Настройка домена Windows в компании только с O365
Моя компания довольно молодая и маленькая, но, поскольку мы растем, мы хотим внедрить какое-то решение для развертывания программного обеспечения. Мы еще не решили, какой из них, но им обычно нужен домен Windows, а у нас его нет. Мы используем Office 365 для всего, как Outlook, SharePoint или Lync.
В другом вопросе я спросил, как перенести пользователей из O365 в Windows AD, и, похоже, единственный способ - это csv-export из o365 и csv-import в Windows AD. Затем мы активируем DirSync, который синхронизирует учетные записи, перезаписывая все атрибуты в O365 теми, которые предусмотрены в Windows AD. Активация DirSync также перемещает источник полномочий.
Многие атрибуты в O365 не имеют аналогов в Windows AD, а также, наоборот.
Если мы не можем перенести некоторые атрибуты или в процессе возникают ошибки, некоторые облачные приложения, такие как Lync, Outlook и SharePoint, могут перестать работать должным образом.
Мы могли бы проверить все, что приходит на ум, но могут быть проблемы, которые мы не покрываем.
Есть ли исчерпывающая документация по тому, какое облачное приложение использует какие атрибуты? Меня интересуют SharePoint, Exchange/Outlook, Lync и автономные приложения.
Как бы я протестировал эффекты отсутствующего / ошибочного атрибута? Создание пользователя для каждого тестового случая, вход в него и тестирование каждой функции каждого приложения?
Процесс звучит довольно подвержен ошибкам. Есть ли лучший подход к этому? Кто-нибудь делал это раньше?
2 ответа
Напугать ситуацию, в которой вы находитесь, но не невозможно, и ее можно легко решить, включив " Соответствие SMTP ", которое представляет собой процесс передачи источника полномочий из Office 365 в локальный активный каталог. Это может быть достигнуто путем сопоставления SMTP-адреса ваших учетных записей Office 365 с SMTP-адресом ваших учетных записей Active Directory и с помощью инструмента DirSync для синхронизации информации об учетных записях из вашей локальной AD в сети Office 365.
Чтобы SMTP-сопоставление работало, вам потребуется заново создать учетные записи и группы пользователей из Office 365 в локальном домене Active Directory. Экспорт информации о пользователе из Office 365 в файл CSV может дать вам хорошее начало для импорта Информация CSV возвращается в AD, но проблема в том, что экспорт по умолчанию из Office 365 не генерирует всю информацию и атрибуты, необходимые для импорта обратно в активный каталог, а некоторые атрибуты, созданные из Office 365, не соответствуют атрибуту имена в AD, поэтому перед импортом обратно в AD может потребоваться переименовать имена атрибутов в файле CSV.
Имейте в виду, что вам не нужны ВСЕ атрибуты из Office 365 для этого, вам нужно всего лишь создать учетную запись в AD, которая совпадает с тем же SMTP-адресом в Office 365, чтобы изменить источник полномочий, а также все другие атрибуты, такие как телефон номер, адрес, менеджер и т. д. являются косметическими средствами на этом этапе и могут быть импортированы позднее. Также обратите внимание, что как только источником полномочий / информации для учетных записей пользователей станет AD, косметическая информация о пользователях в AD перезапишет данные Office 365. Поэтому постарайтесь импортировать / экспортировать всю доступную информацию перед включением синхронизации DirSync.
Если вы думаете об этом, то, что вам действительно нужно сделать, будет сводиться к этому
- Экспорт информации об учетной записи из Office 365 с помощью команды PowerShell
Get-MsolUser | Select <attributes> | Export-CSV -Path <FileLocation>
Используемые атрибуты, которые вы можете использовать для этой команды: Город, Страна, Отдел, Отображаемое имя, Факс, Имя, Фамилия, Мобильный телефон, Офис, PasswordNeverExpires, PhoneNumber, PortalSettings, PostalCode, SignInName, Название, UserPrincipalName
- Импортируйте информацию об учетной записи в AD с помощью команды Powershell
Import-CSV <FileLocation> | New-ADUser
Вам нужно будет переименовать / добавить атрибуты в файл CSV, чтобы процесс импорта был успешным, список всех атрибутов, которые вы можете импортировать и использовать, можно найти здесь: http://technet.microsoft.com/en-us/library/ee617253.aspx
Создайте заново свои группы из Office 365 в AD и разместите пользователей так же, как в сети Office 365.
Включите сопоставление SMTP, используя следующую статью базы знаний: http://support.microsoft.com/kb/2641663/en-us, дополнительная информация здесь: http://stellark.itgroove.net/2014/05/21/dirsyncsmtpmatching/
(Необязательно) Используйте инструмент Microsoft IDFix, чтобы убедиться, что информация, созданная в AD, совместима с сетью Office 365, этот инструмент можно найти здесь: http://www.microsoft.com/en-us/download/details.aspx?id=36832
Включите DirSync, хорошая статья для подражания может быть найдена здесь: http://social.technet.microsoft.com/wiki/contents/articles/19098.dirsync-how-to-install-the-directory-sync-tool.aspx
(Необязательно) вы можете сначала протестировать миграцию нескольких пользователей, прежде чем переместить всю компанию, это можно сделать, поместив ваших тестовых пользователей в подразделение внутри AD, а затем попросить DirSync только перенести содержимое подразделения в Office 365, более информацию можно найти здесь: http://blogs.technet.com/b/praveenkumar/archive/2014/04/11/how-to-do-ou-based-filtering-in-office-365.aspx
Теоретически, это изменит источник полномочий для вашей AD, и учетные записи / группы / пароли пользователей будут импортированы из AD в Office 365, я не могу придумать ничего, что может сломаться для ваших пользователей или Office 365. если вы делаете это с тщательным планированием и тестированием.
Надеюсь, что это поможет, и дайте мне знать, если вам нужно продолжить обсуждение этого вопроса, был бы рад помочь.
Посмотрите на opsi (opsi.org) решение для развертывания, которое не требует AD. Он бесплатный (opensource, gpl) и прекрасно работает, но вам определенно нужна помощь в его настройке, в зависимости от того, как вы работаете с Linux и Windows. Есть некоторые дополнительные функции, которые тоже стоят денег.