Microsoft Entra Połączenie Sync: Konfigurowanie preferowanej lokalizacji danych dla zasobów platformy Microsoft 365

  • Artykuł

W tym temacie opisano sposób konfigurowania atrybutu dla preferowanej lokalizacji danych w usłudze Microsoft Entra Połączenie Sync. Jeśli ktoś używa funkcji multi-geo na platformie Microsoft 365, ten atrybut służy do wyznaczania geograficznej lokalizacji danych platformy Microsoft 365 użytkownika. (Terminy region i obszar geograficzny są używane zamiennie).

Obsługiwane lokalizacje obejmujące wiele lokalizacji geograficznych

Aby uzyskać listę wszystkich regionów geograficznych obsługiwanych przez firmę Microsoft Entra Połączenie zobacz Dostępność funkcji Microsoft 365 Multi-Geo

Włączanie synchronizacji preferowanej lokalizacji danych

Domyślnie zasoby platformy Microsoft 365 dla użytkowników znajdują się w tym samym obszarze geograficznym co dzierżawa firmy Microsoft Entra. Jeśli na przykład dzierżawa znajduje się w Ameryka Północna, skrzynki pocztowe programu Exchange użytkowników znajdują się również w Ameryka Północna. W przypadku międzynarodowej organizacji może to nie być optymalne.

Ustawiając atrybut preferredDataLocation, można zdefiniować obszar geograficzny użytkownika. Zasoby platformy Microsoft 365 użytkownika, takie jak skrzynka pocztowa i OneDrive, mogą znajdować się w tym samym obszarze geograficznym co użytkownik i nadal mieć jedną dzierżawę dla całej organizacji.

Ważne

Od 1 czerwca 2023 r. multi-geo jest dostępna dla partnerów CSP do zakupu, co najmniej 5% całkowitej liczby stanowisk subskrypcji platformy Microsoft 365 klienta.

Funkcja Multi-Geo jest również dostępna dla klientów z aktywnym Umowa Enterprise. Skontaktuj się ze swoim przedstawicielem firmy Microsoft, aby uzyskać szczegółowe informacje.

Aby uzyskać listę wszystkich regionów geograficznych obsługiwanych przez firmę Microsoft Entra Połączenie zobacz Dostępność funkcji Microsoft 365 Multi-Geo.

Obsługa synchronizacji w usłudze Microsoft Entra Połączenie

Firma Microsoft Entra Połączenie obsługuje synchronizację preferowanego atrybutuDataLocation dla obiektów użytkownika w wersji 1.1.524.0 lub nowszej. Szczególnie:

  • Schemat typu obiektu User in the Microsoft Entra Połączenie or został rozszerzony w celu uwzględnienia atrybutu preferredDataLocation. Atrybut jest typu, jednowartościowy ciąg.
  • Schemat typu obiektu Person w metaverse został rozszerzony w celu uwzględnienia atrybutu preferredDataLocation . Atrybut jest typu, jednowartościowy ciąg.

Domyślnie funkcja preferredDataLocation nie jest włączona na potrzeby synchronizacji. Ta funkcja jest przeznaczona dla większych organizacji. Schemat usługi Active Directory w systemie Windows Server 2019 ma atrybut msDS-preferredDataLocation , którego należy użyć w tym celu. Jeśli schemat usługi Active Directory nie został zaktualizowany i nie można tego zrobić, musisz zidentyfikować atrybut do przechowywania geograficznego rozwiązania Microsoft 365 dla użytkowników. Będzie to inne dla każdej organizacji.

Ważne

Identyfikator Entra firmy Microsoft umożliwia bezpośrednie skonfigurowanie atrybutu preferredDataLocation w obiektach użytkownika w chmurze przy użyciu programu Microsoft Graph PowerShell. Aby skonfigurować ten atrybut na zsynchronizowanych obiektach użytkownika, należy użyć Połączenie firmy Microsoft.

Przed włączeniem synchronizacji:

  • Jeśli schemat usługi Active Directory nie został uaktualniony do wersji 2019, zdecyduj, który atrybut lokalna usługa Active Directory, który ma być używany jako atrybut źródłowy. Powinien on być typu ciągiem jednowartościowym.

  • Jeśli wcześniej skonfigurowano atrybut preferredDataLocation dla istniejących zsynchronizowanych obiektów użytkownika w programie Microsoft Entra ID przy użyciu programu Microsoft Graph PowerShell, należy ponownie zaimportować wartości atrybutów do odpowiednich obiektów użytkownika w lokalna usługa Active Directory.

    Ważne

    Jeśli te wartości nie zostaną przywrócone, firma Microsoft Entra Połączenie usunie istniejące wartości atrybutów w identyfikatorze Entra firmy Microsoft po włączeniu synchronizacji dla preferowanego atrybutuDataLocation.

  • Skonfiguruj atrybut źródłowy na co najmniej kilku obiektach użytkownika lokalna usługa Active Directory. Można go użyć do weryfikacji później.

W poniższych sekcjach przedstawiono procedurę włączania synchronizacji preferowanego atrybutuDataLocation.

Uwaga

Kroki są opisane w kontekście wdrożenia firmy Microsoft Entra z topologią pojedynczego lasu i bez niestandardowych reguł synchronizacji. Jeśli masz topologię z wieloma lasami, skonfigurowane niestandardowe reguły synchronizacji lub serwer przejściowy, należy odpowiednio dostosować kroki.

Krok 1. Wyłączanie harmonogramu synchronizacji i sprawdzenie, czy synchronizacja nie jest w toku

Aby uniknąć niezamierzonych zmian eksportowanych do identyfikatora Entra firmy Microsoft, upewnij się, że synchronizacja nie jest wykonywana podczas aktualizowania reguł synchronizacji. Aby wyłączyć wbudowany harmonogram synchronizacji:

  1. Uruchom sesję programu PowerShell na serwerze Microsoft Entra Połączenie.
  2. Wyłącz zaplanowaną synchronizację, uruchamiając następujące polecenie cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Uruchom program Synchronization Service Manager, przechodząc do sekcji Uruchom>usługę synchronizacji.
  4. Wybierz kartę Operacje i upewnij się, że nie ma operacji ze stanem w toku.

Zrzut ekranu programu Synchronization Service Manager

Krok 2. Odświeżanie schematu dla usługi Active Directory

Jeśli schemat usługi Active Directory został zaktualizowany do wersji 2019 i Połączenie został zainstalowany przed rozszerzeniem schematu, pamięć podręczna schematu Połączenie nie ma zaktualizowanego schematu. Następnie należy odświeżyć schemat z kreatora, aby był wyświetlany w interfejsie użytkownika.

  1. Uruchom kreatora Połączenie firmy Microsoft na pulpicie.
  2. Wybierz opcję Odśwież schemat katalogu i kliknij przycisk Dalej.
  3. Wprowadź poświadczenia firmy Microsoft Entra i kliknij przycisk Dalej.
  4. Na stronie Odświeżanie schematu katalogu upewnij się, że wybrano wszystkie lasy, a następnie kliknij przycisk Dalej.
  5. Po zakończeniu zamknij kreatora.

Zrzut ekranu przedstawiający odświeżanie schematu katalogu w kreatorze Połączenie

Krok 3. Dodawanie atrybutu źródłowego do schematu lokalna usługa Active Directory Połączenie or

Ten krok jest wymagany tylko w przypadku uruchomienia Połączenie w wersji 1.3.21 lub starszej. Jeśli korzystasz z wersji 1.4.18 lub nowszej, przejdź do kroku 5.
Nie wszystkie atrybuty entra firmy Microsoft są importowane do obszaru łącznika lokalna usługa Active Directory. Jeśli wybrano opcję używania atrybutu, który nie jest domyślnie synchronizowany, musisz go zaimportować. Aby dodać atrybut źródłowy do listy zaimportowanych atrybutów:

  1. Wybierz kartę Połączenie ors w programie Synchronization Service Manager.
  2. Kliknij prawym przyciskiem myszy lokalna usługa Active Directory Połączenie or, a następnie wybierz pozycję Właściwości.
  3. W wyskakującym oknie dialogowym przejdź do karty Wybierz atrybuty .
  4. Upewnij się, że atrybut źródłowy wybrany do użycia jest zaznaczony na liście atrybutów. Jeśli atrybut nie jest widoczny, zaznacz pole wyboru Pokaż wszystko .
  5. Aby zapisać, wybierz przycisk OK.

