參考講稿微軟service description modified

引 Office365中的類 登錄到Office 創(chuàng)建Office365用戶帳 向用戶分配自定義郵箱別 驗證與Office Office365桌面設(shè)置工 系統(tǒng)要 面向Office365的雙因素驗 借助SSO來規(guī)劃雙因素驗 借助單點登錄來為Web應(yīng)用程序部署雙因素驗 管 管理云 更改初始.............................................................................................................................................................................重置......................................................................................................................................................................................使用OutlookWebApp更改....................................................................................................................................... 使用Windows 重置.................................................................................................................................同步......................................................................................................................................................................................管理聯(lián)合 與電子郵件之間的共 啟 同 DirectorySynchronization 同步詳 單向推 非同步.................................................................................................................................................................................. 對 回寫功 對象限 同步頻 強制同 安裝要 在活 中管理Office365用 添加ActiveDirectory用戶帳 刪除ActiveDirectory用戶帳 管理帳戶.............................................................................................................................................................................禁用帳 單點登 系統(tǒng)要 關(guān)于ActiveDirectory的注意事 網(wǎng)絡(luò)體系結(jié)構(gòu)與ActiveDirectoryFederationServices概 向合作伙伴委派管理與支持....................................................................................................................SharePointOnline的外部共享功 ?Office365將帶來深受信賴的 桌面產(chǎn)品套件。Office365有能力滿足各種規(guī)模組織的需求——從獨資企業(yè)到小型、中型以及大型企業(yè)，乃至機構(gòu)和教育機構(gòu)——旨在幫助這些組織節(jié)省時間和，并讓有價值的資源Office365 OfficeProfessionalPlus2010可以無縫的連接 OfficeWebApps，從而在PC、移動設(shè)備以及瀏覽器上實現(xiàn)卓越的生產(chǎn)力體驗。要求具備適用的設(shè)備、要求具備適用的設(shè)備、InternetOffice2010Office2010WebApps中。OfficeWebApps、 2010以及Office2010應(yīng)用程序之間存在某些區(qū)別備 ExchangeOnline：ExchangeOnline用于提供基于云端的電子郵件、日歷以及聯(lián)系人功能，并配以最前沿的防和反郵件解決方案。幾乎從任何移動設(shè)備上都能電子郵件， SharePoint?Online：SharePointOnline是一款基于云端的服務(wù)，用于創(chuàng)建 LyncOnline：LyncOnline用于提供基于云端的即時消息（IM）、聯(lián)機狀態(tài)以及聯(lián)機會議體驗，并配以屏幕共享以及語音和會議功能。