MS365-Benutzer und lokale AD-Benutzer nachträglich verknüpfen
OnPremise-Domäne und AzureAD sind verknüpft. Lokal sind die Benutzerkonten vorhanden – in der Cloud blöderweise auch schon. Wir wollen Microsoft nun im Nachgang beibringen, dass das vorhandene lokale Konto X und das vorhandene MS365-Konto Y identisch sind und abgeglichen werden sollen.
Annahmen
Ich gehe davon aus, dass Azure AD Connect ähnlich wie in meiner Anleitung eingerichtet ist. Die lokalen AD-Benutzer sind noch nicht in der Gruppe der Benutzer, die synchronisiert werden sollen. Es sind also noch keine lokalen Benutzer in die Cloud synchronisiert. Falls doch, stop right here, und lösche die aus dem AzureAD (auch aus dem Papierkorb).
Lokal habe ich folgenden Benutzer:
[email protected]
In MS365 ist der UPN des Benutzers folgender:
[email protected]
Vorbereitung – Installation AzureAD-Powershell-Modul
Einmalig müssen wir folgenden Befehl ausführen:
Install-Module -Name AzureAD
Damit haben wir die Möglichkeit, per Powershell das AzureAD zu managen.
Auslesen der ObjectID
Powershell auf dem DC:
$user = Get-ADUser -Filter 'Name -like "*NAME*"'
Write-Host [System.Convert]::ToBase64String($user.ObjectGUID.tobytearray())
Damit bekommen wir einen Base64-String, den Azure AD Connect nutzt, um Benutzer zu identifizieren.
In meinem Beispiel lautet dieser a3ByYW5kb21zdHJpbmc=
Setzen bei Remote-Nutzer
Den String aus dem vorherigen Schritt schreiben wir in das Attribut ImmutableId des MS365-Users.
Connect-AzureAD
Get-AzureADUser
Listet alle ObjectId’s und DisplayName/UPNs auf. Wir suchen uns unseren User; beispielsweise hat der Benutzer [email protected] folgende UUID: 5f86b90d-83b6-4d87-a9fc-3027dea16d8a
Um die beiden nun zu verlinken folgender Befehl:
Set-AzureADUser -ObjectId "5f86b90d-83b6-4d87-a9fc-3027dea16d8a" -ImmutableId "a3ByYW5kb21zdHJpbmc="
Hinzufügen des Benutzers zu der Gruppe
Im lokalen AD packen wir nun den Benutzer in die Gruppe der zu synchronisierenden Benutzer.
Neustart des Sync-Cycles
PowerShell auf dem Rechner, auf dem Azure AD Connect installiert ist:
Start-ADSyncSyncCyclie -PolicyType Delta
Ein paar Sekunden warten – und im MS365 Exchange Admin Center sollte der ehemalige Cloud-Benutzer nun als OnPremise-Benutzer angezeigt werden.
Anmeldeoptionen
Das neue Konto hat ab dem Zeitpunkt für Outlook/Teams/etc nicht mehr den ehemaligen MS365-Anmeldenamen ([email protected]
), sondern den lokalen Anmeldenamen ([email protected]
).
Postfächer und Lizenzen des MS365-Benutzer bleiben unverändert – die E-Mail-Adresse ändert sich nicht, das Postfach bleibt, die Lizenz bleibt.