Udostępnij za pośrednictwem

Aprowizuj identyfikator Entra firmy Microsoft w usłudze Active Directory — konfiguracja

  • Artykuł

Poniższy dokument przeprowadzi Cię przez proces konfigurowania usługi Microsoft Entra Cloud Sync na potrzeby aprowizacji z usługi Microsoft Entra ID do usługi Active Directory. Jeśli szukasz informacji na temat aprowizacji z usługi AD do microsoft Entra ID, zobacz Konfigurowanie — aprowizowanie usługi Active Directory do usługi Microsoft Entra ID przy użyciu usługi Microsoft Entra Cloud Sync

Ważne

Publiczna wersja zapoznawcza funkcji zapisywania zwrotnego grup w wersji 2 w programie Microsoft Entra Connect Sync nie jest już dostępna od 30 czerwca 2024 r.. Ta funkcja została wycofana w tym dniu, a Microsoft Entra Connect Sync nie obsługuje już konfigurowania grup zabezpieczeń w chmurze w usłudze Active Directory. Ta funkcja nadal działa poza datą zakończenia; nie otrzymuje już wsparcia i może przestać działać w dowolnym momencie bez powiadomienia.

Oferujemy podobną funkcjonalność w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory, której można użyć zamiast Group Writeback v2 do aprowizowania grup zabezpieczeń chmurowych w Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Microsoft Entra Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w usłudze Microsoft Entra Cloud Sync.

Klienci korzystający z tej funkcji w wersji zapoznawczej w programie Microsoft Entra Connect Sync powinni przełączyć konfigurację z programu Microsoft Entra Connect Sync do usługi Microsoft Entra Cloud Sync. Możesz przenieść całą synchronizację hybrydową z usługą Microsoft Entra Cloud Sync (jeśli jest ona obsługiwana). Można również uruchomić Microsoft Entra Cloud Sync równocześnie i przenieść aprowizację grup zabezpieczeń w chmurze tylko do usługi Active Directory przy użyciu Microsoft Entra Cloud Sync.

W przypadku klientów, którzy aprowizują grupy Microsoft 365 do Active Directory, mogą oni nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1 w tym celu.

Możesz rozważyć przeniesienie się wyłącznie do usługi Microsoft Entra Cloud Sync przy użyciu kreatora synchronizacji użytkowników .

Konfiguruj dostarczanie

Aby skonfigurować aprowizację, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. Przejdź do Identity>Zarządzanie hybrydowe>Microsoft Entra Connect>Cloud Sync.

    Zrzut ekranu przedstawiający stronę główną usługi Microsoft Entra Connect Cloud Sync.

  1. Wybierz pozycję Nowa konfiguracja.
  2. Wybierz Synchronizację Microsoft Entra ID z AD.

Zrzut ekranu przedstawiający wybór konfiguracji.

  1. Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Kliknij pozycję Utwórz.

Zrzut ekranu przedstawiający nową konfigurację.

  1. Ekran Rozpocznij zostanie otwarty. W tym miejscu możesz kontynuować konfigurowanie synchronizacji z chmurą.

Zrzut ekranu przedstawiający sekcje konfiguracji.

  1. Konfiguracja jest podzielona na następujące 5 sekcji.
Sekcja opis
1. Dodawanie filtrów określania zakresu Ta sekcja służy do definiowania obiektów wyświetlanych w identyfikatorze Entra firmy Microsoft
2. Mapowanie atrybutów Ta sekcja służy do mapowania atrybutów między lokalnymi użytkownikami/grupami z obiektami Firmy Microsoft Entra
3. Test Testowanie konfiguracji przed jej wdrożeniem
4. Wyświetlanie właściwości domyślnych Wyświetlanie ustawienia domyślnego przed ich włączeniem i wprowadzanie zmian w odpowiednich przypadkach
5. Włącz swoją konfigurację Po uzyskaniu gotowości włącz konfigurację, a użytkownicy/grupy zaczną synchronizować

Przydzielanie zasobów dla określonych grup

Możesz określić zakres agenta, aby zsynchronizować wszystkie lub określone grupy zabezpieczeń. Grupy i jednostki organizacyjne można skonfigurować w ramach konfiguracji.

  1. Na ekranie Pierwsze kroki konfiguracji. Kliknij Dodaj filtry określania zakresu obok ikony Dodaj filtry określania zakresu, lub kliknij Filtry określania zakresu po lewej stronie w sekcji Zarządzaj.

