更改Azure帐户和组的标识源

背景:本地/内部部署Active Directory(2012)使用Azure AD Connect同步到Microsoft Azure Active Directory . 已设置Office 365以使用现有的内部部署标识 . Office 365企业版E3是我们的O365业务计划,其中包括Microsoft Azure AD作为IDaaS平台 . Microsoft Azure AD未被设置为O365租户的管理控制台,它已经连接并且现在要管理身份,O365控制台显然仍然可以管理身份 . 现在我们有一个本地域控制器,绝大多数计算机都通过身份验证 . 如果从域中删除计算机(Windows 10)并执行“加入Azure AD”,则可以使用其O365凭据登录,并且不再使用本地域控制器进行身份验证 . 一旦对用户执行此过程,没有人将使用本地DC进行身份验证 . AD / DC仍然与AAD / O365同步以进行身份识别,但无法从AAD / O365完全管理,但是有一些限制,例如联系信息和用户名无法从Web控制台更改,他们必须从本地/开启更改-Premise AD用户和计算机 . 如果从Web控制台查看其中一个已同步的用户/组,则某些属性将显示为灰色并显示“此用户与您的本地Active Directory同步 . 某些详细信息只能通过您的本地Active Directory进行编辑” . 正如它应该 .

问题:我想知道是否可以将本地同步的用户帐户转换为Microsoft Azure Active Directory用户帐户?这意味着它将不再同步到本地AD并且可以从本地AD中删除,现在可以从Web控制台完全管理 . 值得深思的是,如果本地AD和AAD / O365之间的同步被破坏,身份仍会被视为本地活动目录标识吗?如下所示,此图像来自Azure门户网站的AAD用户部分 .

AAD Sourced From

回答(1)

2 years ago

如果您想将已同步的帐户转换为 Cloud 帐户,

NO RISK - TAKES TIME - AFFECTS ALL USERS: - 在内部部署AD和Azure AD(Office 365)之间激活同步应该使所有同步帐户成为 Cloud 用户 . (您可以再次激活同步以再次与AD一起加入 . 停用/激活SYNC最多需要72小时)https://support.office.com/en-us/article/Turn-off-directory-synchronization-for-Office-365-ee5f861e-bd48-4267-83d1-a4ead4b4a00d

(要么)

RISKY - SINGLE USER - QUICK - 如果您想使用SINGLE USER进行测试,可以将用户移除到AD中的非同步OU,在同步过程之后将删除 Cloud 中的用户,之后您可以还原 - 然后它会将该用户显示为 Cloud 用户 . (有时我们无法恢复由于该用户的后端不一致而请确保在将用户移动到非同步的OU之前,已启用邮箱中的诉讼保留/邮箱备份)https://support.office.com/en-us/article/Restore-a-user-in-Office-365-2c261e42-5dd1-48b0-845f-2a016d29cfc1?ui=en-US&rs=en-US&ad=US