Microsoft Entra-azonosító kiépítése az Active Directoryba – Konfiguráció
Az alábbi dokumentum végigvezeti a Microsoft Entra Cloud Sync konfigurálásával a Microsoft Entra ID-ból az Active Directoryba való üzembe helyezéshez. Ha az AD-ből a Microsoft Entra ID-be történő kiépítéssel kapcsolatos információkat keresi, olvassa el a Konfigurálás – Active Directory üzembe helyezése a Microsoft Entra ID-nak a Microsoft Entra Cloud Sync használatával című témakört .
Fontos
A Csoportvisszaíró v2 nyilvános előzetes verziója a Microsoft Entra Connect Syncben 2024. június 30. után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a Connect Sync már nem támogatja a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. A funkció a megszűnés dátuma után is működni fog; azonban a továbbiakban nem kap támogatást ezen időpont után, és bármikor értesítés nélkül megszűnhet.
A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.
Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Connect Syncben, át kell váltaniuk a konfigurációjukat a Connect Syncről a Cloud Syncre. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.
Azoknak az ügyfeleknek, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.
A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.
Kiépítés konfigurálása
A kiépítés konfigurálásához kövesse az alábbi lépéseket.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid rendszergazdaként.
- Tallózással keresse meg az Identity>Hybrid Management>Microsoft Entra Connect>Cloud szinkronizálását.
- Válassza az Új konfiguráció lehetőséget.
- Válassza a Microsoft Entra-azonosítót az AD-szinkronizáláshoz.
- A konfigurációs képernyőn válassza ki a tartományt, és engedélyezze-e a jelszókivonat-szinkronizálást. Kattintson a Létrehozás gombra.
- Ekkor megnyílik az Első lépések képernyő. Innen folytathatja a felhőszinkronizálás konfigurálását.
- A konfiguráció a következő 5 szakaszra van felosztva.
Szakasz | Leírás |
---|---|
1. Hatókörszűrők hozzáadása | Ez a szakasz határozza meg, hogy milyen objektumok jelenjenek meg a Microsoft Entra-azonosítóban |
2. Térképattribútumok | Ebben a szakaszban attribútumokat képezhet le a helyszíni felhasználók/csoportok között Microsoft Entra-objektumokkal |
3. Teszt | A konfiguráció tesztelése üzembe helyezése előtt |
4. Alapértelmezett tulajdonságok megtekintése | Az alapértelmezett beállítás megtekintése az engedélyezés előtt, és szükség esetén módosítások végrehajtása |
5. A konfiguráció engedélyezése | Ha elkészült, engedélyezze a konfigurációt, és a felhasználók/csoportok megkezdik a szinkronizálást |
Hatókör kiépítése adott csoportok számára
Az ügynök hatókörével szinkronizálhatja az összes vagy adott biztonsági csoportot. A csoportokat és a szervezeti egységeket konfigurálhatja egy konfiguráción belül.
- Az Első lépések konfigurációs képernyőn. Kattintson a Hatókörszűrők hozzáadása ikon melletti Hatókörszűrők hozzáadása elemre, vagy kattintson a Bal oldali Hatókörszűrők elemre a Kezelés csoportban.
- Válassza ki a hatókörszűrőt. A szűrő a következők egyike lehet:
- Minden biztonsági csoport: Az összes felhőbeli biztonsági csoportra alkalmazandó konfiguráció hatóköre.
- Kijelölt biztonsági csoportok: Az adott biztonsági csoportokra alkalmazandó konfiguráció hatóköre.
- Adott biztonsági csoportok esetén válassza a Csoportok szerkesztése lehetőséget, és válassza ki a kívánt csoportokat a listából.
Feljegyzés
Ha olyan biztonsági csoportot választ ki, amelynek tagja egy beágyazott biztonsági csoport, akkor a rendszer csak a beágyazott csoportot írja vissza, nem pedig a tagokat. Ha például egy Értékesítési biztonsági csoport a Marketing biztonsági csoport tagja, akkor csak magát az Értékesítési csoportot írja vissza a rendszer, és nem a Sales csoport tagjait.
Ha csoportokat szeretne beágyazni és kiépíteni az AD-t, akkor az összes tagcsoportot is hozzá kell adnia a hatókörhöz.
- A Céltároló mezővel hatókörcsoportokat használhat, amelyek egy adott tárolót használnak. Ezt a feladatot a parentDistinguishedName attribútummal hajthatja végre. Használjon állandó, közvetlen vagy kifejezésleképezést.
Több céltároló is konfigurálható attribútumleképezési kifejezéssel a Switch() függvénnyel. Ezzel a kifejezéssel, ha a displayName érték marketing vagy értékesítés, a csoport a megfelelő szervezeti egységben jön létre. Ha nincs egyezés, akkor a csoport az alapértelmezett szervezeti egységben jön létre.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
- Az attribútumalapú hatókörszűrés támogatott. További információ: Attribútumalapú hatókörszűrés és hivatkozás az attribútumleképezések kifejezéseinek írásához a Microsoft Entra-azonosítóban és -forgatókönyvben – Címtárbővítmények használata csoportkiépítéssel az Active Directoryban.
- A hatókörszűrők konfigurálása után kattintson a Mentés gombra.
