如何将本地 AD 与现有 Azure AD 用户同步

您是否有使用 Office 365 的现有 Azure AD 用户并且需要将它们与本地 Active Directory 同步？

在本指南中，我将逐步介绍如何将本地 AD 用户与现有 Azure AD 用户同步。

目录：

• 软匹配与硬匹配
• 使用软匹配将本地用户与 Azure 同步
• 使用硬匹配将本地用户与 Azure 同步
• 批量修改 UserPrincipalName、Email 和 ProxyAddresses

在此示例中，我有 5 个现有的 Azure AD 用户帐户。

我已在本地 AD 中创建了相同的用户，并且希望将它们与现有的 Azure 帐户同步。

软匹配与硬匹配

有两个选项可将本地 AD 用户与现有 Azure AD 用户进行匹配。

1. 软匹配=userPrincipalName 电子邮件和 proxyAddress 的匹配。

   • 如果有很多用户需要与 Azure 同步，则此选项更容易实现。

2. 硬匹配=不可变 ID 上的匹配。

   • 这需要几个步骤，并且没有简单的方法来向多个用户实现这一点。

接下来，我将介绍这两个示例。

使用软匹配将本地用户与 Azure 同步

您将需要修改每个本地用户帐户的以下三个属性。

1. UserPrincipalName（登录名）
2. 电子邮件
3. 代理地址

提示：AD Pro 工具包允许您轻松批量修改/更新用户属性。有关更多详细信息，请参阅本文末尾的示例。

步骤 1. 设置 UserPrincipalName

本地 AD 帐户的 UserPrinicpalName 需要与 Azure 帐户的用户名匹配。

例如，Azure 用户 Adam Anderson 用户名是 [email protected]。

我的本地 AD 帐户必须与此匹配。

单击帐户选项卡并检查用户登录名。

它匹配。

步骤2.设置电子邮件

本地用户帐户电子邮件必须与 Azure 帐户匹配。单击常规选项卡并检查电子邮件字段。

步骤 3. 设置代理地址

本地帐户必须设置主代理地址。

单击属性编辑器选项卡，然后单击 proxyAddresses。使用大写 SMTP 添加主 SMTP 地址。

配置完这 3 个帐户设置后，请转到步骤 4。

步骤 4.强制 Azure AD 同步

使用以下命令强制 Azure AD 同步。

Start-ADSyncSyncCycle -PolicyType Delta

打开 Azure 同步服务管理器并验证其添加或修改了用户。

您可以单击“添加”，然后单击可分辨名称以查看更多属性。

步骤 5.检查 Azure 对象同步状态

希望 Azure 帐户现在会显示“已与本地同步”。

哇，它确实有效。我的 Adam Anderson 帐户现在显示已从本地同步。

有时有效，有时无效。我以前也遵循过这些确切的步骤，但没有成功。我什至联系了微软支持，他们说有时它不起作用，唯一的解决方案是使用硬匹配。

使用硬匹配将本地用户与 Azure 同步

如果软匹配不起作用，那么您将需要使用硬匹配。

硬匹配将 Azure immutableID 设置为与本地 objectGUID 相同的值。

即使此方法会对 immutableID 进行硬编码，您仍应确保本地 AD 使用与云帐户相同的 userPrincipalName 和电子邮件地址。

第1步：获取本地AD帐户ObjectGUID

运行以下 PowerShell 命令获取本地 AD 帐户的 objectGuid。

Get-ADUser username | fl objectGuid

用户 alva.wood 的示例。

步骤 2. 转换为 Base 64 字符串

本地值是 GUID 字符串，需要转换为 Base64 编码字符串才能在 Azure 中使用。获取步骤 1 中的 objectGuid 值并使用它来转换该值。

[Convert]::ToBase64String([guid]::New("d8d3db91-b03f-4dcc-9544-54c84c1ff050").ToByteArray())

步骤 3. 在 Azure 帐户上设置不可变 ID

使用 PowerShell 连接到 Azure AD。

Connect-MsolService

检查当前的 ImmutableId。

Get-Msoluser -UserPrincipalName [email protected] | Select-Object ImmutableId

该用户的 ImmutableID 为空。没问题，它可能是空白的或有值。

步骤 4. 为 Azure 帐户设置新的 immutableID

使用步骤 2 中的 base64 字符串值运行此命令。

Set-MsolUser -UserPrincipalName [email protected] -ImmutableId kdvT2D+wzE2VRFTITB/wUA==

现在让我们验证帐户上是否已设置 immutableID。

Get-Msoluser -UserPrincipalName [email protected] | Select-Object ImmutableId

看起来不错。

此时，我们已使用 immutableID 将本地 AD 帐户和 Azure AD 帐户链接在一起（本地帐户 objectGuid 到 Azure AD 帐户 immutableID）。

最后一步是运行 Azure AD Connect 同步并查看 Azure AD 帐户是否更改为从本地同步。

步骤 5. 运行增量同步

在 Azure AD Connect 服务器上运行增量同步。

Start-ADSyncSyncCycle -PolicyType Delta

等待大约 5 分钟，然后检查 Azure 帐户现在是否已与本地帐户同步。

成功！本地帐户现已与 Azure 帐户同步。

正如您所看到的，硬匹配需要多个手动步骤，这对于许多帐户来说将是一件痛苦的事情。

批量修改 UserPrincipalName、Email 和 ProxyAddresses

您可以使用 AD Pro Toolkit 轻松修改本地 AD 帐户。

例如，我的 Marketing OU 中有 47 个用户，他们缺少电子邮件地址，并且 proxyAddresses 需要与 Azure 帐户匹配。

使用 AD Pro Toolkit，我可以轻松批量更新这些属性。

1. 生成或创建 CSV 文件
2. 单击更新用户工具
3. 选择您的 csv 文件并单击运行。

现在我可以使用导出用户工具快速查看所有用户的 userPrincipalName、电子邮件和 proxyAddresses 属性，

要了解有关更新用户属性的更多信息，请参阅以下资源。

• 如何批量修改 Active Directory 用户属性
• 如何批量更新 ProxyAddresses 属性
• Active Directory 用户更新程序工具

结论

在本指南中，我向您展示了如何将本地 AD 用户与现有 Azure AD 用户同步。我更喜欢使用软匹配，但不幸的是，它并不总是有效，你必须进行硬匹配。无论使用哪个选项来同步帐户，本地 AD 和 Azure AD 之间的电子邮件、代理地址和用户princiapName 匹配都很重要。