Microsoft Entra Connect: Konta i uprawnienia
Dowiedz się więcej o kontach używanych i utworzonych oraz uprawnieniach wymaganych do zainstalowania i używania usługi Microsoft Entra Połączenie.
Konta używane w usłudze Microsoft Entra Połączenie
Firma Microsoft Entra Połączenie używa trzech kont do synchronizowania informacji z lokalnej usługi Active Directory systemu Windows Server (Windows Server AD) do identyfikatora Entra firmy Microsoft:
Konto Połączenie or usług AD DS: służy do odczytywania i zapisywania informacji w usłudze AD systemu Windows Server przy użyciu usług domena usługi Active Directory (AD DS).
Konto usługi ADSync: służy do uruchamiania usługi synchronizacji i uzyskiwania dostępu do bazy danych programu SQL Server.
Konto microsoft Entra Połączenie or: służy do zapisywania informacji w identyfikatorze Entra firmy Microsoft.
Do zainstalowania Połączenie firmy Microsoft potrzebne są również następujące konta:
Konto lokalnego Administracja istratora: administrator, który instaluje Połączenie Microsoft Entra i ma uprawnienia lokalnego Administracja istratora na komputerze.
Konto Administracja istratora usług AD DS Enterprise: opcjonalnie używane do tworzenia wymaganego konta usługi AD DS Połączenie or.
Konto microsoft Entra Global Administracja istrator: służy do tworzenia konta microsoft Entra Połączenie or i konfigurowania identyfikatora entra firmy Microsoft. Konta globalnego Administracja istratora i tożsamości hybrydowej Administracja istrator można wyświetlić w centrum administracyjnym firmy Microsoft Entra. Zobacz Wyświetlanie listy przypisań ról firmy Microsoft Entra.
Konto programu SQL SA (opcjonalnie): służy do tworzenia bazy danych ADSync podczas korzystania z pełnej wersji programu SQL Server. Wystąpienie programu SQL Server może być lokalne lub zdalne z instalacją programu Microsoft Entra Połączenie. To konto może być tym samym kontem co konto enterprise Administracja istrator.
Aprowizowanie bazy danych można teraz wykonać poza pasmem przez administratora programu SQL Server, a następnie zainstalowane przez administratora microsoft Entra Połączenie, jeśli konto ma uprawnienia właściciela bazy danych (DBO). Aby uzyskać więcej informacji, zobacz Install Microsoft Entra Połączenie by using SQL delegated administrator permissions (Instalowanie usługi Microsoft Entra Połączenie przy użyciu delegowanych uprawnień administratora SQL).
Ważne
Począwszy od kompilacji 1.4.##.#.#, nie można już używać konta Administracja istratora przedsiębiorstwa ani konta Administracja istratora domeny jako konta usługi AD DS Połączenie or. Jeśli spróbujesz wprowadzić konto, które jest Administracja istratorem przedsiębiorstwa lub Administracja istratorem domeny do użycia istniejącego konta, kreator wyświetli komunikat o błędzie i nie można kontynuować.
Uwaga
Konta administracyjne używane w usłudze Microsoft Entra Połączenie można zarządzać przy użyciu modelu dostępu przedsiębiorstwa. Organizacja może używać modelu dostępu przedsiębiorstwa do hostowania kont administracyjnych, stacji roboczych i grup w środowisku, które ma silniejsze mechanizmy kontroli zabezpieczeń niż środowisko produkcyjne. Aby uzyskać więcej informacji, zobacz Model dostępu dla przedsiębiorstw.
Rola globalnego Administracja istratora nie jest wymagana po wstępnej konfiguracji. Po skonfigurowaniu jedynym wymaganym kontem jest konto roli Konta synchronizacji katalogów. Zamiast usuwać konto z rolą Global Administracja istrator, zalecamy zmianę roli na rolę, która ma niższy poziom uprawnień. Całkowite usunięcie konta może spowodować problemy, jeśli kiedykolwiek będzie konieczne ponowne uruchomienie kreatora. Możesz dodać uprawnienia, jeśli musisz ponownie użyć kreatora microsoft Entra Połączenie.
