Udostępnij za pośrednictwem

Aprowizuj usługę Active Directory w usłudze Microsoft Entra ID — konfiguracja

  • Artykuł

Poniższy dokument przeprowadzi Cię przez proces konfigurowania usługi Microsoft Entra Cloud Sync na potrzeby aprowizacji z usługi Active Directory do identyfikatora Entra firmy Microsoft. Jeśli szukasz informacji na temat aprowizacji z usługi Microsoft Entra ID do usługi AD, zobacz Konfigurowanie — aprowizowanie usługi Active Directory do usługi Microsoft Entra ID przy użyciu usługi Microsoft Entra Cloud Sync

W poniższej dokumentacji przedstawiono nowe środowisko użytkownika z przewodnikiem dla usługi Microsoft Entra Cloud Sync.

Aby uzyskać dodatkowe informacje i przykład konfigurowania synchronizacji w chmurze, zobacz poniższy film wideo.

Konfigurowanie aprowizacji

Aby skonfigurować aprowizację, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej hybrydowego Administracja istratora.
  2. Przejdź do sekcji Zarządzanie hybrydą>tożsamości>Microsoft Entra Połączenie> Cloud sync.Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.
  1. Wybierz pozycję Nowa konfiguracja.
  2. Wybierz pozycję AD to Microsoft Entra ID Sync (Synchronizacja identyfikatorów entra firmy Microsoft). Zrzut ekranu przedstawiający dodawanie konfiguracji.
  3. Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Kliknij pozycję Utwórz.

Zrzut ekranu przedstawiający nową konfigurację.

  1. Zostanie otwarty ekran Wprowadzenie . W tym miejscu możesz kontynuować konfigurowanie synchronizacji z chmurą.

Zrzut ekranu przedstawiający ekran wprowadzenie.

  1. Konfiguracja jest podzielona na następujące 5 sekcji.
Sekcja opis
1. Dodawanie filtrów określania zakresu Ta sekcja służy do definiowania obiektów wyświetlanych w identyfikatorze Entra firmy Microsoft
2. Mapuj atrybuty Ta sekcja służy do mapowania atrybutów między lokalnymi użytkownikami/grupami z obiektami Firmy Microsoft Entra
3. Test Testowanie konfiguracji przed jej wdrożeniem
4. Wyświetlanie właściwości domyślnych Wyświetlanie ustawienia domyślnego przed ich włączeniem i wprowadzanie zmian w odpowiednich przypadkach
5. Włączanie konfiguracji Po uzyskaniu gotowości włącz konfigurację, a użytkownicy/grupy zaczną synchronizować

Uwaga

Podczas procesu konfiguracji konto usługi synchronizacji zostanie utworzone przy użyciu formatu ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com i może zostać wyświetlony błąd, jeśli dla konta usługi synchronizacji włączono uwierzytelnianie wieloskładnikowe lub inne interaktywne zasady uwierzytelniania są przypadkowo włączone dla konta synchronizacji. Usunięcie uwierzytelniania wieloskładnikowego lub wszelkich interaktywnych zasad uwierzytelniania dla konta usługi synchronizacji powinno rozwiązać ten błąd i można bezproblemowo ukończyć konfigurację.

Określanie zakresu aprowizacji dla określonych użytkowników i grup

Domyślnie agent aprowizacji synchronizuje podzestaw użytkowników i grup z usługi Active Directory. Możesz dodatkowo ograniczyć zakres agenta do synchronizowania określonych użytkowników i grup przy użyciu lokalna usługa Active Directory grup lub jednostek organizacyjnych.

Zrzut ekranu przedstawiający ikonę filtrów określania zakresu.

Grupy i jednostki organizacyjne można skonfigurować w ramach konfiguracji.

Uwaga

Nie można używać grup zagnieżdżonych z określaniem zakresu grup. Obiekty zagnieżdżone poza pierwszym poziomem nie będą uwzględniane podczas określania zakresu przy użyciu grup zabezpieczeń. Używaj filtrowania zakresu grup tylko w scenariuszach pilotażowych, ponieważ istnieją ograniczenia dotyczące synchronizowania dużych grup.

  1. Na ekranie Konfiguracja wprowadzenie . Kliknij pozycję Dodaj filtry określania zakresu obok ikony Dodaj filtry określania zakresu lub kliknij pozycję Filtry określania zakresu po lewej stronie w obszarze Zarządzaj.

Zrzut ekranu przedstawiający filtry określania zakresu.

  1. Wybierz filtr określania zakresu. Filtr może być jednym z następujących elementów:
    • Wszyscy użytkownicy: określa zakres konfiguracji, która ma być stosowana do wszystkich użytkowników, którzy są synchronizowani.
    • Wybrane grupy zabezpieczeń: określa zakres konfiguracji, która ma być stosowana do określonych grup zabezpieczeń.
    • Wybrane jednostki organizacyjne: określa zakres konfiguracji, która ma być stosowana do określonych jednostek organizacyjnych.
  2. W przypadku grup zabezpieczeń i jednostek organizacyjnych podaj odpowiednią nazwę wyróżniającą, a następnie kliknij przycisk Dodaj.
  3. Po skonfigurowaniu filtrów określania zakresu kliknij przycisk Zapisz.
  4. Po zapisaniu powinien zostać wyświetlony komunikat informujący o tym, co nadal trzeba zrobić, aby skonfigurować synchronizację w chmurze. Możesz kliknąć link, aby kontynuować. Zrzut ekranu przedstawiający posunięcie filtrów określania zakresu.
  5. Po zmianie zakresu należy ponownie uruchomić aprowizację , aby zainicjować natychmiastową synchronizację zmian.

Mapowanie atrybutów

Usługa Microsoft Entra Cloud Sync umożliwia łatwe mapowanie atrybutów między lokalnymi obiektami użytkowników/grup i obiektów w usłudze Microsoft Entra ID.

Zrzut ekranu przedstawiający ikonę atrybutów mapy.

Domyślne mapowania atrybutów można dostosować zgodnie z potrzebami biznesowymi. Możesz więc zmienić lub usunąć istniejące mapowania atrybutów lub utworzyć nowe mapowania atrybutów.

Zrzut ekranu przedstawiający domyślne mapowania atrybutów.

Po zapisaniu powinien zostać wyświetlony komunikat informujący o tym, co nadal trzeba zrobić, aby skonfigurować synchronizację w chmurze. Możesz kliknąć link, aby kontynuować. Zrzut ekranu przedstawiający posuń filtrów atrybutów.

Aby uzyskać więcej informacji, zobacz mapowanie atrybutów.

Rozszerzenia katalogu i mapowanie atrybutów niestandardowych.

Usługa Microsoft Entra Cloud Sync umożliwia rozszerzenie katalogu przy użyciu rozszerzeń i zapewnia mapowanie atrybutów niestandardowych. Aby uzyskać więcej informacji, zobacz Directory extensions and custom attribute mapping (Rozszerzenia katalogu i mapowanie atrybutów niestandardowych).

Aprowizacja na żądanie

Usługa Microsoft Entra Cloud Sync umożliwia testowanie zmian konfiguracji przez zastosowanie tych zmian do pojedynczego użytkownika lub grupy.

Zrzut ekranu przedstawiający ikonę testu.

Służy to do sprawdzania poprawności i sprawdzania, czy zmiany wprowadzone w konfiguracji zostały prawidłowo zastosowane i są prawidłowo synchronizowane z identyfikatorem Entra firmy Microsoft.

Zrzut ekranu przedstawiający aprowizowanie na żądanie.

Po przetestowaniu powinien zostać wyświetlony komunikat informujący o tym, co nadal trzeba zrobić, aby skonfigurować synchronizację w chmurze. Możesz kliknąć link, aby kontynuować. Zrzut ekranu przedstawiający posuw do testowania.

Aby uzyskać więcej informacji, zobacz Aprowizowanie na żądanie.

Przypadkowe usunięcie i powiadomienia e-mail

Sekcja właściwości domyślnych zawiera informacje o przypadkowych usunięciach i powiadomieniach e-mail.

Zrzut ekranu przedstawiający ikonę właściwości domyślnych.

Funkcja przypadkowego usuwania została zaprojektowana w celu ochrony przed przypadkowymi zmianami konfiguracji i zmianami w katalogu lokalnym, które miałyby wpływ na wielu użytkowników i grupy.

Ta funkcja umożliwia:

  • skonfiguruj możliwość automatycznego zapobiegania przypadkowym usuwaniu.
  • Ustaw liczbę obiektów (próg), poza którą konfiguracja zacznie obowiązywać
  • skonfiguruj adres e-mail z powiadomieniem, aby otrzymywać powiadomienie e-mail po wprowadzeniu danego zadania synchronizacji w kwarantannie dla tego scenariusza

Aby uzyskać więcej informacji, zobacz Przypadkowe usuwanie

Kliknij ołówek obok pozycji Podstawy, aby zmienić ustawienia domyślne w konfiguracji.

Zrzut ekranu przedstawiający podstawy.

Włączanie konfiguracji

Po zakończeniu i przetestowaniu konfiguracji możesz ją włączyć.

Zrzut ekranu przedstawiający ikonę przeglądania i włączania.

Kliknij pozycję Włącz konfigurację , aby ją włączyć.

Zrzut ekranu przedstawiający włączanie konfiguracji.

Kwarantanny

Synchronizacja w chmurze monitoruje kondycję konfiguracji i umieszcza obiekty w złej kondycji w stanie kwarantanny. Jeśli większość lub wszystkie wywołania wykonywane względem systemu docelowego stale kończą się niepowodzeniem z powodu błędu, na przykład nieprawidłowe poświadczenia administratora, zadanie synchronizacji jest oznaczone jako w kwarantannie. Aby uzyskać więcej informacji, zobacz sekcję dotyczącą rozwiązywania problemów dotyczących kwarantann.

Ponowne uruchamianie aprowizacji

Jeśli nie chcesz czekać na następny zaplanowany przebieg, wyzwól uruchomienie aprowizacji przy użyciu przycisku Uruchom ponownie synchronizację .

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej hybrydowego Administracja istratora.
  2. Przejdź do sekcji Zarządzanie hybrydą>tożsamości>Microsoft Entra Połączenie> Cloud sync.Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.
  1. W obszarze Konfiguracja wybierz konfigurację.

Zrzut ekranu przedstawiający ponowne uruchamianie synchronizacji.

  1. U góry wybierz pozycję Uruchom ponownie synchronizację.

Usuwanie konfiguracji

Aby usunąć konfigurację, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej hybrydowego Administracja istratora.
  2. Przejdź do sekcji Zarządzanie hybrydą>tożsamości>Microsoft Entra Połączenie> Cloud sync.Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.
  1. W obszarze Konfiguracja wybierz konfigurację.

Zrzut ekranu przedstawiający usuwanie.

  1. W górnej części ekranu konfiguracji wybierz pozycję Usuń konfigurację.

Ważne

Nie ma potwierdzenia przed usunięciem konfiguracji. Przed wybraniem pozycji Usuń upewnij się, że jest to akcja, którą chcesz wykonać.

Następne kroki