Jak obiekty i poświadczenia są synchronizowane w domenie zarządzanej usług Microsoft Entra Domain Services
Obiekty i poświadczenia w domenie zarządzanej przez Microsoft Entra Domain Services mogą być tworzone lokalnie w domenie lub synchronizowane z dzierżawą Microsoft Entra. Po pierwszym wdrożeniu usług Domain Services skonfigurowano automatyczną jednokierunkową synchronizację i rozpoczęto replikację obiektów z identyfikatora Entra firmy Microsoft. Ta jednokierunkowa synchronizacja jest nadal uruchamiana w tle, aby zapewnić aktualność domeny zarządzanej usług Domain Services z wszelkimi zmianami z identyfikatora Entra firmy Microsoft. Nie ma synchronizacji z usług Domain Services z powrotem do identyfikatora Entra firmy Microsoft.
W środowisku hybrydowym obiekty i poświadczenia z lokalnej domeny usług AD DS mogą być synchronizowane z identyfikatorem Entra firmy Microsoft przy użyciu Połączenie firmy Microsoft. Po pomyślnym zsynchronizowaniu tych obiektów z identyfikatorem Entra firmy Microsoft automatyczna synchronizacja w tle udostępnia te obiekty i poświadczenia aplikacjom przy użyciu domeny zarządzanej.
Na poniższym diagramie pokazano, jak działa synchronizacja między usługami Domain Services, identyfikatorem Firmy Microsoft Entra i opcjonalnym lokalnym środowiskiem usług AD DS:
Synchronizacja z usługi Microsoft Entra ID do usług Domain Services
Konta użytkowników, członkostwo w grupach i skróty poświadczeń są synchronizowane w jeden sposób z identyfikatora Entra firmy Microsoft do usług Domain Services. Ten proces synchronizacji jest automatyczny. Nie musisz konfigurować, monitorować ani zarządzać tym procesem synchronizacji. Synchronizacja początkowa może potrwać od kilku godzin do kilku dni, w zależności od liczby obiektów w katalogu Microsoft Entra. Po zakończeniu synchronizacji początkowej zmiany wprowadzone w identyfikatorze Entra firmy Microsoft, takie jak zmiany hasła lub atrybutu, są automatycznie synchronizowane z usługami Domain Services.
Po utworzeniu użytkownika w usłudze Microsoft Entra ID nie są synchronizowane z usługami Domain Services do momentu zmiany hasła w identyfikatorze Entra firmy Microsoft. Ten proces zmiany hasła powoduje wygenerowanie i zapisanie skrótów haseł dla uwierzytelniania Kerberos i NTLM w usłudze Microsoft Entra ID. Skróty haseł są wymagane do pomyślnego uwierzytelnienia użytkownika w usługach Domenowych.
Proces synchronizacji jest jednokierunkowy zgodnie z projektem. Nie ma odwrotnej synchronizacji zmian z usług domenowych z powrotem do identyfikatora Entra firmy Microsoft. Domena zarządzana jest w dużej mierze tylko do odczytu z wyjątkiem niestandardowych jednostek organizacyjnych, które można utworzyć. Nie można wprowadzać zmian w atrybutach użytkownika, hasłach użytkowników lub członkostwie w grupach w domenie zarządzanej.
Synchronizacja w zakresie i filtr grup
Synchronizację można ograniczyć tylko do kont użytkowników pochodzących z chmury. W tym zakresie synchronizacji można filtrować pod kątem określonych grup lub użytkowników. Można wybrać między grupami tylko w chmurze, grupami lokalnymi lub obydwoma. Aby uzyskać więcej informacji na temat konfigurowania synchronizacji w zakresie, zobacz Konfigurowanie synchronizacji w zakresie.
Synchronizacja atrybutów i mapowanie na usługi Domain Services
W poniższej tabeli wymieniono niektóre typowe atrybuty i sposób ich synchronizacji z usługami Domain Services.
