Мигрировать учетные записи пользователей из Azure AD в локальную AD?

Моя компания использует Office 365 для Exchange, SharePoint, Lync и т. Д., Включая встроенное администрирование пользователей через Azure Active Directory.

Теперь мы хотим переключиться на локальную AD на Windows Server. Он должен синхронизировать изменения в Azure, но основное администрирование пользователей и групповых политик происходит на сервере Windows.

Как мы изначально получаем учетные записи пользователей из Azure AD в локальную (windows-сервер) AD?

edit1: кто-нибудь изучал это с помощью Microsoft Forefront Identity Manager? Похоже, этот инструмент поставляется с DirSync. Откройте файл «miisclient.exe» на сервере DirSync (находится в «C: \ Program Files \ Windows Azure Active Directory Sync \ SYNCBUS \ Служба синхронизации \ UIShell»). Может быть возможно настроить его для синхронизации в другом направлении ... может.

Вы можете использовать командлеты Get-MsolUser PowerShell для экспорта пользовательских данных из Azure Active Directory, а затем использовать командлеты New-ADUser для получения этих данных и создания учетных записей локально. Тем не менее, нет готового способа сделать это. Вы должны будете написать что-нибудь.

@MDMarra: Спасибо за подсказки, поэтому я сделал:

Пользователи из O365 могут быть экспортированы PowerShell с помощью

Get-MsolUser | Select-Object City, Country, Department, DisplayName, Fax, FirstName, LastName, MobilePhone, Office, PasswordNeverExpires, PhoneNumber, PostalCode, SignInName, State, StreetAddress, Title, UserPrincipalName | Export-Csv C:\Temp\Azure_Export_2014_12_05.csv -Encoding UTF8

Это экспортирует все столбцы в CSV, где я мог найти отображение, которое выглядело соответствующим. Это не все столбцы, но многие из них не могут быть сопоставлены с атрибутами в AD. Другие, такие как пароль, не могут быть экспортированы.

Чтобы импортировать пользователей в AD, запустите PowerShell

import-csv C:\Temp\Azure_Export_2014_12_05.csv -Encoding UTF8 | foreach-object {New-ADUser -Name ($_.Firstname + "." + $_.Lastname) -SamAccountName ($_.Firstname + "." + $_.Lastname) -GivenName $_.FirstName -Surname $_.LastName -City $_.City -Department $_.Department -DisplayName $_.DisplayName -Fax $_.Fax -MobilePhone $_.MobilePhone -Office $_.Office -PasswordNeverExpires ($_.PasswordNeverExpires -eq "True") -OfficePhone $_.PhoneNumber -PostalCode $_.PostalCode -EmailAddress $_.SignInName -State $_.State -StreetAddress $_.StreetAddress -Title $_.Title -UserPrincipalName $_.UserPrincipalName -AccountPassword (ConvertTo-SecureString -string "Secret!" -AsPlainText -force) -enabled $true }

Это создает новых пользователей с именем Firstname.Lastname. Другие атрибуты, такие как SignInName, не могут быть использованы, поскольку они не являются допустимым именем учетной записи AD.

Страна не может быть импортирована, потому что AD требует, чтобы страна фактически существовала, в то время как O365 принимает свободный текст.

Пароль будет установлен на «Secret!», Потому что, если пароль не указан, учетная запись будет создана, но отключена.

Может быть удобно отредактировать CSV-файл в Excel или что-то еще, но я бы рекомендовал использовать только PowerShell. Excel удаляет начальные нули из телефонных номеров или переформатирует другие данные. Также обратите внимание на UTF8.