Azure AD User 同步 _ User Attribute 和 特定OU 同步考量点

博客园博客地址：https://www.cnblogs.com/Nancy1983/

随着微软的云产品市场推广，很多客户都纷纷使用Microsoft 365作为企业数据管理和业务交流平台，但很多大型企业经常会因为组织结构或者商务问题，对企业进行分离或者重组收购其他公司，这种情况下，Microsoft 365 Tenant 就会分开管理，用户也会分开管理。

大多数情况下，为了保障企业账户和信息的安全，多数大型企业采用Domain Controller on premise的部署方式管理用户，并且即便Microsoft 365 tenant 拆分，也不希望因环境之间引入的差异或错误的风险，在新的Microsoft 365中重新创建所需要的账户，所以通常情况下，采用的方案是Directory Sync的方式帮助企业在Online和On Premise之间同步这些用户，这样不比创建或者更新账户两次。

 

 

在使用Azure AD Connect同步时，需要考虑：

1.  如果有用户有多个域，那么需要对Domain设置过滤，只同步特定的域，比如Sherry.sharepointguild.com，那么每个用户容器内只有sherry.sharepointguild.com ou，这确保了只有符合条件的Active User Account才会存储在tenant中，并提供准确的使用和License报告以及Group管理。

 

 

2. 启用Password Hash Synchronize，允许用户使用他们的Network AD Password登录

 

 

3. 必须启用Directory Extension Attributes，所选属性如下所示：

 

 4. AD User Account标准信息，为了无缝地同步到Microsoft  365 Tenant，用户账户中必须满足一组条件，具体如下：

 

 

 

 

 

 

 

 

5. 如果所有上述属性都设置并满足条件，那么当AD和AADC下一次同步时，用户就会同步到Microsoft 365 Tenant中。

综上是一个AD User Sync的定制指南，用于显示多个Domain的不同OU的用户到Microsoft 365 Tenant后端的配置机制，显示了如何工作和管理的端对端的过程，希望对大家日后做用户管理和同步有一定的参考。