如何使prem AD用户使用Azure AD的主自定义域作为云服务的UPN后缀

Question

我的客户想要使用他们的Azure广告公共领域作为UPN后缀，他们的同步prem用户名。现在，用户与他们的prem后缀同步，例如，他们将subdomain.domain.com作为Azure AD的主自定义域，corp.local.com作为与其本地AD域匹配的验证自定义域。

我已经设置了AD连接，以便在prem用户上同步到Azure。最初，他们希望在prem登录上进行身份验证，所以我已经启用并安装了身份验证。

为本地域名将TXT记录添加到公共域。所以现在他们有3个自定义域1. subdomain.domain.com -验证-公共2.启用微软域的默认3. corp.local.com -验证

正因为如此，所有的用户都被移植为@corp.local.com。

现在，他们希望使用公共域UPN后缀对用户进行身份验证，因此我将AD connect 'Azure sign‘步骤更改为密码Hash Sync (禁用PTA，从域控制器中删除代理)，但它没有工作。

我尝试通过自定义安装AD Connect将邮件参数(与公共域名匹配的电子邮件地址)用作UPN，但当用户移植到Azure AD时，它占用了电子邮件地址的第一部分，并附加了默认的微软UPN后缀。

请帮助我如何实现这一点？

1. 如果我从Azure自定义域和resync删除已验证的本地域名，那么用户将使用@subdomain.domain.com (因为这是我的主要域)将其移植到Azure AD，还是将其移植到@onmicrosoft.com？
2. 如果我为On设置了备用UPN后缀，那么它会为现有用户创建新的用户ID吗？还是会修改现有的用户名？还是必须运行一些脚本来为现有用户更改UPN后缀？如果客户不愿意为prem用户设置备用UPN后缀，那么另一个选项是什么？

提前感谢

根据我迄今所读到的，编辑有两种方法: 1.向本地域添加备用UPN后缀，并运行power shell脚本，并将所有用户的后缀更改为添加备用后缀。他们会用正确的UPN后缀对这些用户进行移植-问题是，这会影响现有的本地/intranet应用程序认证吗？

1. AD连接中的自定义同步规则
   • 在这件事上没有得到多少资料。如果有人能告诉我正确的方向

​

提亚

Answer 1

我认为我不能回答问题1，但我可以回答问题2。

添加备用UPN后缀是可选的。广告实际上并没有强制执行这些后缀。虽然AD用户和计算机可以下拉后缀，但如果直接修改userPrincipalName属性(在属性编辑器中或通过代码)，则可以将UPN后缀设置为任何内容。

在我的工作中，我们有一个混合环境(on与Azure AD同步)，我们必须为Azure AD/ Office 365使用一个特定的UPN后缀才能正常工作，但是这个后缀从未添加到备用UPN后缀列表中。(我不知道为什么要诚实)

但是，没有什么可以自动更改帐户上的UPN后缀。您必须运行一个脚本来修改它们。

更新:要解决您的新问题1:重申，添加备用UPN后缀是可选的。在实际更改UPN后缀之前，您不必这样做。但这是有意义的。

对任何本地/intranet应用程序的影响:几乎所有情况下，使用Windows身份验证的应用程序都将继续工作。我们的用户被告知使用他们的新UPN登录Windows (现在UPN与他们的电子邮件地址相匹配)至少一次(我不知道为什么)，而不是使用旧的域\用户名格式。但是Windows仍然将它们识别为相同的帐户，所以没有尝试为它们创建一个新的Windows配置文件或类似的东西。

我们唯一的问题是BMC的补救办法。它是一个使用Windows身份验证(Tomcat后面)的Java应用程序。身份验证本身仍然有效，但它使用Kerberos令牌读取用户名，然后通过LDAP查找帐户详细信息。问题是Kerberos令牌总是使用sAMAccountName@domainDNS，这在AD中不一定与userPrincipalName相匹配(在我们的例子中不再是这样)。我们的解决方案是在所有帐户上使用sAMAccountName@domainDNS填充一个未使用的属性，并使用该属性对帐户进行补救搜索。

但你可能没有这个问题。最好的做法是切换几个帐户和测试。