安裝 Microsoft Entra Connect 同步帳號後，原來雲端帳號無法與地端同步上來的帳號整併為同一個帳號，分為兩個不同的帳號

問題說明：安裝 Microsoft Entra Connect 同步帳號後，原來雲端帳號無法與地端同步上來的帳號整併為同一個帳號，分為兩個不同的帳號

問題分析：

針對貴司的問題，這裏我將以貴司執行hard match（硬性整合）來解決問題，請參考以下步驟：

步驟1：先在ADUC（Active Directory Users & Computers)建立擁有和雲端帳號一樣的屬性（如：first name, last name, UPN， proxy address和其它資訊等等。確保UPN的屬性是設置與Azure AD帳號一樣的網域名稱。

步驟2：確保在Proxy Address的欄目，是輸入正確的Primary SMTP Address （如： SMTP:xxxxx@domain.com 和 小寫smtp)

步驟3：在地端Powershell執行該指令【Start-ADSyncSyncCycle -PolicyType Delta】，才能將地端AD帳號與 Office 365帳號同步處理。這時候屬於【soft matching相符】，一般諾失敗了，在O365 Admin Center會出現兩個帳號。失敗的話，繼續執行步驟4.

步驟4：必須把剛剛建立的地端AD OU帳號移動至Unsync-OU（不會執行同步）的文件夾裡。然後，再次執行【Start-ADSyncSyncCycle -PolicyType Delta】。這時候O365 Admin Center出現的duplicate帳號會自動移動至【Deleted Users】。

步驟5：執行【Get-AdUser -Identity <username> | FL -property ObjectGuid】取得地端AD Account的【ObjectGuid】。

Install-Module azuread

Note: If you get any error message while scripting. Please run the following cmdlet. Otherwise, ignore it.

Install-PackageProvider -Name NuGet -Force
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Install-Module msonline

Connect-MsolService
Connect-AzureAD

步驟6：開啓另外一個PowerShell連接至MSOL Service，輸入【Connect-MsolService】，諾connect失敗，需要下載【Install-Module -Name MSOnline】

步驟7：輸入【Get-MsolUser -UserPrincipalName <user@domain.com> | Fl ImmutableID】，取得雲端帳號的【Immutable ID】。

步驟8：輸入【[Convert]::ToBase64String([guid]::New(“xxxxxxxxxxxxxxxxxxxxx”).ToByteArray())】，把地端AD的Object Guid轉換至Immutable ID。

步驟9：輸入【Set-MsolUser -UserPrincipalName <user@domain.com> -ImmutableId HNpKge2G8US+Qr1HDoVgkA==】，這裡采用的Immutable ID是剛剛步驟8取得的ID。如果執行指令得到下圖錯誤信息，代表需要到Azure AD portal把剛剛的Deleted Users的duplicate帳號進行永久性刪除。然後再次執行指令就可以了。

步驟10：需要把剛剛地端AD Account搬回至正確的OU文件裡，然後指令【Start-ADSyncSyncCycle -PolicyType Delta】，才能將地端AD 帳號與 Office 365 帳號成功連接和同步處理。