Microsoft Entra Cloudsynchronisatie ondersteunde topologieën en scenario's

  • Artikel

In dit artikel worden verschillende on-premises en Microsoft Entra-topologieën beschreven die gebruikmaken van Microsoft Entra Cloud Sync. Dit artikel bevat alleen ondersteunde configuraties en scenario's.

Belangrijk

Microsoft biedt geen ondersteuning voor het wijzigen of uitvoeren van Microsoft Entra Cloud Sync buiten de configuraties of acties die formeel worden gedocumenteerd. Een van deze configuraties of acties kan leiden tot een inconsistente of niet-ondersteunde status van Microsoft Entra Cloud Sync. Als gevolg hiervan kan Microsoft geen technische ondersteuning bieden voor dergelijke implementaties.

Voor meer informatie raadpleegt u de volgende video.

Zaken die u moet onthouden over alle scenario's en topologieën

Bij het selecteren van een oplossing moet u rekening houden met de onderstaande informatie.

  • Gebruikers en groepen moeten uniek worden geïdentificeerd in alle forests.
  • Overeenkomende forests vinden niet plaats met cloudsynchronisatie.
  • Het bronanker voor objecten wordt automatisch gekozen. Het maakt gebruik van ms-DS-ConsistencyGuid indien aanwezig, anders wordt ObjectGUID gebruikt.
  • U kunt het kenmerk dat wordt gebruikt voor bronanker niet wijzigen.

Ondersteunde topologieën voor Active Directory naar Microsoft Entra-id

De volgende topologieën worden ondersteund voor inrichting van Active Directory naar Microsoft Entra-id.

Eén forest, één Microsoft Entra-tenant

Diagram dat de topologie toont voor één forest en één tenant.

De eenvoudigste topologie is één on-premises forest, met een of meer domeinen en één Microsoft Entra-tenant. Zie Zelfstudie: Één forest met één Microsoft Entra-tenant voor een voorbeeld van dit scenario

Meerdere forests, één Microsoft Entra-tenant

Topologie voor een multi-forest en één tenant

Meerdere AD-forests zijn een algemene topologie, met een of meer domeinen en één Microsoft Entra-tenant.

Bestaand forest met Microsoft Entra Verbinding maken, nieuw forest met cloudinrichting

Diagram dat de topologie toont voor een bestaand forest en een nieuw forest.

Dit scenario is een topologie die vergelijkbaar is met het scenario met meerdere forests, maar dit scenario omvat een bestaande Microsoft Entra Verbinding maken-omgeving en brengt vervolgens een nieuw forest aan met behulp van Microsoft Entra Cloud Sync. Zie Zelfstudie: Een bestaand forest met één Microsoft Entra-tenant voor een voorbeeld van dit scenario

Testfase voor Microsoft Entra Cloud Sync in een bestaand hybride AD-forest

Topologie voor één forest en één tenantHet testscenario omvat het bestaan van zowel Microsoft Entra Verbinding maken als Microsoft Entra Cloud Sync in hetzelfde forest en het bereik van de gebruikers en groepen dienovereenkomstig. OPMERKING: een object moet binnen het bereik vallen in slechts een van de hulpprogramma's.

Zie zelfstudie: Microsoft Entra Cloud Sync in een bestaand gesynchroniseerd AD-forest uitproberen voor een voorbeeld van dit scenario

Objecten van losgekoppelde bronnen samenvoegen

(Openbare preview)

Diagram voor het samenvoegen van objecten uit niet-verbonden bronnen In dit scenario worden de kenmerken van een gebruiker bijgedragen aan twee niet-verbonden Active Directory-forests.

Een voorbeeld hiervan is:

  • Eén forest (1) bevat de meeste kenmerken.
  • Een tweede forest (2) bevat enkele kenmerken.

Omdat het tweede forest geen netwerkverbinding heeft met de Microsoft Entra Verbinding maken-server, kan het object niet worden samengevoegd via Microsoft Entra Verbinding maken. Met cloudsynchronisatie in het tweede forest kan de kenmerkwaarde worden opgehaald uit het tweede forest. De waarde kan vervolgens worden samengevoegd met het object in Microsoft Entra-id die wordt gesynchroniseerd door Microsoft Entra Verbinding maken.

Deze configuratie is geavanceerd en er zijn enkele waarschuwingen bij deze topologie:

  1. U moet het bronanker gebruiken ms-DS-ConsistencyGuid in de configuratie van de cloudsynchronisatie.
  2. Het ms-DS-ConsistencyGuid gebruikersobject in het tweede forest moet overeenkomen met het bijbehorende object in Microsoft Entra-id.
  3. U moet het kenmerk UserPrincipalName en het kenmerkAlias in het tweede forest invullen en deze moeten overeenkomen met de kenmerken die vanuit het eerste forest worden gesynchroniseerd.
  4. U moet alle kenmerken verwijderen uit de kenmerktoewijzing in de configuratie van de cloudsynchronisatie die geen waarde hebben of mogelijk een andere waarde hebben in het tweede forest. U kunt geen overlappende kenmerktoewijzingen tussen het eerste forest en de tweede hebben.
  5. Als het eerste forest geen overeenkomend object bevat, wordt het object in Microsoft Entra-id nog steeds gemaakt voor een object dat is gesynchroniseerd vanuit het tweede forest. Het object heeft alleen de kenmerken die zijn gedefinieerd in de toewijzingsconfiguratie van cloudsynchronisatie voor het tweede forest.
  6. Als u het object uit het tweede forest verwijdert, wordt het tijdelijk voorlopig verwijderd in Microsoft Entra-id. Deze wordt automatisch hersteld na de volgende Microsoft Entra Verbinding maken Synchronisatiecyclus.
  7. Als u het object uit het eerste forest verwijdert, wordt het voorlopig verwijderd uit de Microsoft Entra-id. Het object wordt niet hersteld, tenzij er een wijziging wordt aangebracht in het object in het tweede forest. Na 30 dagen wordt het object hard verwijderd uit Microsoft Entra ID en als er een wijziging wordt aangebracht in het object in het tweede forest, wordt het gemaakt als een nieuw object in Microsoft Entra ID.

Door Microsoft Entra ID naar ondersteunde topologieën van Active Directory

De volgende topologieën worden ondersteund voor het inrichten van Microsoft Entra-id naar Active Directory.

Inrichting van één forestgroep voor Active Directory

Conceptueel diagram van één forest terugschrijven.

De eenvoudigste groepsinrichtingstopologie is één on-premises forest, met één of meerdere domeinen en één Microsoft Entra-tenant. Zie Groepen inrichten voor Active Directory voor een voorbeeld van dit scenario

Inrichting van groepen met meerdere forests voor Active Directory

Conceptueel diagram van write-back met meerdere forests.

Een geavanceerdere topologie voor het inrichten van groepen bestaat uit meerdere on-premises AD-forests die één Microsoft Entra ID-tenant delen.

Deze configuratie is geavanceerd en er zijn enkele dingen die u moet onthouden met deze topologie:

  • Groepen die zijn ingericht voor AD met behulp van cloudsynchronisatie, kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
  • Al deze gebruikers moeten het kenmerk onPremisesObjectIdentifier hebben ingesteld voor hun account.
  • De onPremisesObjectIdentifier moet overeenkomen met een bijbehorende objectGUID in de doel-AD-omgeving.
  • Een on-premises gebruikersobjectGUID-kenmerk aan een cloudgebruikers kenmerk onPremisesObjectIdentifier kan worden gesynchroniseerd met Behulp van Microsoft Entra Cloud Sync (1.1.1370.0) of Microsoft Entra Verbinding maken Sync (2.2.8.0)
  • In uw tenant kunt u een algemene groep delen die gebruikers uit beide forests bevat.
  • Gebruikers die niet in het andere forest aanwezig zijn, worden echter niet ingericht als leden van de groep wanneer deze on-premises worden ingericht. Dus als u een groep in Microsoft Entra-id hebt die gebruikers uit contoso.com en fabrikam.com bevat, worden alleen de gebruikers die in het contoso.com forest aanwezig zijn lid van de groep wanneer deze is ingericht voor contoso.com. En hetzelfde met fabrikam.

Volgende stappen