我目前正在处理一个现有Office 365订阅,该订阅需要一个新的实例来Windows Server 2012 R2通过AzureActive Directory 管理用户。服务器 2012 VM 是全新的,没有设置任何内容。我理解,当反过来创建一个新的 365 帐户时,您只需使用该DirSync工具并将您的 AD 用户推送到 365 云即可。
我无法从 MS 获得任何支持,因此我想知道是否有人对如何将用户从云端转移到 AD 有任何建议,以便我最终可以SSO为服务器用户设置一个情况。
答案1
您正在寻找的是 SMTP 匹配:http://support.microsoft.com/kb/2641663
通常,AD -> O365 同步的工作方式是,在 AD 中为每个用户创建一个唯一的身份值,然后将该用户推送到 O365。使用身份值执行更新以匹配帐户。
SMTP 匹配指示 DirSync 工具首先根据主 SMTP 地址进行匹配。进一步的同步是使用标识值完成的。
另外,请务必阅读本文,因为其中包含如何更改目录的权限:目录同步和权限来源
答案2
我认为 Microsoft 目前没有针对您所寻求的解决方案。正如您所提到的,这与典型的 Office 365 部署相反。
从长远来看,Azure Active Directory Premium 版本将包含已宣布但尚未推出的“身份同步工具”,该工具具有“高级写回功能”(请参阅http://channel9.msdn.com/Events/TechEd/Europe/2014/CDP-B312)可能做你想做的事,但我感觉这还不存在。
你可以用Azure Active Directory PowerShell 模块从 Azure 租户 AD 中转储数据并在您自己的 Active Directory 中配置用户,但我不能想象一下您将从 Azure 中取回密码哈希值。这将留下一个棘手的密码问题。
微软才是最终需要在这方面为您提供支持的一方。我会与销售和支持部门合作,确定实现业务目标的最佳方式,而不是拼凑出一些糟糕的一次性措施,最终弊大于利。
答案3
我自己也问过同样的问题。以下是我采取的方法:
因此我对服务器进行了标准设置。在 Azure 中进行配置并安装了 Active Directory 域服务。
当然,这对我来说不起作用,因为我的用户都不在 AD 中!
因此我做了更多研究,并发现了这一点: 将用户帐户从 Azure AD 迁移到本地 AD?
使用第二个答案,我能够从 Azure 导出并导入 AD。
警告:第一次尝试时,我破坏了身份验证。但这似乎是因为我在导入之前设置了 DirSync/SSO 和 ADFS。我导入的所有帐户都被阻止了,因此每次运行 DirSync 时,它都会阻止我在 Azure 中的帐户。因此,我建议您从此过程开始:
1) 向您的 AD 添加两个帐户。- 一个添加到您的本地 AD,另一个添加到您的服务器上。- 一个添加到您的 Azure AD,它不是您的 Office 365 订阅的一部分。使用您的 .onmicrosoft.com 域。授予它 AD 的管理员权限。2) 设置 Azure Active Directory Powershell,并确保您拥有常规 Active Directory Powershell: https://msdn.microsoft.com/en-us/library/azure/jj151815.aspx
3) 使用您创建的 Azure AD 帐户连接您的 MSOL。
4) 按照前面链接的指南从 Azure AD 执行导出。
5) 按照同一指南,将文件导入到您的本地 AD。
6)验证您的帐户。
我自己还在摸索这个问题。上面的内容应该可以回答你关于如何转移用户的问题。但是现在,至于设置 SSO 和 DirSync,我无法指导你。但我使用了 AD Connect,这似乎对我有用。但一定要学会如何撤消它所做的操作!在我弄清楚的过程中,我设法中断了身份验证近一个小时!
祝你好运!告诉我你的项目进展如何,我也会告诉你我的项目进展如何。
答案4
Windows Server Essentials 角色在控制台中具有有限的连接器,具有导入功能。但是,无法使用此连接器并通过 O365 启用 ADFS,您需要切换到 AD Connect。