Share via

Obsługiwane topologie i scenariusze usługi Microsoft Entra Cloud Sync

  • Artykuł

W tym artykule opisano różne topologie lokalne i microsoft Entra, które korzystają z usługi Microsoft Entra Cloud Sync. Ten artykuł zawiera tylko obsługiwane konfiguracje i scenariusze.

Ważne

Firma Microsoft nie obsługuje modyfikowania ani obsługi usługi Microsoft Entra Cloud Sync poza konfiguracjami lub akcjami, które zostały formalnie udokumentowane. Każda z tych konfiguracji lub akcji może spowodować niespójny lub nieobsługiwany stan usługi Microsoft Entra Cloud Sync. W związku z tym firma Microsoft nie może zapewnić pomocy technicznej dla takich wdrożeń.

Aby uzyskać więcej informacji, zobacz poniższe wideo.

Kwestie, które należy pamiętać o wszystkich scenariuszach i topologiach

Podczas wybierania rozwiązania należy pamiętać o poniższych informacjach.

  • Użytkownicy i grupy muszą być jednoznacznie identyfikowani we wszystkich lasach.
  • Dopasowywanie między lasami nie występuje w przypadku synchronizacji z chmurą.
  • Kotwica źródłowa dla obiektów jest wybierana automatycznie. Używa metody ms-DS-ConsistencyGuid, jeśli istnieje, w przeciwnym razie jest używany identyfikator ObjectGUID.
  • Nie można zmienić atrybutu używanego na potrzeby kotwicy źródłowej.

Topologie obsługiwane przez usługę Active Directory do firmy Microsoft Entra ID

Poniższe topologie są obsługiwane w przypadku aprowizacji z usługi Active Directory do identyfikatora Entra firmy Microsoft.

Pojedynczy las, pojedyncza dzierżawa firmy Microsoft Entra

Diagram przedstawiający topologię pojedynczego lasu i pojedynczej dzierżawy.

Najprostszą topologią jest pojedynczy las lokalny z jedną lub wieloma domenami i jedną dzierżawą firmy Microsoft Entra. Aby zapoznać się z przykładem tego scenariusza, zobacz Samouczek: pojedynczy las z jedną dzierżawą firmy Microsoft Entra

Wiele lasów, pojedyncza dzierżawa firmy Microsoft Entra

Topologia dla wielu lasów i jednej dzierżawy

Wiele lasów usługi AD to wspólna topologia z jedną lub wieloma domenami i jedną dzierżawą firmy Microsoft Entra.

Istniejący las z firmą Microsoft Entra Połączenie, nowy las z aprowizowaniem w chmurze

Diagram przedstawiający topologię istniejącego lasu i nowego lasu.

Ten scenariusz jest podobny do scenariusza obejmującego wiele lasów, jednak ten scenariusz obejmuje istniejące środowisko microsoft Entra Połączenie, a następnie wprowadzenie nowego lasu przy użyciu usługi Microsoft Entra Cloud Sync. Aby zapoznać się z przykładem tego scenariusza, zobacz Samouczek: istniejący las z jedną dzierżawą firmy Microsoft Entra

Pilotaż usługi Microsoft Entra Cloud Sync w istniejącym lesie hybrydowej usługi AD

Topologia pojedynczego lasu i jednej dzierżawyScenariusz pilotażowy obejmuje istnienie zarówno usługi Microsoft Entra Połączenie, jak i Microsoft Entra Cloud Sync w tym samym lesie oraz odpowiednie określenie zakresu dla użytkowników i grup. UWAGA: Obiekt powinien znajdować się w zakresie tylko w jednym z narzędzi.

Aby zapoznać się z przykładem tego scenariusza, zobacz Samouczek: pilotażowa synchronizacja z chmurą firmy Microsoft w istniejącym zsynchronizowanym lesie usługi AD

Scalanie obiektów z odłączonych źródeł

(Publiczna wersja zapoznawcza)

Diagram przedstawiający scalanie obiektów z odłączonych źródeł W tym scenariuszu atrybuty użytkownika są tworzone przez dwa odłączone lasy usługi Active Directory.

Przykładem może być:

  • Jeden las (1) zawiera większość atrybutów.
  • Drugi las (2) zawiera kilka atrybutów.

Ponieważ drugi las nie ma łączności sieciowej z serwerem Microsoft Entra Połączenie, nie można scalić obiektu za pośrednictwem usługi Microsoft Entra Połączenie. Synchronizacja chmury w drugim lesie umożliwia pobranie wartości atrybutu z drugiego lasu. Wartość można następnie scalić z obiektem w identyfikatorze Entra firmy Microsoft synchronizowanym przez firmę Microsoft Entra Połączenie.

