多年来,我一直认为下面的场景运行良好。
- 一个简单的本地 AD 域 (local.whatever.com)与用户本地\john.doe(域管理员)
- 一个独立的 Office 365 租户(whatever.com)与用户[电子邮件保护](Office 365 全局管理员)
尽管本地 AD 用户在概念上对应于 Office 365 用户,但它们之间没有特定的联系,因此本地域和 Office 365 租户是隔离的存储库。
现在,我决定部署和配置 Azure AD Connect 以使我的本地域和 Azure AD 同步,因此我执行以下操作:
- 添加whatever.comUPN 到本地活动目录 (local.whatever.com)
- 设置电子邮件地址本地\john.doe到[电子邮件保护]
- 安装并配置 Azure AD Connect
- 运行了第一次完全同步
结果是:
- 在 Azure AD 中以 john.doe 形式创建了一个新帐户1234@whatevercom.onmicrosoft.com(请注意用户名末尾的随机数)
- Office 365 帐户和本地 AD 帐户未链接。
这是有道理的,因为我从来没有机会指示 Azure AD Connect 将本地 AD 用户与 Office 365 用户映射。
因此,我找到了这篇文章: Azure AD Connect:当您有现有租户时
阅读上一篇文章后,我认为我应该在两个用户之间建立映射以使其正常工作。但是:
- 我不明白实现这种映射需要哪些步骤
- 由于未同步的用户是 Office 365 租户中唯一的全局管理员,因此删除 Azure AD 中的现有用户是不可能的。
此外,我在 Microsoft 文档中看到以下警告:
Microsoft 强烈建议不要将本地帐户与 Azure Active Directory 中预先存在的管理帐户同步。
有任何已知的修复或解决方法吗?
答案1
我不明白要实现这种映射需要哪些步骤。
您链接的文章在这里非常简洁地阐述了这一点:
为了进一步阐述这一点,
Azure AD Connect 不会将现有的本地用户帐户与 Office 365 中的全局管理员 Office 365 帐户进行匹配。这就是在 Office 365 中创建新用户的原因。要解决此问题,您应执行以下操作:
在 Office 365 中创建一个新的全局管理员。
以新的全局管理员身份登录 Office 365。
删除[电子邮件保护]用户。
去除[电子邮件保护]Office 365 中已删除用户中的用户(https://practical365.com/exchange-server/permanently-remove-deleted-users-office-365/)。
从中删除全局管理员角色[电子邮件保护]Office 365 中的用户。
启动 Azure Ad Connect 同步周期 (https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sync-feature-scheduler#full-sync-cycle)。
验证本地用户帐户现在是否与现有[电子邮件保护]Office 365 中的用户。
将 Global Admin 角色添加回[电子邮件保护]Office 365 中的用户。
由于未同步的用户是 Office 365 租户中唯一的全局管理员,因此删除 Azure AD 中的现有用户是不可能的。
您知道您可以在 Office 365 中创建其他全局管理员,对吗?如果您以全局管理员身份登录,则可以创建其他全局管理员或将该角色授予其他现有 Office 365 用户。此外,Microsoft 建议,如果您使用 Azure Ad Connect 将本地 AD 同步到 Office 365,则您在 Office 365 中至少有一个“仅限云”全局管理员,这意味着您应该在 Office 365 中有一个未从您的本地目录同步的全局管理员。