Office 365 – Alterando endereço de email @onmicrosoft.com (método alternativo)

Galera,

Voltando ao tópico Office 365, porém desta vez falando sobre sincronização de objetos do Active Directory On-Premises para o Active Directory Azure, na Nuvem.

Este ponto é um dos mais importante em um projeto de Office 365, se deseja ter uma administração centralizada dos usuários, e ainda posteriormente implementar o logon unificado (Single Sign On).

Vários problemas já foram percebidos por analistas durante a implementação e sincronização de objetos entre estes ambientes.

E os pontos de falha mais comuns são atributos inconsistentes, como UPN e Mail diferentes, SIP Addresses conflitando com SMTP Primary, e vários outros.

Porém um dos parâmetros que sempre vem causando problemas e ainda não possui uma “solução homologada” pela Microsoft é o bendito @domain.onmicrosoft.com. Este domínio faz parte da configuração de Routing Address do tenant do Office 365, e é usado para diversas tarefas, dentre elas o redirecionamento de emails usado em migrações parciais.

Há um artigo muito bom de um especialista em Office 365, citando como a Microsoft randomiza os parâmetros afim de criar o endereço de SMTP secundário @onmicrosoft.com. O ambiente valida diversos parâmetros, e se alguns não estiverem preenchidos, ele utiliza outros para definir o padrão a ser usado pelo @onmicrosoft. O artigo está neste link.

Há alguns dias, percebi que a Microsoft liberou uma atualização no tenant do Office 365, que permitia a recuperação de objetos deletados, mesmo se o vínculo com o objeto sincronizado não fosse encontrado.

Resumindo; se você possuía um usuário sincronizado e ele foi “acidentalmente” excluído do AD local, agora pode restaurar o mesmo da Lixeira do Office 365, e torná-lo um Cloud User. Essa é a parte mais importante para nossa solução proposta aqui.

Notem nas imagens abaixo o símbolo dos objetos. Primeiro, é mostrado uma seta dupla, indicando um Usuário Sincronizado. Depois, apenas um ícone simples de boneco, o que indica um Usuário da Nuvem. O usuário sincronizado tem restrições quanto à edições dos atributos, pois os mesmos devem ser definidos no AD local, e depois sincronizados com a nuvem. Como o atributo @onmicrosoft é gerado na primeira sincronização do DirSync, não há como alterar depois da primeira sincronização.

Já o usuário da Nuvem possui a gama de atributos editáveis diretamente neste disponível, uma vez que é o único local de gerenciamento de suas propriedades.

Para transformar um usuário sincronizado em um usuário da nuvem, sem ter que deletar o mesmo do Active Directory (AD) local é bem simples.

Então vamos aos seguintes passos:

1) Primeiro, iremos criar uma estrutura no AD que não será sincronizada com a Nuvem. Vamos criar uma Organizational Unit (OU) temporária, e desmarcá-la da sincronização no Forefront Identity Manager (FIM). Falaremos mais sobre o FIM em outras oportunidades….

2) Note na imagem acima que as OU’s com a checkbox marcadas serão sincronizadas, e as com as OU’s desmarcadas não serão sincronizadas. Agora, iremos mover o usuário referido para a OU não-sincronizada, fazendo com que o Office 365 entenda que este usuário foi deletado. Após forçar uma sincronização, o mesmo aparecerá como Deleted no FIM, e será movido para a Lixeira do Office 365;

3) Agora que o objeto se encontra como deletado no Office 365, basta restaurarmos o mesmo para a listagem de usuários ativos;

4) Com o usuário ativo, e definido como “Usuário da Nuvem”, podemos manipular todos seus atributos, inclusive o @onmicrosoft.com. Notem que no Exchange Online ele continua como “Federated User”, porém agora consiga editar seus atributos ;

5) Ressalto a importância de realizar a edição do atributo @onmicrosoft com critérios. Repita o mesmo endereço utilizado no UPN e no Mail Attribute do usuário, afim de facilitar a gestão e evitar duplicidade de parâmetros, que podem ocasionar falhas na sincronização de objetos.

