如果您为联邦域以外的用户提供不同的UPN后缀并尝试在Azure AD中同步该用户,将会发生什么?
我想确认,考虑到AD Connect的配置,最终用户的登录体验可能会有所不同。
让我们以以下配置为例,并与您分享两种可能的场景:
您在本地AD上有3个域,其中2个在Azure AD上进行验证。
- domain.local—本地不可路由。
- abc.com同步会-与AzureAD联合。
- xyz.com同步会-在AzureAD上管理和验证。
场景1:可选功能如小灵通未启用
- 假设您同步user1@xyz.com从本地到Azure AD。用户将在Azure AD上创建UPN user1@xyz.com,但是用户将无法登录到任何Office服务或Azure AD应用程序错误的用户名或密码不正确。
- 假设您将user3@domain.local从本地同步到Azure AD。用户将在Azure AD UPN user2@.onmicrosoft.com上创建,但是用户将无法登录到任何Office服务或Azure AD应用程序,错误的用户名或密码不正确。
场景2:可选功能如小灵通未启用
- 假设您同步user3@xyz.com从本地到Azure AD。用户将在Azure AD上创建UPN user1@xyz.com,用户将能够在任何Office 365服务或Azure AD应用程序上使用本地用户名和密码登录
- 假设您将user3@domain.local从本地同步到Azure AD。用户将在Azure AD UPN user2@.onmicrosoft.com上创建,用户将能够在任何Office 365服务或Azure AD应用程序上使用本地用户名和密码登录。
场景1和场景2的唯一区别是使用密码哈希同步功能。如果启用了密码散列同步,则On-Prem用户的密码散列将同步到Azure AD,因此用户将能够登录到Office服务或任何Azure AD应用程序。