Benutzerkonten von Azure AD auf On-Premise-AD migrieren?

Mein Unternehmen verwendet Office 365 für Exchange, SharePoint, Lync usw., einschließlich der integrierten Benutzerverwaltung über Azure Active Directory.

Jetzt möchten wir auf einem Windows Server zu einem lokalen AD wechseln. Änderungen werden mit Azure synchronisiert, die primäre Benutzer- und Gruppenrichtlinienverwaltung erfolgt jedoch auf dem Windows-Server.

Wie werden die Benutzerkonten zunächst von Azure AD in das lokale AD (Windows-Server) übernommen?

edit1: Hat sich jemand mit Microsoft Forefront Identity Manager damit befasst? Es sieht so aus, als ob dieses Tool mit DirSync geliefert wird. Öffnen Sie "miisclient.exe" auf dem DirSync-Server (unter "C: \ Programme \ Windows Azure Active Directory-Synchronisierung \ SYNCBUS \ Synchronisierungsdienst \ UIShell"). Es kann möglich sein, es so zu konfigurieren, dass es die andere Richtung synchronisiert ... möglicherweise.

Sie können die PowerShell-Cmdlets Get-MsolUser verwenden, um Benutzerdaten aus Azure Active Directory zu exportieren, und dann die Cmdlets New-ADUser verwenden, um diese Daten zu übernehmen und die Konten lokal zu erstellen. Das heißt, es gibt keinen schlüsselfertigen Weg, dies zu tun. Sie müssen etwas schreiben.

@MDMarra: Danke für die Hinweise, also habe ich getan:

Die Benutzer von O365 können mithilfe von Powershell exportiert werden

Get-MsolUser | Select-Object City, Country, Department, DisplayName, Fax, FirstName, LastName, MobilePhone, Office, PasswordNeverExpires, PhoneNumber, PostalCode, SignInName, State, StreetAddress, Title, UserPrincipalName | Export-Csv C:\Temp\Azure_Export_2014_12_05.csv -Encoding UTF8

Dadurch werden alle Spalten in CSV exportiert, wo ich eine Zuordnung finden konnte, die angemessen aussah. Dies sind nicht alle Spalten, aber viele von ihnen können nicht Attributen in AD zugeordnet werden. Andere, wie das Passwort, können nicht exportiert werden.

Führen Sie Powershell aus, um die Benutzer in AD zu importieren

import-csv C:\Temp\Azure_Export_2014_12_05.csv -Encoding UTF8 | foreach-object {New-ADUser -Name ($_.Firstname + "." + $_.Lastname) -SamAccountName ($_.Firstname + "." + $_.Lastname) -GivenName $_.FirstName -Surname $_.LastName -City $_.City -Department $_.Department -DisplayName $_.DisplayName -Fax $_.Fax -MobilePhone $_.MobilePhone -Office $_.Office -PasswordNeverExpires ($_.PasswordNeverExpires -eq "True") -OfficePhone $_.PhoneNumber -PostalCode $_.PostalCode -EmailAddress $_.SignInName -State $_.State -StreetAddress $_.StreetAddress -Title $_.Title -UserPrincipalName $_.UserPrincipalName -AccountPassword (ConvertTo-SecureString -string "Secret!" -AsPlainText -force) -enabled $true }

Dadurch werden neue Benutzer mit dem Namen Firstname.Lastname erstellt. Andere Attribute wie SignInName konnten nicht verwendet werden, da sie kein gültiger AD-Kontoname sind.

Land kann nicht importiert werden, da AD erfordert, dass das Land tatsächlich existiert, während O365 freien Text akzeptiert.

Das Passwort wird auf "Geheim!" Gesetzt, denn wenn kein Passwort angegeben wird, wird das Konto erstellt, aber deaktiviert.

Es mag praktisch sein, die CSV-Datei in Excel oder so zu bearbeiten, aber ich würde empfehlen, nur PowerShell zu verwenden. Excel löscht führende Nullen aus Telefonnummern oder formatiert andere Inhalte neu. Beachten Sie auch UTF8.