6) Agora, basta deletar o usuário do tenant do Office 365, e somente aqui! No AD local o usuário original continua mantido em uma OU não-sincronizada. Isto se torna necessário uma vez que cada objeto do AD possui um ID único e específico, tornando cada usuário individual. Esse ID é sincronizado com a nuvem, o que permite que mesmo após a sua deleção, ele possa ser restaurado e suas informações preservadas;

7) Mova seu objeto para a OU correta, que está selecionada para sincronização, e execute um novo sincronismo de objetos do AD local com a Nuvem, afim de garantir o retorno das configurações iniciais de seu objeto, e consequentemente sua gestão centralizada pelo Active Directory. Após o retorno do objeto, seu atributo @onmicrosoft será mantido da forma como alteramos!

Pronto!

Já temos um usuário com os atributos corrigidos, e sem perder a centralização da administração do Office 365, mantendo os objetos como sincronizados com o AD local.

Não é uma “solução homologada”, como foi dito anteriormente, porém é de grande ajuda para resolver problemas que podem impactar os projetos e sua execução.

Um abraço e até o próximo post!

Anúncios

Sobre MVP Bruno Lopes

Profissional MBA em Redes de Computadores e Telecomunicações, MVP Microsoft e atualmente Technical Trainer e Engenheiro de Suporte na Microsoft/Wipro, especialista em Exchange/Office 365; sou mais um voluntário desta grande pátria de blogueiros a me dedicar em prol das informações compartilhadas à todos...Se já me salvou um dia, creio que ajudará a muitos mais...

Publicado em 02/11/2013, em Tecnologia e marcado como , , , , . Adicione o link aos favoritos. 7 Comentários.

  1. Мирдза

    I do consider all the ideas you’ve offered on your post.

    Curtir

  2. Almir M. Ribeiro

    Bruno, o método editando os atributos do ProxyAddress da conta do usuário no AD local, me parece mais fácil. Basta copiar as informações como estão, na opção endereço de email do Exchange Online e adicioná-las no atributo “Proxy Address” da conta do usuário no AD local, o email que for adicionado como SMTP (em maiúsculas), terá precedência sobre outros endereços com smtp (em minúscula) e será convertido automaticamente em endereço principal na próxima sincronização.

    Curtir

    • Olá Almir!
      Obrigado pelo acesso ao blog.

      Então, o método que você sugeriu é a maneira de configurar o PrimaryAddress para o endereço de email Principal do usuário.
      O que estamos fazendo neste post é alterar o endereço de Roteamento de email, que é o @onmicrosoft.com. Este endereço é criado na primeira sincronização do usuário, e é definido de forma automática, a partir da obtenção de algumas informações de outros atributos (mailnickname,SamAccountName,proxyAddress e outros).

      Este endereço de roteamento é muito utilizado em migrações com coexistência, onde o endereço antigo precisa ser redirecionado para outro endereço, até que o MX seja definitivamente alterado.

      Com o endereço de roteamento sem um padrão, fica difícil automatizar os redirecionamentos dos usuários e isto acaba impactando no projeto.

      Acho que você se equivocou com a informação, mas espero que volte mais vezes ao blog para se manter atualizado!

      Abços,

      Curtir

      • Almir M. Ribeiro

        Olá Bruno! Me desculpe, acho que entendi errado o propósito do post, é que está diretamente relacionado com a questão do ProxyAddress, justamente pelo fato do onmicrosoft.com ser o domínio de base para o provisionamento inicial do servido Office 365 e essa característica realmente dá “muito pano pra manga”, rsrs.
        Obrigado pelo retorno.
        Abraço.

        Curtir

      • Sem problemas, meu caro!

        Exatamente, existem muitas discussões e características peculiares neste processo de configuração inicial, e tem coisas que só o time de Produtos de 365 saberia responder. Mas, no dia-a-dia em Projetos, temos visto muitas novidades referente à vários processos e parâmetros do ambiente em Nuvem da Microsoft. E a ideia aqui do Blog é compartilhar isto com todos!

        Abços,

        Curtir

  3. Boa Noite
    compre o office 365 com validade de 12 meses, ele desativou e para ativar so tenho a chave de segurança esqueci o log e senha como faço

    Curtir

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: