Sdílet prostřednictvím


Zřízení ID Microsoft Entra pro Active Directory – konfigurace

Následující dokument vás provede konfigurací Microsoft Entra Cloud Sync pro zřizování z Microsoft Entra ID do Active Directory. Pokud hledáte informace o zřizování z AD do Microsoft Entra ID, přečtěte si téma Konfigurace – Zřizování Služby Active Directory pro Microsoft Entra ID pomocí Microsoft Entra Cloud Sync

Důležité

Verze Public Preview zpětného zápisu skupiny v2 v Microsoft Entra Connect Sync už nebude k dispozici po 30. červnu 2024. Tato funkce bude ukončena k tomuto datu a nebudete už v Connect Sync podporováni, abyste zřídili skupiny zabezpečení cloudu ve službě Active Directory. Tato funkce bude fungovat i po uplynutí data ukončení; po tomto datu však již nebude dostávat podporu a bez předchozího upozornění může přestat fungovat.

Ve službě Microsoft Entra Cloud Sync nabízíme podobné funkce označované jako Zřizování skupin pro Active Directory , které můžete použít místo zpětného zápisu skupiny v2 pro zřizování skupin zabezpečení cloudu pro Active Directory. Pracujeme na vylepšení této funkce v Synchronizaci cloudu spolu s dalšími novými funkcemi, které vyvíjíme ve službě Cloud Sync.

Zákazníci, kteří používají tuto funkci Preview v Connect Sync, by měli přepnout svoji konfiguraci z connect sync na cloudovou synchronizaci. Můžete se rozhodnout přesunout veškerou hybridní synchronizaci do cloudové synchronizace (pokud podporuje vaše potřeby). Synchronizaci cloudu můžete také spustit vedle sebe a přesunout pouze zřizování skupin zabezpečení cloudu do služby Active Directory do cloudové synchronizace.

Pro zákazníky, kteří zřídí skupiny Microsoftu 365 pro Službu Active Directory, můžete pro tuto funkci dál používat zpětný zápis skupiny v1.

K vyhodnocení přesunu výhradně do cloudové synchronizace můžete použít průvodce synchronizací uživatelů.

Konfigurace zřizování

Pokud chcete nakonfigurovat zřizování, postupujte podle těchto kroků.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní správce.
  2. Přejděte ke správě hybridních>identit>Microsoft Entra Connect>Cloud sync.Snímek obrazovky domovské stránky synchronizace cloudu
  1. Vyberte Možnost Nová konfigurace.
  2. Vyberte Microsoft Entra ID to AD sync.

Snímek obrazovky s výběrem konfigurace

  1. Na konfigurační obrazovce vyberte svoji doménu a jestli chcete povolit synchronizaci hodnot hash hesel. Klikněte na Vytvořit.

Snímek obrazovky s novou konfigurací

  1. Otevře se obrazovka Začínáme . Odtud můžete pokračovat v konfiguraci cloudové synchronizace.

Snímek obrazovky s oddíly konfigurace

  1. Konfigurace je rozdělená do následujících 5 částí.
Oddíl Popis
1. Přidání filtrů oborů V této části můžete definovat, které objekty se zobrazí v ID Microsoft Entra.
2. Atributy mapování V této části můžete mapovat atributy mezi místními uživateli nebo skupinami pomocí objektů Microsoft Entra.
3. Test Otestování konfigurace před jejím nasazením
4. Zobrazení výchozích vlastností Zobrazení výchozího nastavení před povolením a provedení změn tam, kde je to vhodné
5. Povolení konfigurace Jakmile budete připraveni, povolte konfiguraci a uživatele nebo skupiny se začnou synchronizovat.

Zřizování rozsahu pro konkrétní skupiny

Agenta můžete nastavit tak, aby synchronizoval všechny nebo konkrétní skupiny zabezpečení. V rámci konfigurace můžete nakonfigurovat skupiny a organizační jednotky.

  1. Na obrazovce Začínáme s konfigurací Klikněte buď na Přidat filtry oborů vedle ikony Přidat filtry oborů, nebo klikněte na Filtry oborů vlevo v části Spravovat.

Snímek obrazovky s oddíly filtrů oborů

  1. Vyberte filtr oborů. Filtr může být jeden z následujících:
  • Všechny skupiny zabezpečení: Definuje konfiguraci, která se použije pro všechny skupiny zabezpečení cloudu.
  • Vybrané skupiny zabezpečení: Definuje konfiguraci, která se použije pro konkrétní skupiny zabezpečení.
  1. Pro konkrétní skupiny zabezpečení vyberte Upravit skupiny a ze seznamu vyberte požadované skupiny.

Poznámka:

Pokud vyberete skupinu zabezpečení, která má jako člena vnořenou skupinu zabezpečení, zapíše se zpět pouze vnořená skupina, nikoli její členové. Pokud je například skupina zabezpečení Prodej členem skupiny zabezpečení Marketing, zapíše se zpět pouze samotná skupina Prodej, nikoli členové skupiny Prodej.

Pokud chcete vnořit skupiny a zřídit je AD, budete muset do oboru přidat také všechny členské skupiny.

  1. Pole Cílový kontejner můžete použít k určení rozsahu skupin, které používají konkrétní kontejner. Tuto úlohu lze provést pomocí atributu parentDistinguishedName. Použijte buď mapování konstanty, přímého výrazu nebo výrazu.

Pomocí výrazu mapování atributů s funkcí Switch() je možné nakonfigurovat více cílových kontejnerů. Pokud je u tohoto výrazu hodnota displayName Marketing nebo Sales, vytvoří se skupina v odpovídající organizační jednotky. Pokud neexistuje shoda, vytvoří se skupina ve výchozím organizačním objektu.

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

Snímek obrazovky s výrazem filtrů oborů

  1. Podporuje se filtrování oborů na základě atributů. Další informace naleznete v tématu Filtrování oborů na základě atributů a odkaz pro zápis výrazů pro mapování atributů v Microsoft Entra ID a scénář – Použití rozšíření adresáře se zřizováním skupin pro Active Directory.
  2. Po nakonfigurování filtrů oborů klikněte na Uložit.
  3. Po uložení by se měla zobrazit zpráva s informacemi o tom, co je potřeba udělat při konfiguraci cloudové synchronizace. Pokračujte kliknutím na odkaz. Snímek obrazovky s posunem pro filtry oborů

Určení rozsahu zřizování pro konkrétní skupiny pomocí rozšíření adresáře

Pro pokročilejší obory a filtrování můžete nakonfigurovat použití rozšíření adresáře. Přehled rozšíření adresářů najdete v tématu Rozšíření adresářů pro zřizování ID Microsoft Entra pro Službu Active Directory.

Podrobný kurz o rozšíření schématu a následném použití atributu rozšíření adresáře se zřizováním cloudové synchronizace ve službě AD najdete v tématu Scénář – Použití rozšíření adresářů se zřizováním skupin ve službě Active Directory.

Mapování atributů

Microsoft Entra Cloud Sync umožňuje snadno mapovat atributy mezi místními objekty uživatele a skupinami a objekty v Microsoft Entra ID.

Snímek obrazovky s mapováním výchozích atributů

Výchozí mapování atributů můžete přizpůsobit podle potřeb vaší firmy. Můžete tedy změnit nebo odstranit existující mapování atributů nebo vytvořit nová mapování atributů.

Po uložení by se měla zobrazit zpráva s informacemi o tom, co je potřeba udělat při konfiguraci cloudové synchronizace. Pokračujte kliknutím na odkaz.

Další informace naleznete v tématu mapování atributů a odkaz pro zápis výrazů pro mapování atributů v Microsoft Entra ID.

Rozšíření adresářů a mapování vlastních atributů

Microsoft Entra Cloud Sync umožňuje rozšířit adresář o rozšíření a poskytuje mapování vlastních atributů. Další informace naleznete v tématu Rozšíření adresáře a mapování vlastních atributů.

Zřizování na vyžádání

Microsoft Entra Cloud Sync umožňuje testovat změny konfigurace použitím těchto změn u jednoho uživatele nebo skupiny.

Snímek obrazovky se zřizováním na vyžádání

Můžete ho použít k ověření a ověření správného použití změn provedených v konfiguraci a správné synchronizaci s ID Microsoft Entra.

Po testování by se měla zobrazit zpráva s informacemi o tom, co je potřeba udělat, abyste mohli nakonfigurovat cloudovou synchronizaci. Pokračujte kliknutím na odkaz.

Další informace najdete v tématu zřizování na vyžádání.

Náhodné odstranění a e-mailová oznámení

Výchozí část vlastností obsahuje informace o náhodných odstraněních a e-mailových oznámeních.

Funkce náhodného odstranění je navržená tak, aby vás chránila před náhodnými změnami konfigurace a změnami místního adresáře, které by ovlivnily mnoho uživatelů a skupin.

Tato funkce umožňuje:

  • Nakonfigurujte možnost zabránit náhodnému odstranění automaticky.
  • Nastavte počet objektů (prahovou hodnotu), za kterou se konfigurace projeví.
  • Nastavte e-mailovou adresu s oznámením, aby mohli dostávat e-mailové oznámení, jakmile je daná úloha synchronizace pro tento scénář v karanténě.

Další informace naleznete v tématu Náhodné odstranění

Kliknutím na tužku vedle položky Základy změníte výchozí hodnoty v konfiguraci.

Povolení konfigurace

Po dokončení a otestování konfigurace ji můžete povolit.

Kliknutím na Povolit konfiguraci ji povolte.

Karantény

Synchronizace cloudu monitoruje stav konfigurace a umístí objekty, které nejsou v pořádku, ve stavu karantény. Pokud většina nebo všechna volání provedená v cílovém systému konzistentně selžou kvůli chybě, například kvůli neplatným přihlašovacím údajům správce, úloha synchronizace se označí jako v karanténě. Další informace najdete v části řešení potíží s karanténami.

Restartování zřizování

Pokud nechcete čekat na další naplánované spuštění, aktivujte spuštění zřizování pomocí tlačítka Restartovat synchronizaci .

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní správce.
  2. Přejděte ke správě hybridních>identit>Microsoft Entra Connect>Cloud sync.Snímek obrazovky domovské stránky synchronizace cloudu
  1. V části Konfigurace vyberte konfiguraci.

  2. Nahoře vyberte Restartovat synchronizaci.

Odebrání konfigurace

Chcete-li odstranit konfiguraci, postupujte podle těchto kroků.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní správce.
  2. Přejděte ke správě hybridních>identit>Microsoft Entra Connect>Cloud sync.Snímek obrazovky domovské stránky synchronizace cloudu
  1. V části Konfigurace vyberte konfiguraci.

  2. V horní části obrazovky konfigurace vyberte Odstranit konfiguraci.

Důležité

Před odstraněním konfigurace není k dispozici žádné potvrzení. Než vyberete Odstranit, ujistěte se, že se jedná o akci, kterou chcete provést.

Další kroky