Migrare gli account utente da Azure AD ad AD locale?

La mia azienda usa Office 365 per Exchange, SharePoint, Lync ecc. Inclusa l'amministrazione utenti integrata tramite Azure Active Directory.

Ora vogliamo passare a un annuncio locale su un server Windows. Sincronizza le modifiche ad Azure, ma l'amministrazione principale dell'utente e dei criteri di gruppo avviene sul server Windows.

Come possiamo inizialmente ottenere gli account utente da Azure AD nell'AD locale (windows-server) AD?

edit1: Qualcuno l'ha esaminato usando Microsoft Forefront Identity Manager? Sembra che questo strumento sia dotato di DirSync. Apri "miisclient.exe" sul server DirSync (situato in "C: \ Programmi \ Windows Azure Active Directory Sync \ SYNCBUS \ Synchronization Service \ UIShell"). Potrebbe essere possibile configurarlo per sincronizzare l'altra direzione ...

È possibile usare i cmdlet Get-MsolUser PowerShell per esportare i dati utente da Azure Active Directory e quindi usare i cmdlet New-ADUser per acquisire tali dati e creare gli account in locale. Detto questo, non esiste un modo chiavi in ​​mano per farlo. Dovrai scrivere qualcosa.

@MDMarra: grazie per i suggerimenti, quindi ho fatto:

Gli utenti di O365 possono essere esportati da PowerShell utilizzando

Get-MsolUser | Select-Object City, Country, Department, DisplayName, Fax, FirstName, LastName, MobilePhone, Office, PasswordNeverExpires, PhoneNumber, PostalCode, SignInName, State, StreetAddress, Title, UserPrincipalName | Export-Csv C:\Temp\Azure_Export_2014_12_05.csv -Encoding UTF8

Questo esporta tutte le colonne in CSV dove ho trovato una mappatura che sembrava appropriata. Quelle non sono tutte colonne, ma molte di esse non possono essere associate agli attributi in AD. Altri, come la password, non possono essere esportati.

Per importare gli utenti in Active Directory, esegui in PowerShell

import-csv C:\Temp\Azure_Export_2014_12_05.csv -Encoding UTF8 | foreach-object {New-ADUser -Name ($_.Firstname + "." + $_.Lastname) -SamAccountName ($_.Firstname + "." + $_.Lastname) -GivenName $_.FirstName -Surname $_.LastName -City $_.City -Department $_.Department -DisplayName $_.DisplayName -Fax $_.Fax -MobilePhone $_.MobilePhone -Office $_.Office -PasswordNeverExpires ($_.PasswordNeverExpires -eq "True") -OfficePhone $_.PhoneNumber -PostalCode $_.PostalCode -EmailAddress $_.SignInName -State $_.State -StreetAddress $_.StreetAddress -Title $_.Title -UserPrincipalName $_.UserPrincipalName -AccountPassword (ConvertTo-SecureString -string "Secret!" -AsPlainText -force) -enabled $true }

Questo crea nuovi utenti con il nome First.Lastname. Non è stato possibile utilizzare altri attributi come SignInName perché non sono un nome account AD valido.

Il Paese non può essere importato perché AD richiede che il Paese esista effettivamente mentre O365 accetta il testo libero.

La password verrà impostata su "Segreto!", Perché se non viene fornita alcuna password, l'account verrà creato, ma disabilitato.

Potrebbe essere utile modificare il file CSV in Excel o qualcosa del genere, ma consiglierei di usare solo PowerShell. Excel elimina gli zeri iniziali dai numeri di telefono o riformatta altre cose. Inoltre, mente UTF8.