2

我已经设置了我们的公司 AD 以与我们的 Azure AD 同步,并且有一个关于子域和最佳实践的问题要问社区或 WAAD 团队。

在 WAAD 上,我已经验证了我们的corporate.net 域,但我们的本地 AD 位于域 hq.corporate.net。

我的 CTO 告诉我,在公司内创建子 AD 域是正常的。这意味着当用户同步时,他们只会将 username@<waad-name>.onmicrosoft.com 作为他们在 WAAD 中的电子邮件/用户名。

我通过向 WAAD 验证 hq.corporate.net 解决了这个问题,并且所有用户都已更新,因此他们现在可以使用 username@hq.corporate.net 登录使用 WAAD 的应用程序。

这是解决此问题的预期方法吗?我的第一印象是,我希望我们所有的员工都能够使用 username@corporate.net 登录,而不必包含 AD“分支”前缀/子域。

我有什么选择来实现这一点?如果不是,最好的做法是告诉我们的邮件服务器 username@hq.corporate.net 应该将邮件交给 username@corporate.net 吗?username@hq.corporate.net 之所以没有那么好,是因为用户要记住总部。前缀,也是在应用程序登录时作为身份传递给应用程序的电子邮件,其中他们的真实电子邮件实际上是 username@corporate.net。

4

2 回答 2

1

以下是您可以执行的操作:

  1. corporate.net在 AAD 中添加并验证。
  2. 添加hq.corporate.net. 您可以跳过验证,因为它是已验证域的子域。
  3. 设置目录同步 (DirSync)。这会将您的所有用户创建为username@hq.corporate.net.
  4. 使用 AAD PowerShell cmdlet 将所有用户的 UserPrincipalName (UPN) 更改为username@corporate.net.

听起来你已经完成了 1、2 和 3,所以你应该很好地选择 4。

新用户必须经历这个过程(首先将他们同步到云端,然后使用 PowerShell 更改他们的 UPN)。从那时起,DirSync 应该会继续正常工作。

以下是更改单个用户的 UPN 的方法:

Get-MsolUser -UserPrincipalName "user@hq.corporate.net" | `
    Set-MsolUserPrincipalName -NewUserPrincipalName "user@corporate.net"

以下是您为所有用户执行此操作的方法:

$oldDomain = "hq.corporate.net"
$newDomain = "corporate.net"
Get-MsolUser | ? { $_.UserPrincipalName.EndsWith("@" + $oldDomain) } | % {
    $alias = $_.UserPrincipalName.Substring(0, $_.UserPrincipalName.IndexOf("@"));
    Set-MsolUserPrincipalName -ObjectId $_.ObjectId `
                              -NewUserPrincipalName ($alias + "@" + $newDomain)
}

和往常一样,先测试一下!:)

菲利普

于 2013-12-11T19:40:22.473 回答
0

您需要在Active Directory 域和信任工具中将您的corporate.net 域添加为 UPN (UserPrincipleName) 后缀(请参阅添加替代 UPN 后缀)。添加后,您可以在域控制器上的 Active Directory 用户和目录工具中将 UPN 后缀分配给您的用户。假设您已经设置了目录同步,它将使用新的 UPN 后缀获取用户,假设他们是在企业.net 域被验证后添加的。如果不是,您可能必须使用 Set-MsolUserPrincipal PowerShell commandlet 手动设置正确的 UPN 后缀(请参阅将本地 UPN 与 Office 365 UPN 匹配

于 2014-04-24T20:49:09.500 回答