ユーザーアカウントをAzure ADからオンプレミスADに移行しますか？

私の会社では、Azure Active Directoryを介した組み込みのユーザー管理を含め、Exchange、SharePoint、LyncなどのOffice 365を使用しています。

次に、WindowsサーバーのローカルADに切り替えます。変更をAzureに同期しますが、プライマリユーザーとグループポリシーの管理はWindowsサーバーで行われます。

Azure ADからユーザーアカウントをオンプレミス（Windowsサーバー）ADに最初に取得するにはどうすればよいですか？

edit1：誰かがMicrosoft Forefront Identity Managerを使用してこれを調べましたか？このツールはDirSyncに付属しているようです。DirSyncサーバー（「C：\ Program Files \ Windows Azure Active Directory Sync \ SYNCBUS \ Synchronization Service \ UIShell」にあります）で「miisclient.exe」を開きます。他の方向に同期するように設定できる場合があります...可能性があります。

— 罪を犯した
ソース

新しいDCを追加しますか？これが、オンプレミスのADで機能する方法です。

— Nathan C

@TheCleaner：可能性のある重複を以前に読んだことがありますが、重複しているとは言いません。Azureからオンプレミスにユーザーを完全に同期するのではなく、ユーザーを移行したいだけだからです。だから私はここにオフラインツールのような他の解決策や永続的な同期では機能しない何かがあるかもしれないと思った。

— 罪を犯した

@NathanCどういう意味ですか？従来のドメインコントローラーをAzure Active Directoryに、オンプレミスのドメインコントローラーと同じように接続することはできません。

— MDMarra 2014年

@MDMarra -ネイサンが混乱していた...同じ、彼は他の同様の質問にあったように：serverfault.com/questions/550595/...

— TheCleaner

非常によく似：serverfault.com/questions/643914/...

— エヴァンアンダーソン

回答:

Get-MsolUser PowerShellコマンドレットを使用してAzure Active Directoryからユーザーデータをエクスポートし、次にNew-ADUserコマンドレットを使用してそのデータを取得し、オンプレミスでアカウントを作成できます。とはいえ、これを行うためのすぐに使える方法はありません。何かをスクリプト化する必要があります。

— MDMarra
ソース

「ローカルで再作成する」アプローチの+ 1、Azure Directory Synchronizationは一方通行です

— Mathias R. Jessen 2014年

調べたところ、O365から取得できる56の属性のうち、17の属性をオンプレミス分析にマッピングできます。残りについては、それらがそれほど重要ではないことを願っています...

— 罪を犯した

@MDMarra：ヒントをありがとう、そうしました：

O365のユーザーは、Powershellを使用してエクスポートできます

Get-MsolUser | Select-Object City, Country, Department, DisplayName, Fax, FirstName, LastName, MobilePhone, Office, PasswordNeverExpires, PhoneNumber, PostalCode, SignInName, State, StreetAddress, Title, UserPrincipalName | Export-Csv C:\Temp\Azure_Export_2014_12_05.csv -Encoding UTF8

これにより、すべての列がCSVにエクスポートされ、適切なマッピングが見つかりました。これらはすべての列ではありませんが、それらの多くはADの属性にマップできません。パスワードなどのその他のものはエクスポートできません。

ユーザーをADにインポートするには、Powershellで実行します

import-csv C:\Temp\Azure_Export_2014_12_05.csv -Encoding UTF8 | foreach-object {New-ADUser -Name ($_.Firstname + "." + $_.Lastname) -SamAccountName ($_.Firstname + "." + $_.Lastname) -GivenName $_.FirstName -Surname $_.LastName -City $_.City -Department $_.Department -DisplayName $_.DisplayName -Fax $_.Fax -MobilePhone $_.MobilePhone -Office $_.Office -PasswordNeverExpires ($_.PasswordNeverExpires -eq "True") -OfficePhone $_.PhoneNumber -PostalCode $_.PostalCode -EmailAddress $_.SignInName -State $_.State -StreetAddress $_.StreetAddress -Title $_.Title -UserPrincipalName $_.UserPrincipalName -AccountPassword (ConvertTo-SecureString -string "Secret!" -AsPlainText -force) -enabled $true }

これにより、Firstname.Lastnameという名前の新しいユーザーが作成されます。SignInNameなどの他の属性は、有効なADアカウント名ではないため、使用できませんでした。

O365がフリーテキストを受け入れる間、ADは国が実際に存在している必要があるため、国をインポートできません。

パスワードが指定されていない場合、アカウントは作成されますが無効になるため、パスワードは「Secret！」に設定されます。

ExcelなどでCSVファイルを編集するのは便利ですが、PowerShellのみを使用することをお勧めします。Excelは、電話番号から先行ゼロを削除するか、他のものを再フォーマットします。また、UTF8に注意してください。

— 罪を犯した
ソース

自分の答えを受け入れることを忘れないでください（左側の緑色のチェックマークをクリックしてください）

— Mathias R. Jessen 14

Azute AD Connectが利用可能になり、問題が解決されました。azure.microsoft.com/en-gb/documentation/articles/...

— イゴールGatis

@Gatis Azure AD Connectは、Azure ADからオンプレミスADへのユーザーを作成しません

— Niraj

これらのコマンドレットを実行するには、msdn.microsoft.com

— en

@sinnedパスワードが提供されない場合、アカウントは作成されません.. "New-ADUser：パスワードはドメインの長さ、複雑さ、または履歴の要件を満たしていません。"のようなエラーが生成されます。

— アラヴィンダ