Ta konfiguracja jest zaawansowana i istnieje kilka zastrzeżeń dotyczących tej topologii:

  1. Musisz użyć ms-DS-ConsistencyGuid jako kotwicy źródłowej w konfiguracji synchronizacji w chmurze.
  2. Obiekt ms-DS-ConsistencyGuid użytkownika w drugim lesie musi być zgodny z obiektem odpowiadającym mu w identyfikatorze Entra firmy Microsoft.
  3. Należy wypełnić UserPrincipalName atrybut i Alias atrybut w drugim lesie i musi być zgodny z tymi, które są synchronizowane z pierwszego lasu.
  4. Należy usunąć wszystkie atrybuty z mapowania atrybutów w konfiguracji synchronizacji chmury, które nie mają wartości lub mogą mieć inną wartość w drugim lesie — nie można mieć nakładających się mapowań atrybutów między pierwszym lasem a drugim.
  5. Jeśli w pierwszym lesie nie ma pasującego obiektu, w przypadku obiektu zsynchronizowanego z drugiego lasu synchronizacja chmury nadal utworzy obiekt w identyfikatorze Entra firmy Microsoft. Obiekt będzie miał tylko atrybuty zdefiniowane w konfiguracji mapowania synchronizacji chmury dla drugiego lasu.
  6. Usunięcie obiektu z drugiego lasu spowoduje tymczasowe usunięcie nietrwałe w identyfikatorze Entra firmy Microsoft. Zostanie ona przywrócona automatycznie po następnym cyklu microsoft Entra Połączenie Sync.
  7. Jeśli usuniesz obiekt z pierwszego lasu, zostanie on usunięty nietrwale z identyfikatora Entra firmy Microsoft. Obiekt nie zostanie przywrócony, chyba że zostanie wprowadzona zmiana obiektu w drugim lesie. Po upływie 30 dni obiekt zostanie trwale usunięty z identyfikatora Entra firmy Microsoft i jeśli w drugim lesie zostanie on utworzony jako nowy obiekt w identyfikatorze Entra firmy Microsoft.

Identyfikator entra firmy Microsoft do obsługiwanych topologii usługi Active Directory

Poniższe topologie są obsługiwane do aprowizacji z identyfikatora Entra firmy Microsoft do usługi Active Directory.

Aprowizowanie grupy pojedynczego lasu w usłudze Active Directory

Diagram koncepcyjny zapisywania zwrotnego pojedynczego lasu.

Najprostszą topologią aprowizacji grup jest jeden las lokalny z jedną lub wieloma domenami i jedną dzierżawą firmy Microsoft Entra. Przykład tego scenariusza można znaleźć w temacie Provision groups to Active Directory (Aprowizuj grupy w usłudze Active Directory)

Aprowizowanie grup z wieloma lasami w usłudze Active Directory

Diagram koncepcyjny zapisywania zwrotnego z wieloma lasami.

Bardziej zaawansowana topologia aprowizacji grup składa się z wielu lokalnych lasów usługi AD współużytkujących jedną dzierżawę usługi Microsoft Entra ID.

Ta konfiguracja jest zaawansowana i istnieje kilka rzeczy, które należy zapamiętać z tą topologią:

  • Grupy aprowizowane w usłudze AD przy użyciu synchronizacji w chmurze mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
  • Wszyscy ci użytkownicy muszą mieć atrybut onPremisesObjectIdentifier ustawiony na swoim koncie.
  • Element onPremisesObjectIdentifier musi być zgodny z odpowiednim identyfikatorem objectGUID w docelowym środowisku usługi AD.
  • Atrybut objectGUID użytkowników lokalnych dla użytkowników chmury onPremisesObjectIdentifier można zsynchronizować przy użyciu programu Microsoft Entra Cloud Sync (1.1.1370.0) lub Microsoft Entra Połączenie Sync (2.2.8.0)
  • W dzierżawie możesz udostępnić wspólną grupę zawierającą użytkowników z obu lasów.
  • Jednak użytkownicy, którzy nie istnieją w innym lesie, nie będą aprowizowani jako członkowie grupy podczas aprowizowania w środowisku lokalnym. Jeśli więc masz grupę w identyfikatorze Entra firmy Microsoft, która zawiera użytkowników z contoso.com i fabrikam.com, tylko użytkownicy, którzy istnieją w lesie contoso.com, będą członkami grupy po aprowizacji w contoso.com. I tak samo z fabrikam.

Następne kroki