Active Directory 同步：更改用户的 UPN

如何重新配置​​ Azure AD 同步，用于从域内部为 Office365 实现单点登录，以便用户 UPN 的域名部分可以在同步时更改？

例如，假设本地域是ad.contosolocal.com，外部域是contoso.com。目前，只有精确复制才有效，即通过匹配其 ID，例如使用MSonline；

$username="bob"
$UPN = (-join($username, "contoso.com"))
$guid=(get-ADUser $username).Objectguid
$immutableID=[system.convert]::ToBase64String($guid.tobytearray())
Set-MsolUser -UserPrincipalName $UPN -ImmutableId $immutableID

这种方式不太顺畅或可靠：需要多次尝试同步，手动完全同步并对两个连接器运行每个可能的选项两次，总共 16 次同步（2x2x 导入、导出、同步和增量），然后 Azure AD 才决定将 UPN 设置为正确的值，而且不是立即，而是大约 15 分钟后。它似乎想要将 UPN 设置为而不是，bob原因[email protected]对我来说目前尚无法解释。对于许多用户来说，处理这个问题是令人沮丧的，因为如果值设置不正确，登录就会中断。

然后我想要：

+--------------------------+------------------+------------------+
|       Local value        |  Sent to Azure   |   Azure Value    |
+--------------------------+------------------+------------------+
| [email protected]  | [email protected]  | [email protected]  |
| [email protected] | [email protected] | [email protected] |
+--------------------------+------------------+------------------+

如果通过制定我自己的“同步规则”来做到这一点，那么密码就会被破解（用户将无法再登录，并出现“密码无效”错误）。即使密码同步已关闭，密码也只能在用户的 UPN 与在线密码匹配时才有效（这似乎是一个错误）。当然，电子邮件域与网站的域匹配，这意味着如果本地路径开始执行相同的操作，则会导致 DNS 问题；不再能够从本地域访问公司的网站。

反过来，使用 ad.contosolocal.com在线登录也不是一个可行的选择，用户希望使用“真实”域名登录。（除了需要花费大量支持时间才能让他们更改所有设备上所有程序中的登录域之外）

我还可以将用户的远程 UPN 放在不同的本地 AD 属性（通常是属性mail）中，在这种情况下，我可以更改同步以mail匹配UPN。

不幸的是，重新运行 Azure AD Connect 向导；它没有给我任何选项来更改我已将 UPN 映射到的内容。第一次运行后，它似乎根本不显示该选项。

我希望发生这样的事情：

• 密码和用户名从本地 AD 同步到 Azure AD。
• UPN 的本地域部分始终是一个固定值。
• 匹配的 UPN 的远程域部分始终是固定的（不同的值）
• 用户需要能够从内部网络外部和内部登录 Office365。
• Office-365 使用单点登录；本地 outlook/word/等无需提供凭据即可自动登录 office-365。

问：如何？