Microsoft Entra Připojení Sync: Konfigurace upřednostňovaného umístění dat pro prostředky Microsoftu 365

  • Článek

Účelem tohoto tématu je projít si, jak nakonfigurovat atribut pro upřednostňované umístění dat v Microsoft Entra Připojení Sync. Pokud někdo používá funkce Multi-Geo v Microsoftu 365, použijete tento atribut k určení geografického umístění dat Microsoftu 365 uživatele. (Termíny a geografická oblastse používají zaměnitelně.)

Podporovaná umístění s více geografickou oblastí

Seznam všech geografických oblastí podporovaných microsoftem Entra Připojení najdete v tématu Dostupnost Microsoftu 365 Multi-Geo.

Povolení synchronizace upřednostňovaného umístění dat

Ve výchozím nastavení se prostředky Microsoftu 365 pro vaše uživatele nacházejí ve stejné geografické oblasti jako váš tenant Microsoft Entra. Pokud se například tenant nachází v Severní Amerika, poštovní schránky Exchange uživatelů se nacházejí také v Severní Amerika. Pro nadnárodní organizaci to nemusí být optimální.

Nastavením atributu preferredDataLocation můžete definovat geografickou oblast uživatele. Prostředky Microsoftu 365 uživatele, jako je poštovní schránka a OneDrive, můžete mít ve stejné geografické oblasti jako uživatel a stále mít jednoho tenanta pro celou organizaci.

Důležité

Od 1. června 2023 je multi-Geo k dispozici partnerům CSP k nákupu minimálně 5 % celkových licencí k předplatnému Microsoftu 365 zákazníka.

Multi-Geo je také k dispozici zákazníkům s aktivním smlouva Enterprise. Podrobnosti vám poskytne zástupce Microsoftu.

Seznam všech geografických oblastí podporovaných microsoftem Entra Připojení najdete v tématu Dostupnost Microsoftu 365 Multi-Geo.

Podpora microsoft entra Připojení pro synchronizaci

Microsoft Entra Připojení podporuje synchronizaci atributu preferredDataLocation pro uživatelské objekty ve verzi 1.1.524.0 a novější. Konkrétně:

  • Schéma typu objektu Uživatel v Microsoft Entra Připojení or je rozšířen tak, aby zahrnoval preferovanýDataLocation atribut. Atribut je typu řetězec s jednou hodnotou.
  • Schéma typu objektu Person v metaverse je rozšířeno tak, aby zahrnovalo preferovanýDataLocation atribut. Atribut je typu řetězec s jednou hodnotou.

Ve výchozím nastavení není pro synchronizaci povolená funkce preferredDataLocation . Tato funkce je určená pro větší organizace. Schéma služby Active Directory ve Windows Serveru 2019 má atribut msDS-preferredDataLocation , který byste měli použít pro tento účel. Pokud jste neaktualizovali schéma služby Active Directory a nemůžete tak učinit, musíte identifikovat atribut, který bude obsahovat geografickou oblast Microsoftu 365 pro vaše uživatele. Pro každou organizaci se to bude lišit.

Důležité

Microsoft Entra ID umožňuje , aby byl atribut preferredDataLocation u cloudových uživatelských objektů přímo nakonfigurovaný pomocí Microsoft Graph PowerShellu. Chcete-li nakonfigurovat tento atribut pro synchronizované objekty uživatele, musíte použít Microsoft Entra Připojení.

Před povolením synchronizace:

  • Pokud jste neupgradovali schéma služby Active Directory na verzi 2019, rozhodněte se, který místní Active Directory atribut, který se má použít jako zdrojový atribut. Měl by být typu řetězec s jednou hodnotou.

  • Pokud jste dříve nakonfigurovali atribut preferredDataLocation u existujících synchronizovaných uživatelských objektů v Microsoft Entra ID pomocí Microsoft Graph PowerShellu, musíte hodnoty atributů v místní Active Directory vrátit zpět do odpovídajících uživatelských objektů.

    Důležité

    Pokud tyto hodnoty nepřeportujete, Microsoft Entra Připojení odebere existující hodnoty atributů v Microsoft Entra ID, pokud je povolena synchronizace pro preferDataLocation atribut.

  • Nakonfigurujte zdrojový atribut alespoň u několika místní Active Directory objekty User. Můžete ho použít k pozdějšímu ověření.

Následující části obsahují kroky pro povolení synchronizace atributu preferredDataLocation .

Poznámka:

Kroky jsou popsány v kontextu nasazení Microsoft Entra s topologií s jednou doménovou strukturou a bez vlastních synchronizačních pravidel. Pokud máte topologii s více doménovými strukturami, nakonfigurovaná vlastní synchronizační pravidla nebo pracovní server, měli byste kroky odpovídajícím způsobem upravit.

Krok 1: Zakázání plánovače synchronizace a ověření, že neprobíhá žádná synchronizace

Abyste se vyhnuli nechtěným změnám exportu do ID Microsoft Entra, ujistěte se, že během aktualizace pravidel synchronizace neprobíhá žádná synchronizace. Zakázání integrovaného plánovače synchronizace:

  1. Spusťte relaci PowerShellu na serveru Microsoft Entra Připojení.
  2. Zakažte plánovanou synchronizaci spuštěním této rutiny: Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Spusťte Synchronizační service Manager tak, že přejdete do synchronizační služby START>.
  4. Vyberte kartu Operace a ověřte, že neprobíhá žádná operace se stavem.

Snímek obrazovky se synchronizačním Service Managerem

Krok 2: Aktualizace schématu služby Active Directory

Pokud jste aktualizovali schéma služby Active Directory na verzi 2019 a Připojení před rozšířením schématu, mezipaměť schématu Připojení neobsahuje aktualizované schéma. Potom je nutné aktualizovat schéma z průvodce, aby se zobrazilo v uživatelském rozhraní.

  1. Spusťte průvodce Microsoft Entra Připojení z plochy.
  2. Vyberte možnost Aktualizovat schéma adresáře a klepněte na tlačítko Další.
  3. Zadejte svoje přihlašovací údaje Microsoft Entra a klikněte na Další.
  4. Na stránce Aktualizovat schéma adresáře se ujistěte, že jsou vybrány všechny doménové struktury, a klepněte na tlačítko Další.
  5. Po dokončení zavřete průvodce.

Snímek obrazovky s aktualizací schématu adresáře v průvodci Připojení

Krok 3: Přidání zdrojového atributu do schématu místní Active Directory Připojení oru

Tento krok je potřeba jenom v případě, že spustíte Připojení verze 1.3.21 nebo starší. Pokud používáte verzi 1.4.18 nebo novější, přejděte ke kroku 5.
Ne všechny atributy Microsoft Entra se naimportují do prostoru konektoru místní Active Directory. Pokud jste vybrali použití atributu, který není ve výchozím nastavení synchronizován, musíte ho importovat. Přidání zdrojového atributu do seznamu importovaných atributů:

  1. Ve Správci synchronizační služby vyberte kartu Připojení orů.
  2. Klikněte pravým tlačítkem myši na místní Active Directory Připojení or a vyberte Vlastnosti.
  3. V automaticky otevíraných dialogových oknech přejděte na kartu Vybrat atributy .
  4. Ujistěte se, že zdrojový atribut, který jste vybrali k použití, je v seznamu atributů vrácený se změnami. Pokud atribut nevidíte, zaškrtněte políčko Zobrazit vše .
  5. Pokud chcete soubor uložit, vyberte OK.

Snímek obrazovky znázorňující dialogové okno Správce synchronizačních služeb a vlastností se zvýrazněným seznamem Atributy

Krok 4: Přidání preferredDataLocation do schématu Microsoft Entra Připojení or

Tento krok je potřeba jenom v případě, že spustíte Připojení verze 1.3.21 nebo starší. Pokud používáte verzi 1.4.18 nebo novější, přejděte ke kroku 5.
Ve výchozím nastavení není atribut preferredDataLocation importován do prostoru Microsoft Entra Připojení or. Přidání do seznamu importovaných atributů:

  1. Ve Správci synchronizační služby vyberte kartu Připojení orů.
  2. Klikněte pravým tlačítkem myši na konektor Microsoft Entra a vyberte Vlastnosti.
  3. V automaticky otevíraných dialogových oknech přejděte na kartu Vybrat atributy .
  4. V seznamu vyberte atribut preferredDataLocation.
  5. Pokud chcete soubor uložit, vyberte OK.

Snímek obrazovky s dialogovým oknem Správce synchronizačních služeb a vlastností

Krok 5: Vytvoření příchozího synchronizačního pravidla

Příchozí synchronizační pravidlo povoluje tok hodnoty atributu ze zdrojového atributu v místní Active Directory do metaverse.

  1. Spusťte Editor synchronizačních pravidel tak, že přejdete do Editoru pravidel synchronizace.>

  2. Nastavte směr filtru hledání tak, aby byl příchozí.

  3. Pokud chcete vytvořit nové příchozí pravidlo, vyberte Přidat nové pravidlo.

  4. Na kartě Popis zadejte následující konfiguraci:

    Atribut Hodnota Detaily
    Název Zadejte název. Například In from AD – User preferredDataLocation
    Popis Zadání vlastního popisu
    systém Připojení Výběr místní Active Directory Připojení oru
    Připojení typ systémového objektu Uživatel
    Typ objektu Metaverse Osoba
    Typ propojení Join (Spojení)
    Pořadí podle priority Volba čísla mezi 1–99 1–99 je vyhrazeno pro vlastní pravidla synchronizace. Nevybíravujte hodnotu, kterou používá jiné pravidlo synchronizace.

  5. Pokud chcete zahrnout všechny objekty, ponechte filtr oborů prázdný. Možná budete muset upravit filtr oborů podle vašeho nasazení Microsoft Entra Připojení.

  6. Přejděte na kartu Transformace a implementujte následující pravidlo transformace:

    Typ toku Cílový atribut Source Použít jednou Typ sloučení
    Direct preferredDataLocation Výběr atributu zdroje Nezaškrtnuto Aktualizovat

  7. Pokud chcete vytvořit příchozí pravidlo, vyberte Přidat.

Snímek obrazovky s vytvořením příchozího synchronizačního pravidla

Krok 6: Vytvoření pravidla odchozí synchronizace

Pravidlo odchozí synchronizace povoluje tok hodnoty atributu z metaverse k atributu preferredDataLocation v Microsoft Entra ID:

  1. Přejděte do Editoru synchronizačních pravidel.

  2. Nastavte směr filtru hledání tak, aby byl odchozí.

  3. Vyberte Přidat nové pravidlo.

  4. Na kartě Popis zadejte následující konfiguraci:

    Atribut Hodnota Detaily
    Název Zadejte název. Například Out to Microsoft Entra ID – User preferredDataLocation
    Popis Zadejte popis.
    systém Připojení Výběr nástroje Microsoft Entra Připojení or
    Připojení typ systémového objektu Uživatel
    Typ objektu Metaverse Osoba
    Typ propojení Join (Spojení)
    Pořadí podle priority Volba čísla mezi 1–99 1–99 je vyhrazeno pro vlastní pravidla synchronizace. Nevybíravujte hodnotu, kterou používá jiné pravidlo synchronizace.

  5. Přejděte na kartu Filtru oborů a přidejte jednu skupinu filtrů oborů se dvěma klauzulemi:

    Atribut Operátor Hodnota
    sourceObjectType STEJNÉ Uživatelská
    cloudMastered NOTEQUAL True

    Filtr oborů určuje, na které objekty Microsoft Entra se toto odchozí synchronizační pravidlo použije. V tomto příkladu použijeme stejný filtr rozsahu od "Out to Microsoft Entra ID – User Identity" (out-of-box) synchronizační pravidlo OOB (out-of-box). Zabrání použití synchronizačního pravidla na objekty Uživatele, které nejsou synchronizovány z místní Active Directory. Možná budete muset upravit filtr oborů podle vašeho nasazení Microsoft Entra Připojení.

  6. Přejděte na kartu Transformace a implementujte následující pravidlo transformace:

    Typ toku Cílový atribut Source Použít jednou Typ sloučení
    Direct preferredDataLocation preferredDataLocation Nezaškrtnuto Aktualizovat

  7. Zavřete přidání a vytvořte pravidlo odchozích přenosů.

Snímek obrazovky s vytvořením pravidla odchozí synchronizace

Krok 7: Spuštění úplného synchronizačního cyklu

Obecně platí, že se vyžaduje úplný synchronizační cyklus. Je to proto, že jste přidali nové atributy do schématu Active Directory i Microsoft Entra Připojení oru a zavedli vlastní synchronizační pravidla. Před exportem změn do ID Microsoft Entra ověřte změny. K ověření změn můžete použít následující kroky, zatímco ručně spustíte kroky, které tvoří úplný cyklus synchronizace.

  1. Spusťte úplný import na místní Active Directory Připojení oru:

    1. Ve Správci synchronizačních služeb přejděte na kartu Připojení orů.

    2. Klikněte pravým tlačítkem myši na místní Active Directory Připojení or a vyberte Spustit.

    3. V dialogovém okně vyberte Úplný import a vyberte OK.

    4. Počkejte na dokončení operace.

      Poznámka:

      Úplný import můžete přeskočit na místní Active Directory Připojení or, pokud je zdrojový atribut již zahrnutý v seznamu importovaných atributů. Jinými slovy, během kroku 2 v tomto článku jste nemuseli provádět žádné změny.

  2. Spusťte úplný import na webu Microsoft Entra Připojení or:

    1. Klikněte pravým tlačítkem myši na Připojení or Microsoft Entra a vyberte Spustit.
    2. V dialogovém okně vyberte Úplný import a vyberte OK.
    3. Počkejte na dokončení operace.

  3. Ověřte změny synchronizačního pravidla u existujícího objektu Uživatele .

    Zdrojový atribut z místní Active Directory a preferredDataLocation z ID Microsoft Entra se naimportoval do každého příslušného prostoru konektoru. Než budete pokračovat v kroku úplné synchronizace, proveďte náhled existujícího objektu User v prostoru místní Active Directory Připojení oru. Vybraný objekt by měl mít vyplněný zdrojový atribut. Úspěšný náhled s upřednostňovanou službouDataLocation vyplněnou v metaverse je dobrým indikátorem, že jste správně nakonfigurovali pravidla synchronizace. Informace o tom, jak provést náhled, najdete v tématu Ověření změny.

  4. Spusťte úplnou synchronizaci na místní Active Directory Připojení oru:

    1. Klikněte pravým tlačítkem myši na místní Active Directory Připojení or a vyberte Spustit.
    2. V dialogovém okně vyberte Možnost Úplná synchronizace a vyberte OK.
    3. Počkejte na dokončení operace.

  5. Ověření nevyřízených exportů do MICROSOFT Entra ID:

    1. Klikněte pravým tlačítkem myši na položku Microsoft Entra Připojení or a vyberte Hledat Připojení or prostor.

    2. V dialogovém okně Prohledat Připojení obradní prostor:

      a. Nastavte obor na Čekající export.
      b. Zaškrtněte všechna tři políčka, včetně možnosti Přidat, Upravit a Odstranit.
      c. Pokud chcete zobrazit seznam objektů se změnami, které se mají exportovat, vyberte Hledat. Pokud chcete zkontrolovat změny daného objektu, poklikejte na objekt.
      d. Ověřte, že se změny očekávají.

  6. Spuštění exportu v nástroji Microsoft Entra Připojení or

    1. Klikněte pravým tlačítkem myši na Připojení or Microsoft Entra a vyberte Spustit.
    2. V dialogovém okně Spustit Připojení or vyberte Exportovat a vyberte OK.
    3. Počkejte na dokončení operace.

Poznámka:

Možná si všimnete, že kroky nezahrnují krok úplné synchronizace v nástroji Microsoft Entra Připojení or nebo krok exportu ve službě Active Directory Připojení or. Kroky nejsou povinné, protože hodnoty atributů se přetékají z místní Active Directory do Microsoft Entra-only.

Krok 8: Opětovné povolení plánovače synchronizace

Opětovné povolení integrovaného plánovače synchronizace:

  1. Spusťte relaci PowerShellu.
  2. Opětovným povolením plánované synchronizace spuštěním této rutiny: Set-ADSyncScheduler -SyncCycleEnabled $true

Krok 9: Ověření výsledku

Teď je čas ověřit konfiguraci a povolit ji pro uživatele.

  1. Přidejte geografickou oblast k vybranému atributu uživatele. Seznam dostupných geografických umístění najdete v této tabulce.
    Snímek obrazovky s atributem AD přidaným uživatelem
  2. Počkejte, až se atribut synchronizuje s ID Microsoft Entra.
  3. Pomocí Exchange Online PowerShellu ověřte, že je oblast poštovní schránky správně nastavená.
    Snímek obrazovky Exchange Online PowerShellu
    Za předpokladu, že je váš tenant označený tak, aby tuto funkci mohl používat, přesune se poštovní schránka do správné geografické oblasti. Můžete to ověřit tak, že se podíváte na název serveru, ve kterém se poštovní schránka nachází.

Další kroky

Další informace o službě Multi-Geo v Microsoftu 365:

Další informace o konfiguračním modelu v synchronizačním modulu:

Témata s přehledem: