讓我先解釋一下我們的環境。
我們有一個 AD 網域 - de***.co.uk
無論使用者位於哪個部門,每個使用者都會使用其網域帳戶(user@de***.co.uk) 或(de***\user) 對所有系統(包括Exchange)進行身份驗證,即使他們的電子郵件地址是[電子郵件受保護](這是常見的,我知道)
我們計劃逐步遷移到 Office 365 E3,一次一個部門。我們 IT 部門已使用我們擁有的 de***s****.co.uk 網域測試了 365 E3,並手動設定使用者/郵箱
我們現在已準備好將一個部門轉移到試用 365(20 個使用者),但我們希望與我們的本地 AD 連結。這部分使用者將擁有一個電子郵件地址網域@le************.com
根據我收集的信息,我相信這些是我必須執行的步驟(如果我錯了,請糾正我)
- 設定 ADFS
- 將 @le************.com 網域新增至我們的 365 帳戶********(不確定如何吸引用戶)********
- 更改 le************.com 的 DNS 記錄以指向 Office 365
- 將每個使用者的 pst 匯入到他們的 365 帳戶還是任何其他方法?
造成混亂的是 ADFS 部分,到目前為止,我已經閱讀了幾篇不同的教學(一個說在 DC 上安裝 ADFS,另一個說設定 3 個新伺服器 - 一個 ADFS 代理程式、一個 ADFS 伺服器和一個 DirSync 伺服器) - 哪個最好?
在ADFS的設定過程中,據說需要在IIS上安裝SSL憑證 - 此憑證是hostname.de***.co.uk還是hostname@le************.com並且彼此接受的電子郵件網域需要自己的SSL?
駐留在本機交換器上的其他使用者會受到此流程的影響嗎?
問候
答案1
根據您提供的信息,以下是繼續進行的最佳方案。
使用者認證:這裡有 3 個模型可供您使用,它們是:
- Office 365 中的使用者(雲端帳戶):用戶管理將完全在雲端進行。您可以使用 Office 365 入口網站建立使用者、停用、重設密碼並配置所有設置,您不需要為此使用本機 AD,顯然此選項不適用於您的環境,因為您已經擁有 Exchange 的本機 AD 並且您希望在AD 中本機控制使用者管理。
- AD 中的使用者可透過一種方式同步至 Office 365(半聯合帳戶):此模組將允許您在本機 AD 伺服器上建立帳戶並執行整個使用者管理,您將安裝一個名為「DirSync」或更新版本「ADD Sync」的工具,以從您的 AD 伺服器建立使用者的副本本機AD到雲端,這些工具還可以選擇將使用者帳戶密碼從本機AD 同步到雲端,這將允許您的使用者使用相同的使用者憑證登入網域中的本機資源和Office 365,從而建立半SSO體驗,使用者在存取Office 365上的資源時需要提供使用者名稱和密碼,並且使用者身份驗證/驗證將在雲端進行。此模組的要求是在本地網路中的任何伺服器上安裝前面提到的工具,不需要 ADFS 或 ADFS 代理,您應該使用此選項,因為它是最容易實現和支援的。
- AD 中的使用者與 Office 365 進行雙向同步(完全聯合帳戶):這是三個選項中最高級的選項,此選項利用上一個選項“AD 中的用戶單向同步到Office 365”的所有設置,此外它還增加了強制在本地AD 上進行用戶身份驗證/驗證的功能使用 ADFS 和 ADFS 代理伺服器的伺服器,您將需要在本機網路或 Azure 混合網路上部署 ADFS/ADFS 代理程式和 AAD 同步,您將作為網域中的使用者使用此選項取得完整的 SSO 體驗將能夠存取Office 365 而無需提供使用者名稱和密碼,我不建議使用此選項,因為安裝、設定和支援它是一個IT 恐怖故事。
您可以在這裡閱讀大量資訊以供進一步參考:https://blogs.office.com/2014/05/13/choosing-a-sign-in-model-for-office-365/
電子郵件遷移:由於您的網路中有 Exchange 2010,因此支援的電子郵件遷移方式如下:
- 直接電子郵件遷移:使用Office 365門戶,您建立一個遷移批次作業,該作業將使用Exchange自動發現搜尋使用者信箱,它將存取本機Exchange伺服器上的使用者信箱並開始將信箱內容複製到雲端,這可以當使用者仍在使用本機伺服器上的郵箱時發生。一旦所有電子郵件已成功複製到雲端,您將停止遷移批次並更改 DNS 記錄,以便新電子郵件/自動發現指向雲端郵件伺服器而不是本地網路中的郵件伺服器,用戶將需要重新配置才能按順序要訪問新伺服器,您可以從本機伺服器中刪除使用者郵箱,因為它不再被使用。我個人更喜歡您使用此選項。
- 代表使用者批次匯出/匯入 .pst 文件:您將使用工具將使用者信箱匯出為 .pst 文件,您可以將這些文件儲存到磁碟並將其傳送給 Microsoft 進行匯入,或將 .pst 檔案儲存到本機資料夾中,然後將其匯入 Office 365 您自己使用Office 365 的遷移嚮導,除非您的郵箱大小相對較小,否則我不會使用此選項。
- 請您的使用者執行 .pst 匯入/匯出:在完美的情況下,您可能會要求使用者將其郵箱匯出到.pst 檔案中,將檔案本機儲存在其電腦上,將Outlook 設定為使用雲端上的新信箱,將.pst 檔案從其電腦匯入到新郵箱,我會不惜一切代價避免此選項,因為......好吧......最終用戶。
您可以在此處找到有關電子郵件遷移的更多資訊:https://support.office.com/en-us/article/Ways-to-migrate-multiple-email-accounts-to-Office-365-0a4913fe-60fb-498f-9155-a86516418842
如果您為身分驗證選擇選項 2,為電子郵件選擇選項 1,則不需要 ADFS 或憑證來完成遷移,最終使用者只會在直接轉換遷移的最後階段受到影響。
希望這可以幫助。
編輯:
您的遷移步驟應該很簡單,請遵循以下提示:
- 將所有接受的網域新增至 Office 365 入口網站並驗證它們。
- 使用 Microsoft IDFix 工具確保您的本機帳戶格式和資料與 Office 365 相容。
- 建立 ADFS 整合(我仍然會使用 DirSync,因為您可以在任何地方安裝它,並且不需要硬件,它仍然會與 ADFS 一樣運行,無需 SSO 自動登錄,但似乎 ADFS 是您的情況)
- 在本機郵件伺服器和 Office 365 之間建立聯合信任。
- (可選)首先將傳入電子郵件重定向到雲端,以便更好地進行防毒/垃圾郵件處理。
- 將授權指派給要移轉到 Office 365 的使用者。
- 根據您認為合適的方式開始移動每個部門的使用者。
- 將所有使用者帳戶移至雲端後,刪除 Office 365 和本機郵件伺服器之間的聯合信任,保留 ADFS 或 DirSync,儘管您始終需要它們存在。
- 根據需要刪除本機郵件伺服器,虛擬化並保持關閉狀態,您可以選擇。