Bereiksynchronisatie van Microsoft Entra-id met Microsoft Entra Domain Services configureren met behulp van het Microsoft Entra-beheercentrum
Om verificatieservices te bieden, synchroniseert Microsoft Entra Domain Services gebruikers en groepen van Microsoft Entra ID. In een hybride omgeving kunnen gebruikers en groepen uit een on-premises Active Directory-domein Services-omgeving (AD DS) eerst worden gesynchroniseerd met Microsoft Entra-id met behulp van Microsoft Entra Verbinding maken en vervolgens worden gesynchroniseerd met een door Domain Services beheerd domein.
Standaard worden alle gebruikers en groepen uit een Microsoft Entra-directory gesynchroniseerd met een beheerd domein. Als slechts enkele gebruikers Domain Services moeten gebruiken, kunt u in plaats daarvan ervoor kiezen om alleen groepen gebruikers te synchroniseren. U kunt synchronisatie filteren voor groepen on-premises, alleen cloud of beide.
In dit artikel leest u hoe u synchronisatie van bereik configureert en vervolgens de set gebruikers met een bereik wijzigt of uitschakelt met behulp van het Microsoft Entra-beheercentrum. U kunt deze stappen ook uitvoeren met Behulp van PowerShell.
Voordat u begint
U hebt de volgende resources en bevoegdheden nodig om dit artikel te voltooien:
- Een actief Azure-abonnement.
- Als u nog geen Azure-abonnement hebt, maakt u een account.
- Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloudmap.
- Maak indien nodig een Microsoft Entra-tenant of koppel een Azure-abonnement aan uw account.
- Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
- Voltooi zo nodig de zelfstudie voor het maken en configureren van een door Microsoft Entra Domain Services beheerd domein.
- U hebt toepassings-Beheer istrator en groepen nodig Beheer istrator Microsoft Entra-rollen in uw tenant om het synchronisatiebereik van Domain Services te wijzigen.
Overzicht van synchronisatiebereik
Standaard worden alle gebruikers en groepen uit een Microsoft Entra-directory gesynchroniseerd met een beheerd domein. U kunt synchronisatie beperken tot alleen gebruikersaccounts die zijn gemaakt in Microsoft Entra-id of alle gebruikers synchroniseren.
Als slechts een paar groepen gebruikers toegang nodig hebben tot het beheerde domein, kunt u Filteren op groepsrechten selecteren om alleen die groepen te synchroniseren. Deze bereiksynchronisatie is alleen gebaseerd op groepen. Wanneer u op groepen gebaseerde synchronisatie configureert, worden alleen de gebruikersaccounts die deel uitmaken van de groepen die u opgeeft, gesynchroniseerd met het beheerde domein. Geneste groepen worden niet gesynchroniseerd; alleen de groepen die u opgeeft, worden gesynchroniseerd.
U kunt het synchronisatiebereik wijzigen voor of nadat u het beheerde domein hebt gemaakt. Het synchronisatiebereik wordt gedefinieerd door een service-principal met de toepassings-id 2565bd9d-da50-47d4-8b85-4c97f669dc36
. Als u bereikverlies wilt voorkomen, verwijdert of wijzigt u de service-principal niet. Als het per ongeluk wordt verwijderd, kan het synchronisatiebereik niet worden hersteld.
Houd rekening met de volgende opmerkingen als u het synchronisatiebereik wijzigt:
- Er wordt een volledige synchronisatie uitgevoerd.
- Objecten die niet meer nodig zijn in het beheerde domein, worden verwijderd. Er worden nieuwe objecten gemaakt in het beheerde domein.
Zie Synchronisatie begrijpen in Microsoft Entra Domain Services voor meer informatie over het synchronisatieproces.
Synchronisatie van bereik inschakelen
Voer de volgende stappen uit om bereiksynchronisatie in te schakelen in het Microsoft Entra-beheercentrum:
Zoek en selecteer Microsoft Entra Domain Services in het Microsoft Entra-beheercentrum. Kies uw beheerde domein, bijvoorbeeld aaddscontoso.com.
Selecteer Synchronisatie in het menu aan de linkerkant.
Voor synchronisatiebereik selecteert u Alle of Alleen cloud.
Als u synchronisatie voor geselecteerde groepen wilt filteren, klikt u op Geselecteerde groepen weergeven, kiest u of u cloudgroepen, on-premises groepen of beide wilt synchroniseren. In de volgende schermopname ziet u bijvoorbeeld hoe u slechts drie groepen synchroniseert die zijn gemaakt in Microsoft Entra-id. Alleen gebruikers die tot deze groepen behoren, hebben hun accounts gesynchroniseerd met Domain Services.
Als u groepen wilt toevoegen, klikt u op Groepen toevoegen, zoekt en kiest u de groepen die u wilt toevoegen.
Wanneer alle wijzigingen zijn aangebracht, selecteert u Synchronisatiebereik opslaan.
Als u het synchronisatiebereik wijzigt, worden alle gegevens opnieuw gesynchroniseerd door het beheerde domein. Objecten die niet meer nodig zijn in het beheerde domein, worden verwijderd en hersynchronisatie kan enige tijd duren.
Bereiksynchronisatie wijzigen
Voer de volgende stappen uit om de lijst met groepen te wijzigen waarvan gebruikers moeten worden gesynchroniseerd met het beheerde domein:
- Zoek en selecteer Microsoft Entra Domain Services in het Microsoft Entra-beheercentrum. Kies uw beheerde domein, bijvoorbeeld aaddscontoso.com.
- Selecteer Synchronisatie in het menu aan de linkerkant.
- Als u een groep wilt toevoegen, kiest u + Groepen toevoegen bovenaan en kiest u vervolgens de groepen die u wilt toevoegen.
- Als u een groep uit het synchronisatiebereik wilt verwijderen, selecteert u deze in de lijst met momenteel gesynchroniseerde groepen en kiest u Groepen verwijderen.
- Wanneer alle wijzigingen zijn aangebracht, selecteert u Synchronisatiebereik opslaan.
Als u het synchronisatiebereik wijzigt, worden alle gegevens opnieuw gesynchroniseerd door het beheerde domein. Objecten die niet meer nodig zijn in het beheerde domein, worden verwijderd en hersynchronisatie kan enige tijd duren.
Synchronisatie van bereik uitschakelen
Voer de volgende stappen uit om synchronisatie op basis van een bereik op basis van een groep uit te schakelen voor een beheerd domein:
- Zoek en selecteer Microsoft Entra Domain Services in het Microsoft Entra-beheercentrum. Kies uw beheerde domein, bijvoorbeeld aaddscontoso.com.
- Selecteer Synchronisatie in het menu aan de linkerkant.
- Schakel het selectievakje voor Geselecteerde groepen weergeven uit en klik op Synchronisatiebereik opslaan.
Als u het synchronisatiebereik wijzigt, worden alle gegevens opnieuw gesynchroniseerd door het beheerde domein. Objecten die niet meer nodig zijn in het beheerde domein, worden verwijderd en hersynchronisatie kan enige tijd duren.
Volgende stappen
Zie Synchronisatie begrijpen in Microsoft Entra Domain Services voor meer informatie over het synchronisatieproces.