- A mentés után megjelenik egy üzenet, amely közli, hogy mit kell még tennie a felhőbeli szinkronizálás konfigurálásához. A folytatáshoz kattintson a hivatkozásra.
Hatókör kiépítése adott csoportok számára címtárbővítmények használatával
A speciálisabb hatókörkezelés és szűrés érdekében konfigurálhatja a címtárbővítmények használatát. A címtárbővítmények áttekintéséhez tekintse meg a Microsoft Entra ID Active Directoryba való kiépítéséhez szükséges címtárkiterjesztéseket
A séma kibővítésével, majd a címtárbővítmény attribútumának az AD-be történő felhőszinkronizálással történő használatával kapcsolatos részletes oktatóanyagért lásd : Forgatókönyv – Címtárbővítmények használata csoportkiépítéssel az Active Directoryban.
Attribútumleképezés
A Microsoft Entra Cloud Sync lehetővé teszi az attribútumok egyszerű leképezését a helyszíni felhasználói/csoportobjektumok és a Microsoft Entra ID objektumai között.
Az alapértelmezett attribútumleképezéseket az üzleti igényeinek megfelelően szabhatja testre. Így módosíthatja vagy törölheti a meglévő attribútumleképezéseket, vagy létrehozhat új attribútumleképezéseket.
A mentés után megjelenik egy üzenet, amely közli, hogy mit kell még tennie a felhőbeli szinkronizálás konfigurálásához. A folytatáshoz kattintson a hivatkozásra.
További információ: attribútumleképezés és kifejezésírási referencia az attribútumleképezésekhez a Microsoft Entra ID-ban.
Címtárbővítmények és egyéni attribútumleképezés.
A Microsoft Entra Cloud Sync lehetővé teszi, hogy bővítményekkel bővítse a címtárat, és egyéni attribútumleképezést biztosít. További információ: Címtárbővítmények és egyéni attribútumleképezés.
Igény szerinti üzembe helyezés
A Microsoft Entra Cloud Sync lehetővé teszi a konfigurációs módosítások tesztelését úgy, hogy ezeket a módosításokat egyetlen felhasználóra vagy csoportra alkalmazza.
Ezzel ellenőrizheti és ellenőrizheti, hogy a konfiguráció módosításai megfelelően lettek-e alkalmazva, és megfelelően vannak-e szinkronizálva a Microsoft Entra-azonosítóval.
A tesztelés után megjelenik egy üzenet, amely közli, hogy mit kell még tennie a felhőszinkronizálás konfigurálásához. A folytatáshoz kattintson a hivatkozásra.
További információ: igény szerinti kiépítés.
Véletlen törlés és e-mail-értesítések
Az alapértelmezett tulajdonságok szakasz információt nyújt a véletlen törlésekről és az e-mail-értesítésekről.
A véletlen törlés funkció úgy lett kialakítva, hogy megvédje Önt a helyszíni címtár véletlen konfigurációs változásaitól és változásaitól, amelyek sok felhasználót és csoportot érintenének.
Ez a funkció a következőket teszi lehetővé:
- Konfigurálja a véletlen törlések automatikus megelőzésének lehetőségét.
- Azon objektumok számának (küszöbértékének) beállítása, amelyeken túl a konfiguráció érvénybe lép
- Értesítési e-mail-cím beállítása, hogy e-mail-értesítést kapnak, miután a szóban forgó szinkronizálási feladat karanténba került ebben a forgatókönyvben
További információ: Véletlen törlés
A konfiguráció alapértelmezett beállításainak módosításához kattintson az Alapszintű beállítások melletti ceruzára.
A konfiguráció engedélyezése
Miután véglegesítette és tesztelte a konfigurációt, engedélyezheti azt.
Az engedélyezéshez kattintson a Konfiguráció engedélyezése gombra.
Karanténok
A felhőszinkronizálás figyeli a konfiguráció állapotát, és karanténállapotba helyezi a nem megfelelő állapotú objektumokat. Ha a célrendszeren végrehajtott hívások többsége vagy az összes hívás következetesen meghiúsul, például érvénytelen rendszergazdai hitelesítő adatok miatt, a szinkronizálási feladat karanténban van megjelölve. További információkért tekintse meg a karanténokkal kapcsolatos hibaelhárítási szakaszt.
A kiépítés újraindítása
Ha nem szeretne várni a következő ütemezett futtatásra, a szinkronizálás újraindítása gombbal aktiválja a kiépítési futtatást.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid rendszergazdaként.
- Tallózással keresse meg az Identity>Hybrid Management>Microsoft Entra Connect>Cloud szinkronizálását.
A Konfiguráció területen válassza ki a konfigurációt.
Felül válassza a Szinkronizálás újraindítása lehetőséget.
Konfiguráció eltávolítása
Konfiguráció törléséhez kövesse az alábbi lépéseket.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid rendszergazdaként.
- Tallózással keresse meg az Identity>Hybrid Management>Microsoft Entra Connect>Cloud szinkronizálását.
A Konfiguráció területen válassza ki a konfigurációt.
A konfigurációs képernyő tetején válassza a Konfiguráció törlése lehetőséget.
Fontos
A konfiguráció törlése előtt nincs megerősítés. A Törlés lehetőség kiválasztása előtt győződjön meg arról, hogy ezt a műveletet szeretné elvégezni.