Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan prasyarat, dan langkah-langkah, untuk mengonfigurasi Sumber Otoritas Pengguna (SOA). Artikel ini juga menjelaskan cara mengembalikan perubahan, dan batasan fitur saat ini. Untuk gambaran lengkap tentang Pengguna SOA, lihat Merangkul pendekatan utama berbasis cloud: Mentransfer Sumber Otoritas Pengguna ke cloud.
Prasyarat
| Persyaratan | Description |
|---|---|
| Roles |
Administrator Hibrid diperlukan untuk memanggil API Microsoft Graph untuk membaca dan memperbarui SOA pengguna. Administrator Aplikasi atau Administrator Aplikasi Cloud diperlukan untuk memberikan persetujuan pengguna atas izin yang diperlukan ke Microsoft Graph Explorer atau aplikasi yang digunakan untuk memanggil API Microsoft Graph. |
| Permissions | Untuk aplikasi yang memanggil Microsoft Graph API, cakupan izin perlu diberikan. Untuk informasi selengkapnya, lihat cara menyetujui izin ini menggunakan Pusat Admin Microsoft Entra. |
| Lisensi yang diperlukan | Lisensi Microsoft Entra Free. |
| Menyambungkan klien Sinkronisasi | Versi minimum adalah 2.5.76.0. Untuk menggunakan Contact SOA, versi 2.5.79.0. |
| Klien Cloud Sync | Versi minimum adalah 1.1.1370.0 |
Pengaturan
Anda perlu menyiapkan klien Connect Sync dan agen Provisi Microsoft Entra.
Menghubungkan klien sinkronisasi
Unduh versi terbaru build Connect Sync.
Verifikasi bahwa Pemasangan Konektivitas Sinkronisasi berhasil diinstal. Buka Program di Panel Kontrol dan konfirmasikan bahwa versi Sinkronisasi Microsoft Entra Connect adalah 2.5.76.0.
Aplikasi sinkronisasi cloud
Unduh agen Microsoft Entra Provisioning dengan build versi 1.1.1370.0 atau yang lebih baru.
Pelajari cara mengidentifikasi versi agen saat ini.
Ikuti instruksi untuk mengonfigurasi provisi dari AD DS ke ID Microsoft Entra.
Persetujuan izin aplikasi
Anda dapat menyetujui izin di pusat admin Microsoft Entra. Operasi yang sangat istimewa ini memerlukan peran Administrator Aplikasi atau Administrator Aplikasi Cloud. Anda juga dapat memberikan persetujuan dengan menggunakan PowerShell. Untuk informasi selengkapnya, lihat Memberikan persetujuan atas nama satu pengguna.
Aplikasi kustom
Ikuti langkah-langkah ini untuk memberikan User-OnPremisesSyncBehavior.ReadWrite.All izin ke aplikasi yang sesuai. Untuk informasi selengkapnya tentang cara menambahkan izin baru ke pendaftaran aplikasi Anda dan memberikan persetujuan, lihat Memperbarui izin yang diminta aplikasi di ID Microsoft Entra.
Nota
Untuk memindahkan SOA dari sebuah Kontak, izin yang diperlukan adalah Contacts-OnPremisesSyncBehavior.ReadWrite.All.
Menggunakan pusat admin Microsoft Entra untuk menyetujui izin ke aplikasi
Masuk ke pusat admin Microsoft Entra sebagai Administrator Aplikasi atau Administrator Aplikasi Cloud.
Telusuri Aplikasi Perusahaan>Nama Aplikasi.
Pilih Izin>Berikan persetujuan admin untuk nama penyewa.
Masuk lagi sebagai Administrator Aplikasi atau Administrator Aplikasi Cloud.
Tinjau daftar izin yang memerlukan persetujuan Anda, dan pilih Terima.
Anda dapat melihat daftar izin yang Anda berikan:
Memberikan izin ke Graph Explorer
Buka Graph Explorer dan masuk sebagai Administrator Aplikasi atau Administrator Aplikasi Cloud.
Pilih ikon profil, dan pilih Persetujuan untuk izin.
Cari User-OnPremisesSyncBehavior, dan pilih Persetujuan untuk izin tersebut.
Mentransfer SOA untuk pengguna uji
Nota
Anda juga dapat mentransfer kontak SOA menggunakan https://graph.microsoft.com/v1.0/contacts titik akhir API.
Ikuti langkah-langkah berikut untuk mentransfer SOA untuk pengguna uji:
Membuat pengguna dalam AD. Anda juga dapat menggunakan pengguna yang sudah ada yang disinkronkan ke ID Microsoft Entra dengan menggunakan Connect Sync.
