Office365ユーザーをActiveDirectoryにプルする
私は現在、Azure内のOffice 365の新しいインスタンスがActiveDirectoryを介してユーザーを管理する必要がある既存のWindows Server 2012 R2サブスクリプションを使用しています。サーバー2012 VMは新品で、何も設定されていません。逆の方法で新しい365アカウントを作成する場合は、DirSyncツールを使用してプッシュするだけでよいことを理解しています。 ADユーザーを365クラウドに。
これについてMSからのサポートを得ることができなかったので、最終的にサーバーのSSO状況を設定できるように、ユーザーをクラウドからADに移動する方法について誰かが提案を持っているかどうか疑問に思っています。ユーザー。
あなたが探しているのはSMTPマッチングです: http://support.Microsoft.com/kb/264166
通常、AD-> O365同期が機能する方法は、AD内のユーザーごとに一意のID値が作成され、ユーザーがO365にプッシュされることです。更新は、アカウントに一致するID値を使用して実行されます。
SMTPマッチングは、プライマリSMTPアドレスに基づいて最初にマッチングするようにDirSyncツールに指示します。さらなる同期は、ID値を使用して実行されます。
また、ディレクトリの権限を変更する方法が含まれているので、これを必ず読んでください。 ディレクトリの同期と権限のソース
マイクロソフトが現在、あなたが探しているものに対する解決策を持っているとは思いません。おっしゃるように、これは通常のOffice365の展開とは逆です。
長期的には、Azure Active Directory Premiumエディションには、「高度なライトバック機能」を備えた「ID同期ツール」が発表されていますが、まだ利用できません( http:/を参照) /channel9.msdn.com/Events/TechEd/Europe/2014/CDP-B312 )mightあなたがやりたいことをするかもしれませんが、私はこれはまだ正確には存在しないと感じています。
Azure Active Directory PowerShellモジュール を使用して何かをコーディングし、AzureテナントADからデータをダンプして、独自のActive Directoryでユーザーをプロビジョニングすることはできますが、私はできませんAzureからパスワードハッシュを取得するイメージ。それはパスワードの厄介な問題を残すでしょう。
マイクロソフトは、最終的には、これについてあなたをサポートする必要がある人です。私は販売とサポートに従事して、あなたのビジネス目標を達成するための最良の方法を決定します。それは、利益よりも害をもたらすようなひどい一回限りのことではありません。
これと同じ質問を自分で行っています。これが私が取ったアプローチです:
そこで、サーバーの標準セットアップを行いました。 Azureでプロビジョニングされ、ActiveDirectoryドメインサービスがインストールされました。
もちろん、私のユーザーは誰もADにいないので、それは私にはうまくいきません!
そこで、さらに調査を行ったところ、次のことがわかりました。 ユーザーアカウントをAzure ADからオンプレミスADに移行しますか?
2番目の回答を使用して、AzureからエクスポートしてADにインポートすることができました。
警告の言葉:最初に、私は認証を破りました。しかし、それはインポートする前にDirSync/SSOとADFSを設定したためと思われます。インポートしたすべてのアカウントがブロックされるため、DirSyncが実行されるたびに、Azureのアカウントがブロックされます。したがって、このプロセスから始めることをお勧めします。
1)ADに2つのアカウントを追加します。 -ローカルADに1つ、サーバーに1つ。 -Office365サブスクリプションの一部ではないAzureADへの1つ。 .onmicrosoft.comドメインを使用します。 ADの管理者になります。 2)Azure Active Directory Powershellをセットアップし、通常のActive Directory Powershellがあることを確認します: https://msdn.Microsoft.com/en-us/library/Azure/jj151815.aspx
3)作成したAzureADアカウントを使用してMSOLを接続します。
4)前にリンクしたガイドでAzureADからのエクスポートを実行します。
5)同じガイドに従って、ローカルADへのインポートを実行します。
6)アカウントを確認します。
これは私がまだそれを自分で理解しているところです。上記は、ユーザーを転送する方法についてのあなたの質問に答えるはずです。しかし、今、SSOとDirSyncの設定に関しては、私はあなたに指示することはできません。しかし、私はAD Connectを使用しましたが、それでうまくいくようです。しかし、それが行うことを元に戻す方法を必ず学んでください!私はそれを理解している間、ほぼ1時間認証を破ることができました!
幸運を!あなたのプロジェクトがどのように進んでいるか教えてください、そして私はあなたに私のやり方を知らせます。
クリスによって提供されたすべての手順を実行しました。すべてうまくいきました。同期の実行後にアカウントが無効にならないようにインポートコマンドを変更し、アカウントパスワードの前にEnabled $ Trueを追加し、同期を実行すると、アカウントが作成され、同時。
これを試して:
import-csv C:\Azure_Export_26_15_1.csv -Encoding UTF8 | foreach-object {New-ADUser -Name ($_.Firstname + "." + $_.Lastname) -SamAccountName ($_.Firstname + "." + $_.Lastname) -GivenName $_.FirstName -Surname $_.LastName -City $_.City -Department $_.Department -DisplayName $_.DisplayName -Fax $_.Fax -MobilePhone $_.MobilePhone -Office $_.Office -PasswordNeverExpires ($_.PasswordNeverExpires -eq "True") -OfficePhone $_.PhoneNumber -PostalCode $_.PostalCode -EmailAddress $_.SignInName -State $_.State -StreetAddress $_.StreetAddress -Title $_.Title -UserPrincipalName $_.UserPrincipalName -Enabled $True -AccountPassword (ConvertTo-SecureString -string "Secret!" -AsPlainText -force) }
Windows Server Essentialsの役割には、インポート機能を持つコンソール内の制限されたコネクタがあります。ただし、このコネクタを使用してO365でADFSを有効にすることはできません。ADConnectに切り替える必要があります。