我有一个名为 xyzcorp.com 的本地 Active Directory 域。我还有一个名为 xyzcorp.com 的 Azure AD 域。两者目前尚未同步。我希望能够启用本地和 Azure AD 之间的目录同步。这让我想到了手头的问题。
我有一个名为[电子邮件保护]这两个目录中都存在。同一个用户是全局管理员/Azure 所有者。如果我尝试将我的本地目录同步到 Azure,会发生什么?我会失去对 Azure AD 的访问权限吗?一般来说,处理两个不相交域的最佳做法是什么?我如何将它们合并起来,使本地成为权威来源?
非常感谢。
答案1
Azure AD Connect 不会将本地用户帐户同步到作为全局管理员的 Azure AD 用户帐户。
如果本地用户帐户的 isCriticalSystemObject 属性设置为 True,则 Azure AD Connect 不会将本地用户帐户同步到 Azure AD。
当您将本地对象同步到 Azure AD 时,本地对象将成为 Azure AD 中同步对象的权威来源。
如果您已正确配置所有内容,Azure AD Connect 会将您的本地对象与您现有的 Azure AD 对象进行匹配。