none
Office 365 sychronizace s lokální AD RRS feed

  • Dotaz

  • Dobrý den všem,

    potřeboval bych radu zkušenějších, potřebuji rozchodit jednotné ověřování vůči lokálnímu AD (server 2016). Emaily nyní jsou na o365 ověřovány pomocí klasického hesla. Rád bych, aby uživatelé měli sjednocené přihlášení pomocí AD.

    UPN jsem uživatelům nastavil. Vyzkoušel jsem několik návodů jak rozchodit synchronizaci pomocí AD azure connect, ale bohužel bez úspěchu.

    Poradíte mi tedy jak to rozchodit?

    díky 

    pondělí 15. února 2021 8:10

Odpovědi

  • Moje zkusenosti rikaji, ze je velmi vhodne mit VSECHNO ve tvaru emailu. I UPN v lokalni domene.

    tj UPN pavel.novak@firma.cz, email atribut stejne. preW2000 account se klidne muze jmenovat pepa  = do AD se lze prihlasovat jako domena\pepa, nebo pavel.novak@firma.cz

    Nekomplikuj si zivot. A nechce se mi hledat clanek, kde se toto presne doporucuje.

    Ad instalace AzureAD connect:

    si odinstaloval a ted instalujes znovu? A ujo google uz nepremava?

    https://docs.microsoft.com/en-us/answers/questions/22648/azure-ad-connect-after-uninstall-cannot-configure.html

    • Označen jako odpověď MOSIT středa 17. února 2021 10:26
    úterý 16. února 2021 8:34
  • Pokud je všechno správně, zafunguje soft-match Azure AD Connect: When you already have Azure AD | Microsoft Docs
    • Označen jako odpověď MOSIT středa 17. února 2021 10:26
    úterý 16. února 2021 12:39
  • Prave pres email. Tj nastavit lokalni uzivatele tak, aby sedelo UPN/mail atribut  s prihlasovacim jmenem v 365. To bezne staci.

    Udelej si test uzivatele v AD i 365. Nastav vse spravne Potom presun test uzivatele do OU, kterou synchronizujes.

    Na 99% to klapne. Pokud neklapne, existuje zachranna metoda, ale to az po testu :) Nema smysl malovat svet nacerno hned :)


    • Upravený Miroslav Tiser úterý 16. února 2021 12:57
    • Označen jako odpověď MOSIT středa 17. února 2021 10:25
    úterý 16. února 2021 12:41

Všechny reakce

  • Kristalova koule je v servisu. Budes muset napsat, co presne nefunguje.

    https://www.codetwo.com/admins-blog/how-to-sync-on-premises-active-directory-to-azure-active-directory-with-azure-ad-connect/

    Tady je pekne popsano jak nainstalovat a nastravit AD Azure Sync, vcetne filtru na OU.

    Pokud mas UPN ve tvaru emailu a pokud mas v 365 tenantu email domenu spravne zaregistrovanou, pak nevidim problem.

    pondělí 15. února 2021 11:15
  • Onprem join only na stanicích nebo hybrid join? PHS scénář nebo jiný?
    pondělí 15. února 2021 12:43
  • Vyzkouším a zítra se ozvu z výsledkem.

    Pamatuji, že když jsou to zkoušel, tak se mi nepřenášely učty do O365. 

    pondělí 15. února 2021 17:29
  • A opravdu mas v 365 zaregistrovanou domenu  - napr firma.cz?
    Ucty uzivatelu ve 365  jsou ve tvaru novak@firma.cz ?
    UPN uzivatelu v AD jsou take ve tvaru firma.cz? Tj. novak se umi do AD (v stanici) prihlasit jako novak@firma.cz?
    Email atribut uzivatelu v AD je nastaven na opravdovy email = na prihlasovaci ucet v 365 = je stejny jako UPN uzivatele ?

    Pak nevidim problem.


    pondělí 15. února 2021 21:54
  • po nové instalaci azure ad connect mě při konfiguraci ověření active directory naskočí hláška:

    Argumentoutof range exception

    index was out of range. Must be non-negative ad less than the size of the collection. Parametr name: index

    vypadá to, že to padne na vytvoření účtu pro službu Azure AD
    • Upravený MOSIT úterý 16. února 2021 6:55 doplnění
    úterý 16. února 2021 6:48
  • - doménu v o365 mám zaregistrovanou
    -účty mám ve tvaru pnovak@firma.local  (proto jsem nastavil upn na tvar pnovak@firma.cz)
    - uzivatel se může přihlásit do ad ve tvaru pnovak@firma.cz
    - email mám u uživatele nastavený správně pavel.novak@firma.cz, předpokládám, že se bude používat jako ověřovací atribut 

    úterý 16. února 2021 6:54
  • Moje zkusenosti rikaji, ze je velmi vhodne mit VSECHNO ve tvaru emailu. I UPN v lokalni domene.

    tj UPN pavel.novak@firma.cz, email atribut stejne. preW2000 account se klidne muze jmenovat pepa  = do AD se lze prihlasovat jako domena\pepa, nebo pavel.novak@firma.cz

    Nekomplikuj si zivot. A nechce se mi hledat clanek, kde se toto presne doporucuje.

