我们正在尝试设置Azure AD连接,但我们似乎无法达到我们所希望的情况.我们目前的情况是一个本地AD,我们为所有用户(和所有外部用户)填写电子邮件字段。我们的管理员有一个普通账户和一个管理员账户。adminaccount的邮件对所有的人来说都是一样的。我们没有将Exchange链接到AD,也没有设置ADFS的可能性。
我一直试图只为管理员设置同步。所以我们假设以下情况。
我们第一次同步后就停止了,提示UPN重复.检查时,AAD有1个账户。
于是,我撤消了一切,从头开始。这一次,我把账户2改成了没有邮件。这就是结果。
因此,基本上,我们希望我们的UPN像[email protected],但似乎我们需要清除电子邮件字段,同步并重新填写。目前我们的很多内部工具都使用电子邮件字段,这就相当不可能了。
我试着把Azure AD连接设置也改了,把他们要求UPN的地方改成SamAccountName,但不是收到错误就是不行。我到底遗漏了什么。
我们还有外部合作伙伴的账户,是这样的。
如果我同步这个,AAD的UPN是[email protected]。
如果我在staging中设置好每一项内容,并看一下csexport的输出,我没有看到什么特别的东西。只是描述了我本地AD上的属性。
出于某种原因,同步使用了我不想要的邮件字段。
很抱歉,回复延迟了。Azure AD 正在拾取电子邮件地址作为 UPN 前缀值,并附加您的初始域(例如 @tenant.onmicrosoft.com),只是因为 UPN 后缀正在从内部同步'ed 是无效的不验证域。如果您在预置上设置了 AD:UserPrincipalName,并且其 UPN 后缀是 Azure 租户上的验证域,则应按您的期望工作。意思是,如果你将UPN后缀与租户上的验证域(无论是自定义域还是租户的初始域)同步,你将在Azure AD中获得预期的UPN值.以提供的示例为例。
您需要:a) 将预置的 UPN 设置为 [email protected],或者;b) 验证 Azure AD 租户上的域 "company.com"。
如果这两个选项都不可行,那么你就必须进行一些高级同步规则的定制(这是不支持的),以映射一个替代的AD属性作为UPN的源属性,并将这个属性与包含验证域后缀的替代UPN值一起设置(例如:extensionAttribute10 = [email protected])。