Bagikan melalui

Topologi dan skenario yang didukung Microsoft Entra Cloud Sync

Artikel ini menjelaskan berbagai topologi lokal dan Microsoft Entra yang menggunakan Microsoft Entra Cloud Sync. Artikel ini hanya menyertakan konfigurasi dan skenario yang didukung.

Penting

Microsoft tidak mendukung pengubahan atau pengoperasian Microsoft Entra Cloud Sync di luar konfigurasi atau tindakan yang didokumentasikan secara resmi. Salah satu konfigurasi atau tindakan ini dapat mengakibatkan status Microsoft Entra Cloud Sync yang tidak konsisten atau tidak didukung. Akibatnya, Microsoft tidak dapat memberikan dukungan teknis untuk penyebaran tersebut.

Untuk informasi selengkapnya, lihat video berikut.

Hal-hal yang perlu diingat tentang semua skenario dan topologi

Informasi berikut harus diingat, saat memilih solusi.

  • Pengguna dan grup harus diidentifikasi secara unik di semua hutan.
  • Pencocokan antar hutan tidak dilakukan dengan sinkronisasi cloud.
  • Jangkar sumber untuk objek dipilih secara otomatis. Menggunakan ms-DS-ConsistencyGuid jika tersedia, jika tidak, maka menggunakan ObjectGUID.
  • Anda tidak dapat mengubah atribut yang digunakan untuk jangkar sumber.

Topologi yang Didukung untuk Active Directory ke Microsoft Entra ID

Topologi berikut didukung untuk provisioning dari Active Directory ke Microsoft Entra ID.

Forest tunggal, tenant Microsoft Entra tunggal

Diagram yang memperlihatkan topologi untuk satu hutan dan satu penyewa tunggal.

Topologi yang paling sederhana adalah satu hutan lokal, dengan satu atau beberapa domain, dan satu penyewa Microsoft Entra. Untuk contoh skenario ini, lihat Tutorial: Satu hutan dengan satu tenant Microsoft Entra

Multi-forest, tenant Microsoft Entra tunggal

Topologi untuk beberapa hutan dan satu penyewa

Beberapa hutan AD merupakan topologi umum, dengan satu atau beberapa domain, dan satu tenant Microsoft Entra.

Hutan yang ada dengan Microsoft Entra Connect, hutan baru dengan Penyediaan cloud.

Diagram yang menunjukkan topologi untuk hutan yang ada dan hutan yang baru.

Topologi skenario ini mirip dengan skenario multi-forest. Namun, yang ini melibatkan lingkungan Microsoft Entra Connect yang sudah ada dan kemudian mengintegrasikan forest baru menggunakan Microsoft Entra Cloud Sync. Untuk contoh skenario ini, lihat Tutorial : Forest yang ada dengan satu tenant Microsoft Entra

Uji coba Microsoft Entra Cloud Sync di hutan AD hibrid yang ada

Topologi untuk satu forest dan satu penyewa

Skenario uji coba melibatkan keberadaan Microsoft Entra Connect dan Microsoft Entra Cloud Sync di "forest" yang sama serta mengidentifikasi pengguna dan grup yang sesuai. CATATAN: Objek harus berada dalam cakupan di salah satu alat saja.

Untuk contoh skenario ini, lihat Tutorial: Pilot Microsoft Entra Cloud Sync pada hutan AD yang sudah ada dan disinkronkan

Menggabungkan objek dari sumber yang terputus

(Pratinjau Umum)

Diagram untuk menggabungkan objek dari sumber yang terputus

Dalam skenario ini, atribut pengguna terkait dengan dua forest Active Directory yang terputus.

Contohnya seperti:

  • 1 hutan (1) mengandung sebagian besar atribut.
  • Hutan kedua (2) memiliki beberapa atribut.

Sebab hutan kedua tidak memiliki konektivitas jaringan ke server Microsoft Entra Connect, objek tidak dapat disatukan melalui Microsoft Entra Connect. Sinkronisasi cloud di forest kedua memungkinkan nilai atribut diperoleh dari forest kedua. Microsoft Entra Connect menyinkronkan objek di ID Microsoft Entra, lalu nilai dapat digabungkan dengannya.