Instalacja Połączenie firmy Microsoft
Kreator instalacji Połączenie firmy Microsoft oferuje dwie ścieżki:
- Ustawienia ekspresowe: w usłudze Microsoft Entra Połączenie ustawień ekspresowych kreator wymaga większej liczby uprawnień, aby można było łatwo skonfigurować instalację. Kreator tworzy użytkowników i konfiguruje uprawnienia, aby nie trzeba było tego robić.
- Ustawienia niestandardowe: w usłudze Microsoft Entra Połączenie ustawień niestandardowych dostępnych jest więcej opcji i opcji w kreatorze. Jednak w przypadku niektórych scenariuszy ważne jest, aby upewnić się, że masz odpowiednie uprawnienia samodzielnie.
Ustawienia ekspresowe
W ustawieniach ekspresowych wprowadź te informacje w kreatorze instalacji:
- Poświadczenia Administracja istratora usług AD DS Enterprise
- Poświadczenia Administracja istratora globalnego firmy Microsoft
Poświadczenia Administracja istratora usług AD DS Enterprise
Konto Administracja istratora usług AD DS Enterprise służy do konfigurowania usługi AD systemu Windows Server. Te poświadczenia są używane tylko podczas instalacji. Administracja istrator przedsiębiorstwa, a nie Administracja istrator domeny, powinien upewnić się, że uprawnienia w usłudze AD systemu Windows Server można ustawić we wszystkich domenach.
W przypadku uaktualniania z narzędzia DirSync poświadczenia Administracja istratora usług AD DS Enterprise są używane do resetowania hasła dla konta używanego przez narzędzie DirSync. Wymagane są również poświadczenia Administracja istratora globalnego firmy Microsoft.
Poświadczenia Administracja istratora globalnego firmy Microsoft
Poświadczenia konta microsoft Entra Global Administracja istrator są używane tylko podczas instalacji. Konto służy do tworzenia konta microsoft Entra Połączenie or, które synchronizuje zmiany z identyfikatorem Entra firmy Microsoft. Konto umożliwia również synchronizację jako funkcję w identyfikatorze Entra firmy Microsoft.
Aby uzyskać więcej informacji, zobacz Global Administracja istrator.
Wymagane uprawnienia konta usługi AD DS Połączenie or dla ustawień ekspresowych
Konto Połączenie or usług AD DS jest tworzone w celu odczytu i zapisu w usłudze AD systemu Windows Server. Konto ma następujące uprawnienia podczas jej tworzenia podczas instalacji ustawień ekspresowych:
| Uprawnienie | Sposób użycia |
|---|---|
| - Replikowanie zmian katalogu — Replikowanie wszystkich zmian katalogu |
Synchronizacja skrótów haseł |
| Odczytywanie/zapisywanie wszystkich właściwości użytkownika | Importowanie i wymiana hybrydowa |
| Odczytywanie/zapisywanie wszystkich właściwości iNetOrgPerson | Importowanie i wymiana hybrydowa |
| Odczytywanie/zapisywanie wszystkich właściwości grupy | Importowanie i wymiana hybrydowa |
| Odczytywanie/zapisywanie wszystkich właściwości kontaktu | Importowanie i wymiana hybrydowa |
| Resetowanie hasła | Przygotowanie do włączenia zapisywania zwrotnego haseł |
Kreator ustawień ekspresowych
W instalacji ustawień ekspresowych kreator tworzy dla Ciebie niektóre konta i ustawienia.
