
- 由於非同步使用者是 Office 365 租戶中唯一的全域管理員,因此無法選擇刪除 Azure AD 中的現有使用者。
此外,我在 Microsoft 文件中遇到了以下警告:
Microsoft 強烈建議不要將本地帳戶與 Azure Active Directory 中預先存在的管理帳戶同步。
任何已知的修復或解決方法?
我不明白實現這種映射的步驟是什麼。
您連結的文章在這裡非常簡潔地說明了這一點:
因此,為了說明這一點,
Azure AD Connect 不會將現有的本地使用者帳戶與作為 Office 365 中的全域管理員的 Office 365 帳戶匹配。這就是在 Office 365 中創建新使用者的原因。要解決此問題,您應該執行以下操作:
- 在 Office 365 中創建新的全域管理員。
- 以這個新的全域管理員身份登錄 Office 365。
- 刪除 john.doe1234@whatevercom.onmicrosoft.com 使用者。
- 從 Office 365 中的已刪除使用者中刪除 john.doe1234@whatevercom.onmicrosoft.com 使用者 ( https://practical365.com/exchange-server/permanently-remove-deleted-users-office-365/ )。
- 從 Office 365 中的 john.doe@whatever.com 使用者中刪除全域管理員角色。
- 啟動 Azure Ad Connect 同步週期 ( https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sync-feature-scheduler#full-sync-cycle )。
- 驗證本地使用者帳戶現在是否與 Office 365 中的現有 john.doe@whatever.com 使用者匹配。
- 將全域管理員角色添加回 Office 365 中的 john.doe@whatever.com 使用者。
由於非同步使用者是 Office 365 租戶中唯一的全域管理員,因此無法選擇刪除 Azure AD 中的現有使用者。
您知道您可以在 Office 365 中創建額外的全域管理員,對吧?如果您以全域管理員身份登錄,則可以創建其他全域管理員或將該角色授予其他現有 Office 365 使用者。此外,Microsoft 建議,如果您使用 Azure Ad Connect 將您的本地 AD 同步到 Office 365,則您在 Office 365 中至少有一個“僅限雲”全域管理員,這意味著您應該在 Office 365 中有一個全域管理員,未從您的本地目錄同步。