我已将我们的公司广告设置为与我们的Azure AD同步,并向社区或WAAD团队提出有关子域名和最佳做法的问题。
在WAAD上我已经验证了我们的corporate.net域名,但我们的内部部署AD位于域名hq.corporate.net。
从我的CTO我被告知,在公司内创建子AD域是正常的。这意味着当用户同步时,他们只需将用户名@< waad-name> .onmicrosoft.com作为他们在WAAD中的电子邮件/用户名。
我通过验证hq.corporate.net也对WAAD进行了解决,并且所有用户都已更新,现在他们可以使用带有WAAD的应用程序使用username@hq.corporate.net登录。
这是预期的方法吗?我的第一印象是,我希望所有员工都能够使用username@corporate.net登录,而不必包含该AD的“分支”前缀/子域名。
我有什么选择才能实现这一目标?如果没有,最好的做法是告诉我们的邮件服务器,username@hq.corporate.net应该将邮件发送到username@corporate.net吗? username@hq.corporate.net之所以不那么好,是因为用户必须记住hq。前缀,也就是当他们登录时作为身份传递给应用程序的电子邮件,其真实电子邮件实际上是username@corporate.net。
答案 0 :(得分:1)
以下是您可以做的事情:
corporate.net。hq.corporate.net。您将能够跳过验证,因为它是经过验证的域的子域。username@hq.corporate.net。username@corporate.net。听起来你已经完成了1,2和3,所以你应该选择4。
新用户必须完成该过程(首先将DirSync同步到云端,然后使用PowerShell更改其UPN)。从那时起,DirSync应继续正常工作。
以下是更改单个用户的UPN的方法:
Get-MsolUser -UserPrincipalName "user@hq.corporate.net" | `
Set-MsolUserPrincipalName -NewUserPrincipalName "user@corporate.net"
以下是您为所有用户执行此操作的方法:
$oldDomain = "hq.corporate.net"
$newDomain = "corporate.net"
Get-MsolUser | ? { $_.UserPrincipalName.EndsWith("@" + $oldDomain) } | % {
$alias = $_.UserPrincipalName.Substring(0, $_.UserPrincipalName.IndexOf("@"));
Set-MsolUserPrincipalName -ObjectId $_.ObjectId `
-NewUserPrincipalName ($alias + "@" + $newDomain)
}
一如既往,先测试一下! :)
菲利普
答案 1 :(得分:0)
您需要在Active Directory Domains and Trusts tool中将您的corporate.net域添加为UPN(UserPrincipleName)后缀(请参阅添加备用UPN后缀)。添加后,您可以在域控制器上的Active Directory用户和目录工具中为用户分配UPN后缀。假设您已经进行了目录同步设置,它将使用新的UPN后缀来接收用户,假设在验证了corporate.net域之后添加了这些用户。如果没有,您可能必须使用Set-MsolUserPrincipal PowerShell命令行开关手动设置正确的UPN后缀(请参阅Match On-Premise UPN with Office 365 UPN)