文檔適用對本文檔將從設(shè)計、策略以及最佳實踐方法的角度來探討Office365的標(biāo)識，其中包括用戶帳戶的創(chuàng)建、策略、共存、 同步以及單點登錄（聯(lián)合驗證）。用戶可以通過對自己的Office365用戶帳戶執(zhí)行驗證的方式，來Office365——既可按照提示來提供有效的憑據(jù)，也可通過單點登錄流程來進行登錄。一旦通過驗證，用戶的就會代表已被關(guān)聯(lián)到相應(yīng)Office365帳戶的用戶名。本文檔并未包含用于允許或Office365功能或資源（例如，ExchangeOnline中基于角色的控SharePointOnline中的安全性配置功能）的安全功能的相關(guān)信息。要獲取有關(guān)此類功能及其它安全性相關(guān)的信息，請參閱具體某項服務(wù)的幫助文檔和服務(wù)說明。Office365中的類Office365將提供兩種類型的 OnlineServices的云ID（云）：用戶將會收到云憑據(jù)——獨立于其它桌面憑據(jù)或公司憑據(jù)——用以登錄到Office365服務(wù)。云的策略將隨相應(yīng)的Office365服務(wù)一同ID（聯(lián)合）：在擁有本地ActiveDirectory?的公司中，用戶可以使用自己的ActiveDirectory憑據(jù)來登錄到Office365服務(wù)。公司的ActiveDirectory將負責(zé)對用戶執(zhí)行驗證，并負責(zé)和控制策略。登錄到Office當(dāng)前登錄體驗的具體差異，取決于正在使用的Office365的具體類型：云或聯(lián)合。表1具體1：Office365的登錄體云聯(lián)Outlook?2010Windows?Outlook2007WindowsOutlook2010Outlook2007運行WindowsVista?WindowsXPExchange OutlookforMac2011Web體驗：Office365門戶/OutlookWebApp/SharePointOnline/OfficeWebAppsOffice2010Office2007SharePointSharePointOnline會話均要求登5SharePointOnline會話LyncOutlookforMac您更您更 2您需要輸入自己的公司憑據(jù)。您可以保存自己的 3Office365正式發(fā)布之后，Outlook2007Windows7Outlook2010 1備44全部應(yīng)用程序均要求您輸入用戶名，或者，單擊鼠標(biāo)方可登錄。如果您的計算機已加入域，則您不 Office365Office3654種途徑來創(chuàng)建用戶帳戶。由數(shù)據(jù)中心負責(zé)托管的所有用戶帳戶均為云身份，除非管理員已經(jīng)為用戶所在域啟用了“聯(lián)合”。Office365管理控制臺：Office365管理控制臺中，您可以手動創(chuàng)建用戶帳戶，并分配證。您所分配的證的類型將決定當(dāng)前用戶可以哪些服務(wù)。當(dāng)您分配某個證時，就會產(chǎn)生一使用.csv文件執(zhí)行批量上載：Office365管理員 有的.csv文件或在文本編輯器（例如，“記事本”程序）中空白的.csv文件。該向?qū)н€將提供一個.csv示例文件，以通過一些用戶數(shù)據(jù)示例來展示正確的格式。要導(dǎo)入.csv文件，您必須向新用戶分配證。然后，您可以查看這些新用戶的，還可以有選擇地向他們發(fā)送包含的電子ActiveDirectorySynchronizationTool：您可以使用ActiveDirectorySynchronizationTool來將ActiveDirectory用戶帳戶（及其它ActiveDirectory對象）到Office365中。不同于手動創(chuàng)建的帳戶不同，由ActiveDirectorySynchronizationTool所創(chuàng)建的帳戶將完全采用ActiveDirectory中的用戶帳戶信息來填充（例如，部門、）。在使用“ 于本地環(huán)境中，而聯(lián)機帳戶只不過是本地用戶帳戶的副本，而且無法被聯(lián)機編輯。在您激活A(yù)ctiveDirectorySynchronizationTool所創(chuàng)建的帳戶之前，這些帳戶仍處于非活動狀態(tài)。因此，當(dāng)使用該工具創(chuàng)建了用戶帳戶之后，Office365證無法立即被這些帳戶所使用。當(dāng)您在Office365管 WindowsPowerS ?）激活用戶帳戶時，服務(wù)證才會被分配，此時，也將生成初始。 OnlineServicesModuleforWindowsPowerS Exchange簡易遷移：簡易遷移也被稱為“直接轉(zhuǎn)換遷移”，在這種遷移方式下，所有本地郵箱將1,000Exchange2010Exchange2007服務(wù)器遷天之內(nèi)對這些帳戶向用戶分配自定義當(dāng)您新建一個用戶時，該用戶的登錄名稱和電子郵件地址將被分配到已在Office365管理控制臺中所設(shè)置的默認域。默認情況下，當(dāng)前的Office365帳戶將采用“<公司名稱> ”的格式，該在創(chuàng)建Office365帳戶時已被創(chuàng)建。