Atrybut w usługach domenowych | Źródło | Uwagi |
---|---|---|
UPN (Nazwa UPN) | Atrybut UPN użytkownika w dzierżawie firmy Microsoft Entra | Atrybut NAZWY UPN z dzierżawy microsoft Entra jest synchronizowany zgodnie z zasadami domeny. Najbardziej niezawodnym sposobem logowania się do domeny zarządzanej jest użycie nazwy UPN. |
Samaccountname | Atrybut mailNickname użytkownika w dzierżawie usługi Microsoft Entra lub wygenerowany automatycznie | Atrybut SAMAccountName pochodzi z atrybutu mailNickname w dzierżawie microsoft Entra. Jeśli wiele kont użytkowników ma ten sam atrybut mailNickname , nazwa SAMAccountName jest generowana automatycznie. Jeśli prefiks mailNickname lub UPN użytkownika jest dłuższy niż 20 znaków, parametr SAMAccountName jest generowany automatycznie, aby spełnić limit 20 znaków atrybutów SAMAccountName. |
Passwords | Hasło użytkownika z dzierżawy firmy Microsoft Entra | Starsze skróty haseł wymagane do uwierzytelniania NTLM lub Kerberos są synchronizowane z dzierżawy firmy Microsoft Entra. Jeśli dzierżawa firmy Microsoft Entra jest skonfigurowana do synchronizacji hybrydowej przy użyciu Połączenie firmy Microsoft, te skróty haseł pochodzą ze środowiska lokalnego usług AD DS. |
Podstawowy identyfikator SID użytkownika/grupy | Wygenerowany automatycznie | Podstawowy identyfikator SID dla kont użytkowników/grup jest automatycznie generowany w usługach Domain Services. Ten atrybut nie jest zgodny z podstawowym identyfikatorem SID użytkownika/grupy obiektu w lokalnym środowisku usług AD DS. Ta niezgodność jest taka, ponieważ domena zarządzana ma inną przestrzeń nazw SID niż lokalna domena usług AD DS. |
Historia identyfikatorów SID dla użytkowników i grup | Lokalny podstawowy identyfikator SID użytkownika i grupy | Atrybut SidHistory dla użytkowników i grup w usługach domenowych jest ustawiony tak, aby był zgodny z odpowiednim podstawowym identyfikatorem SID użytkownika lub grupy w lokalnym środowisku usług AD DS. Ta funkcja ułatwia przenoszenie aplikacji lokalnych do usług Domain Services, ponieważ nie trzeba ponownie tworzyć zasobów listy ACL. |
Napiwek
Zaloguj się do domeny zarządzanej przy użyciu formatuNAZWY UPN Atrybut SAMAccountName , taki jak AADDSCONTOSO\driley
, może być generowany automatycznie dla niektórych kont użytkowników w domenie zarządzanej. Automatycznie wygenerowana nazwa SAMAccountName użytkowników może różnić się od prefiksu nazwy UPN, więc nie zawsze jest to niezawodny sposób logowania.
Jeśli na przykład wielu użytkowników ma ten sam atrybut mailNickname lub użytkownicy mają nadmiernie długie prefiksy nazwy UPN, nazwa SAMAccountName dla tych użytkowników może być generowana automatycznie. W celu prawidłowego zalogowania się w domenie zarządzanej, użyj formatu nazwy UPN, np. driley@aaddscontoso.com
.
Mapowanie atrybutów dla kont użytkowników
W poniższej tabeli przedstawiono, w jaki sposób określone atrybuty obiektów użytkownika w identyfikatorze Entra firmy Microsoft są synchronizowane z odpowiednimi atrybutami w usługach domenowych.
Atrybut użytkownika w identyfikatorze Entra firmy Microsoft | Atrybut użytkownika w usługach domenowych |
---|---|
accountEnabled | userAccountControl (ustawia lub czyści bit ACCOUNT_DISABLED) |
miejscowość | l |
Companyname | Companyname |
kraj | co |
department | department |
displayName | displayName |
Idpracownika | Idpracownika |
facsimileTelephoneNumber | facsimileTelephoneNumber |
givenName | givenName |
jobTitle | title |
poczta | poczta |
mailNickname | msDS-AzureADMailNickname |
mailNickname | SAMAccountName (może być czasami generowane automatycznie) |
manager | manager |
mobilnych | mobilnych |
Objectid | msDS-aadObjectId |
onPremiseSecurityIdentifier | Sidhistory |
passwordPolicies | userAccountControl (ustawia lub czyści DONT_EXPIRE_PASSWORD bit) |
physicalDeliveryOfficeName | physicalDeliveryOfficeName |
postalCode | postalCode |
preferredLanguage | preferredLanguage |
proxyAddresses | proxyAddresses |
stan | XXI w. |
streetAddress | streetAddress |
surname | sn |
telephoneNumber | telephoneNumber |
userPrincipalName | userPrincipalName |
Mapowanie atrybutów dla grup
W poniższej tabeli przedstawiono, w jaki sposób określone atrybuty obiektów grupy w identyfikatorze Entra firmy Microsoft są synchronizowane z odpowiednimi atrybutami w usługach domenowych.
