Windows Azure Active Directory與本地AD（子域）同步

Question

我已將AD企業AD設置爲與Azure AD同步，並對社區或WAAD團隊提出了關於子域和最佳實踐的問題。

WAAD我已驗證了我們的corporate.net域名，但我們的本地AD位於域名hq.corporate.net。

從我的首席技術官我被告知，這是正常的，在公司內創建子AD域。這意味着當用戶同步時，他們只需將用戶名@ < waad-name> .onmicrosoft.com作爲其電子郵件/用戶名在WAAD中。

我解決了，通過驗證hq.corporate.net也WAAD和所有用戶已更新，使他們現在可以用username@hq.corporate.net用WAAD申請登錄。

這是有關這方面的打算嗎？我的第一印象是，我希望我們所有的員工能夠使用username@corporate.net登錄，而不必包含該AD的「分支」前綴/子域名。

我有什麼辦法可以做到這一點？如果沒有，最好的做法是告訴我們的郵件服務器，username@hq.corporate.net應該把郵件發送到username@corporate.net，而不是？ username@hq.corporate.net的原因不是很好，因爲用戶必須記住hq。前綴也是電子郵件傳遞給應用程序的身份，當他們登錄時，他們的真實電子郵件實際上是username@corporate.net。

Answer 1

這裏是你可以做什麼：

1. 添加和驗證corporate.net在AAD。
2. 加hq.corporate.net。您可以跳過驗證，因爲它是已驗證網域的子網域。
3. 設置目錄同步（DirSync）。這會將您的所有用戶創建爲username@hq.corporate.net。
4. 使用AAD PowerShell cmdlet將所有用戶的UserPrincipalName（UPN）更改爲username@corporate.net。

這聽起來像你已經做了1，2和3，所以你要善於用4

新用戶去將必須經歷這個過程（第一目錄同步起來的雲，然後用PowerShell更改它們的UPN）。從此，DirSync應繼續正常工作。

這裏是你將如何改變單個用戶的UPN：

Get-MsolUser -UserPrincipalName "user@hq.corporate.net" | ` 
    Set-MsolUserPrincipalName -NewUserPrincipalName "user@corporate.net" 

這裏是你會怎麼做對所有用戶：

$oldDomain = "hq.corporate.net" 
$newDomain = "corporate.net" 
Get-MsolUser | ? { $_.UserPrincipalName.EndsWith("@" + $oldDomain) } | % { 
    $alias = $_.UserPrincipalName.Substring(0, $_.UserPrincipalName.IndexOf("@")); 
    Set-MsolUserPrincipalName -ObjectId $_.ObjectId ` 
           -NewUserPrincipalName ($alias + "@" + $newDomain) 
} 

與往常一樣，先測試了這一點！ :)

菲利普

Answer 2

您需要添加corporate.net域作爲Active Directory Domains and Trusts tool一個UPN（UserPrincipleName）後綴（請參閱添加備用UPN後綴）。添加後，您可以在域控制器上的Active Directory用戶和目錄工具中爲用戶分配UPN後綴。假設你已經進行了目錄同步設置，假設它們是在公司之後添加的，它將採用帶有新UPN後綴的用戶。網域已被驗證。如果不是，則可能必須使用Set-MsolUserPrincipal PowerShell命令行開關手動設置正確的UPN後綴（請參閱Match On-Premise UPN with Office 365 UPN）