Запуск Convert-MsolDomainToStandard для дефедерации

Мы собираемся дефедерировать наш домен Office365 с использования adfs2.0 на использование паролей, синхронизированных с Azure AD Sync.

Мы понимаем, что процесс требует от нас запуска Convert-MsolDomainToStandard, а затем принудительной повторной синхронизации нашего пароля с помощью Azure AD Sync. Пока все хорошо.

Первый вопрос. Какой powershell мы можем запустить, чтобы убедиться, что все наши пароли успешно повторно синхронизируются на стороне Azure/365? Например, можем ли мы получить время синхронизации последнего пароля для каждого пользователя? (не время смены последнего пароля — это другое!) Нам действительно нужна уверенность, чтобы спустить курок с 18 000 пользователей.

Второй вопрос. После того, как мы запустим это, какой powershell мы можем запустить, чтобы убедиться, что все пользователи были дефедерированы должным образом? Ремни и подтяжки проверяют правильность обновления. Я видел, что многим людям, выполняющим дефедерацию, приходилось использовать Convert-MsolFederatedUser для некоторых пользователей после сбоя Convert-MsolDomainToStandard. Какие атрибуты помечают пользователя Azure как использующего федеративный вход, а не управляемый?


powershell azure-active-directory azure-powershell office365 adfs
person halibut    schedule 18.11.2016    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Вы можете просмотреть журнал событий приложений, чтобы проверить успешность синхронизации паролей для каждого федеративного пользователя, а также время синхронизации.

Идентификатор события 650 указывает на то, что процесс синхронизации паролей начался, а идентификатор события 657 покажет вам пользователей, чья синхронизация паролей прошла успешно или нет.

введите здесь описание изображения

Что касается второго вопроса, я не нашел такого комплета powershell для запроса, были ли пользователи дефедерированы или нет. Однако при использовании следующего командлета вы получите пользователей, перечисленных в файле password.txt, который содержит временный пароль каждого федеративного пользователя. Если вы снова запустите следующий командлет, пользователям, которые уже были преобразованы в дефедеративные, не будет выдан новый пароль, столбец временного пароля будет изменен на Н/Д после завершения полной синхронизации паролей. Таким образом, вы можете убедиться, что пользователь дефедерирован или нет, изучив файлы паролей.
Convert-MsolDomainToStandard -DomainName имя федеративного домена -SkipUserConversion $false -PasswordFile c:\password.txt

Наконец, дополнительные ссылки на это можно найти здесь:[1] и [2].

person Jimmy Sun    schedule 22.11.2016