Office 365 – Synchronizacja z kontrolerem domeny.
Aby móc zarządzać użytkownikami w Office 365 z poziomu systemu Windows Server niezbędne jest wykonanie synchronizacji z lokalnym kontrolerem domeny.
O ile synchronizacja jest trywialnym rozwiązaniem, w przypadku gdy dopiero uruchamiamy usługę Office 365, tak w przypadku posiadania już kont w systemie Office 365 i wcześniejszą synchronizacją na innym serwerze sprawa nie wydaję się prosta.
Aby móc poprawnie wykonać synchronizację użytkowników z AD do Office 365, musimy zadbać o to, aby pewne atrybuty użytkowników były takie same zarówno po stronie kontrolera domeny jak i po stronie Office.
- UserPrincipleName
- proxy addresess
Porównujemy więc powyższe atrybuty w Office Online. Można do tego celu użyć Power Shell’a.
Logujemy się do Office 365 podając poświadczenia administratora
$cred=get-credential
connect-msolservice -credential $cred
Następnie należy stworzyć sesję
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $Cred -Authentication Basic -AllowRedirection
import-pssession $session
W przypadku pojawienia się błędu często pomocne jest polecenie, które pozwala na wykonywanie skryptów po stronie serwera.
set-executionPolicy unrestricted
Następnie wyświetlamy informację o porównywanych atrybutach dla jednego użytkownika:
Get-MsolUser -UserPrincipalName <user>
I dla wszystkich użytkowników
Get-MsolUser
Sprawdzanie atrybutów w lokalnym kontrolerze domeny
W tym celu otwieramy Active Directory Users and Comupters i w zakładce „View” wybieramy „Szczegóły”
Teraz we właściwościach użytkownika na karcie „Atrybuty niestandardowe” możemy porównać atrybuty: UserPrincipleName, proxyaddress i mail.
UserPrincipleName – nazwa wyświetlania
proxy address – adresy proxy muszą być takie same jak w adresy „SMTP” oraz „smtp” jak adres e-mail w chmurze
mail – adres e-mail, musi być taki sam w lokalnym AD jak i w Exchange Online
Zmiana atrybutów
Łączymy się z MSonline
Connect-MsolService
Wyłączamy synchronizację
Set-MsolDirSyncEnabled -EnableDirSync $false
Tworzymy skrypt GUID2ImmutableID.ps1 (link) w powershell, który na podstawie GUID użytkownika będzie zwracał paramter ImmutableId
(Get-ADUser username).objectGUID -> username = lokalna nazwa usera
GUID2ImmutableID.ps1 (link)
.\GUID2ImmutableID UserGUID$ -> parametr to id zwrócone z komenty GetADUser
ImmutableId możemy także odczytać uruchamiając narzędzie Synchronization Service Manager bez konieczności wykonywania powyższego skryptu.
miisclient („C:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell”)
Zmieniamy atrybuty:
Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]
Set-MsolUser -UserPrincipalName USER_UPN -ImmutableId RESULT_VALUE
USER_UPN – nazwa użytkownika
RESULT_VALUE – wartość ImmutableId zwrócona ze skryptu powyżej, lub wartość zaznaczona na czerwono z narzędzia miisclient
Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]
Włączamy synchronizację
Set-MsolDirSyncEnabled –EnableDirSync $true