Синхронизация локального каталога Active Directory с Office 365.

 В данной статье описывается настройка синхронизации учётных записей пользователей, их паролей из локально установленного домена Active Directory 2012 R2 в облачный сервис Office 365. Данная статья подходит для компаний, у которых, к примеру, нет собственного Exchange Server, но есть желание централизовать управление учётными записями пользователей. Так же данная статья подходит для тех компаний, которые не имеют собственного домена Active Directory, но планируют его реализовать и свести к минимуму количество паролей. Для лучшего понимания и безопасного внедрения я рекомендую зарегистрировать отдельную бесплатную (30 дней) подписку Office 365.

 Используется следующая демонстрационная IT инфрастуктура, где сервер синхронизации ADFS1 находится за двумя NAT:

Управляемый почтовый домен exonix.ru в Office 365:

 Для синхронизации каталогов эту самую синхронизацию нужно включить в панели управления Office 365 (Пункт №3), а также скачать и установить инструмент синхронизации (Пункт №5):

 Установка запускается с повышенными правами и параметрами по умолчанию. Во время установки установщик загрузит и установит из интернет-репозитория Microsoft почти все необходимые дополнительные программы. Единственное, что потребуется скачать и установить отдельно - модуль Azure Active Directory для Windows PowerShell, а также установить .Net Framework 3.5 из диспетчера сервера.

 После установки можно выполнить настройку синхронизации каталогов. Необходимо ввести данные административных учётных записей Office 365 и локального домена Active Directory, в моём случае отключить гибридую конфигурацию и включить синхронизацию паролей пользовательских учётных записей. Самый последний шаг настройки - отключить запуск синхронизации.

 Запускаем Forefront identity manager. Возможно из-за автоматической установки FIM во время установки DirSync, его исполняемый файл не региструется в системе, и его нельзя найти в поиске, но можно по следующему пути:

C:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell\

 В FIM я укажу организационную единицу, пользователи которой будут синхронизироваться с Office 365. Помимо данной настройки можно использовать различные фильтры синхронизации, в случаях когда перемещение пользователя в отдельное подразделение невозможно. В своей статье в качестве демонстрации я буду использовать именно отдельное подразделение.

  Запустить синхронизацию можно с помощью PowerShell или FIM:

 После синхронизации тестового пользователя, его копия без лицензии появится в Office 365.

 Далее необходимо настроить локальный домен так, чтобы учётные записи синхронизовались со соответствующей учётной записью Office 365. Для этого необходимо в оснастке "Домены и Доверия" добавить новый UPN, соответвующий почтовому домену exonix.ru, и назначить его пользователю, которому так же приписывается атрибут почтового адреса. Возможно, при настройке Sync Tool все суффиксы сами запишутся в оснастку.

 Фильтр, разрешающий синхронизацию для учётных записей, содержащих добавленный UPN. Данный фильтр следует понимать так (я не сразу разобрался): применить фильтр для тех, кто не содержит значение. Если применяется фильтр - то он блокирует синхронизацию учётной записи.

 После миграции второго тестового пользователя тип пользователя Office 365 с "в облаке" изменится на "синхронизирован с Active Directory". Теперь для доступа к сервисам Office 365 можно использовать доменную учётную запись с её синхронизированным паролем, который синхронизируется каждые 2 минуты. Остальные элементы каталога синхронизирутются раз в три часа. Синхронизация каталогов не реализует систему единого входа Single Sign On.

 На этом настройка синхронизации учётных записей с паролями завершена.

 C выходом нового коннектора "Azure AD Connect" поменялся инструмент фильтрации синхронизируемых учётных данных, а так же путь к FIM:

"C:\Program Files\Microsoft Azure AD Sync\UIShell\miisclient.exe"

Фильтрация теперь выполняется с помощью "Synchronization Rules Editor". Необходимо открыть от имени администратора, переключится на исходящие правила и склонировать правило "Domain Join". После чего во вкладке "Scoping Filter" добавить пункт "userPrincipalName" c окончанием равным синхронизируемым доменам:

 После этого включаем синхронизацию по расписанию (каждые 30 минут по умолчанию):

set-ADSyncScheduler -SyncCycleEnabled $true

14.05.2015

Внимание:

 После синхронизации учётных записей сотрутся все псевдонимы у почты. По этому, прежде чем включать синхронизацию, сделайте список всех псевдонимов:

 Get-Mailbox | fl -Property DisplayName,EmailAddresses

 Затем, следует добавить псевдонимы через любой редактор атрибутов. Например ADSIEdit. Необходимо заполнить атрибут proxyAddresses. Заполняется следующим образом:

 - главный адрес указывается заглавными буквами SMTP:[email protected]
 - псевдонимы указываются строчными буквами smtp:[email protected]

Пример: