Office 365 sychronizace s lokální AD

Všechny reakce

• 

  

  0

  Přihlásit se a hlasovat

  Kristalova koule je v servisu. Budes muset napsat, co presne nefunguje.

  https://www.codetwo.com/admins-blog/how-to-sync-on-premises-active-directory-to-azure-active-directory-with-azure-ad-connect/

  Tady je pekne popsano jak nainstalovat a nastravit AD Azure Sync, vcetne filtru na OU.

  Pokud mas UPN ve tvaru emailu a pokud mas v 365 tenantu email domenu spravne zaregistrovanou, pak nevidim problem.

  pondělí 15. února 2021 11:15
• 

  

  0

  Přihlásit se a hlasovat

  Onprem join only na stanicích nebo hybrid join? PHS scénář nebo jiný?

  pondělí 15. února 2021 12:43
• 

  

  0

  Přihlásit se a hlasovat

  Vyzkouším a zítra se ozvu z výsledkem.

  Pamatuji, že když jsou to zkoušel, tak se mi nepřenášely učty do O365. 

  pondělí 15. února 2021 17:29
• 

  

  0

  Přihlásit se a hlasovat

  A opravdu mas v 365 zaregistrovanou domenu  - napr firma.cz?
  Ucty uzivatelu ve 365  jsou ve tvaru novak@firma.cz ?
  UPN uzivatelu v AD jsou take ve tvaru firma.cz? Tj. novak se umi do AD (v stanici) prihlasit jako novak@firma.cz?
  Email atribut uzivatelu v AD je nastaven na opravdovy email = na prihlasovaci ucet v 365 = je stejny jako UPN uzivatele ?

  Pak nevidim problem.

  
  

  • Upravený Miroslav Tiser pondělí 15. února 2021 21:55

  pondělí 15. února 2021 21:54
• 

  

  0

  Přihlásit se a hlasovat

  po nové instalaci azure ad connect mě při konfiguraci ověření active directory naskočí hláška:
  
  Argumentoutof range exception

  index was out of range. Must be non-negative ad less than the size of the collection. Parametr name: index

  vypadá to, že to padne na vytvoření účtu pro službu Azure AD

  • Upravený MOSIT úterý 16. února 2021 6:55 doplnění

  úterý 16. února 2021 6:48
• 

  

  0

  Přihlásit se a hlasovat

  - doménu v o365 mám zaregistrovanou
  -účty mám ve tvaru pnovak@firma.local  (proto jsem nastavil upn na tvar pnovak@firma.cz)
  - uzivatel se může přihlásit do ad ve tvaru pnovak@firma.cz
  - email mám u uživatele nastavený správně pavel.novak@firma.cz, předpokládám, že se bude používat jako ověřovací atribut 

  úterý 16. února 2021 6:54
• 

  

  0

  Přihlásit se a hlasovat

  Moje zkusenosti rikaji, ze je velmi vhodne mit VSECHNO ve tvaru emailu. I UPN v lokalni domene.

  tj UPN pavel.novak@firma.cz, email atribut stejne. preW2000 account se klidne muze jmenovat pepa  = do AD se lze prihlasovat jako domena\pepa, nebo pavel.novak@firma.cz

  Nekomplikuj si zivot. A nechce se mi hledat clanek, kde se toto presne doporucuje.

  Ad instalace AzureAD connect:

  si odinstaloval a ted instalujes znovu? A ujo google uz nepremava?

  https://docs.microsoft.com/en-us/answers/questions/22648/azure-ad-connect-after-uninstall-cannot-configure.html

  • Označen jako odpověď MOSIT středa 17. února 2021 10:26

  úterý 16. února 2021 8:34
• 

  

  0

  Přihlásit se a hlasovat

  U dvou uživatelů jsem to předělal do tvaru jmeno.prijmeni@firma.cz které mám i v testovací OU pro azure, které jsem vybral v konfiguraci Azure ad connect.

  Takže už to šlape, účty přeneseny, teĎ zní to nejdůležitější jak spojit účty které již mám vytvořené v azure s lokal ad?
  

  Ověřováni hesla mám password hash synchronization + sso (https://autologon.microsoftazuread-sso.com jsem přidal do prohlížečů).

  Mám jen obavu teď zesynchronizovat již hotové dříve vytvořené uživatelské účty, abych nepřišel o data.

  
  

  
  

  
  
  

  • Upravený MOSIT úterý 16. února 2021 12:41

  úterý 16. února 2021 9:02
• 

  

  0

  Přihlásit se a hlasovat

  Pokud je všechno správně, zafunguje soft-match Azure AD Connect: When you already have Azure AD | Microsoft Docs

  • Označen jako odpověď MOSIT středa 17. února 2021 10:26

  úterý 16. února 2021 12:39
• 

  

  0

  Přihlásit se a hlasovat

  Prave pres email. Tj nastavit lokalni uzivatele tak, aby sedelo UPN/mail atribut  s prihlasovacim jmenem v 365. To bezne staci.

  Udelej si test uzivatele v AD i 365. Nastav vse spravne Potom presun test uzivatele do OU, kterou synchronizujes.

  Na 99% to klapne. Pokud neklapne, existuje zachranna metoda, ale to az po testu :) Nema smysl malovat svet nacerno hned :)
  

  
  

  • Upravený Miroslav Tiser úterý 16. února 2021 12:57
  • Označen jako odpověď MOSIT středa 17. února 2021 10:25

  úterý 16. února 2021 12:41
• 

  

  0

  Přihlásit se a hlasovat

  Dobrý den všem,

  tak synchronizace úspěšně funguje. Jediné tak svůj účet prozatím jsem nesynchronizoval jakožto globální admin, jinak všechny účty bez potíží.

  Děkuji všem zúčastněným za pomoc a jsem rád, že existuje toto fórum.

  Miroslav Tiser @ Lukas Beran moc Vám děkuji 

  
  

  
  

  • Upravený MOSIT středa 17. února 2021 10:26

  středa 17. února 2021 10:25
• 

  

  0

  Přihlásit se a hlasovat

  SILNE ti doporucuji mit alespon jeden global admin ucet, ktery neni synchozovany s AD. Tj klidne admin@tenant.onmicrosoft.com a klidne i bez licence. Ale mas ho a muze tenant ovladat.
  

  Pokud uvazujes o MFA pro global adminy pak ALESPON dva takove ucty, kazdy na jine cislo Nikdy nevis, kdy prijdes o telefon.

  
  

  • Upravený Miroslav Tiser středa 17. února 2021 14:33

  středa 17. února 2021 14:32
• 

  

  0

  Přihlásit se a hlasovat

  Globální admin se nepáruje z dobrých bezpečnostních důvodů - je to silně privilegovaný účet a změny na něm by mohly napáchat hodně bolestí hlavy adminům :-) Svůj běžných účet měj s běžnými právy a pak měj další privilegovaný účet pro správu + nějaký další na onmicrosoft.com doméně jako break-glass účet, který bude mít velmi silné heslo a žádné limitace v rámci CA politik a nikdy ho nebudeš k ničemu používat a necháš ho jen jako emergency účet zamknutý někde v trezoru (ne na svém PC samozřejmě, ale někde úplně bokem offline, nejlépe FIDO2 klíčenka zamknutá někde bezpečně).

  středa 17. února 2021 15:55
• 

  

  0

  Přihlásit se a hlasovat

  Ano mám dva účty jako globální adminy a zatím ani jeden není synchronizovaný. já přemýšlím, že ani svůj účet nepotřebuji mít synchronizovaný, protože už mi na svém běží MFA.

  díky za tip

  čtvrtek 18. února 2021 9:03