大家做的比较多的Office365项目是混合,做混合的前提是需要目录同步,把本地用户,组等信息同步到Office365中。这时候就要在客户环境中新建AD,然后购买Office365,绑定域名,部署AAD把本地AD中的用户同步到Office365中。
以上是比较常规的做法,那么我们经常遇到的另外一种情况是这样的:客户很早就自己购买了Office365,并绑定了企业域名来使用,现在因为某些功能要求需要把某些用户从云上迁移到企业内网中。那么这时候也是需要去做混合的,通过混合把用户迁移到本地。这时候就会存在一个问题:所有的用户都是Office365纯云用户,怎么样把一个纯云用户变成一个本地AD用户呢?
下面跟大家来分享下如何来做纯云用户和本地AD用户之间的匹配和迁移
首先,需要在企业内部搭建一套AD服务器,AD的用户UPN地址和Office365中绑定的域名需要一直,此demo我们以[email protected]为例,Office365中纯云用户如下图:
当本地AD环境搭建完毕后(AD部署略),我们手动创建AD用户和云端用户保持一致
然后再在AD服务器上安装AAD Connect(生产环境建议放到其他成员服务器上)安装过程可以参考我之前的文章 Office365 Exchange Hybrid No.03 AAD部署上
我们想测试将李四这个用户通过AAD进行同步(李四单独放到一个OU进行同步)看会出现什么情况
然而AAD安装过程报了这个错
看起来好像是密码问题,重新配置后完成
查看同步结果:并无法更新,原因也说的很明白
此时Office365上李四这个用户还是纯云端用户
这个是什么原因呢?查询后得知是由于本地AD环境中没有Exchange Server来扩展架构。这时候就需要我们手动给这个用户添加这个属性值了。具体操作如下:
在本地AD用户属性编辑器中找到proxyaddresses添加一个SMTP:[email protected]然后再用dirsync或AAD同步一次就好了。(特别注意SMTP一定要大写,这代表首要邮件地址,如果是小写同步完成还是会显示office365默认domain邮件地址)
然后再一次同步,查看结果同步已经成功了
这时候本地AD用户和云端用户就做了一个匹配关系。变相的把云端的用户迁移到本地AD中了。细心的同学发现,AAD上我启用了密码同步,这时候之前纯云用户的密码会被覆盖,此时可以增加ADFS服务器来提供用户的SSO和更改密码的Link 可以参考我之前的文章 Office365 Exchange Hybrid No.20 ADFS功能优化