Konfigurowanie synchronizacji o określonym zakresie z identyfikatora Entra firmy Microsoft do usług Microsoft Entra Domain Services przy użyciu centrum administracyjnego firmy Microsoft Entra
Aby zapewnić usługi uwierzytelniania, usługi Microsoft Entra Domain Services synchronizują użytkowników i grupy z identyfikatora Entra firmy Microsoft. W środowisku hybrydowym użytkownicy i grupy ze środowiska usług domenowych lokalna usługa Active Directory (AD DS) można najpierw zsynchronizować z firmą Microsoft Entra ID przy użyciu usługi Microsoft Entra Połączenie, a następnie zsynchronizować się z domeną zarządzaną usług domenowych.
Domyślnie wszyscy użytkownicy i grupy z katalogu Microsoft Entra są synchronizowane z domeną zarządzaną. Jeśli tylko niektórzy użytkownicy muszą korzystać z usług Domain Services, możesz zamiast tego wybrać synchronizację tylko grup użytkowników. Synchronizację można filtrować dla grup lokalnych, tylko w chmurze lub obu tych grup.
W tym artykule pokazano, jak skonfigurować synchronizację w zakresie, a następnie zmienić lub wyłączyć zestaw użytkowników o określonym zakresie przy użyciu centrum administracyjnego firmy Microsoft Entra. Możesz również wykonać te kroki przy użyciu programu PowerShell.
Zanim rozpoczniesz
Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:
- Aktywna subskrypcja platformy Azure.
- Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
- Dzierżawa firmy Microsoft Entra skojarzona z twoją subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem tylko w chmurze.
- W razie potrzeby utwórz dzierżawę firmy Microsoft Entra lub skojarz subskrypcję platformy Azure z twoim kontem.
- Domena zarządzana usług Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie firmy Microsoft Entra.
- W razie potrzeby ukończ samouczek, aby utworzyć i skonfigurować domenę zarządzaną usług Microsoft Entra Domain Services.
- Aby zmienić zakres synchronizacji usług Domain Services, potrzebna jest Administracja istrator aplikacji i grup Administracja istrator firmy Microsoft w dzierżawie.
Omówienie synchronizacji w zakresie
Domyślnie wszyscy użytkownicy i grupy z katalogu Microsoft Entra są synchronizowane z domeną zarządzaną. Synchronizację można ograniczyć tylko do kont użytkowników utworzonych w identyfikatorze Entra firmy Microsoft lub zsynchronizować wszystkich użytkowników.
Jeśli tylko kilka grup użytkowników musi uzyskać dostęp do domeny zarządzanej, możesz wybrać opcję Filtruj według uprawnień grupy, aby zsynchronizować tylko te grupy. Ta synchronizacja o określonym zakresie jest oparta tylko na grupach. Podczas konfigurowania synchronizacji w zakresie grupy tylko konta użytkowników należące do określonych grup są synchronizowane z domeną zarządzaną. Grupy zagnieżdżone nie są synchronizowane; tylko grupy, które określisz, są synchronizowane.
Zakres synchronizacji można zmienić przed lub po utworzeniu domeny zarządzanej. Zakres synchronizacji jest definiowany przez jednostkę usługi z identyfikatorem 2565bd9d-da50-47d4-8b85-4c97f669dc36
aplikacji . Aby zapobiec utracie zakresu, nie usuwaj ani nie zmieniaj jednostki usługi. Jeśli zostanie on przypadkowo usunięty, nie można odzyskać zakresu synchronizacji.
Pamiętaj o następujących zastrzeżeniach w przypadku zmiany zakresu synchronizacji:
- Wykonywana jest pełna synchronizacja.
- Obiekty, które nie są już wymagane w domenie zarządzanej, są usuwane. Nowe obiekty są tworzone w domenie zarządzanej.
Aby dowiedzieć się więcej na temat procesu synchronizacji, zobacz Omówienie synchronizacji w usługach Microsoft Entra Domain Services.
Włączanie synchronizacji z zakresem
Aby włączyć synchronizację w zakresie w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:
W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Microsoft Entra Domain Services. Wybierz domenę zarządzaną, taką jak aaddscontoso.com.
Wybierz pozycję Synchronizacja z menu po lewej stronie.
W obszarze Zakres synchronizacji wybierz pozycję Wszystkie lub Tylko chmura.
Aby filtrować synchronizację dla wybranych grup, kliknij pozycję Pokaż wybrane grupy, wybierz, czy synchronizować grupy tylko w chmurze, grupy lokalne, czy oba te grupy. Na przykład poniższy zrzut ekranu przedstawia sposób synchronizowania tylko trzech grup utworzonych w usłudze Microsoft Entra ID. Tylko użytkownicy należący do tych grup będą mieli swoje konta zsynchronizowane z usługami Domain Services.
Aby dodać grupy, kliknij pozycję Dodaj grupy, a następnie wyszukaj i wybierz grupy do dodania.
Po wprowadzeniu wszystkich zmian wybierz pozycję Zapisz zakres synchronizacji.
Zmiana zakresu synchronizacji powoduje ponowne zsynchronizowanie wszystkich danych przez domenę zarządzaną. Obiekty, które nie są już wymagane w domenie zarządzanej, są usuwane, a ponowna synchronizacja może zająć trochę czasu.
Modyfikowanie synchronizacji w zakresie
Aby zmodyfikować listę grup, których użytkownicy powinni być zsynchronizowani z domeną zarządzaną, wykonaj następujące kroki:
- W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Microsoft Entra Domain Services. Wybierz domenę zarządzaną, taką jak aaddscontoso.com.
- Wybierz pozycję Synchronizacja z menu po lewej stronie.
- Aby dodać grupę, wybierz pozycję + Dodaj grupy u góry, a następnie wybierz grupy do dodania.
- Aby usunąć grupę z zakresu synchronizacji, wybierz ją z listy aktualnie zsynchronizowanych grup i wybierz pozycję Usuń grupy.
- Po wprowadzeniu wszystkich zmian wybierz pozycję Zapisz zakres synchronizacji.
Zmiana zakresu synchronizacji powoduje ponowne zsynchronizowanie wszystkich danych przez domenę zarządzaną. Obiekty, które nie są już wymagane w domenie zarządzanej, są usuwane, a ponowna synchronizacja może zająć trochę czasu.
Wyłączanie synchronizacji w zakresie
Aby wyłączyć synchronizację w zakresie grupy dla domeny zarządzanej, wykonaj następujące kroki:
- W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Microsoft Entra Domain Services. Wybierz domenę zarządzaną, taką jak aaddscontoso.com.
- Wybierz pozycję Synchronizacja z menu po lewej stronie.
- Wyczyść pole wyboru Pokaż wybrane grupy, a następnie kliknij pozycję Zapisz zakres synchronizacji.
Zmiana zakresu synchronizacji powoduje ponowne zsynchronizowanie wszystkich danych przez domenę zarządzaną. Obiekty, które nie są już wymagane w domenie zarządzanej, są usuwane, a ponowna synchronizacja może zająć trochę czasu.
Następne kroki
Aby dowiedzieć się więcej na temat procesu synchronizacji, zobacz Omówienie synchronizacji w usługach Microsoft Entra Domain Services.