Single Sign On
מיקרוסופט ממשיכה לתפוס תאוצה ולצרף מיליונים ברחבי העולם לשירותי הענן השונים.
שירותי הדואר של 365 ממוקמים על פלטפורמת שרתי Exchange הבנויים במערך של Cluster יציב ורחב.
יחד עם זאת עדיין לחלק מהלקוחות, בעיקר אלו מתחום ה SMB לא נח לעבוד בצורה שבה הסיסמה למחשב האישי ברשת
שונה מזו הקיימת בענן.
הדבר גורם לכך שמשתמש קצה צריך לעבוד עם שתי סיסמאות, לא הכי נח.
מיקרוסופט מספקת פתרון די יעיל המאפשר לכם המשתמשים להשתמש בסיסמה אחת גם לכניסת משתמש למחשב וגם לאאולטוק שלכם.
(דרך אגב, שיש שרת דואר מקומי זה בדיוק המצב).
אז איך ניתן לבצע זאת?
ראשית יש לבצע מספר שינוים ב Active Directory ;
בצעו logon לשרת ה DC שלכם והוסיפו UPN בסיומת כתובות המייל שלכם.
לרוב מנהלי רשת מתקינים שרתים בסיומת של local לדוגמה contoso.local כאשר בפועל כתובת הדואר הינה contoso.com
השוני הנ"ל גורם לבעיות סנכרון מיותרות, גם אותן ניתן לסדר אבל אם אפשר לחסוך מראש..
להוספת UPN יש צורך להכנס ל Domain And Trust ומשם ניתן לעשות זאת.
לאחר שהוספתם, ניתן להפעיל סקריפט של powershell היודע לשנות באופן אוטומטי את logon של המשתמשים לפי הסיומת הרצויה,
בד"כ סיומת כתובת הדואר.
Single Sign On
לאחר שבוצעו ההכנות והשינויים הדרושים ניתן להוריד כלי של מיקרוסופט הזמין עבורכם בקישור הזה.
סיימתם להתקין וכעת יש צורך להגדיר.
הפעילו את התוכנה ואשף ההתקנה יעבור איתכם על ההגדרות ויאפשר לכם לבחור את האופציות הרצויות לצורך הסנכרון.
תוכלו לבחור אם הסנכון ישנה ויאפשר לשנות רק מ AD לענן או גם מהענן ל AD ועוד אפשרויות רבות.
בין השאר תוכלו גם לבחור האם את מעונינים לסנכרן את כל ה AD או רק OU מסויים.
סיימתם? מעולה עכשיו חשוב לזכור.
סנכרון אוטומטי מתבצע ב interval של 30 דקות, אם אתם רוצים להפעיל סנכרון מלא באופן יזום הפעילו את הפקודה הזאת:
Start-ADSyncSyncCycle -PolicyType Initial
במידה ותרצו סנכרון יזום אבל רק של ה Delta כלומר שינוי שבוצע, הפעילו את הפקודה:
Start-ADSyncSyncCycle -PolicyType Delta
בוצע סנכרון מלא תקין? אם אתם לא בטוחים אתם יכולים להשתמש בכלי נוסף הנקרא
Synchronization Service
כלי זה יציג לכם בזמן אמת את הסנכרון המבוצע ותוכלו במידה ויש שגיאות לדעת ולהבין מה מקורן וכמובן לטפל בהתאם.
כעת, לאחר שבוצע סנכרון התחברו לממשק ניהול ה 365, למשתמשים, ותוכלו לראות האם בצדו של כל משתמש כתוב Sync with AD
זה אומר שבוצע הסנכרון וכעת בכל פעם שתאפסו סיסמה למשתמש גם סיסמתו לדואר תשתנה בהתאם.
אם נתקלתם בבעיות ניתן להשתמש בכלי נוסף IdFix שניתן להוריד מכאן
דרך אגב- אם עולה צורך למחוק משתמשים פשוט יש צורך להוציאם מ OU, לבצע סנכרון ואז הם יופיעו במשתמשים שנמחקו בסביבת הענן.
אם תרצו למחוק אותם גם מסביבת הענן ניתן לעשות זאת רק באמצעות פקודה.
Remove-MsolUser -UserPrincipalName [email protected] -RemoveFromRecycleBin
בסיום החזירו את המשתמש ל OU ובצעו סנכרון חוזר.
חייב לומר שהפתרון Single Sign On עובד יפה מאוד ובכל ארגון שהוגדר חסך סיסמאות והתעסקות מיותרת.
זקוקים לעזרה בנושא? צרו קשר עם אחד המומחים שלנו ונשמח לסייע.
m-challenge פתרונות IT