Share via

Topologier och scenarier som stöds av Microsoft Entra molnsynkronisering

  • Artikel

Den här artikeln beskriver olika lokala och Microsoft Entra-topologier som använder Microsoft Entra Cloud Sync. Den här artikeln innehåller endast konfigurationer och scenarier som stöds.

Viktigt!

Microsoft stöder inte ändring eller drift av Microsoft Entra Cloud Sync utanför de konfigurationer eller åtgärder som formellt dokumenteras. Någon av dessa konfigurationer eller åtgärder kan resultera i ett inkonsekvent eller tillstånd som inte stöds för Microsoft Entra Cloud Sync. Därför kan Microsoft inte tillhandahålla teknisk support för sådana distributioner.

Mer information finns i följande video.

Saker att komma ihåg om alla scenarier och topologier

Informationen nedan bör hållas i åtanke när du väljer en lösning.

  • Användare och grupper måste identifieras unikt i alla skogar.
  • Matchning mellan skogar sker inte med molnsynkronisering.
  • Källankaret för objekt väljs automatiskt. Den använder ms-DS-ConsistencyGuid om det finns, annars används ObjectGUID.
  • Du kan inte ändra attributet som används för källankare.

Topologier som stöds av Active Directory till Microsoft Entra

Följande topologier stöds för etablering från Active Directory till Microsoft Entra-ID.

Enskild skog, enskild Microsoft Entra-klientorganisation

Diagram som visar topologin för en enskild skog och en enda klientorganisation.

Den enklaste topologin är en enda lokal skog, med en eller flera domäner och en enda Microsoft Entra-klientorganisation. Ett exempel på det här scenariot finns i Självstudie: En enskild skog med en enda Microsoft Entra-klientorganisation

Flera skogar, enskild Microsoft Entra-klientorganisation

Topologi för en flera skogar och en enda klientorganisation

Flera AD-skogar är en vanlig topologi, med en eller flera domäner och en enda Microsoft Entra-klientorganisation.

Befintlig skog med Microsoft Entra Anslut, ny skog med molnetablering

Diagram som visar topologin för en befintlig skog och en ny skog.

Det här scenariot liknar scenariot med flera skogar, men det här gäller en befintlig Microsoft Entra-Anslut miljö och sedan skapar en ny skog med Hjälp av Microsoft Entra Cloud Sync. Ett exempel på det här scenariot finns i Självstudie: En befintlig skog med en enda Microsoft Entra-klientorganisation

Testa Microsoft Entra Cloud Sync i en befintlig AD-hybridskog

Topologi för en enskild skog och en enda klientorganisationPilotscenariot omfattar förekomsten av både Microsoft Entra Anslut och Microsoft Entra Cloud Sync i samma skog och omfånget av användare och grupper i enlighet därmed. Obs! Ett objekt ska bara finnas i ett av verktygen.

Ett exempel på det här scenariot finns i Självstudie: Pilot Microsoft Entra Cloud Sync i en befintlig synkroniserad AD-skog

Slå samman objekt från frånkopplade källor

(Offentlig förhandsversion)

Diagram för sammanslagning av objekt från frånkopplade källor I det här scenariot bidrar en användares attribut till av två frånkopplade Active Directory-skogar.

Ett exempel är:

  • En skog (1) innehåller de flesta attributen.
  • En andra skog (2) innehåller några attribut.

Eftersom den andra skogen inte har nätverksanslutning till Microsoft Entra Anslut-servern kan objektet inte sammanfogas via Microsoft Entra Anslut. Med molnsynkronisering i den andra skogen kan attributvärdet hämtas från den andra skogen. Värdet kan sedan sammanfogas med objektet i Microsoft Entra-ID som synkroniseras av Microsoft Entra Anslut.

Den här konfigurationen är avancerad och det finns några varningar till den här topologin:

  1. Du måste använda ms-DS-ConsistencyGuid som källankare i molnsynkroniseringskonfigurationen.
  2. Användarobjektets ms-DS-ConsistencyGuid i den andra skogen måste matcha motsvarande objekt i Microsoft Entra-ID.
  3. Du måste fylla UserPrincipalName i attributet och Alias attributet i den andra skogen och det måste matcha de som synkroniseras från den första skogen.
  4. Du måste ta bort alla attribut från attributmappningen i molnsynkroniseringskonfigurationen som inte har något värde eller som kan ha ett annat värde i den andra skogen – du kan inte ha överlappande attributmappningar mellan den första skogen och den andra.
  5. Om det inte finns något matchande objekt i den första skogen skapar molnsynkronisering fortfarande objektet i Microsoft Entra-ID för ett objekt som synkroniseras från den andra skogen. Objektet har bara de attribut som definieras i mappningskonfigurationen för molnsynkronisering för den andra skogen.
  6. Om du tar bort objektet från den andra skogen tas det tillfälligt bort mjukt i Microsoft Entra-ID. Den återställs automatiskt efter nästa Synkroniseringscykel för Microsoft Entra Anslut.
  7. Om du tar bort objektet från den första skogen tas det bort mjukt från Microsoft Entra-ID. Objektet återställs inte om inte en ändring görs i objektet i den andra skogen. Efter 30 dagar tas objektet bort hårt från Microsoft Entra-ID och om en ändring görs i objektet i den andra skogen skapas det som ett nytt objekt i Microsoft Entra-ID.

Topologier som stöds av Microsoft Entra ID till Active Directory

Följande topologier stöds för etablering från Microsoft Entra-ID till Active Directory.

Etablering av en enskild skogsgrupp till Active Directory

Konceptuellt diagram över tillbakaskrivning av en enskild skog.

Den enklaste topologin för gruppetablering är en enda lokal skog med en eller flera domäner och en enda Microsoft Entra-klientorganisation. Ett exempel på det här scenariot finns i Etablera grupper till Active Directory

Etablering av grupper med flera skogar till Active Directory

Konceptdiagram över tillbakaskrivning i flera skogar.

En mer avancerad topologi för gruppetablering består av flera lokala AD-skogar som delar en enda Microsoft Entra ID-klientorganisation.

Den här konfigurationen är avancerad och det finns några saker att komma ihåg med den här topologin:

  • Grupper som har etablerats till AD med hjälp av molnsynkronisering kan bara innehålla lokala synkroniserade användare och/eller ytterligare molnskapade säkerhetsgrupper.
  • Alla dessa användare måste ha attributet onPremisesObjectIdentifier inställt på sitt konto.
  • OnPremisesObjectIdentifier måste matcha en motsvarande objectGUID i AD-målmiljön.
  • Ett objectGUID-attribut för lokala användare till molnanvändare påPremisesObjectIdentifier-attribut kan synkroniseras med antingen Microsoft Entra Cloud Sync (1.1.1370.0) eller Microsoft Entra Anslut Sync (2.2.8.0)
  • I klientorganisationen kan du dela en gemensam grupp som innehåller användare från båda skogarna.
  • Användare som inte finns i den andra skogen etableras dock INTE som medlemmar i gruppen när den etableras lokalt. Så om du har en grupp i Microsoft Entra-ID som innehåller användare från contoso.com och fabrikam.com är det bara de användare som finns i den contoso.com skogen som är medlemmar i gruppen när den etableras till contoso.com. Och samma sak med fabrikam.

Nästa steg