Poniższa tabela zawiera podsumowanie stron kreatora ustawień ekspresowych, zebranych poświadczeń i używanych elementów:
| Strona kreatora | Zebrane poświadczenia | Wymagane uprawnienia | Przeznaczenie |
|---|---|---|---|
| Nie dotyczy | Użytkownik, który uruchamia kreatora instalacji. | Administracja istrator serwera lokalnego. | Służy do tworzenia konta usługi ADSync używanego do uruchamiania usługi synchronizacji. |
| Połączenie do identyfikatora Entra firmy Microsoft | Poświadczenia katalogu Entra firmy Microsoft. | Rola globalnego Administracja istratora w identyfikatorze Entra firmy Microsoft. | — Służy do włączania synchronizacji w katalogu Microsoft Entra. — Służy do tworzenia konta microsoft Entra Połączenie or używanego do bieżących operacji synchronizacji w identyfikatorze Entra firmy Microsoft. |
| Łączenie z usługami AD DS | Poświadczenia usługi AD systemu Windows Server. | Członek grupy Administracja Enterprise w usłudze AD systemu Windows Server. | Służy do tworzenia konta usługi AD DS Połączenie or w usłudze AD systemu Windows Server i udzielania uprawnień do niego. To utworzone konto służy do odczytywania i zapisywania informacji o katalogu podczas synchronizacji. |
Ustawienia niestandardowe
W instalacji ustawień niestandardowych dostępnych jest więcej opcji i opcji w kreatorze.
Kreator ustawień niestandardowych
Poniższa tabela zawiera podsumowanie stron kreatora ustawień niestandardowych, zebranych poświadczeń i używanych elementów:
| Strona kreatora | Zebrane poświadczenia | Wymagane uprawnienia | Przeznaczenie |
|---|---|---|---|
| Nie dotyczy | Użytkownik, który uruchamia kreatora instalacji. | - Administracja istrator serwera lokalnego. — W przypadku korzystania z wystąpienia pełnego programu SQL Server użytkownik musi być system Administracja istrator (sysadmin) w programie SQL Server. |
Domyślnie służy do tworzenia konta lokalnego używanego jako konto usługi aparatu synchronizacji. Konto jest tworzone tylko wtedy, gdy administrator nie określi konta. |
| Zainstaluj usługi synchronizacji, opcję konta usługi | Poświadczenia konta użytkownika lokalnego lub usługi AD systemu Windows Server. | Użytkownik i uprawnienia są przyznawane przez kreatora instalacji. | Jeśli administrator określi konto, to konto jest używane jako konto usługi synchronizacji. |
| Połączenie do identyfikatora Entra firmy Microsoft | Poświadczenia katalogu Entra firmy Microsoft. | Rola globalnego Administracja istratora w identyfikatorze Entra firmy Microsoft. | — Służy do włączania synchronizacji w katalogu Microsoft Entra. — Służy do tworzenia konta microsoft Entra Połączenie or używanego do bieżących operacji synchronizacji w identyfikatorze Entra firmy Microsoft. |
| Podłączanie katalogów | Poświadczenia usługi AD systemu Windows Server dla każdego lasu połączonego z identyfikatorem Entra firmy Microsoft. | Uprawnienia zależą od funkcji, które są włączone i można je znaleźć w temacie Tworzenie konta usługi AD DS Połączenie or. | To konto służy do odczytywania i zapisywania informacji o katalogu podczas synchronizacji. |
| Serwery usług AD FS | Dla każdego serwera na liście kreator zbiera poświadczenia, gdy poświadczenia logowania użytkownika uruchamiającego kreatora są niewystarczające do nawiązania połączenia. | Konto Administracja istratora domeny. | Używane podczas instalacji i konfiguracji roli serwera usług Active Directory Federation Services (AD FS). |
| Serwery proxy aplikacji internetowej | Dla każdego serwera na liście kreator zbiera poświadczenia, gdy poświadczenia logowania użytkownika uruchamiającego kreatora są niewystarczające do nawiązania połączenia. | Administrator lokalny na maszynie docelowej. | Używane podczas instalacji i konfiguracji roli serwera proxy aplikacji internetowej (WAP). |
| Poświadczenia zaufania serwera proxy | Poświadczenia zaufania usługi federacyjnej (poświadczenia używane przez serwer proxy do rejestrowania certyfikatu zaufania z usług federacyjnych (FS)). | Konto domeny, które jest lokalnym Administracja istratorem serwera usług AD FS. | Początkowa rejestracja certyfikatu zaufania FS-WAP. |
| Strona Konto usługi AD FS Użyj opcji konta użytkownika domeny | Poświadczenia konta użytkownika usługi AD systemu Windows Server. | Użytkownik domeny. | Konto użytkownika Microsoft Entra, którego poświadczenia są podane, jest używane jako konto logowania usługi AD FS. |
Tworzenie konta Połączenie or usług AD DS
Ważne
Wprowadzono nowy moduł programu PowerShell o nazwie ADSyncConfig.psm1 z kompilacją 1.1.880.0 (wydaną w sierpniu 2018 r.). Moduł zawiera kolekcję poleceń cmdlet, które ułatwiają skonfigurowanie prawidłowych uprawnień usługi AD systemu Windows Server dla konta usługi Microsoft Entra Domain Services Połączenie or.
Aby uzyskać więcej informacji, zobacz Microsoft Entra Połączenie: Configure AD DS Połączenie or account permission (Konfigurowanie uprawnień konta usługi AD DS Połączenie or).
Konto określone na Połączenie stronie katalogów musi zostać utworzone w usłudze AD systemu Windows Server jako zwykły obiekt użytkownika (VSA, MSA lub gMSA nie są obsługiwane) przed instalacją. Firma Microsoft Entra Połączenie w wersji 1.1.524.0 lub nowszej ma opcję zezwalania kreatorowi microsoft Entra Połączenie utworzyć konto usługi AD DS Połączenie or używane do łączenia się z usługą AD Server.
Określone konto musi mieć również wymagane uprawnienia. Kreator instalacji nie weryfikuje uprawnień i występują problemy tylko podczas procesu synchronizacji.
Wymagane uprawnienia zależą od opcjonalnych funkcji, które włączysz. Jeśli masz wiele domen, uprawnienia muszą zostać przyznane dla wszystkich domen w lesie. Jeśli nie włączysz żadnej z tych funkcji, domyślne uprawnienia użytkownika domeny są wystarczające.
| Cecha | Uprawnienia |
|---|---|
| Funkcja ms-DS-ConsistencyGuid | Uprawnienia zapisu do atrybutu opisanego ms-DS-ConsistencyGuid w temacie Design Concepts — Using ms-DS-ConsistencyGuid as sourceAnchor (Pojęcia dotyczące projektowania — używanie klasy ms-DS-ConsistencyGuid jako sourceAnchor). |
| Synchronizacja skrótów haseł | - Replikowanie zmian katalogu — Replikowanie wszystkich zmian katalogu |
| Wdrożenie hybrydowe programu Exchange | Uprawnienia do zapisu do atrybutów udokumentowanych w funkcji zapisywania zwrotnego hybrydowego programu Exchange dla użytkowników, grup i kontaktów. |
| Folder publiczny poczty programu Exchange | Uprawnienia do odczytu do atrybutów udokumentowanych w folderze publicznym poczty programu Exchange dla folderów publicznych. |
| Zapisywanie zwrotne haseł | Uprawnienia do zapisu do atrybutów udokumentowanych w temacie Wprowadzenie do zarządzania hasłami dla użytkowników. |
| Zapisywanie zwrotne urządzeń | Uprawnienia przyznane za pomocą skryptu programu PowerShell zgodnie z opisem w artykule Zapisywanie zwrotne urządzeń. |
| Zapisywanie zwrotne grup | Umożliwia zapisywanie zwrotne Grupy Microsoft 365 do lasu z zainstalowanym programem Exchange. |
Uprawnienia wymagane do uaktualnienia
Podczas uaktualniania z jednej wersji programu Microsoft Entra Połączenie do nowej wersji potrzebne są następujące uprawnienia:
| Główne | Wymagane uprawnienia | Przeznaczenie |
|---|---|---|
| Użytkownik, który uruchamia kreatora instalacji | Administracja istrator serwera lokalnego | Służy do aktualizowania plików binarnych. |
| Użytkownik, który uruchamia kreatora instalacji | Członek programu ADSync Administracja s | Służy do wprowadzania zmian w regułach synchronizacji i innych konfiguracjach. |
| Użytkownik, który uruchamia kreatora instalacji | Jeśli używasz pełnego wystąpienia programu SQL Server: DBO (lub podobne) bazy danych aparatu synchronizacji | Służy do wprowadzania zmian na poziomie bazy danych, takich jak aktualizowanie tabel przy użyciu nowych kolumn. |
Ważne
W kompilacji 1.1.484 wprowadzono usterkę regresji w usłudze Microsoft Entra Połączenie. Usterka wymaga uprawnień administratora systemu w celu uaktualnienia bazy danych programu SQL Server. Usterka została poprawiona w kompilacji 1.1.647. Aby przeprowadzić uaktualnienie do tej kompilacji, musisz mieć uprawnienia administratora systemu. W tym scenariuszu uprawnienia DBO nie są wystarczające. Jeśli spróbujesz uaktualnić aplikację Microsoft Entra Połączenie bez uprawnień administratora systemu, uaktualnienie zakończy się niepowodzeniem i usługa Microsoft Entra Połączenie nie działa już poprawnie.
Szczegóły utworzonych kont
Poniższe sekcje zawierają więcej informacji na temat utworzonych kont w witrynie Microsoft Entra Połączenie.
Konto łącznika usług AD DS
Jeśli używasz ustawień ekspresowych, konto używane do synchronizacji jest tworzone w usłudze AD systemu Windows Server. Utworzone konto znajduje się w domenie głównej lasu w kontenerze Users. Nazwa konta jest poprzedzona MSOL_. Konto jest tworzone przy użyciu długiego, złożonego hasła, które nie wygasa. Jeśli masz zasady haseł w domenie, upewnij się, że długie i złożone hasła są dozwolone dla tego konta.
Jeśli używasz ustawień niestandardowych, przed rozpoczęciem instalacji ponosisz odpowiedzialność za utworzenie konta. Zobacz Tworzenie konta usługi AD DS Połączenie or.
Konto usługi ADSync
Usługa synchronizacji może działać na różnych kontach. Może działać w ramach konta usługi wirtualnej (VSA), konta usługi zarządzanej przez grupę (gMSA), autonomicznej usługi zarządzanej (sMSA) lub zwykłego konta użytkownika. Obsługiwane opcje zostały zmienione w wersji z kwietnia 2017 r. firmy Microsoft Entra Połączenie podczas nowej instalacji. W przypadku uaktualnienia z wcześniejszej wersji programu Microsoft Entra Połączenie te inne opcje nie są dostępne.