當(dāng)您創(chuàng)建這一帳戶時，您需要提供公司名稱來作為前綴（例 ）。該公司名稱必須唯一且未被其他任何Office365客戶所。該自定義備 ，而非bill@conto 地址分配自定義，可以將指定的自定義添加到Office365。所有自定義均要經(jīng)過所有權(quán)驗證過程，這一過程已被歸檔在Office365聯(lián)機幫助管理和域?qū)傩灾?。一旦指定的自定義通過驗證，您就可以將該自定義設(shè)置為默認。當(dāng)完成這一設(shè)置之后，Office365中的新建用戶將被分配到新的默認下（此處是指自定義），而不是 于在您對自定義執(zhí)行驗證之前已存在的用戶而言，他們將不會被自動更改為使用新。您可以向Office365添加不止一個自定義，并將這些可用于登錄的分配給用戶。每個用戶的已分 Office365管 備郵箱別 來接收郵件）。每個已被用作別名的必須是一個已通過驗證的，另外，別名地址不需要額外的郵箱Office除了已在SharePointOnline中所創(chuàng)建的用于的互聯(lián)網(wǎng)這一例外情況之外，用戶要Office365服務(wù)（SharePointOnline中所創(chuàng)建的用于的互聯(lián)網(wǎng)之外），就必須首先通過身份驗證。Office365云將采用傳統(tǒng)的“質(zhì)詢/響應(yīng)”方式來完成驗證，也就是說，用戶需要鍵入自己的用戶名和。擁有聯(lián)合的用戶將采用ActiveDirectoryFederationServices來透明地完成驗Office365桌面設(shè)置工為了確保為Office365服務(wù)提供正確的發(fā)現(xiàn)和驗證，管理員必須為每臺運行客戶端程序（例Office2010）Office365的工作站應(yīng)用一系列必備組件和更新。除了手動安裝此類更新之外，將提供一個自動化的設(shè)置軟件包——Office365桌面設(shè)置工具——該工具可以自動對工作站應(yīng)用必備更新并進行相關(guān)配置。該應(yīng)用程序?qū)⑷〈鶲nlineServicesConnector。Office365Office365InternetExplorerLyncBusinessProductivityOnlineSuite（BPOS）OnlineServicesSignIn客戶端程序?qū)ffice365繼續(xù)使用。系統(tǒng)要Office365Windows7（3264位版本W(wǎng)indowsVistawithServicePack1（SP1）（3264位版本W(wǎng)indowsXPwithServicePack2（SP2）（3264位版本W(wǎng)indowsServer?除此之外，每項服務(wù)均具有其它一些系統(tǒng)要求，您應(yīng)在開始部署Office365之前，對其進行充分了解。要獲取相關(guān)信息，請參閱Office365聯(lián)機幫助 Office365的軟件要求。 Office365備要獲取有關(guān)Office365桌面設(shè)置工具的信息，請參閱Office365聯(lián)機幫助 按照Office365的要求關(guān)于網(wǎng)絡(luò)方面的注意事Office365采用基于表單的驗證，驗證所產(chǎn)生的網(wǎng)絡(luò)傳輸將使用443端口并采用TLS/SSL來進行加密。驗證所產(chǎn)生的網(wǎng)絡(luò)傳輸僅會占用Office365服務(wù)帶寬的極小比例。驗證的類本節(jié)將探討Office365將支持哪些類型的用 直接從網(wǎng)頁瀏覽器中執(zhí)行驗Office365將提供一系列可 之間在Web瀏覽器中進行 的服務(wù)，其中包括OutlookWebApp、SharePointOnline以及Office365管理員門戶 頁面，您需要在此處提供登錄憑據(jù)。登錄體驗因當(dāng)前登錄域所啟用的驗證類型而有所不同：云：Web瀏覽器將被重定向到Office365登錄服務(wù)，您需要在此處鍵入自己OnlineServicesID和。登錄服務(wù)將對您的憑據(jù)執(zhí)行驗證，并生成一個服務(wù)令牌，Web瀏聯(lián)合：Web瀏覽器將被重定向到Office365登錄服務(wù)，您需要在此處以用戶主體名 域，并將您重定向到本地的ActiveDirectoryFederationServer2.0，以執(zhí)行驗證。如果您已登錄到（已加入域的）桌面，您將直接被執(zhí)行驗證（使用Kerberos或NTLMv2），此時，ActiveDirectoryFederationServices2.0SAML登錄令牌，Web瀏覽器將把該Office365登錄服務(wù)。登錄服務(wù)將使用該登錄令牌來生成一個服務(wù)令牌，Web瀏覽器從客戶端應(yīng)用程序中執(zhí)行驗 Office桌面應(yīng)用程序在內(nèi)的客戶端程序通常被安裝在PC上。您可以通過此類應(yīng)用程序來以兩種方式執(zhí)行驗證：基本/基于SSL的驗證：Outlook客戶端程序?qū)⒒掘炞C憑據(jù)通過SSL傳遞到ExchangeOnline。ExchangeOnline將驗證請求委派給Office365Indentity 繼續(xù)委派給本地的ActiveDirectoryFederationServer2.0（適用于單點登錄）。