我们希望使用 ADsync/Dirsync 将客户的 Office 365 同步到他们的 Active Directory 服务器。问题是,为了便于说明,他们有两个单独的 Active Directory 域,DomainA.local 和 DomainB.local。
如何将两个 AD 域同步到单个 Office 365 租户?由于某些用户同时位于两个 AD 域中,我是否可以有选择地排除用户?目前两个 AD 域之间只有信任关系。
答案1
Azure AD 连接 (https://www.microsoft.com/en-us/download/details.aspx?id=47594) 将允许您配置两个域以同步到单个租户的 Azure AD。
您需要在 AD 域和信任中将其外部域(而非 .local)设置为备用 UPN 后缀。信息在这里: https://docs.microsoft.com/en-us/office365/enterprise/prepare-a-non-routable-domain-for-directory-synchronization
您可以设置过滤器以不同步某些对象。请参阅以下文章“负面过滤:不同步这些”以了解如何执行此操作。 https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sync-configure-filtering
答案2
您可以将多个 AD 林同步到单个 Azure AD/Office 365 租户。您需要使用 Azure AD Connect 的自定义安装选项。
不需要森林信任。您只需要在森林之间进行 DNS 名称解析,这可以通过条件转发器实现。
过滤用户和组对象的最简单方法是将属性设置adminDescription
为
User_NoAzureADSync
过滤用户
Group_NoAzureADSync
过滤群组
您可以使用 Azure AD Connect 规则编辑器进行更高级的过滤,但老实说,您可能不需要这样做。
请注意,任何设置为该isCriticalSystemObject
属性的对象TRUE
都不会同步到 Azure AD/Office 365。
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-custom
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/plan-connect-topologies