Atrybut grupy w identyfikatorze Entra firmy Microsoft | Atrybut grupy w usługach domenowych |
---|---|
displayName | displayName |
displayName | SAMAccountName (może być czasami generowane automatycznie) |
poczta | poczta |
mailNickname | msDS-AzureADMailNickname |
Objectid | msDS-AzureADObjectId |
onPremiseSecurityIdentifier | Sidhistory |
proxyAddresses | proxyAddresses |
securityEnabled | groupType |
Synchronizacja z lokalnych usług AD DS do usług Microsoft Entra ID i Domain Services
Firma Microsoft Entra Połączenie służy do synchronizowania kont użytkowników, członkostwa w grupach i skrótów poświadczeń z lokalnego środowiska usług AD DS do identyfikatora entra firmy Microsoft. Atrybuty kont użytkowników, takich jak nazwa UPN i lokalny identyfikator zabezpieczeń (SID) są synchronizowane. Aby zalogować się przy użyciu usług Domain Services, starsze skróty haseł wymagane do uwierzytelniania NTLM i Kerberos są również synchronizowane z identyfikatorem Entra firmy Microsoft.
Ważne
Firma Microsoft Entra Połączenie powinna być zainstalowana i skonfigurowana tylko do synchronizacji z lokalnymi środowiskami usług AD DS. Nie jest obsługiwane instalowanie Połączenie firmy Microsoft w domenie zarządzanej w celu synchronizowania obiektów z powrotem do identyfikatora Entra firmy Microsoft.
W przypadku skonfigurowania zapisywania zwrotnego zmiany z identyfikatora entra firmy Microsoft są synchronizowane z powrotem do lokalnego środowiska usług AD DS. Jeśli na przykład użytkownik zmieni hasło przy użyciu samoobsługowego zarządzania hasłami firmy Microsoft, hasło zostanie zaktualizowane ponownie w lokalnym środowisku usług AD DS.
Uwaga
Zawsze używaj najnowszej wersji programu Microsoft Entra Połączenie, aby upewnić się, że masz poprawki dla wszystkich znanych usterek.
Synchronizacja ze środowiska lokalnego z wieloma lasami
Wiele organizacji ma dość złożone lokalne środowisko usług AD DS, które obejmuje wiele lasów. Firma Microsoft Entra Połączenie obsługuje synchronizowanie skrótów użytkowników, grup i poświadczeń ze środowisk z wieloma lasami do identyfikatora Entra firmy Microsoft.
Identyfikator Entra firmy Microsoft ma znacznie prostszą i płaską przestrzeń nazw. Aby umożliwić użytkownikom niezawodny dostęp do aplikacji zabezpieczonych za pomocą identyfikatora Entra firmy Microsoft, rozwiąż konflikty nazwy UPN między kontami użytkowników w różnych lasach. Domeny zarządzane używają płaskiej struktury jednostki organizacyjnej podobnej do identyfikatora Entra firmy Microsoft. Wszystkie konta użytkowników i grupy są przechowywane w kontenerze Użytkownicy usługi AADDC, mimo że są synchronizowane z różnych domen lokalnych lub lasów, nawet jeśli skonfigurowano hierarchiczną strukturę jednostki organizacyjnej lokalnie. Domena zarządzana spłaszcza wszystkie hierarchiczne struktury jednostek organizacyjnych.
Jak opisano wcześniej, nie ma synchronizacji z usług domenowych z powrotem do identyfikatora Entra firmy Microsoft. Możesz utworzyć niestandardową jednostkę organizacyjną (OU) w usługach domenowych, a następnie użytkowników, grupy lub konta usług w ramach tych niestandardowych jednostek organizacyjnych. Żaden z obiektów utworzonych w niestandardowych jednostkach organizacyjnych nie jest synchronizowany z powrotem do identyfikatora Entra firmy Microsoft. Te obiekty są dostępne tylko w domenie zarządzanej i nie są widoczne przy użyciu poleceń cmdlet programu PowerShell programu Microsoft Graph, interfejsu API programu Microsoft Graph ani centrum administracyjnego firmy Microsoft Entra.
Co nie jest synchronizowane z usługami Domain Services
Następujące obiekty lub atrybuty nie są synchronizowane z lokalnego środowiska usług AD DS do usługi Microsoft Entra ID lub Usług domenowych:
- Wykluczone atrybuty: możesz wykluczyć niektóre atrybuty z synchronizacji z identyfikatorem Entra firmy Microsoft z lokalnego środowiska usług AD DS przy użyciu usługi Microsoft Entra Połączenie. Te wykluczone atrybuty nie są wtedy dostępne w usługach domenowych.