ActiveDirectory區(qū)、DMZServices 安備 OnlineServicesSign-InAssistant： OnlineServicesSign-InAssistant由Office365Office365登錄服務(wù)獲取服務(wù)令牌并將其返回給當(dāng)前客戶端。如果您擁有一個云，就會被提示要求提供憑據(jù)，該客戶端服務(wù)會將該憑據(jù)發(fā)送到Office365登錄服務(wù)，以（使用WS-Trust）對其執(zhí)行驗證。如果您擁有一個聯(lián)合，該客戶端服務(wù)首先會聯(lián)絡(luò)ActiveDirectoryFederationServices2.0服務(wù)器，以（使用Kerberos或NTLMv2）對當(dāng)前憑據(jù)執(zhí)行驗證，然后，獲取一個登錄令牌，并（通過使用WS-FederationWS-Trust）Office365登錄服務(wù)。表2：Office365中的驗證機應(yīng)用程類驗證機Web云WebWS-FederatedWeb登錄、WS-TrustWS-Federation（ActiveDirectoryFederationServices2.0）Windows7Outlook云WS-Trust（Sign-inActiveDirectoryFederationServices執(zhí)SSLWindows7Outlook云在Office365端執(zhí)行基于SSL的基本驗ActiveDirectoryFederationServices執(zhí)SSLWindowsVista或WindowsXPOutlook2010和Outlook2007云在Office365端執(zhí)行基于SSL的基本驗ActiveDirectoryFederationServices執(zhí)SSLExchange云在Office365端執(zhí)行基于SSL的基本驗ActiveDirectoryFederationServices執(zhí)SSLPOP/IMAP/SMTP云在Office365端執(zhí)行基于SSL的基本驗ActiveDirectoryFederationServices執(zhí)SSLWindows7、云WebWS-VistaWindowsXPWeb登錄、WS-TrustWS-Federation（ActiveDirectoryFederationServices2.0）Office2010andOfficeLync云WS-Trust（SignIn應(yīng)用程序WS-TrustWS-Federation（SignInActiveDirectoryFederationServices面向Office365的雙因素驗借助SSO來規(guī)劃雙因素驗要使因驗，必須搭使用ActeecoryFeeratinvies0與Offce來實現(xiàn)點登錄策。您對具實進規(guī)時，需考到用戶否安裝支的作系統(tǒng)處公司網(wǎng)絡(luò)的內(nèi)部是部以及否在使用戶程序還是b瀏覽。外，還考到當(dāng)前驗證提程3表3：已被支持和未被支持的方方已被支持/LyncActiveDirecotry?，F(xiàn)有PC，但Office365配置為使用單點登錄來支持聯(lián)合。PCWeb瀏覽Web應(yīng)用程序部署雙因素驗證一節(jié)WebPC或公共向向Lync和SharePoint的雙因 備借助單點登錄來為Web應(yīng)用程序部署雙因 驗如果用戶要從公司網(wǎng)絡(luò)的外部（例如家用PC或公共上網(wǎng)場所）Office365Web應(yīng)用程序，可以采用兩個選項來強制在單點登錄中實現(xiàn)雙因素驗證：將ActiveDirectoryFederationServices2.0登錄頁面與強驗證提供程序進行集成：通過對ActiveDirectoryFederationServices2.0 的登錄Web頁面進行自定義，來添加額外的一些必填字段，以此來收集雙因素驗證所需的信息。通過對此頁面進行進一步自定義，以使其可同雙因素驗證服務(wù)器或服務(wù)進行交互，從而對用戶執(zhí)行驗證。 Forefront?UnifiedAccessGatewaySP1服務(wù)器：使用 UnifiedAccessGateway（UAG）SP1服務(wù)器來支持各種雙因素驗證提供程序，以及對一系列包含雙因素驗證的擴展方案進行直接 。要獲取相關(guān)信息，請參閱在ADFS2.0基礎(chǔ)上部署ForefrontUAG。管理的具體策略和過程取決于Office365目前正在使用的類型。如果正在使用云，則在創(chuàng)建帳戶時自動生成。如果正在使用聯(lián)合，則由ActiveDirectory負責(zé)管理。管理云表5將給出針對的策略及其相關(guān)選項表5：針對的策略及其相關(guān)選屬說Password816個字符A–a–0–!@#$%^&*-_+=[]{}|\:‘,.?/`~“<>()用戶名別名（@符號前面的部分Passwordexpiry90天（不可更改PasswordPasswordexpiry90天之后 OnlineServicesModuleforWindowsPowerS來啟用 Password強需要至少符合如下4個條件中的3個數(shù)字（0-符號（Passwordrestrictions屬性 OnlineServicesModuleforWindowsPowerS Password曾被使用過的將不允許被再次使用Passwordhistory無Account 執(zhí)行10次不成功的登錄嘗試之后，當(dāng)前用戶在登錄過程中必須對 框的提問做出回答。