时间戳

首页 > 解决方案 > Azure AD Connect 将电子邮件字段解析为新的 UPN

azure - Azure AD Connect 将电子邮件字段解析为新的 UPN

问题描述

我们正在尝试设置 Azure AD 连接,但我们似乎无法达到我们想要的情况。我们目前的情况是一个本地广告,我们为所有用户(和所有外部用户)填写电子邮件字段。我们的管理员有一个普通帐户和一个管理员帐户。adminaccount 的电子邮件对所有人都是一样的。我们没有将 Exchange 链接到 AD,也无法设置 ADFS。

我一直在尝试仅为管理员设置同步。所以让我们假设以下情况:

我们的第一次同步在第一次之后停止,并显示 UPN 重复的消息。检查时,AAD 有 1 个帐户:

所以,我解开了一切,从头开始。这次,我将帐户 2 更改为没有电子邮件。这是结果:

所以基本上,我们希望我们的 UPN 类似于 SamAccountName@tenant.onmicrosoft.com,但似乎我们需要清除电子邮件字段,同步并再次填写。目前我们的很多内部工具都使用电子邮件字段,这使得它变得非常不可能。

我也尝试更改 Azure AD 连接设置,将他们要求 UPN 的位置更改为 SamAccountName,但要么我收到错误,要么它不起作用。我错过了什么。

我们也有外部合作伙伴的帐户,如下所示:

如果我同步这个,AAD UPN 是 someuser@tenant.onmicrosoft.com。

如果我在 staging 中设置所有内容并查看 csexport 输出,我看不出有什么特别之处。只是在我的本地 AD 上描述的属性。

出于某种原因,同步使用了我不想要的邮件字段。

标签: azureactive-directoryazure-active-directory

解决方案

回复较晚,抱歉。Azure AD 将电子邮件地址作为 UPN 前缀值并附加您的初始域(例如 @tenant.onmicrosoft.com),因为从本地同步的 UPN 后缀无效/未验证域。如果您在本地设置了 AD:UserPrincipalName 并且其 UPN 后缀是您的 Azure 租户上的已验证域,则它应该可以按预期工作。这意味着,如果您将 UPN 后缀与在租户上验证的域(自定义域或租户的初始域)同步,您将在 Azure AD 中获得预期的 UPN 值。以提供的示例为例:

  • SamAccountName:partner_userx
  • UPN:partner_userx@company.com
  • 电子邮件:someuser@externalpartner.com

您需要: a) 将本地 UPN 设置为 partner_userx@tenant.onmicrosoft.com,或者;b) 验证 Azure AD 租户上的域“company.com”

如果这些选项都不可行,那么您将不得不进行一些高级同步规则自定义(不支持)以映射替代 AD 属性以用作 UPN 的源属性,并使用替代 UPN 值设置此属性包含经过验证的域后缀(例如:extensionAttribute10 = partner_userx@tenant.onmicrosoft.com)

推荐阅读