Zrzut ekranu przedstawiający okno dialogowe Menedżer usług synchronizacji i właściwości z wyróżnioną listą

Krok 4. Dodawanie preferredDataLocation do schematu programu Microsoft Entra Połączenie or

Ten krok jest wymagany tylko w przypadku uruchomienia Połączenie w wersji 1.3.21 lub starszej. Jeśli korzystasz z wersji 1.4.18 lub nowszej, przejdź do kroku 5.
Domyślnie preferowany atrybutDataLocation nie jest importowany do obszaru Microsoft Entra Połączenie or. Aby dodać go do listy zaimportowanych atrybutów:

  1. Wybierz kartę Połączenie ors w programie Synchronization Service Manager.
  2. Kliknij prawym przyciskiem myszy łącznik Microsoft Entra i wybierz polecenie Właściwości.
  3. W wyskakującym oknie dialogowym przejdź do karty Wybierz atrybuty .
  4. Wybierz atrybut preferredDataLocation na liście.
  5. Aby zapisać, wybierz przycisk OK.

Zrzut ekranu przedstawiający okno dialogowe Menedżer usług synchronizacji i właściwości

Krok 5. Tworzenie reguły synchronizacji ruchu przychodzącego

Reguła synchronizacji ruchu przychodzącego zezwala na przepływ wartości atrybutu z atrybutu źródłowego w lokalna usługa Active Directory do metaverse.

  1. Uruchom Edytor reguł synchronizacji, przechodząc do edytora uruchom>reguły synchronizacji.

  2. Ustaw filtr wyszukiwania Kierunek wyszukiwania na wartość Przychodzące.

  3. Aby utworzyć nową regułę ruchu przychodzącego, wybierz pozycję Dodaj nową regułę.

  4. Na karcie Opis podaj następującą konfigurację:

    Atrybut Wartość Szczegóły
    Nazwisko Podaj nazwę Na przykład "In from AD – User preferredDataLocation" (In from AD — User preferredDataLocation)
    opis Podaj opis niestandardowy
    system Połączenie Wybierz lokalna usługa Active Directory Połączenie or
    Połączenie typ obiektu systemowego Użytkownik
    Typ obiektu Metaverse Osoba
    Typ łącza Dołącz
    Pierwszeństwo Wybierz liczbę z zakresu od 1 do 99 1–99 jest zarezerwowana dla niestandardowych reguł synchronizacji. Nie wybieraj wartości używanej przez inną regułę synchronizacji.

  5. Zachowaj pusty filtr określania zakresu, aby uwzględnić wszystkie obiekty. Może być konieczne dostosowanie filtru określania zakresu zgodnie z wdrożeniem Połączenie firmy Microsoft.

  6. Przejdź do karty Przekształcenie i zaimplementuj następującą regułę przekształcania:

    Typ przepływu Atrybut docelowy Źródło Zastosuj raz Typ scalania
    Direct preferredDataLocation Wybierz atrybut źródłowy Niezaznaczone Zaktualizuj

  7. Aby utworzyć regułę ruchu przychodzącego, wybierz pozycję Dodaj.

Zrzut ekranu przedstawiający tworzenie reguły synchronizacji ruchu przychodzącego

Krok 6. Tworzenie reguły synchronizacji ruchu wychodzącego

Reguła synchronizacji ruchu wychodzącego zezwala na przepływ wartości atrybutu z metaverse do preferowanego atrybutuDataLocation w identyfikatorze Entra firmy Microsoft:

