azure - 如何让本地 AD 用户使用 Azure AD 的主要自定义域作为云服务的 UPN 后缀

问题描述

我的客户想要使用他们的 Azure AD 公共域作为他们同步的本地用户名的 UPN 后缀。现在，用户与他们的本地 UPN 后缀同步例如，他们将 subdomain.domain.com 作为 Azure AD 的主要自定义域，将 corp.local.com 作为与其本地 AD 域匹配的经过验证的自定义域

我已经设置 AD Connect 以将 prem AD 用户同步到 Azure AD。最初他们想使用预登录进行身份验证，所以我启用并设置了通过身份验证。

为本地域名添加了 TXT 记录到公共域。所以现在他们有 3 个自定义域 1. subdomain.domain.com - 已验证 - 公共 2. 默认 onmicrosoft 域 - 已启用 3. corp.local.com - 已验证

因此，他们将所有用户作为@corp.local.com 移植到 AAD

现在他们希望使用公共域 UPN 后缀对用户进行身份验证，因此我将 AD 连接“Azure 登录”步骤更改为密码哈希同步（禁用 PTA，从域控制器中删除代理），但它不起作用

我尝试通过 AD Connect 的自定义安装将邮件参数（电子邮件地址与公共域名匹配）用作 UPN，但是当用户移植到 Azure AD 时，它占用了电子邮件地址的第一部分并附加了默认的 onmicrosoft UPN 后缀

请帮助我如何实现这一目标？

1. 如果我从 Azure AD 自定义域中删除已验证的本地域名并重新同步，那么用户将使用 @subdomain.domain.com 移植到 Azure AD（因为这是我的主域）还是将其移植到 @onmicrosoft.com？

2. 如果我为 On prem AD 设置备用 UPN 后缀，那么它是否会为现有用户创建带有新后缀的新用户 ID？还是会修改现有的用户名？还是我必须运行一些脚本来更改现有用户的 UPN 后缀？如果客户不愿意为本地用户设置备用 UPN 后缀，那么另一个选项是什么

提前致谢

[编辑]根据我到目前为止所阅读的内容，有两种方法：1.将备用UPN后缀添加到本地域并运行power shell脚本并将所有用户的后缀更改为添加的备用后缀。他们同步将使用适当的 UPN 后缀移植这些用户 - 问题是，这会影响任何现有的本地/内部网应用程序身份验证吗？

2. AD Connect 中的自定义同步规则
   • 在这方面没有得到太多材料。如果有人能指出我正确的方向，那将非常有帮助

TIA

标签： azureactive-directoryazure-active-directory