Zrzut ekranu przedstawiający sekcje filtrów określania zakresu.

  1. Wybierz zakresowy filtr. Filtr może być jednym z następujących elementów:
  • Wszystkie grupy zabezpieczeń: określa zakres konfiguracji, która ma być stosowana do wszystkich grup zabezpieczeń w chmurze.
  • Wybrane grupy zabezpieczeń: określa zakres konfiguracji, która ma być stosowana do określonych grup zabezpieczeń.
  1. W przypadku określonych grup zabezpieczeń wybierz pozycję Edytuj grupy i wybierz żądane grupy z listy.

Uwaga

Jeśli wybierzesz grupę zabezpieczeń z zagnieżdżoną grupą zabezpieczeń jako jej członkinią, to tylko zagnieżdżona grupa zostanie zapisana z powrotem, a nie jej członkowie. Na przykład, jeśli grupa zabezpieczeń Sprzedaż jest członkiem grupy zabezpieczeń Marketing, to tylko sama grupa Sprzedaż zostanie ponownie zapisana, a nie jej członkowie.

Jeśli chcesz zagnieżdżać grupy i aprowizować je w usłudze Active Directory, musisz również dodać wszystkie grupy członkowskie do zakresu.

  1. Za pomocą pola Kontener docelowy można określić zakres grup używających określonego kontenera. Aby wykonać to zadanie, użyj atrybutu parentDistinguishedName. Użyj mapowania stałych, bezpośrednich lub wyrażeń.

Wiele kontenerów docelowych można skonfigurować przy użyciu wyrażenia mapowania atrybutów z funkcją Switch(). W tym wyrażeniu, jeśli wartość displayName to Marketing lub Sales, wtedy grupa jest tworzona w odpowiedniej jednostce organizacyjnej. Jeśli nie zostanie znalezione dopasowanie, grupa zostanie utworzona w domyślnej jednostce organizacyjnej.

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

Zrzut ekranu przedstawiający wyrażenie filtrów określania zakresu.

  1. Filtrowanie zakresu opartego na atrybutach jest obsługiwane. Aby uzyskać więcej informacji, zobacz Filtrowanie zakresu na podstawie atrybutów i Dokumentacja dotycząca pisania wyrażeń dla mapowania atrybutów w usłudze Microsoft Entra ID i Scenariusz — używanie rozszerzeń katalogu z aprowizowaniem grup w usłudze Active Directory.
  2. Po skonfigurowaniu filtrów określania zakresu kliknij przycisk Zapisz.
  3. Po zapisaniu powinien zostać wyświetlony komunikat informujący o tym, co nadal trzeba zrobić, aby skonfigurować synchronizację w chmurze. Możesz kliknąć link, aby kontynuować. Zrzut ekranu przedstawiający wskazówkę dotyczącą filtrów zakresu.

Określanie zakresu udostępniania dla określonych grup przy użyciu rozszerzeń katalogu

Aby uzyskać bardziej zaawansowane określanie zakresu i filtrowanie, można skonfigurować użycie rozszerzeń katalogu. Aby uzyskać przegląd rozszerzeń katalogów, zobacz Directory extensions for provisioning Microsoft Entra ID to Active Directory (Rozszerzenia katalogów do aprowizowania Microsoft Entra ID w usłudze Active Directory).

Aby zapoznać się z samouczkiem krok po kroku dotyczącym rozszerzania schematu, a następnie używania atrybutu rozszerzenia katalogu z aprowizowaniem synchronizacji chmury z usługą AD, zobacz Scenariusz — używanie rozszerzeń katalogów z aprowizowaniem grup w usłudze Active Directory.

Mapowanie atrybutów

Usługa Microsoft Entra Cloud Sync umożliwia łatwe mapowanie atrybutów między lokalnymi obiektami użytkowników/grup i obiektów w usłudze Microsoft Entra ID.

Zrzut ekranu przedstawiający domyślne mapowania atrybutów.

Domyślne mapowania atrybutów można dostosować zgodnie z potrzebami biznesowymi. Możesz więc zmienić lub usunąć istniejące mapowania atrybutów lub utworzyć nowe mapowania atrybutów.

Po zapisaniu powinien zostać wyświetlony komunikat informujący o tym, co nadal trzeba zrobić, aby skonfigurować synchronizację w chmurze. Możesz kliknąć link, aby kontynuować.

Aby uzyskać więcej informacji, zobacz mapowanie atrybutów i odniesienie do pisania wyrażeń dla mapowań atrybutów w Microsoft Entra ID.

Rozszerzenia katalogu i mapowanie atrybutów niestandardowych.

Usługa Microsoft Entra Cloud Sync umożliwia rozszerzenie katalogu przy użyciu rozszerzeń i zapewnia mapowanie atrybutów niestandardowych. Aby uzyskać więcej informacji, zobacz Directory extensions and custom attribute mapping (Rozszerzenia katalogu i mapowanie atrybutów niestandardowych).

Dostarczanie na żądanie

Usługa Microsoft Entra Cloud Sync umożliwia testowanie zmian konfiguracji przez zastosowanie tych zmian do pojedynczego użytkownika lub grupy.

Zrzut ekranu przedstawiający udostępnianie na żądanie.

Służy to do sprawdzania poprawności i sprawdzania, czy zmiany wprowadzone w konfiguracji zostały prawidłowo zastosowane i są prawidłowo synchronizowane z identyfikatorem Entra firmy Microsoft.

Po przetestowaniu powinien zostać wyświetlony komunikat informujący o tym, co nadal trzeba zrobić, aby skonfigurować synchronizację w chmurze. Możesz kliknąć link, aby kontynuować.

Aby uzyskać więcej informacji, zobacz oprogramowanie na żądanie.

Przypadkowe usunięcia i powiadomienia e-mail

Sekcja właściwości domyślnych zawiera informacje o przypadkowych usunięciach i powiadomieniach e-mail.

Funkcja przypadkowego usuwania została zaprojektowana w celu ochrony przed przypadkowymi zmianami konfiguracji i zmianami w katalogu lokalnym, które miałyby wpływ na wielu użytkowników i grupy.

Ta funkcja umożliwia:

  • Skonfiguruj możliwość automatycznego zapobiegania przypadkowym usuwaniu.
  • Ustaw liczbę obiektów (próg), poza którą konfiguracja zacznie obowiązywać
  • Skonfiguruj adres e-mail, aby otrzymywać powiadomienie, gdy dane zadanie synchronizacji zostanie poddane kwarantannie w tym scenariuszu.

Aby uzyskać więcej informacji, zobacz Przypadkowe usuwanie

Kliknij ołówek obok pozycji Podstawy, aby zmienić ustawienia domyślne w konfiguracji.

Włącz swoją konfigurację

Po zakończeniu i przetestowaniu konfiguracji możesz ją włączyć.

Kliknij pozycję Włącz konfigurację , aby ją włączyć.

Kwarantanny

Synchronizacja w chmurze monitoruje kondycję konfiguracji i umieszcza obiekty w złej kondycji w stanie kwarantanny. Jeśli większość lub wszystkie wywołania wykonywane względem systemu docelowego stale kończą się niepowodzeniem z powodu błędu, na przykład nieprawidłowe poświadczenia administratora, zadanie synchronizacji jest oznaczone jako w kwarantannie. Aby uzyskać więcej informacji, zobacz sekcję dotyczącą rozwiązywania problemów dotyczących kwarantann.

Ponowne uruchamianie konfiguracji

Jeśli nie chcesz czekać na następne zaplanowane uruchomienie, wyzwól proces aprowizacji, używając przycisku 'Uruchom ponownie synchronizację'.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. Przejdź do Identity>Zarządzanie hybrydowe>Microsoft Entra Connect>Cloud Sync.

    Zrzut ekranu przedstawiający stronę główną usługi Microsoft Entra Connect Cloud Sync.

  1. W obszarze Konfiguracja wybierz konfigurację.

  2. U góry wybierz pozycję Uruchom ponownie synchronizację.

Usuwanie konfiguracji

Aby usunąć konfigurację, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. Przejdź do Identity>Zarządzanie hybrydowe>Microsoft Entra Connect>Cloud Sync.

    Zrzut ekranu przedstawiający stronę główną usługi Microsoft Entra Connect Cloud Sync.

  1. W obszarze Konfiguracja wybierz konfigurację.

  2. W górnej części ekranu konfiguracji wybierz pozycję Usuń konfigurację.

Ważne

Nie ma potwierdzenia przed usunięciem konfiguracji. Przed wybraniem pozycji Usuń upewnij się, że jest to akcja, którą chcesz wykonać.

Następne kroki