  1. Przejdź do Edytora reguł synchronizacji.

  2. Ustaw filtr wyszukiwania Kierunek wyszukiwania na wychodzący.

  3. Wybierz pozycję Dodaj nową regułę.

  4. Na karcie Opis podaj następującą konfigurację:

    Atrybut Wartość Szczegóły
    Nazwisko Podaj nazwę Na przykład "Out to Microsoft Entra ID — User preferredDataLocation"
    opis Podaj opis
    system Połączenie Wybierz Połączenie or firmy Microsoft
    Połączenie typ obiektu systemowego Użytkownik
    Typ obiektu Metaverse Osoba
    Typ łącza Dołącz
    Pierwszeństwo Wybierz liczbę z zakresu od 1 do 99 1–99 jest zarezerwowana dla niestandardowych reguł synchronizacji. Nie wybieraj wartości używanej przez inną regułę synchronizacji.

  5. Przejdź do karty Filtr określania zakresu i dodaj pojedynczą grupę filtrów określania zakresu z dwoma klauzulami:

    Atrybut Operator Wartość
    sourceObjectType RÓWNE User
    cloudMastered UWAGAQUAL Prawda

    Filtr określania zakresu określa, do których obiektów firmy Microsoft zastosowano tę regułę synchronizacji ruchu wychodzącego. W tym przykładzie użyjemy tego samego filtru określania zakresu z "Out to Microsoft Entra ID — User Identity" OOB (out-of-box) synchronizacji. Zapobiega to zastosowaniu reguły synchronizacji do obiektów użytkownika, które nie są synchronizowane z lokalna usługa Active Directory. Może być konieczne dostosowanie filtru określania zakresu zgodnie z wdrożeniem Połączenie firmy Microsoft.

  6. Przejdź do karty Przekształcenie i zaimplementuj następującą regułę przekształcania:

    Typ przepływu Atrybut docelowy Źródło Zastosuj raz Typ scalania
    Direct preferredDataLocation preferredDataLocation Niezaznaczone Zaktualizuj

  7. Zamknij pozycję Dodaj , aby utworzyć regułę ruchu wychodzącego.

Zrzut ekranu przedstawiający tworzenie reguły synchronizacji ruchu wychodzącego

Krok 7. Uruchamianie pełnego cyklu synchronizacji

Ogólnie rzecz biorąc, wymagany jest pełny cykl synchronizacji. Jest to spowodowane tym, że dodano nowe atrybuty zarówno do schematu usługi Active Directory, jak i microsoft Entra Połączenie or oraz wprowadzono niestandardowe reguły synchronizacji. Przed wyeksportowaniem zmian do identyfikatora Entra firmy Microsoft sprawdź zmiany. Poniższe kroki umożliwiają zweryfikowanie zmian podczas ręcznego uruchamiania kroków tworzących pełny cykl synchronizacji.

  1. Uruchom pełne importowanie na lokalna usługa Active Directory Połączenie or:

    1. Przejdź do karty Połączenie ors w programie Synchronization Service Manager.

    2. Kliknij prawym przyciskiem myszy lokalna usługa Active Directory Połączenie or, a następnie wybierz polecenie Uruchom.

    3. W oknie dialogowym wybierz pozycję Pełny import, a następnie wybierz przycisk OK.

    4. Poczekaj na zakończenie operacji.

      Uwaga

      Możesz pominąć pełny import na lokalna usługa Active Directory Połączenie or, jeśli atrybut źródłowy jest już uwzględniony na liście zaimportowanych atrybutów. Innymi słowy, nie trzeba było wprowadzać żadnych zmian w kroku 2 wcześniej w tym artykule.

  2. Uruchom pełne importowanie w usłudze Microsoft Entra Połączenie or:

    1. Kliknij prawym przyciskiem myszy pozycję Microsoft Entra Połączenie or, a następnie wybierz polecenie Uruchom.
    2. W oknie dialogowym wybierz pozycję Pełny import, a następnie wybierz przycisk OK.
    3. Poczekaj na zakończenie operacji.