| Typ konta | Opcja instalacji | opis |
|---|---|---|
| VSA | Ekspresowe i niestandardowe, kwiecień 2017 r. i nowsze | Ta opcja jest używana dla wszystkich instalacji ustawień ekspresowych, z wyjątkiem instalacji na kontrolerze domeny. W przypadku ustawień niestandardowych jest to opcja domyślna. |
| Gmsa | Niestandardowe, kwiecień 2017 r. i nowsze | Jeśli używasz zdalnego wystąpienia programu SQL Server, zalecamy użycie usługi gMSA. |
| Konto użytkownika | Ekspresowe i niestandardowe, kwiecień 2017 r. i nowsze | Konto użytkownika poprzedzone AAD_ jest tworzone podczas instalacji tylko wtedy, gdy program Microsoft Entra Połączenie jest zainstalowany w systemie Windows Server 2008 i po zainstalowaniu go na kontrolerze domeny. |
| Konto użytkownika | Ekspresowe i niestandardowe, marzec 2017 r. i starsze | Konto lokalne poprzedzone prefiksem AAD_ jest tworzone podczas instalacji. W instalacji niestandardowej można określić inne konto. |
Jeśli używasz programu Microsoft Entra Połączenie z kompilacją z marca 2017 r. lub wcześniej, nie resetuj hasła na koncie usługi. System Windows niszczy klucze szyfrowania ze względów bezpieczeństwa. Nie można zmienić konta na inne konto bez ponownej instalacji usługi Microsoft Entra Połączenie. Jeśli uaktualnisz kompilację z kwietnia 2017 r. lub nowszą, możesz zmienić hasło na koncie usługi, ale nie możesz zmienić używanego konta.
Ważne
Konto usługi można ustawić tylko podczas pierwszej instalacji. Nie można zmienić konta usługi po zakończeniu instalacji.
W poniższej tabeli opisano domyślne, zalecane i obsługiwane opcje dla konta usługi synchronizacji.
Legenda:
- Bold = Opcja domyślna i, w większości przypadków, zalecana opcja.
- Kursywa = zalecana opcja, jeśli nie jest to opcja domyślna.
- 2008 = opcja domyślna zainstalowana w systemie Windows Server 2008
- Bez pogrubienia = obsługiwana opcja
- Konto lokalne = konto użytkownika lokalnego na serwerze
- Konto domeny = konto użytkownika domeny
- sMSA = autonomiczne zarządzane konto usługi
- gMSA = konto usługi zarządzanej przez grupę
| Lokalna baza danych Express |
Lokalna baza danych/lokalny program SQL Server Niestandardowa |
Zdalny program SQL Server Niestandardowa |
|
|---|---|---|---|
| maszyna przyłączona do domeny | VSA Konto lokalne (2008) |
VSA Konto lokalne (2008) Konto lokalne Konto domeny sMSA, gMSA |
Gmsa Konto domeny |
| Kontroler domeny | Konto domeny | Gmsa Konto domeny sMSA |
Gmsa Konto domeny |
VSA
VsA to specjalny typ konta, które nie ma hasła i jest zarządzane przez system Windows.
Program VSA ma być używany ze scenariuszami, w których aparat synchronizacji i program SQL Server znajdują się na tym samym serwerze. Jeśli używasz zdalnego programu SQL Server, zalecamy użycie usługi gMSA zamiast usługi VSA.
Funkcja VSA wymaga systemu Windows Server 2008 R2 lub nowszego. Jeśli zainstalujesz aplikację Microsoft Entra Połączenie w systemie Windows Server 2008, instalacja powróci do korzystania z konta użytkownika zamiast programu VSA.
Gmsa
Jeśli używasz zdalnego wystąpienia programu SQL Server, zalecamy użycie usługi gMSA. Aby uzyskać więcej informacji na temat przygotowywania usługi AD systemu Windows Server dla grupy usługi zarządzanej przez grupę, zobacz Omówienie kont usług zarządzanych przez grupę.
Aby użyć tej opcji, na stronie Instalowanie wymaganych składników wybierz pozycję Użyj istniejącego konta usługi, a następnie wybierz pozycję Zarządzane konto usługi.
W tym scenariuszu można również użyć programu sMSA . Można jednak użyć programu sMSA tylko na komputerze lokalnym i nie ma korzyści z używania programu sMSA zamiast domyślnej usługi VSA.
Funkcja sMSA wymaga systemu Windows Server 2012 lub nowszego. Jeśli musisz użyć starszej wersji systemu operacyjnego i używasz zdalnego programu SQL Server, musisz użyć konta użytkownika.