    Ad instalace AzureAD connect:

    si odinstaloval a ted instalujes znovu? A ujo google uz nepremava?

    https://docs.microsoft.com/en-us/answers/questions/22648/azure-ad-connect-after-uninstall-cannot-configure.html

    • Označen jako odpověď MOSIT středa 17. února 2021 10:26
    úterý 16. února 2021 8:34
  • U dvou uživatelů jsem to předělal do tvaru jmeno.prijmeni@firma.cz které mám i v testovací OU pro azure, které jsem vybral v konfiguraci Azure ad connect.

    Takže už to šlape, účty přeneseny, teĎ zní to nejdůležitější jak spojit účty které již mám vytvořené v azure s lokal ad?

    Ověřováni hesla mám password hash synchronization + sso (https://autologon.microsoftazuread-sso.com jsem přidal do prohlížečů).

    Mám jen obavu teď zesynchronizovat již hotové dříve vytvořené uživatelské účty, abych nepřišel o data.





    • Upravený MOSIT úterý 16. února 2021 12:41
    úterý 16. února 2021 9:02
  • Pokud je všechno správně, zafunguje soft-match Azure AD Connect: When you already have Azure AD | Microsoft Docs
    • Označen jako odpověď MOSIT středa 17. února 2021 10:26
    úterý 16. února 2021 12:39
  • Prave pres email. Tj nastavit lokalni uzivatele tak, aby sedelo UPN/mail atribut  s prihlasovacim jmenem v 365. To bezne staci.

    Udelej si test uzivatele v AD i 365. Nastav vse spravne Potom presun test uzivatele do OU, kterou synchronizujes.

    Na 99% to klapne. Pokud neklapne, existuje zachranna metoda, ale to az po testu :) Nema smysl malovat svet nacerno hned :)


    • Upravený Miroslav Tiser úterý 16. února 2021 12:57
    • Označen jako odpověď MOSIT středa 17. února 2021 10:25
    úterý 16. února 2021 12:41
  • Dobrý den všem,

    tak synchronizace úspěšně funguje. Jediné tak svůj účet prozatím jsem nesynchronizoval jakožto globální admin, jinak všechny účty bez potíží.

    Děkuji všem zúčastněným za pomoc a jsem rád, že existuje toto fórum.

    Miroslav Tiser @ Lukas Beran moc Vám děkuji 



    • Upravený MOSIT středa 17. února 2021 10:26
    středa 17. února 2021 10:25
  • SILNE ti doporucuji mit alespon jeden global admin ucet, ktery neni synchozovany s AD. Tj klidne admin@tenant.onmicrosoft.com a klidne i bez licence. Ale mas ho a muze tenant ovladat.

    Pokud uvazujes o MFA pro global adminy pak ALESPON dva takove ucty, kazdy na jine cislo Nikdy nevis, kdy prijdes o telefon.


    středa 17. února 2021 14:32
  • Globální admin se nepáruje z dobrých bezpečnostních důvodů - je to silně privilegovaný účet a změny na něm by mohly napáchat hodně bolestí hlavy adminům :-) Svůj běžných účet měj s běžnými právy a pak měj další privilegovaný účet pro správu + nějaký další na onmicrosoft.com doméně jako break-glass účet, který bude mít velmi silné heslo a žádné limitace v rámci CA politik a nikdy ho nebudeš k ničemu používat a necháš ho jen jako emergency účet zamknutý někde v trezoru (ne na svém PC samozřejmě, ale někde úplně bokem offline, nejlépe FIDO2 klíčenka zamknutá někde bezpečně).
    středa 17. února 2021 15:55
  • Ano mám dva účty jako globální adminy a zatím ani jeden není synchronizovaný. já přemýšlím, že ani svůj účet nepotřebuji mít synchronizovaný, protože už mi na svém běží MFA.

    díky za tip

    čtvrtek 18. února 2021 9:03