Jalankan perintah berikut untuk memulai Sambungkan Sinkronisasi:
Start-ADSyncSyncCycleVerifikasi bahwa pengguna muncul di pusat admin Microsoft Entra sebagai pengguna yang disinkronkan.
Gunakan Microsoft Graph API untuk mentransfer SOA objek pengguna (isCloudManaged=true). Buka Microsoft Graph Explorer dan masuk dengan peran pengguna yang sesuai, seperti admin pengguna.
Mari kita periksa status SOA yang ada. Kami belum memperbarui SOA, sehingga nilai atribut isCloudManaged harus false. Ganti {ID} dalam contoh berikut dengan ID objek pengguna Anda. Untuk informasi selengkapnya tentang API ini, lihat Get onPremisesSyncBehavior. /graph/api/onpremisessyncbehavior-update
GET https://graph.microsoft.com/v1.0/users/{ID}/onPremisesSyncBehavior?$select=isCloudManaged
Pastikan bahwa pengguna yang disinkronkan bersifat baca-saja. Karena pengguna dikelola secara lokal, setiap upaya penulisan kepada pengguna di cloud gagal. Pesan kesalahan berbeda untuk pengguna yang mendukung email, tetapi pembaruan masih tidak diizinkan.
Nota
Jika API ini gagal dengan 403, gunakan tab Ubah izin untuk memberikan persetujuan ke izin User.ReadWrite.All yang diperlukan.
PATCH https://graph.microsoft.com/v1.0/users/{ID}/ { "DisplayName": "User Name Updated" }
Cari pusat admin Microsoft Entra untuk pengguna. Verifikasi bahwa semua bidang pengguna berwarna abu-abu, dan sumbernya adalah Active Directory Domain Services Windows Server.
Sekarang Anda dapat memperbarui SOA pengguna agar dikelola cloud. Jalankan operasi berikut di Microsoft Graph Explorer untuk objek pengguna yang ingin Anda transfer ke cloud. Untuk informasi selengkapnya tentang API ini, lihat Memperbarui onPremisesSyncBehavior.
PATCH https://graph.microsoft.com/v1.0/users/{ID}/onPremisesSyncBehavior { "isCloudManaged": true }
Untuk memvalidasi perubahan, panggil GET untuk memverifikasi isCloudManaged adalah true.
GET https://graph.microsoft.com/v1.0/users/{ID}/onPremisesSyncBehavior?$select=isCloudManaged
Konfirmasi perubahan log audit. Untuk mengakses Log Audit di portal Microsoft Azure, buka KelolaLog Audit> ID >Microsoft Entra, atau cari log audit. Pilih Ubah Sumber Otoritas dari AD ke cloud sebagai aktivitas.
Periksa apakah pengguna dapat diperbarui di cloud.
PATCH https://graph.microsoft.com/v1.0/users/{ID}/ { "DisplayName": "Update User Name" }
Buka pusat admin Microsoft Entra dan konfirmasikan bahwa properti pengguna Sinkronisasi di tempat diaktifkan adalah Ya.
Menyambungkan klien Sinkronisasi
Jalankan perintah berikut untuk memulai Sambungkan Sinkronisasi:
Start-ADSyncSyncCycleUntuk melihat objek pengguna dengan SOA yang ditransfer, di Synchronization Service Manager, buka Konektor:
Klik kanan Konektor Active Directory Domain Services. Cari pengguna dengan pengaturan nama domain relatif (RDN) "CN=<UserName>":
Klik dua kali entri yang dicari, dan pilihProperti Objek Metaverse>.
Pilih Konektor dan klik dua kali di objek Microsoft Entra ID dengan "CN={<Karakter Alfanumerik>}."
Anda dapat melihat bahwa properti blockOnPremisesSync diatur ke true pada objek ID Microsoft Entra. Nilai properti ini berarti bahwa setiap perubahan yang dibuat dalam objek AD DS terkait tidak mengalir ke objek ID Microsoft Entra:
Mari kita perbarui objek pengguna lokal. Kami mengubah nama pengguna dari TestUserF1 menjadi TestUserF1.1:
Jalankan perintah berikut untuk memulai Sambungkan Sinkronisasi:
Start-ADSyncSyncCycleBuka Penampil peristiwa dan filter log Aplikasi untuk ID peristiwa 6956. ID kejadian ini dicadangkan untuk memberi tahu pelanggan bahwa objek tidak disinkronkan ke cloud karena SOA objek berada di cloud.
Status atribut setelah Anda mentransfer SOA
Tabel berikut menjelaskan status untuk atribut isCloudManaged dan onPremisesSyncEnabled setelah Anda mentransfer SOA objek.
| Langkah admin | nilai isCloudManaged | nilai onPremisesSyncEnabled | Deskripsi |
|---|---|---|---|
| Admin menyinkronkan objek dari AD DS ke ID Microsoft Entra | false |
true |
Ketika objek awalnya disinkronkan ke ID Microsoft Entra, atribut onPremisesSyncEnabled diatur ke true dan isCloudManaged diatur ke false. |
| Admin mentransfer sumber otoritas (SOA) objek ke cloud | true |
null |
Setelah admin mentransfer SOA objek ke cloud, atribut isCloudManaged menjadi diatur ke true dan nilai atribut onPremisesSyncEnabled diatur ke null. |
| Admin mengembalikan operasi SOA | false |
null |
Jika admin mentransfer SOA kembali ke AD, isCloudManaged diatur ke false dan onPremisesSyncEnabled diatur ke null hingga klien sinkronisasi mengambil alih objek. |
| Admin membuat objek cloud native di MICROSOFT Entra ID | false |
null |
Jika admin membuat objek cloud-native baru di MICROSOFT Entra ID, isCloudManaged diatur ke false dan onPremisesSyncEnabled diatur ke null. |
| Admin membuat objek cloud native di MICROSOFT Entra ID | false |
null |
Jika admin membuat objek cloud-native baru di MICROSOFT Entra ID, isCloudManaged diatur ke false dan onPremisesSyncEnabled diatur ke null. |
Gulung balik pembaruan SOA
Penting
Pastikan bahwa pengguna yang Anda gulung balik tidak memiliki referensi cloud. Hapus pengguna cloud dari grup yang ditransfer SOA, dan hapus grup ini dari paket akses sebelum Anda mengembalikan pengguna ke AD DS. Klien sinkronisasi mengambil alih objek dalam siklus sinkronisasi berikutnya.
Anda dapat menjalankan operasi ini untuk mengembalikan pembaruan SOA dan mengembalikan SOA ke lokal.
PATCH https://graph.microsoft.com/v1.0/users/{ID}/onPremisesSyncBehavior
{
"isCloudManaged": false
}
Nota
Perubahan isCloudManaged ke false memungkinkan objek AD DS yang berada dalam cakupan untuk sinkronisasi diambil alih oleh Connect Sync saat aplikasi tersebut dijalankan berikutnya. Hingga waktu berikutnya Sambungkan Sinkronisasi berjalan, objek dapat diedit di cloud. Pembatalan SOA selesai hanya setelah panggilan API dan eksekusi Connect Sync terjadwal atau paksa berikutnya selesai.
Memvalidasi perubahan log audit
Pilih aktivitas sebagai Batalkan perubahan pada Sumber Otoritas dari AD DS ke cloud:
Memvalidasi di klien Connect Sync
Jalankan perintah berikut untuk memulai Sambungkan Sinkronisasi:
Start-ADSyncSyncCycleBuka objek di Manajer Server Sinkronisasi (detailnya ada di bagian Sambungkan Klien Sinkronisasi ). Anda dapat melihat status objek konektor ID Microsoft Entra adalah Menunggu Konfirmasi Ekspor dan blockOnPremisesSync = false, yang berarti objek SOA diambil alih oleh lokal lagi.
Menghapus atribut lokal untuk pengguna yang ditransfer SOA
Berikut ini adalah daftar properti lokal yang ada di objek pengguna cloud yang digunakan untuk mengakses sumber daya lokal:
- Nama Terbedakan Lokal (onPremisesDistinguishedName)
- onPremisesDomainName
- onPremisesSamAccountName
- PengidentifikasiKeamananOnPremises
- onPremisesUserPrincipalName (nama utama pengguna di lokasi)
Jika Admin ingin mengakses sumber daya lokal setelah transfer SOA, Anda harus mempertahankan atribut ini secara manual menggunakan Microsoft Graph, dan tidak menghapus, atribut ini.
Cakupan pengguna untuk operasi SOA dalam Unit Administratif
Untuk menetapkan ruang lingkup pengguna untuk operasi Sumber Otoritas dalam Unit Administrasi, lakukan langkah-langkah berikut:
Buat unit untuk digunakan sebagai cakupan untuk pengguna. Untuk langkah-langkah dalam membuat unit, lihat: Membuat unit administratif.
Tambahkan pengguna sebagai Administrator Identitas Hibrid dalam cakupan.
Tambahkan pengguna ke unit. Untuk informasi tentang hal ini, lihat: Menambahkan pengguna, grup, atau perangkat ke unit administratif.
Transfer SOA pengguna dalam cakupan unit. Untuk panduan tentang mentransfer SOA pengguna, lihat: Mentransfer SOA untuk pengguna uji.