Konto użytkownika
Konto usługi lokalnej jest tworzone przez kreatora instalacji (chyba że określono w ustawieniach niestandardowych konto do użycia). Konto jest poprzedzone AAD_ i jest używane do działania rzeczywistej usługi synchronizacji jako. Jeśli zainstalujesz Połączenie microsoft Entra na kontrolerze domeny, konto zostanie utworzone w domenie. Konto usługi AAD_ musi znajdować się w domenie, jeśli:
- Używasz serwera zdalnego z uruchomionym programem SQL Server.
- Używasz serwera proxy, który wymaga uwierzytelniania.
Konto usługi AAD_ jest tworzone z długim, złożonym hasłem, które nie wygasa.
To konto służy do bezpiecznego przechowywania haseł dla innych kont. Hasła są przechowywane w bazie danych. Klucze prywatne kluczy szyfrowania są chronione za pomocą szyfrowania kluczy tajnych usług kryptograficznych przy użyciu interfejsu API ochrony danych systemu Windows (DPAPI).
Jeśli używasz pełnego wystąpienia programu SQL Server, konto usługi jest bazą danych utworzonej bazy danych dla aparatu synchronizacji. Usługa nie będzie działać zgodnie z oczekiwaniami z żadnymi innymi uprawnieniami. Zostanie również utworzony identyfikator logowania programu SQL Server.
Konto ma również przyznane uprawnienia do plików, kluczy rejestru i innych obiektów związanych z aparatem synchronizacji.
Konto usługi Microsoft Entra Połączenie or
Konto w usłudze Microsoft Entra ID jest tworzone do użycia przez usługę synchronizacji. To konto można zidentyfikować według jego nazwy wyświetlanej.
Nazwa serwera, na który jest używane konto, można zidentyfikować w drugiej części nazwy użytkownika. Na powyższej ilustracji nazwa serwera to DC1. Jeśli masz serwery przejściowe, każdy serwer ma własne konto.
Konto serwera jest tworzone z długim, złożonym hasłem, które nie wygasa. Konto ma przypisaną specjalną rolę Konta synchronizacji katalogów, która ma uprawnienia do wykonywania tylko zadań synchronizacji katalogów. Tej specjalnej wbudowanej roli nie można udzielić poza kreatorem microsoft Entra Połączenie. W centrum administracyjnym firmy Microsoft Entra jest wyświetlane to konto z rolą Użytkownik.
Identyfikator Entra firmy Microsoft ma limit 20 kont usługi synchronizacji.
Aby uzyskać listę istniejących kont usługi Microsoft Entra w wystąpieniu firmy Microsoft Entra, uruchom następujące polecenie:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalPropertiesAby usunąć nieużywane konta usługi Microsoft Entra, uruchom następujące polecenie:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
Uwaga
Aby można było użyć tych poleceń programu PowerShell, należy zainstalować moduł Programu PowerShell programu Microsoft Graph i połączyć się z wystąpieniem identyfikatora Entra firmy Microsoft przy użyciu narzędzia Połączenie-MgGraph.
Aby uzyskać więcej informacji na temat zarządzania lub resetowania hasła dla konta microsoft Entra Połączenie, zobacz Zarządzanie kontem microsoft Entra Połączenie.
Powiązane artykuły
Aby uzyskać więcej informacji na temat Połączenie firmy Microsoft, zobacz następujące artykuły:
| Temat | Łącze |
|---|---|
| Pobierz Połączenie firmy Microsoft | Pobierz Połączenie firmy Microsoft |
| Instalowanie przy użyciu ustawień ekspresowych | Express installation of Microsoft Entra Połączenie |
| Instalowanie przy użyciu niestandardowych ustawień | Niestandardowa instalacja usługi Microsoft Entra Connect |
| Uaktualnianie z narzędzia DirSync | Uaktualnianie z narzędzia Azure AD Sync (DirSync) |
| Po instalacji | Weryfikowanie instalacji i przypisywanie licencji |
Następne kroki
Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.