Azure AD에서 온-프레미스 AD로 사용자 계정을 마이그레이션 하시겠습니까?

9

우리 회사는 Azure Active Directory를 통한 기본 제공 사용자 관리를 포함하여 Exchange, SharePoint, Lync 등에 Office 365를 사용합니다.

이제 Windows Server에서 로컬 AD로 전환하려고합니다. 변경 내용을 Azure에 동기화하지만 기본 사용자 및 그룹 정책 관리는 Windows 서버에서 수행됩니다.

처음에는 Azure AD에서 온-프레미스 (windows-server) AD로 사용자 계정을 어떻게 가져 옵니까?

edit1 : Microsoft Forefront Identity Manager를 사용하여이 문제를 조사한 사람이 있습니까? 이 도구는 DirSync와 함께 제공되는 것 같습니다. DirSync 서버에서 "miisclient.exe"를 엽니 다 ( "C : \ Program Files \ Windows Azure Active Directory Sync \ SYNCBUS \ Synchronization Service \ UIShell"에 위치). 다른 방향으로 동기화하도록 구성 할 수도 있습니다.

active-directory  azure  windows-server-2012-r2  microsoft-forefront 

소스
새 DC를 추가 하시겠습니까? 이것이 온-프레미스 AD에서 작동하는 방식입니다.
Nathan C
@TheCleaner : 이전에 가능한 복제본을 읽었지만 사용자를 마이그레이션하고 Azure에서 온 프레미스로 영구적으로 동기화하지 않기 때문에 복제본이라고 말하지 않습니다. 그래서 오프라인 도구와 같은 다른 솔루션이나 영구 동기화와 함께 작동하지 않는 다른 솔루션이있을 수 있다고 생각했습니다.
죄를
@NathanC 무슨 뜻인가요? 온-프레미스 도메인 컨트롤러와 동일한 방식으로 기존 도메인 컨트롤러를 Azure Active Directory에 연결할 수 없습니다.
MDMarra
@MDMarra-Nathan은 혼란 스러웠습니다. 다른 비슷한 질문에있는 것과 동일합니다 : serverfault.com/questions/550595/…
TheCleaner
1
에반 앤더슨

답변:

8

Get-MsolUser PowerShell cmdlet을 사용하여 Azure Active Directory에서 사용자 데이터를 내 보낸 다음 New-ADUser cmdlet을 사용하여 해당 데이터를 가져 와서 온-프레미스 계정을 만들 수 있습니다. 즉, 이것을 수행하는 턴키 방법은 없습니다. 스크립트를 작성해야합니다.

MDMarra
소스
1
+1 "재 작성 로컬"접근 방식은, 푸른 디렉터리 동기화는 일방 통행이다
마티아스 R. Jessen
방금 O365에서 얻을 수있는 56 가지 속성 중 17 가지 속성을 온 프레미스 분석에 매핑 할 수 있습니다. 나머지 사람들에게는 그들이 그렇게 중요하지 않기를 바랍니다 ...
죄를지었습니다
8

@ MDMarra : 힌트 주셔서 감사합니다, 그래서 나는 :

O365의 사용자는 다음을 사용하여 powershell로 내보낼 수 있습니다

Get-MsolUser | Select-Object City, Country, Department, DisplayName, Fax, FirstName, LastName, MobilePhone, Office, PasswordNeverExpires, PhoneNumber, PostalCode, SignInName, State, StreetAddress, Title, UserPrincipalName | Export-Csv C:\Temp\Azure_Export_2014_12_05.csv -Encoding UTF8

그러면 모든 열이 CSV로 내 보내져 적절한 매핑을 찾을 수 있습니다. 이러한 열은 모두 열은 아니지만 AD의 특성에 매핑 할 수없는 열이 많습니다. 비밀번호와 같은 기타는 내보낼 수 없습니다.

사용자를 AD로 가져 오려면 powershell에서 실행하십시오.

import-csv C:\Temp\Azure_Export_2014_12_05.csv -Encoding UTF8 | foreach-object {New-ADUser -Name ($_.Firstname + "." + $_.Lastname) -SamAccountName ($_.Firstname + "." + $_.Lastname) -GivenName $_.FirstName -Surname $_.LastName -City $_.City -Department $_.Department -DisplayName $_.DisplayName -Fax $_.Fax -MobilePhone $_.MobilePhone -Office $_.Office -PasswordNeverExpires ($_.PasswordNeverExpires -eq "True") -OfficePhone $_.PhoneNumber -PostalCode $_.PostalCode -EmailAddress $_.SignInName -State $_.State -StreetAddress $_.StreetAddress -Title $_.Title -UserPrincipalName $_.UserPrincipalName -AccountPassword (ConvertTo-SecureString -string "Secret!" -AsPlainText -force) -enabled $true }

이름이 Firstname.Lastname 인 새 사용자가 작성됩니다. SignInName과 같은 다른 특성은 유효한 AD 계정 이름이 아니므로 사용할 수 없습니다.

AD에서 국가가 실제로 존재해야하고 O365가 자유 텍스트를 허용하므로 국가를 가져올 수 없습니다.

비밀번호가 제공되지 않으면 계정이 생성되지만 비활성화되기 때문에 비밀번호는 "비밀!"로 설정됩니다.

Excel 등에서 CSV 파일을 편집하는 것이 편리 할 수 ​​있지만 PowerShell 만 사용하는 것이 좋습니다. Excel은 전화 번호에서 선행 0을 삭제하거나 다른 항목을 다시 포맷합니다. 또한 UTF8을 염두에 두십시오.


소스
자신의 답변을 받아 들일 것을 잊지 마십시오 (왼쪽에있는 녹색 체크 표시를 클릭)
마티아스 R. Jessen
이제 Azute AD Connect를 사용할 수 있으며 문제를 해결합니다. azure.microsoft.com/en-gb/documentation/articles/…
Igor Gatis 2016 년
3
@Gatis Azure AD Connect는 Azure AD에서 온 프레미스 AD로 사용자를 만들지 않습니다
Niraj
2
이러한 cmdlet을 실행하려면 msdn.microsoft.com/en-IN/library/azure/hh974476.aspx
Niraj
@sinned 암호를 제공하지 않으면 계정이 생성되지 않습니다. ... "New-ADUser : 암호가 도메인의 길이, 복잡성 또는 기록 요구 사항을 충족하지 않습니다."와 같은 오류가 발생합니다.
Aravinda
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.