Создание учетных записей Microsoft 365 вызывает путаницу с гибридным режимом

Вот странная ситуация, с которой вы могли столкнуться при создании учетных записей Microsoft 365, если у вас гибридная установка. Многие компании, такие как моя, используют Exchange 2016/2019 локально, а также имеют установленный AAD Connect. У них есть синхронизация с Azure AD вместе с мастером гибридной конфигурации, настроенным таким образом, чтобы Microsoft Office 365 знал, что происходит локально. Для тех, кто не понимает AAD Sync или AAD Connect, это в основном синхронизирует вашу локальную Active Directory с Azure AD, а установка определяет, кто является авторитетным источником. Хотя мы не собираемся вдаваться в подробности, давайте кратко объясним это. После того, как пользователь будет создан в вашей локальной Active Directory, когда произойдет следующая синхронизация, он появится в Azure AD, и теперь обе платформы знают об этом пользователе. Отлично, значит все в порядке.

Гибридный режим Microsoft 365 и синхронизация

Следующее, что вы можете сделать, это иметь группы в вашей локальной Active Directory. Вы можете настроить его таким образом, чтобы при добавлении пользователя в эту группу ему была назначена указанная вами лицензия, назначенная этим группам. Это великолепно. Итак, в чем здесь проблема? Допустим, я создаю пользователя 1 в своей локальной Active Directory, а затем добавляю пользователя 1 в группу Microsoft 365, которой будет назначена лицензия E5 плюс Microsoft Teams. Теперь выполняется следующая синхронизация, и поскольку пользователю назначается лицензия, у него создается почтовый ящик в Microsoft 365.

Итак, теперь приходит ИТ-специалист и настраивает компьютер пользователя — и при этом создает локальный почтовый ящик на локальном сервере Exchange 2016/2019. Поскольку пользователь вошел в локальную сеть, учетная запись создается мгновенно и без ошибок. Ноутбук отдается пользователю, но вам звонят и говорят, что люди пишут им по электронной почте, и они не получают никакой электронной почты. Вы входите в Outlook в Интернете с локальными учетными данными и видите электронное письмо. Когда вы проверяете состояние подключения, оно указывает на Microsoft Office 365, а не на ваш локальный сервер Exchange.

Странное сообщение об ошибке

Люди, использующие версию Microsoft Office 365, также могут получать сообщения электронной почты со странным адресом X500, а Exchange сообщает об этом сообщении:

Пользователи, работающие с розничной версией Microsoft Office, например Office 2019, не в локальной сети, могут без ошибок отправлять электронные письма пользователю из глобального списка адресов (GAL). Странно, да?

Хорошо, так почему же это происходит? Во-первых, если вы используете версию Office для Microsoft 365, поведение заключается в поиске в Office 365 почтового ящика, и если он есть, он автоматически подключится к нему. В этом случае, поскольку пользователю изначально была назначена лицензия, почтовый ящик был создан. Если вы хотите оставить все как есть, вы можете, но тогда единственный способ подключиться к локальному Exchange 2016/2019 — это добавить запись файла хоста на локальном компьютере следующим образом:

Это позволит Outlook при настройке профиля разрешить вам вводить данные для вашей среды Exchange. Теперь почтовый ящик подключится, и пользователь сможет работать локально. Увидев, как это происходит, это действительно вызывает проблемы для пользователя. К сожалению, вам нужно выполнить пару шагов, чтобы все переделать, что отнимет много времени, но сэкономит вам в долгосрочной перспективе. Вот шаги:

• Удалите пользователя из локальной Active Directory. Это также удалит пользователя из всех групп.
• Позвольте AAD Connect Sync запуститься, и он подхватит изменение и удалит пользователя и лицензию.
• Создайте учетную запись пользователя в локальной Active Directory и создайте почтовый ящик Exchange для пользователя.
• Позвольте AAD Connect Sync снова запуститься, чтобы он выбрал нового пользователя и все его атрибуты.
• Снова добавьте пользователя в необходимые группы, но на этот раз он назначит лицензию без ошибок.

После того, как вы настроите профиль локально на компьютере — и если вы используете OAuth в гибридном режиме — поведение будет заключаться в том, что вам будет предложено ввести имя пользователя и пароль в окне входа в Microsoft 365. Затем он настроит учетную запись без ошибок, и когда вы проверите состояние подключения, он покажет ваш локальный сервер, а не Office 365.

Исправлено!

Если вы отправляете электронное письмо пользователю сейчас, оно не должно возвращаться, и электронное письмо должно быть доставлено. Возможно, вам придется удалить кэшированную запись в Outlook и выбрать пользователя из глобального списка адресов в первый раз, если вы отправили ему электронное письмо ранее. Если пользователь является администратором в Office 365, применение обходного пути с записью файла хоста заблокирует доступ к порталу Office 365, и он не сможет подключиться к центру администрирования.

Не спешите с AAD Connect, так как это может привести к тому, что вам придется заново создавать учетные записи снова и снова. Позвольте ему синхронизироваться по расписанию, и после этого вы можете перейти к следующему шагу. Вы можете войти на портал и просмотреть состояние синхронизации, если вы не знакомы с AAD Connect и средством синхронизации. Это будет отображаться в главном центре администрирования в Microsoft 365.