同步:更改用户的UPN

Question

如何重新配置Azure AD同步(用于使域内的Office365可以单点登录)，以便用户UPN的域名部分可以在同步时更改？

例如，假设本地域是ad.contosolocal.com，而外部域是contoso.com。目前，只有精确复制工作，通过匹配它的ID，例如通过使用MSonline；

$username="bob"
$UPN = (-join($username, "contoso.com"))
$guid=(get-ADUser $username).Objectguid
$immutableID=[system.convert]::ToBase64String($guid.tobytearray())
Set-MsolUser -UserPrincipalName $UPN -ImmutableId $immutableID

这并不是非常顺利或可靠:在Azure AD决定将UPN设置为正确的值之前，它会进行多次同步尝试，手动对两个连接器进行两次完全同步并运行每个可能的选项，总共进行16次同步(2x2x导入、导出、同步和增量)。它似乎想把UPN设置为bob，而不是bob@contoso.com，这对我来说是个莫名其妙的原因。对许多用户来说，处理这个问题会让他们感到沮丧，因为登录中断，而值却没有正确设置。

那我想：

+--------------------------+------------------+------------------+
|       Local value        |  Sent to Azure   |   Azure Value    |
+--------------------------+------------------+------------------+
| dan@ad.contosolocal.com  | dan@contoso.com  | dan@contoso.com  |
| john@ad.contosolocal.com | john@contoso.com | john@contoso.com |
+--------------------------+------------------+------------------+

如果通过制定我自己的“同步规则”来做到这一点，那么它就会破坏密码(用户不再能够登录，密码无效“错误”)。只有当用户的UPN与在线的UPN匹配时，密码才能工作，即使关闭了密码同步(似乎这是一个bug)。当然，电子邮件域与网站相匹配，这意味着如果本地路径开始这样做，就会导致DNS问题；不再能够从本地域访问公司的网站。

另一方面，使用ad.contosolocal.com作为在线登录也不是一个可行的选择，用户希望使用‘真实’域名登录。(除了所需的支持时间外，他们还需要在所有设备上的所有程序中更改登录域)

我也可以将用户的远程-UPN放在不同的本地-AD-属性(通常是mail属性)中，在这种情况下，我可以将同步更改为将mail与UPN匹配。

不幸的是，重新运行Azure Azure向导；它没有给我任何选项来更改我已经映射到的UPN。在您第一次运行该选项后，它似乎根本没有显示它。

我希望这一切发生：

• 密码和用户名从本地AD同步到Azure AD。
• UPN的本地域部分始终是一个固定值。
• 匹配的UPN的远程域部分总是固定的(不同的值)。
• 用户需要能够同时从内部网络和内部登录到Office365。
• Office-365使用单点登录；本地outlook/word/等自动登录到office-365，无需提供凭据。

问：怎么做？

Answer 1

听起来像是"为目录同步准备不可路由的域。“。本质上，您需要将domain.com添加到"Active域和信任“MMC中。右键单击，转到属性并添加UPN。总体来看：https://docs.microsoft.com/en-us/microsoft-365/enterprise/prepare-for-directory-synchronization?view=o365-worldwide