我们正在尝试将我们的本地 AD 与 Microsoft 365 的 Azure Active Directory 同步。我只想确认:
- 如果本地用户的用户名与其 Microsoft 365 用户名相同,他们会与正确的 Microsoft 365 用户同步吗?
- 他们可以使用内部部署凭证访问他们的电子邮件吗?
- 另外,我们的 AD 中有很多随机访客用户。他们看起来像联系人,他们会被删除吗?
答案1
需要澄清的是...您不是将本地用户移动到 Office 365,而是将他们同步到 Office 365。
它们会匹配吗?可能,但你需要了解硬匹配和软匹配的工作原理。
他们是否可以使用本地密码访问电子邮件?如果您使用密码哈希同步或传递身份验证,他们就可以访问。
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-pta
答案2
现有的访客不会被删除。他们通常是使用公司电子邮件地址注册某些 Microsoft 服务的帐户。如果他们有一段时间没有登录,我会禁用它们,然后在几个月后如果没有人大喊大叫,再删除它们。
如果您的“来宾”实际上是当前员工,应该是租户的成员,我会发出通知,告知这些帐户将消失。也许他们注册了 Office 365 之类的东西。如果他们从您的租户下载了 Office 365 并将许可证与其关联,他们将不得不修复它。网上有说明。
综上所述,我假设这种情况的用户很少。如果租户中已经有很多用户,那么你需要先弄清楚他们是如何到达那里的。
虽然身份在 AD 和 AAD 中是独立的对象,但它们通过唯一 ID“连接”在一起。您可能对 FIM 也一无所知,但万一您看到 AAD Connect 元宇宙中的用户对象有两个连接器 - 一个用于 AD,一个用于 AAD。这就是魔法发生的原因。例如,使用相同的凭据在云和本地进行身份验证(如果您不使用 ADFS),以及同步用户帐户属性。
我真的非常希望您从测试环境开始,这样您就能更好地理解这些内容。