關於Office 365 Azure AD的帳戶同步研究

若是是純雲端的用戶，那麼我以爲沒有什麼問題，但若是有一天想把雲端的Azure AD的用戶同步到本地的AD如何作呢？固然雲端的Azure AD用戶是沒法同步到本地的AD的，但能夠曲線救國實現相似的需求目標。接下來詳細看看：

假設我這有一個環境是純雲端的Office 365用戶（Azure AD）

域是basehome.com.cn

雲端的這些用戶密碼都是統一的abc123!@#，都具有本身的Exchange Online郵箱，而且郵箱裏有信件，而不是空郵箱

問題來了，由於企業的不斷擴張，想創建本地的AD與Office 365作AD混合，實現張三的帳號能在本地AD裏，且張三Office 365的郵箱數據不丟失。那怎麼辦呢？我首先在本地創建一套AD，域名也是basehome.com.cn，一樣的創建和雲端Office 365用戶同樣的帳戶登陸名，好比先創建一個帳戶：

本地AD再增長一臺Windows Server 2012 R2加域，配置好Azure AD Connect，具體如何配置能夠參考《本地AD帳戶同步到Office 365(21V)Azure AD》，這裏我就再也不綴訴

同步的也不是本地整個域，而是具體的指定一個OU：

檢查同步狀態能夠用這個工具：miisclient

配置好之後會看到本地AD的zhangjunsen@basehome.com.cn帳戶同步到了Office 365的Azure AD裏並非覆蓋Office 365 Azure AD的zhangjunsen@basehome.com.cn，而是自動出現了一個隨機編碼的帳戶名

從同步的信息來看也是寫得很清楚的，重複了

固然這不是咱們所指望的，仍是但願本地AD的張三和Office 365雲端的張三能是匹配相關聯的。

那怎麼辦呢？首先須要在本地AD的AADConnect服務器上配置下AD Connect關閉密碼同步，避免本地AD帳戶把雲端帳戶密碼覆蓋掉（相同帳戶前提下）

什麼是相同帳戶，判斷主要是三個屬性：

UserPrincipalName；Emailaddress；Proxyaddresses

因此須要將在本地AD中建立的用戶UserPrincipalName，Emailaddress，Proxyaddresses三者的屬性值需與雲端相對應的帳號屬性值相匹配，以下示例：

示例：

雲端已經使用的帳戶A地址以下

UserPrincipalName:a@contoso.com

Emailaddress:a@contoso.com

Proxyaddresses :SMTP:a@contoso.com

要匹配至雲端的本地用戶A建立時

UserPrincipalName:a@contoso.com

Emailaddress:a@contoso.com

Proxyaddresses :SMTP:a@contoso.com

先看看Office 365上雲端Azure AD的張三帳戶屬性，鏈接到Office 365的Azure AD只能看到UserPrincipalName和Proxyaddresses屬性：

Emailaddress屬性須要該帳戶開通了Exchange Online才能夠鏈接到Exchange Online裏才能夠看到

那麼我在本地AD裏新建張三的帳戶就須要注意這三點，先不要在同步的OU裏建立張三，我在Stand by Users的OU裏建立張三

密碼我就設置成zhangsan

張三建立好放在Stand by Users的OU裏

設置Proxyaddresses須要先點開AD用戶和計算機的高級選項

選擇張三用戶，點擊屬性會多一個屬性編輯器選項，找到Proxyaddresses，點擊編輯

由於以前在Office 365 Azure AD裏看到了雲端的張三這項屬性值是：

{smtp:zhangsan@homebase.partner.onmschina.cn, SMTP:zhangsan@basehome.com.cn}

在這裏指須要填寫SMTP:zhangsan@basehome.com.cn便可（注意大小寫的SMTP哦，哪一個SMTP是大寫就意味着是主要登陸地址以及主要郵箱的發件地址）

添加進去點擊肯定

固然在屬性編輯器裏也能夠看到UserPrincipalName的值是否和Office 365雲端的張三一致

對於Emailaddress屬性默認是沒有的，這裏也不用太在乎

接下來張三準備就緒了，我就把張三帳戶從Stand by Users移動到Users的OU裏同步到Office 365的Azure AD看有什麼變化

默認同步週期爲30分鐘同步一次，若是您須要當即執行同步，請在本地AADConnect服務器的Powershell執行

增量同步Start-ADSyncSyncCycle -PolicyType Delta

徹底同步Start-ADSyncSyncCycle -PolicyType Initial

再看看Office 365上Azure AD的帳戶會發現沒有新建一個隨機編碼的AD同步帳號上來，而是張三的帳號由原來的」在雲中「變成了」已與AD同步「

此刻讓張三的帳號登陸，固然仍是以abc123!@#密碼登陸看郵箱裏的數據是否依然存在，答案是沒變化，但帳戶的同步關係和隸屬變了，張三再也不是純雲端的用戶，而是從本地AD同步上來的用戶

下來我在本地AD Connect開啓密碼哈希同步

咱們再試下張三是否還能夠以abc123!@#密碼登陸嗎？提示密碼錯誤了

但若是我此刻採用本地AD張三的密碼zhangsan來登陸呢？答案是能夠登陸的

這說明說明問題呢？說明能夠經過這樣的方法實現「曲線救國」式的將雲端Office 365實現和本地AD的合併或者說把雲端的Office 365帳戶同步回本地AD吧。

接着我再作個測試，以前的張俊森帳戶已經同步上Office 365成爲了以下這樣的帳戶（由於UserPrincipalName屬性重名）

接下來我直接修改本地AD裏Users OU裏張俊森帳戶的屬性，把Proxyaddresses屬性值添加上

看同步會發生變化嗎？張俊森的雲端帳戶同步類型也變了，說明本地AD的張俊森也雲端張俊森創建了新的匹配對應關係

那麼以前那個同步上來的張三（Sync_AADCONNECT_8686494b4295@homebase.partner.onmschina.cn）能夠刪除嗎？答案是沒法刪除

那麼要刪除它能夠經過Powershell

這樣Office 365上就沒有這個帳戶了

張俊森以本地AD的密碼登陸Office 365郵箱看到郵箱數據依然存在

到此就介紹到這了，最後感謝scnbwy的支持。