Konfigurasi ini canggih dan ada beberapa peringatan untuk topologi ini:

  1. Anda harus menggunakan ms-DS-ConsistencyGuid sebagai jangkar sumber dalam konfigurasi sinkronisasi cloud.
  2. Objek ms-DS-ConsistencyGuid pengguna di forest kedua harus sama dengan objek yang sesuai di Microsoft Entra ID.
  3. Anda harus mengisi atribut UserPrincipalName dan atribut Alias di siratan kedua. Selain itu, atribut tersebut harus cocok dengan atribut yang disinkronkan dari siratan pertama.
  4. Anda harus menghapus semua atribut dari pemetaan atribut dalam konfigurasi sinkronisasi cloud yang tidak memiliki nilai atau yang mungkin memiliki nilai berbeda di forest kedua. Anda tidak dapat memiliki pemetaan atribut yang tumpang tindih antara forest pertama dan forest kedua.
  5. Jika tidak ada objek yang cocok di forest pertama untuk objek yang disinkronkan dari forest kedua, sinkronisasi cloud tetap membuat objek di Microsoft Entra ID. Objek hanya memiliki atribut yang ditentukan dalam konfigurasi pemetaan sinkronisasi cloud tersebut untuk forest kedua.
  6. Jika Anda menghapus objek dari forest kedua, objek tersebut akan mengalami penghapusan sementara di ID Microsoft Entra. Ini secara otomatis dipulihkan setelah siklus Sinkronisasi Microsoft Entra Connect berikutnya.
  7. Jika Anda menghapus objek dari forest pertama, objek tersebut akan dihapus sementara dari Microsoft Entra ID. Objek tidak akan dipulihkan kecuali ada perubahan yang dilakukan pada objek di hutan kedua. Setelah 30 hari, objek dihapus secara permanen dari ID Microsoft Entra. Jika objek diubah pada forest kedua, maka objek tersebut dibuat sebagai objek baru di Microsoft Entra ID.

Microsoft Entra ID ke Topologi yang Didukung oleh Active Directory

Topologi berikut didukung untuk provisi dari Microsoft Entra ID ke Active Directory.

Penyediaan kelompok hutan tunggal ke Active Directory

Diagram konseptual penulisan balik hutan tunggal.

Topologi penyediaan grup paling sederhana adalah satu forest lokal, dengan satu atau beberapa domain, dan satu penyewa Microsoft Entra. Untuk contoh skenario ini, lihat Mengatur grup ke Active Directory

Pengaturan grup multi-forest ke Active Directory

Diagram konseptual pengembalian multi-forest.

Topologi provisi grup yang lebih maju mencakup beberapa forest AD di tempat yang berbagi satu tenant ID Microsoft Entra.

Konfigurasi ini canggih dan ada beberapa hal yang perlu diingat dengan topologi ini:

  • Grup yang disediakan untuk AD menggunakan sinkronisasi cloud hanya dapat berisi pengguna lokal yang disinkronkan dan/atau grup keamanan yang dibuat cloud tambahan.
  • Semua pengguna ini harus memiliki atribut onPremisesObjectIdentifier yang diatur di akun mereka.
  • OnPremisesObjectIdentifier harus cocok dengan objectGUID yang sesuai di lingkungan AD target.
  • Atribut objectGUID pengguna lokal ke atribut pengguna cloud onPremisesObjectIdentifier dapat disinkronkan menggunakan Microsoft Entra Cloud Sync (1.1.1370.0) atau Microsoft Entra Connect Sync (2.2.8.0)
  • Di dalam tenant Anda, Anda dapat berbagi grup umum yang berisi pengguna dari kedua forest.
  • Namun, pengguna yang tidak ada di forest lain, tidak disediakan sebagai anggota grup saat disediakan secara lokal. Jadi, jika Anda memiliki grup di ID Microsoft Entra yang berisi pengguna dari contoso.com dan fabrikam.com, hanya pengguna yang ada di forest contoso.com yang merupakan anggota grup saat diprovisikan ke contoso.com. Hal yang sama berlaku dengan Fabrikam.

Langkah berikutnya

  • Last updated on