Azure AD Connect 将同步密钥 userprincipalname 更改为邮件属性

Azure AD Connect 将同步密钥 userprincipalname 更改为邮件属性

将同步属性从 更改为userPrincipalName的推荐方法是什么mail

设置用户主体名称的选项 仅在首次安装 AD 连接时才会出现此选项

据我所知,它禁用同步,删除并重新安装。

答案1

据我所知,它禁用同步,删除并重新安装。

是的,您现在处于配置页面,您可以选择mail登录。

在您的场景中,您可以Remove-AzureADUser使用删除Azure AD 中的那些用户,然后使用这个新的 Azure AD 连接再次同步他们,这样,您的用户就可以使用邮件地址登录。

答案2

实际上,这是可能的。您必须使用同步规则编辑器。我遇到过类似的问题,必须解决它。我写了一个博客文章关于它。

基本上,您需要找到包含 UserPrincipalName 的规则(如下面的屏幕所示)

在此处输入图片描述

在此处输入图片描述

最后,替换

IIF(IsPresent([userPrincipalName]),[userPrincipalName], IIF(IsPresent([sAMAccountName]),([sAMAccountName]&"@"&%Domain.FQDN%),Error("AccountName is not present")))

到:

IIF(IsPresent([mail]),[mail], IIF(IsPresent([sAMAccountName]),([sAMAccountName]&"@"&%Domain.FQDN%),Error("AccountName is not present")))

您可以在包含这些内容的任何规则中更改它(默认连接器上应该是 2)。显然,它不一定是邮件。它可以是任何对您来说足够独特的内容。

答案3

2022年还是一样,需要安装、重新安装。

但是,您可以通过导出 ADConnect 配置来简化此过程,并在重新安装时使用导出的配置;这将为您节省大量工作,特别是在您自定义默认设置时。

但有一个问题:生成 UPN 的源属性写在导出的配置中,导入时无法更改它。您需要在配置文件中手动更改它。

要使用本地 UPN,请执行以下操作:

  "identityMappingPolicy": {
    [...]
    "userPrincipalNameAttribute": "userPrincipalName",
    [...]
  },

要使用本地电子邮件地址:

  "identityMappingPolicy": {
    [...]
    "userPrincipalNameAttribute": "mail",
    [...]
  },

相关内容