Konfigurowanie synchronizacji o określonym zakresie z identyfikatora Entra firmy Microsoft do usług Microsoft Entra Domain Services przy użyciu centrum administracyjnego firmy Microsoft Entra

  • Artykuł

Aby zapewnić usługi uwierzytelniania, usługi Microsoft Entra Domain Services synchronizują użytkowników i grupy z identyfikatora Entra firmy Microsoft. W środowisku hybrydowym użytkownicy i grupy ze środowiska usług domenowych lokalna usługa Active Directory (AD DS) można najpierw zsynchronizować z firmą Microsoft Entra ID przy użyciu usługi Microsoft Entra Połączenie, a następnie zsynchronizować się z domeną zarządzaną usług domenowych.

Domyślnie wszyscy użytkownicy i grupy z katalogu Microsoft Entra są synchronizowane z domeną zarządzaną. Jeśli tylko niektórzy użytkownicy muszą korzystać z usług Domain Services, możesz zamiast tego wybrać synchronizację tylko grup użytkowników. Synchronizację można filtrować dla grup lokalnych, tylko w chmurze lub obu tych grup.

W tym artykule pokazano, jak skonfigurować synchronizację w zakresie, a następnie zmienić lub wyłączyć zestaw użytkowników o określonym zakresie przy użyciu centrum administracyjnego firmy Microsoft Entra. Możesz również wykonać te kroki przy użyciu programu PowerShell.

Screenshot of group filter option.

Zanim rozpoczniesz

Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:

Omówienie synchronizacji w zakresie

Domyślnie wszyscy użytkownicy i grupy z katalogu Microsoft Entra są synchronizowane z domeną zarządzaną. Synchronizację można ograniczyć tylko do kont użytkowników utworzonych w identyfikatorze Entra firmy Microsoft lub zsynchronizować wszystkich użytkowników.

Jeśli tylko kilka grup użytkowników musi uzyskać dostęp do domeny zarządzanej, możesz wybrać opcję Filtruj według uprawnień grupy, aby zsynchronizować tylko te grupy. Ta synchronizacja o określonym zakresie jest oparta tylko na grupach. Podczas konfigurowania synchronizacji w zakresie grupy tylko konta użytkowników należące do określonych grup są synchronizowane z domeną zarządzaną. Grupy zagnieżdżone nie są synchronizowane; tylko grupy, które określisz, są synchronizowane.

Zakres synchronizacji można zmienić przed lub po utworzeniu domeny zarządzanej. Zakres synchronizacji jest definiowany przez jednostkę usługi z identyfikatorem aplikacji 2565bd9d-da50-47d4-8b85-4c97f669dc36. Aby zapobiec utracie zakresu, nie usuwaj ani nie zmieniaj jednostki usługi. Jeśli zostanie on przypadkowo usunięty, nie można odzyskać zakresu synchronizacji.

Pamiętaj o następujących zastrzeżeniach w przypadku zmiany zakresu synchronizacji:

  • Wykonywana jest pełna synchronizacja.
  • Obiekty, które nie są już wymagane w domenie zarządzanej, są usuwane. Nowe obiekty są tworzone w domenie zarządzanej.

Aby dowiedzieć się więcej na temat procesu synchronizacji, zobacz Omówienie synchronizacji w usługach Microsoft Entra Domain Services.

Włączanie synchronizacji z zakresem

Aby włączyć synchronizację w zakresie w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:

  1. W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Microsoft Entra Domain Services. Wybierz domenę zarządzaną, taką jak aaddscontoso.com.

  2. Wybierz pozycję Synchronizacja z menu po lewej stronie.

  3. W obszarze Zakres synchronizacji wybierz pozycję Wszystkie lub Tylko chmura.

  4. Aby filtrować synchronizację dla wybranych grup, kliknij pozycję Pokaż wybrane grupy, wybierz, czy synchronizować grupy tylko w chmurze, grupy lokalne, czy oba te grupy. Na przykład poniższy zrzut ekranu przedstawia sposób synchronizowania tylko trzech grup utworzonych w usłudze Microsoft Entra ID. Tylko użytkownicy należący do tych grup będą mieli swoje konta zsynchronizowane z usługami Domain Services.

    Screenshot that shows filter by cloud-only groups.

  5. Aby dodać grupy, kliknij pozycję Dodaj grupy, a następnie wyszukaj i wybierz grupy do dodania.

  6. Po wprowadzeniu wszystkich zmian wybierz pozycję Zapisz zakres synchronizacji.

Zmiana zakresu synchronizacji powoduje ponowne zsynchronizowanie wszystkich danych przez domenę zarządzaną. Obiekty, które nie są już wymagane w domenie zarządzanej, są usuwane, a ponowna synchronizacja może zająć trochę czasu.

Modyfikowanie synchronizacji w zakresie

Aby zmodyfikować listę grup, których użytkownicy powinni być zsynchronizowani z domeną zarządzaną, wykonaj następujące kroki:

  1. W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Microsoft Entra Domain Services. Wybierz domenę zarządzaną, taką jak aaddscontoso.com.
  2. Wybierz pozycję Synchronizacja z menu po lewej stronie.
  3. Aby dodać grupę, wybierz pozycję + Dodaj grupy u góry, a następnie wybierz grupy do dodania.
  4. Aby usunąć grupę z zakresu synchronizacji, wybierz ją z listy aktualnie zsynchronizowanych grup i wybierz pozycję Usuń grupy.
  5. Po wprowadzeniu wszystkich zmian wybierz pozycję Zapisz zakres synchronizacji.

Zmiana zakresu synchronizacji powoduje ponowne zsynchronizowanie wszystkich danych przez domenę zarządzaną. Obiekty, które nie są już wymagane w domenie zarządzanej, są usuwane, a ponowna synchronizacja może zająć trochę czasu.

Wyłączanie synchronizacji w zakresie

Aby wyłączyć synchronizację w zakresie grupy dla domeny zarządzanej, wykonaj następujące kroki:

  1. W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Microsoft Entra Domain Services. Wybierz domenę zarządzaną, taką jak aaddscontoso.com.
  2. Wybierz pozycję Synchronizacja z menu po lewej stronie.
  3. Wyczyść pole wyboru Pokaż wybrane grupy, a następnie kliknij pozycję Zapisz zakres synchronizacji.

Zmiana zakresu synchronizacji powoduje ponowne zsynchronizowanie wszystkich danych przez domenę zarządzaną. Obiekty, które nie są już wymagane w domenie zarządzanej, są usuwane, a ponowna synchronizacja może zająć trochę czasu.

Następne kroki

Aby dowiedzieć się więcej na temat procesu synchronizacji, zobacz Omówienie synchronizacji w usługach Microsoft Entra Domain Services.