- Zasady grupy: zasady grupy skonfigurowane w lokalnym środowisku usług AD DS nie są synchronizowane z usługami Domain Services.
- Folder Sysvol: zawartość folderu Sysvol w lokalnym środowisku usług AD DS nie jest synchronizowana z usługami Domain Services.
- Obiekty komputerów: obiekty komputerów przyłączone do lokalnego środowiska usług AD DS nie są synchronizowane z usługami Domain Services. Te komputery nie mają relacji zaufania z domeną zarządzaną i należą tylko do lokalnego środowiska usług AD DS. W usługach Domain Services są wyświetlane tylko obiekty komputerów, które mają jawnie przyłączone do domeny zarządzanej.
- Atrybuty sidHistory dla użytkowników i grup: identyfikatory SID użytkownika podstawowego i grupy podstawowej z lokalnego środowiska usług AD DS są synchronizowane z usługami Domain Services. Jednak istniejące atrybuty SidHistory dla użytkowników i grup nie są synchronizowane z lokalnego środowiska usług AD DS do usług Domain Services.
- Struktury jednostek organizacyjnych (OU): Jednostki organizacyjne zdefiniowane w lokalnym środowisku usług AD DS nie są synchronizowane z usługami Domain Services. Istnieją dwie wbudowane jednostki organizacyjne w usługach domenowych — jeden dla użytkowników i jeden dla komputerów. Domena zarządzana ma płaską strukturę jednostki organizacyjnej. Możesz utworzyć niestandardową jednostkę organizacyjną w domenie zarządzanej.
Zagadnienia dotyczące synchronizacji skrótów haseł i zabezpieczeń
Po włączeniu usług Domain Services wymagane są starsze skróty haseł dla uwierzytelniania NTLM i Kerberos. Identyfikator entra firmy Microsoft nie przechowuje haseł w postaci zwykłego tekstu, więc nie można automatycznie wygenerować tych skrótów dla istniejących kont użytkowników. Skróty haseł zgodne z protokołem NTLM i Kerberos są zawsze przechowywane w sposób zaszyfrowany w usłudze Microsoft Entra ID.
Klucze szyfrowania są unikatowe dla każdej dzierżawy firmy Microsoft Entra. Te skróty są szyfrowane w taki sposób, że tylko usługi Domain Services mają dostęp do kluczy odszyfrowywania. Żadna inna usługa lub składnik w identyfikatorze Entra firmy Microsoft nie ma dostępu do kluczy odszyfrowywania.
Starsze skróty haseł są następnie synchronizowane z identyfikatorem Entra firmy Microsoft z kontrolerami domeny dla domeny zarządzanej. Dyski dla tych zarządzanych kontrolerów domeny w usługach domenowych są szyfrowane w spoczynku. Te skróty haseł są przechowywane i zabezpieczone na tych kontrolerach domeny, podobnie jak w przypadku przechowywania i zabezpieczania haseł w lokalnym środowisku usług AD DS.
W przypadku środowisk firmy Microsoft Entra tylko w chmurze użytkownicy muszą zresetować/zmienić swoje hasło , aby wymagane skróty haseł mogły być generowane i przechowywane w identyfikatorze Entra firmy Microsoft. W przypadku dowolnego konta użytkownika w chmurze utworzonego w usłudze Microsoft Entra ID po włączeniu usług Microsoft Entra Domain Services skróty haseł są generowane i przechowywane w formatach zgodnych z protokołami NTLM i Kerberos. Wszystkie konta użytkowników w chmurze muszą zmienić swoje hasło, zanim zostaną zsynchronizowane z usługami Domain Services.
W przypadku kont użytkowników hybrydowych synchronizowanych ze środowiska lokalnego usług AD DS przy użyciu usługi Microsoft Entra Połączenie należy skonfigurować Połączenie firmy Microsoft w celu synchronizowania skrótów haseł w formatach zgodnych z protokołami NTLM i Kerberos.
Następne kroki
Aby uzyskać więcej informacji na temat specyfiki synchronizacji haseł, zobacz Jak działa synchronizacja skrótów haseł z firmą Microsoft Entra Połączenie.
Aby rozpocząć pracę z usługami Domain Services, utwórz domenę zarządzaną.