當(dāng)使用錯誤重復(fù)執(zhí)行10次不成功的登錄嘗試并正確回答CAPTCHA框中的問題之后，當(dāng)前用戶的帳戶將被鎖定一段時更改初為了提高安全性，用戶必須在首次Office365服務(wù)時更改自己的。因此，在用戶可以O(shè)ffice365服務(wù)之前，他們必須登錄到Office365門戶，此處將會提示他們更改自己的。如果用戶在首次Office365時沒有更改自己的，他們就會收到“”消息。重如果用戶遺失自己的，具有GlobalAdministrator、PasswordAdministrator或UserManagementAdministratorOffice365管理中或通過使用WindowsPowerS來重置用戶密碼。用戶無法在未提供自己現(xiàn)有的前提下更改自己的。如果管理員遺失或忘記自己的，另一個具有GlobalAdministrator角色的管理員可以在Office365管 中或通過使用WindowsPowerS 來重置管理員。如果不存在負責(zé)重置的管理員，用戶就必須聯(lián)絡(luò)Office365支持服務(wù)，以請求重置使用OutlookWebApp更ExchangeServerOutlookWebAccess（ExchangeServer2007中）來更改自己的。在Office365ExchangeOnline中，OutlookWebApp中的更改功能的具體操作方式取決于正在使用的類型（即云或聯(lián)合）：云：OutlookWebApp的選項頁面將提供一個Changepassword超，用于將用戶重定向到OnlinePortalChangePassword頁面。聯(lián)合：OutlookWebApp將不提供ChangePassword超。用戶可以使用標(biāo)準(zhǔn)的本地工具PC登錄選項來更改自己的。ExchangeServer2010OutlookWebApp不同，Office365OutlookWebApp不包Password選項卡。備更改后的驗當(dāng)用戶的已被更改之后，如果用戶嘗試某項Office365Office365門戶，將被提示執(zhí)行驗證。通常情況下，當(dāng)再次相同服務(wù)或門戶時，將不需要再次執(zhí)行驗證；但是，在某委派重置的用戶權(quán)借助ExchangeOnline中的基于角色的控制功能，在不授予用戶完全服務(wù)管理權(quán)限（管理員權(quán)限）的情況下，可以通過為用戶分配預(yù)定義角色或自定義角色的方式來為其授予“重置”用戶權(quán)限。通過向用戶分配如下預(yù)定義角色（已在“ExchangeOnline角色與審核”中列出），即可授予用戶重置 HelpOrganizationRecipient除此之外，您還可以在Office365管理 GlobalPasswordUserManagementAdministrator（未包含對帳單管理員、全局管理員以及服務(wù)管理員重置 有權(quán)為Office365客戶提供支持服務(wù)的認證合作伙伴可以根據(jù)客戶的要求 在Office365中，服務(wù)管理員可以使用WindowsPowerS來重置，這樣，就可以使用化的可以使用WindowsPowerS來重置。同Office365不支持在本地ActiveDirectory與Office365云之間執(zhí)行同步管理聯(lián)合如果您在Office365中使用聯(lián)合，ActiveDirectoryFederationServices將會就 Office365FederationGateway進行協(xié)商，而不是將用戶的本地ActiveDirectory 直接通過Internet傳遞給Office365。當(dāng)本地用戶嘗試Office365服務(wù)時，ActiveDirectoryFederationServices將會根據(jù)當(dāng)前用戶的Kerberos票證來生成一個已簽名令牌。該令牌將被Office365服務(wù)所接受。因此，當(dāng)用戶通過ActiveDirectory的驗證之后（例如，登錄到某臺本地工作站），就可以透明而安全地登錄到Office在環(huán)境中，用戶無法使用Office365；因此，Office365策略在此類環(huán)境中并不適用。用戶僅可使用ActiveDirectory來執(zhí)行驗證。但是，卻可以在ActiveDirectory驗證中應(yīng)用本地策要獲取相關(guān)信息，請參閱聯(lián)合ExchangeServer電子郵件環(huán)境中，ExchangeOnlineOffice365環(huán)境之ExchangeServer環(huán)境；所有這些用戶均可以共享同一個電子郵件。要獲取有關(guān)Exchange共存的信息，請參閱ExchangeOnline服務(wù)說明 同步的公司還需要通過將用戶、安全組、通訊組列表以及其它ActiveDirectory對象集成到Office365之中，來實現(xiàn)某種形式的共存。例如，公司可以使用ActiveDirectory中的安全組來應(yīng)用SharePointOnline安全設(shè)置。Office365不支持LyncOnline與本地Lync2010之間實現(xiàn)共存。另外，多個域之間的即時消息 支持，請參閱LyncOnline服務(wù)說明。ActiveDirectory同步與Office365，那么，此類公司可以將現(xiàn)有的用戶同步到Office365 ServicesDirectorySynchronizationTool，服務(wù)管理員就可以始終使用已在本地AtiveDirectory中所發(fā)生的更改來更新Office365中的用戶、聯(lián)系人和用戶組。ActiveDirectory電子郵件遷移：ActiveDirectoryOffice365之間的持續(xù)關(guān)系。如果您想Office365ActiveDirectory，您就必須使用其它一些工具來實現(xiàn)。要獲取相關(guān)信息，請參閱將本地Exchange郵箱遷移到Exchange 同步之前設(shè)置單點登錄（聯(lián)合驗證）。單點登錄功的用戶能夠使用各自的公司憑據(jù)來登錄到Office365。要獲了解如何做好相關(guān)準(zhǔn)備工作，請參閱準(zhǔn)備單點登錄。如果您尚未決定設(shè)置單點登錄，您必須添加并驗證公司目前所使用的。要獲取相關(guān)信息，請參閱管理和域?qū)傩?。本地用戶管理：ActiveDirectory負責(zé)管理已由DirectorySynchronizationTool所創(chuàng)建的Office365用戶。當(dāng)您在ActiveDirectory中更新用戶的詳細信息時，這些信息將在下一次同步周期中被自動更新到用戶的Office365用戶帳戶。當(dāng)您在ActiveDirectory中新建用戶時，這些新建用戶將在Office365中被自動創(chuàng)建。要獲取相關(guān)信息，請參閱本文檔中的 同步詳解和在ActiveDirectory中管理Office365用戶。合規(guī)性：您需要決定是否需要使用審核功能來捕獲一些，例如創(chuàng)建用戶、重置以及將用該功能。要獲取有關(guān)審核的信息，請參閱審核帳戶管理。啟 同步功能的前提條表6將給出必需啟用或未支 表 同步功能的一些具體應(yīng)用前前提條必需/未支ExchangeServer聯(lián)合驗證與單點登 同步來在Office365中創(chuàng)建用戶，然后，禁用目備備**某些公司需要在Office365中創(chuàng)建大量用戶，但是，卻不打算長期使用 作為在Office365中創(chuàng)建用戶的 驗證 同同步不會對驗證產(chǎn)生直接影響。默認情況下，采用同步所創(chuàng)建的用戶將不會被激活，而 同步詳DirectorySynchronizationTool作為一個具有專門用途的工具，其自身不僅具備特定的功能，也具有相應(yīng) 單向推DirectorySynchronizationTool用于將本地ActiveDirectory中的對象到Office365之中。例如，如果您向ActiveDirectory中添加一個用戶，該用戶將在下一次同步周期中出現(xiàn)在Office365中。這一機制可以確保Office365中的“全局地址列表”能夠包含ActiveDirectory中的完整用戶列表。當(dāng)Office365用戶在Outlook、OutlookWebApp、LyncCommunicatior或其它也使用“全局地址列表”的服務(wù)中搜索某些名稱時，他們就會看到有關(guān)目標(biāo)用戶的相關(guān)信息。這樣，Office365用戶就可以獲得與本地用戶完全相同的用戶體驗。在已由DirectorySynchronizationTool所創(chuàng)建的用戶可以目標(biāo)服務(wù)之前，首先必須將其 同步之后初次創(chuàng)建用戶帳戶，還是在運行DirectorySynchronizationTool的過程中向ActiveDirectory中添加用戶，Office365證均不會被分配使用。默認情況下，您對Office365所做的更改不會被遷移到本地ActiveDirectory。例如，如果您要對Office365中的某個新域進行有效性驗證，該域?qū)⒉粫詣映霈F(xiàn)在本地Exchange環(huán)境中。但是，如果 寫功能已被啟用，您就可以將Office365中有限的一組ActiveDirectory屬性寫入（并更新）到本地的ActiveDirectory。要獲取相關(guān)信息，請參閱本文檔中的回寫功能一節(jié)。非同ActiveDirectory中所的無法被到Office365，而Office365中所創(chuàng)建的也無法被遷移到ActiveDirectoryOffice365密碼。如果您已在現(xiàn)有的部署中實現(xiàn)了單點登錄，您就無需管理Office365。已對同步將把如下對象到Office365中。此列表不可自定義單個域森林中的全部已對ActiveDirectory中的全部已對象將被到Office365中。Office365不支持多森林，因為這會將作回寫功Office365中 目的是改進能夠?qū)ffice365和現(xiàn)有的本地ActiveDirectory作為單個實體來進行管理。例如，如果您在Office365的Exchange管理控制臺中登記了一個條目來某個域，則該信息將被回寫到本地的ActiveDirectory，以便在本地的ExchangeServer中也達到同樣目的。要獲取有關(guān)哪些對象將被回寫到本地ActiveDirectory的信息，請參閱要被回寫到本地ActiveDirectory ExchangeOnline對象限D(zhuǎn)irectorySynchronizationTool最多可以10,000個對象（請參閱本文檔中的已對象一節(jié)）。如果現(xiàn)有的域森林包含超過10,000個已對象，請在您啟用 同步頻強制同WindowsPowerSStart-OnlineCoexistenceSync或通過運行OnlineServicesDirectorySynchronizonToolConfigurationWizard來強制執(zhí)行。要獲取有關(guān)這些方法的信息，請Office365聯(lián)機幫助執(zhí)行同步。同步時間長具體的同步時間長度依賴于您的組織所采用的Internet連接帶寬、用于托管 同步服務(wù)負載。表7將給 表7：預(yù)估的同步時間長對首次同步的預(yù)估時后續(xù)同步的預(yù)估時635121.5556312備備ActiveDirectory服務(wù)中被同步的對象將會立即出現(xiàn)在“全局地址列表”（GAL）中；但是，在最多24小時之內(nèi)，這些對象仍不會出現(xiàn)在“脫機通訊簿”（OAB）或LyncOnline安裝要DirectorySynchronizationToolActiveDirectoryEnterpriseOffice365服務(wù)管理員的登錄憑據(jù)。ActiveDirectory憑據(jù)將不會被保留，這是因為此類憑據(jù)僅被需要用來正確安裝該服務(wù)，以使其可以ActiveDirectory。要獲取有關(guān)安裝需求和過程的信息，請參閱Office365幫助 OnlineServicesDirectorySynchronizationTool。同步的最佳方ActiveDirectory的準(zhǔn)備工作包括刪除無用帳戶、定位重復(fù)的 -Addresses和User-Principle-Name記ActiveDirectoryOnlineDirectorySynchronization備如果您的組織使用聯(lián)合驗證，您應(yīng)該在首次執(zhí)行 其禁用是不被支持的，而且可能會為用戶Office365帶來不便。 同步之前，您必須對自定義執(zhí)行驗證。Office365中 同步的信息，請參閱Office365聯(lián)機幫 ActiveDirectory同步：實施規(guī)劃在活 中管理Office365用DirectorySynchronizationToolActiveDirectoryOffice365添加ActiveDirectory用戶帳ActiveDirectoryOffice365中創(chuàng)建對等的用戶帳戶。然后，您可以激活用戶帳戶并向其分配證，以便他們可以O(shè)ffice365。如果當(dāng)前證中包含ExchangeOnline，WindowsPowerS來在同步過程中自動激活用戶，或者，您Office365Web應(yīng)用程序中手動激活用戶。刪除ActiveDirectory用戶帳ActiveDirectoryOffice365用戶帳戶也將被刪除。因此，與此相關(guān)聯(lián)的郵箱及其中的內(nèi)容也將被自動刪除。SharePointOnline中與已刪除用戶帳戶相關(guān)聯(lián)的信息將被保留。管理帳ActiveDirectory將不會被同步到Office365。對ActiveDirectory中某個的更改僅會對ActiveDirectory中這一本身產(chǎn)生修改作用；同樣，對Office365中某個的更改僅會對Office365中這一本身產(chǎn)生修改作用。如果您的組織采用聯(lián)合驗證，則無需對Office365進行任何管理。如果用戶可以成功通過本地ActiveDirectory的驗證，則他們的登錄憑據(jù)將被Office365所接受。禁用帳當(dāng)您禁用ActiveDirectory中的某些帳戶時，Office365中相應(yīng)的用戶帳戶也將在下一次周期中被禁用。用戶將不再有權(quán)Office365，但是，他們的郵箱和SharePointOnline內(nèi)容將被保留。如果您設(shè)置了單點登錄（聯(lián)合驗證），當(dāng)用戶使用自己的ActiveDirectory公司憑據(jù)登錄到某臺已加入Office365。OfficeOffice365ActiveDirectoryFederationServices2.0備單點登錄的優(yōu)如果您設(shè)置了單點登錄，您就完全不再需要專門針對Office365而進行 策略控制：管理員可以通過ActiveDirectory來控制帳戶策略，并借此來管理 制以及鎖定控制，完全不需要在云端執(zhí)行任務(wù)?？刂疲汗芾韱T可以限制對Office365的 合使用這兩種來對其進行。減少支持呼叫次數(shù)：由于用戶經(jīng)常忘記自己的，因此，就會經(jīng)常呼叫支持人員以尋求幫助。如果用戶只需記住更少幾個，則他們遺忘的可能性就會降低。戶及其相關(guān)信息的保護能力。交叉信任：您可以使用ActiveDirectoryFederationServices來同其它組織、ActiveDirectoryFederationServicesWS-*、SAML1.1SAML2.0服務(wù)標(biāo)準(zhǔn)的服務(wù)之間建立信任關(guān)系。雙因素驗證：您可以使 因素驗證系統(tǒng)來保護本地資源，進而更妥善地保護對Office365服務(wù)的權(quán)。各種不同位置上的用戶體ActiveDirectoryFederationServices2.0允許他們直接Office365中的服務(wù)，無需執(zhí)行任何額外登錄過程。公司網(wǎng)絡(luò)（例如，家中或酒店中的某臺計算機），則單點登錄允許他們直接Office365中的服錄，方可Office365中的服務(wù)。系統(tǒng)要ActiveDirectoryWindowsServer2003或更高版本中，采用混合或本機模式下的某個功能級ActiveDirectory。ActiveDirectoryFederationServices2.0WindowsServer2008WindowsServer2008ActiveDirectoryFederationServices2.0版本的操作系統(tǒng)及其服務(wù)包：需要為Windows7、WindowsVista或WindowsXP安裝版本Office365桌面設(shè)置工具，以此來正確配置客戶端操作系統(tǒng)，以使其能夠Office365。WindowsPowerS 2.0與配置工具：在ActiveDirectoryFederationServices2.0服務(wù)器上，以管理員安裝WindowsPowerS 2.0，以此來運行用于設(shè)置單點登錄令。如果您要運行此類命令，我們建議您ActiveDirectoryFederationServices2.0；要執(zhí)行這一操作，您必須使用WindowsPowerS 命令/要獲取相關(guān)信息，請參閱執(zhí)行命令。受信任的的第SSL：從受信任的頒發(fā)機構(gòu)領(lǐng)取，該包含一個將被頒發(fā)給本地ActiveDirectory域命名空間的“公用名稱”。該將允許您設(shè)置一個ActiveDirectoryFederationServices 通過InternetActiveDirectoryFederationServices ActiveDirectoryFederationServices 服務(wù)的服務(wù)器能夠Internet。如果您已部署了ActiveDirectoryFederationServices，內(nèi)部的ActiveDirectoryFederationServices服務(wù)器就可以通過ActiveDirectoryFederationServices 服務(wù)器來連接到Internet。創(chuàng)建并轉(zhuǎn)換Office365中的新建域默認已被設(shè)置為使用 OnlineServices云。如果您要與某個已使用云身份的域進行，您可以使用已由 OnlineServicesModuleforPowerS 所安裝的Windows 命令。當(dāng)用戶下次登錄時，用戶帳戶將被轉(zhuǎn)換為聯(lián)合。我們建議您等待24小時，以便讓Office365系統(tǒng)完成一次完整的更新。當(dāng)轉(zhuǎn)換到聯(lián)合之后，您必須使用ActiveDirectoryFederationServices來Office365中的 務(wù)。我們建議您在完全部署聯(lián)合驗證之前，將試點項目分階段執(zhí)行，以驗證您的設(shè)置計劃是否可行。如果您在轉(zhuǎn)換成聯(lián)合之后無法服務(wù)，可以使用默認的admin@< accountOffice365Office365Office365允許您托管多個域。任何已被托管的域可以是云 備您還可以將域從聯(lián)合轉(zhuǎn)換為云 。當(dāng)您發(fā)布正確的WindowsPowerS 命令之后，Office365將會 試點項Office365中的域可以采用云或聯(lián)合，但是，不可二者并用。因此，如果您以域作為試點項目的起點，聯(lián)合搭配Office365是最簡單易行的試點。在這種情況下，您可以首先將聯(lián)合部署Office365用戶正在使用云，您就無法為這一部分用戶部署聯(lián)合驗證。相反，您可以為當(dāng)前試點項目所使用UPNActiveDirectory中對此次試點項目所包含的用戶UPN進行更新，以使其體現(xiàn)測試。要獲取有關(guān)聯(lián)合試點項目的說明信息，請參閱Office365社區(qū)要成功部署Office365聯(lián)合，您必須對現(xiàn)有ActiveDirectory的結(jié)構(gòu)和用途進行預(yù)先規(guī)劃UPN：雖然ActiveDirectory不包含UPN，但是，聯(lián)合要求用戶必須擁有UPN。UPN用于將面向企業(yè)的Office365中的用戶與云端的相應(yīng)關(guān)聯(lián)在一起；如果沒有該關(guān)聯(lián)值，用戶可能無法使用自己的公司憑據(jù)來登錄到Office365。用于聯(lián)合的UPN可以包含字母、數(shù)字、句點、破折號以及下劃線；其它任何字符均被使用。另外，UPN中的@符號之前的部分不能以句點結(jié)尾。要獲取有關(guān)如何創(chuàng)建UPN的信息，請參閱添加用戶主體名稱后綴。匹配域：如果Office365匹配本地ActiveDirectory，則無需就做任何考慮