  3. Sprawdź zmiany reguły synchronizacji w istniejącym obiekcie użytkownika .

    Atrybut źródłowy z lokalna usługa Active Directory i preferredDataLocation z identyfikatora Entra firmy Microsoft zostały zaimportowane do każdego odpowiedniego obszaru łącznika. Przed przejściem do kroku pełnej synchronizacji wykonaj podgląd istniejącego obiektu Użytkownika w obszarze lokalna usługa Active Directory Połączenie or. Wybrany obiekt powinien mieć wypełniony atrybut źródłowy. Pomyślna wersja zapoznawcza z preferowaną funkcjąDataLocation wypełniona w metaverse jest dobrym wskaźnikiem, który poprawnie skonfigurowano reguły synchronizacji. Aby uzyskać informacje o sposobie wykonywania podglądu, zobacz Weryfikowanie zmiany.

  4. Uruchom pełną synchronizację na lokalna usługa Active Directory Połączenie or:

    1. Kliknij prawym przyciskiem myszy lokalna usługa Active Directory Połączenie or, a następnie wybierz polecenie Uruchom.
    2. W oknie dialogowym wybierz pozycję Pełna synchronizacja, a następnie wybierz przycisk OK.
    3. Poczekaj na zakończenie operacji.

  5. Sprawdź oczekujące eksporty do identyfikatora entra firmy Microsoft:

    1. Kliknij prawym przyciskiem myszy pozycję Microsoft Entra Połączenie or, a następnie wybierz pozycję Wyszukaj Połączenie or Spacja.

    2. W oknie dialogowym Wyszukiwanie obszaru Połączenie or:

      a. Ustaw wartość Zakres na Oczekujący eksport.
      b. Zaznacz wszystkie trzy pola wyboru, w tym Dodaj, Modyfikuj i Usuń.
      c. Aby wyświetlić listę obiektów ze zmianami do wyeksportowania, wybierz pozycję Wyszukaj. Aby zbadać zmiany dla danego obiektu, kliknij dwukrotnie obiekt.
      d. Sprawdź, czy zmiany są oczekiwane.

  6. Uruchamianie eksportu w usłudze Microsoft Entra Połączenie or

    1. Kliknij prawym przyciskiem myszy pozycję Microsoft Entra Połączenie or, a następnie wybierz polecenie Uruchom.
    2. W oknie dialogowym Uruchamianie Połączenie or wybierz pozycję Eksportuj i wybierz przycisk OK.
    3. Poczekaj na zakończenie operacji.

Uwaga

Możesz zauważyć, że kroki nie obejmują pełnego kroku synchronizacji w programie Microsoft Entra Połączenie or lub kroku eksportu w usłudze Active Directory Połączenie or. Kroki nie są wymagane, ponieważ wartości atrybutów przepływają z lokalna usługa Active Directory do usługi Microsoft Entra-only.

Krok 8. Ponowne włączanie harmonogramu synchronizacji

Ponownie włącz wbudowany harmonogram synchronizacji:

  1. Uruchom sesję programu PowerShell.
  2. Włącz ponownie zaplanowaną synchronizację, uruchamiając następujące polecenie cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Krok 9. Weryfikowanie wyniku

Nadszedł czas na zweryfikowanie konfiguracji i włączenie jej dla użytkowników.

  1. Dodaj obszar geograficzny do wybranego atrybutu użytkownika. Lista dostępnych regionów geograficznych znajduje się w tej tabeli.
    Zrzut ekranu przedstawiający atrybut usługi AD dodany do użytkownika
  2. Poczekaj na zsynchronizowanie atrybutu z identyfikatorem Entra firmy Microsoft.
  3. Za pomocą programu PowerShell usługi Exchange Online sprawdź, czy region skrzynki pocztowej został poprawnie ustawiony.
    Zrzut ekranu programu PowerShell usługi Exchange Online
    Zakładając, że dzierżawa została oznaczona jako możliwość korzystania z tej funkcji, skrzynka pocztowa zostanie przeniesiona do poprawnego geograficznego. Można to zweryfikować, przeglądając nazwę serwera, w którym znajduje się skrzynka pocztowa.

Następne kroki

Dowiedz się więcej o funkcji Multi-Geo na platformie Microsoft 365:

Dowiedz się więcej o modelu konfiguracji w aucie synchronizacji:

Tematy omówienia: