Office 365 DirSync-重复的UserPrincipalName冲突

tag-icon tag-icon microsoft-office-365 entra-id
Office 365 DirSync-重复的UserPrincipalName冲突

我遇到一个问题,以下情况按以下顺序发生(并使用测试帐户进行了第二次验证,示例中的 O365 租户是 mydomain.onmicrosoft.com):

  1. 电子邮件是在 Office 365 上创建的,其中包含电子邮件[电子邮件保护]
  2. 本地 AD 帐户是使用 AD 的本地 UPN @corp.mydomain.com 创建的(由于错误,我们还将 mydomain.com 添加到了 UPN,但选择了错误的)。
  3. AD Sync 运行后,我们可以看到一个用户[电子邮件保护]列出(在 Office 365 门户管理员用户列表下显示与 Active Directory 同步的用户)
  4. 然后我们将 AD 帐户的 UPN 更改为 @mydomain.com
  5. 我们收到 Dir Sync 状态的错误We detected a duplicate UserPrincipalName conflict on the value [email protected]. All attribute values need to be unique across objects. To resolve this conflict, first determine which object should be using the conflicting value. Then, update or remove the conflicting value from the other object(s). This error was detected on 9/7/17 12:32 PM.

具体名单如下:

UserPrincipalName: [email protected]
Status:Unlicensed
Last DirSync time:
Source anchor:
Source of authority:Cloud
Created on:9/7/17 3:49 PM

UserPrincipalName: [email protected] (Modified automatically)
Status:Unlicensed
Last DirSync time:9/7/17 4:32 PM
Source anchor:+fWWJ+utoUS9xeB2ofeKew==
Source of authority:On-premises Active Directory
Created on:9/7/17 4:02 PM
Proxy addresses:

按照https://support.microsoft.com/en-us/help/2641663/how-to-use-smtp-matching-to-match-on-residential-user-accounts-to-office

我已按照此处的详细信息,将用户配置文件下的本地 AD 帐户电子邮件地址设置为[电子邮件保护],将UPN设置为mydomain.com,同时添加了代理地址SMTP:[电子邮件保护]在用户的属性选项卡下,但仍然出现相同的错误。

请问有什么想法可以让我如何将列出的[email protected](AD 帐户)链接到[email protected](Office 365 邮箱)?

门户网站

答案1

这个问题可能是由于您没有将您的域添加到 Office 365

首先,我们知道 Office 365 使用基于云的用户身份验证服务 Azure Active Directory 来管理用户。每个 Azure AD 目录都带有一个初始域名,格式为 domainname.onmicrosoft.com。初始域名无法更改或删除,但您也可以将公司域名添加到 Azure AD。

例如,您的组织可能还有其他用于开展业务的域名,以及使用您的公司域名登录的用户。将自定义域名添加到 Azure AD 允许您在目录中分配用户熟悉的用户名,例如“[电子邮件保护]。' 代替 '[电子邮件保护]'。这个过程很简单:

  1. 将自定义域名添加到目录
  2. 在域名注册商处添加域名的 DNS 条目
  3. 在 Azure AD 中验证自定义域名

您可以在此处在 Office 365 门户中添加您的域:

在此处输入图片描述

如果您计划将本地 Windows Server AD 与 Azure AD 联合,则需要选择我计划将此域配置为使用本地 Active Directory 进行单点登录运行 Azure AD Connect 工具同步目录时,请选中复选框。您还需要在Azure AD 域向导中的步骤。您可以在这些说明。如果您没有 Azure AD Connect 工具,您可以点击下载

有关如何向 Office 365 添加域和用户的更多信息,请参阅这个官方文件

答案2

从技术上讲,如果 Azure AD Connect 设置正确,它不应该同步具有无效 UPN(corp.mydomain.com)的用户。你有一天必须告诉我你是如何强迫这种情况发生的。你是否也在 Office 365 中授权了 corp.mydomain.com?

但是,现在本地用户通过 Anchor/ImmutableID 与云用户绑定。

  • 如果没问题,请删除本地用户帐户并同步。这应该会删除云端的用户帐户。
  • 恢复已删除的用户云端帐户。现在为“仅限云端”
  • 将 Office 365 用户帐户更改为新的登录名/UPN/主 SMTP 等。
  • 从 Office 365 powershell 中删除云用户的 ImmutableID:Set-MsolUser -UserPrincipalName <clouduserUPN> -ImmutableID $null
  • 使用正确的 UPN 和 ProxyAddresses 创建一个与云用户的 UPN/登录名匹配的新 AD 用户帐户。
  • 现在同步。Azure AD Connect 将匹配本地用户与云用户之间并同步。

如果您无法在步骤 1 中删除本地 AD 帐户,则请在 Azure AD Connect 和 Sync 中过滤本地用户。这也会删除 Office 365 中的用户帐户,以便您可以执行步骤 2。然后在最终同步之前删除过滤器。

相关内容