Konfigurera begränsad synkronisering från Microsoft Entra-ID till Microsoft Entra Domain Services med hjälp av administrationscentret för Microsoft Entra

Artikel
10/19/2023

För att tillhandahålla autentiseringstjänster synkroniserar Microsoft Entra Domain Services användare och grupper från Microsoft Entra-ID. I en hybridmiljö kan användare och grupper från en lokal Active Directory Domain Services-miljö (AD DS) först synkroniseras till Microsoft Entra-ID med Microsoft Entra Anslut och sedan synkroniseras till en domän som hanteras av Domain Services.

Som standard synkroniseras alla användare och grupper från en Microsoft Entra-katalog till en hanterad domän. Om bara vissa användare behöver använda Domain Services kan du i stället välja att endast synkronisera grupper av användare. Du kan filtrera synkronisering för grupper lokalt, endast molnet eller båda.

Den här artikeln visar hur du konfigurerar begränsad synkronisering och sedan ändrar eller inaktiverar uppsättningen begränsade användare med hjälp av administrationscentret för Microsoft Entra. Du kan också utföra de här stegen med hjälp av PowerShell.

Screenshot of group filter option.

Innan du börjar

För att slutföra den här artikeln behöver du följande resurser och behörigheter:

En aktiv Azure-prenumeration.
- Om du inte har en Azure-prenumeration skapar du ett konto.
En Microsoft Entra-klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en katalog som endast är molnbaserad.
- Om det behövs skapar du en Microsoft Entra-klientorganisation eller associerar en Azure-prenumeration med ditt konto.
En hanterad domän i Microsoft Entra Domain Services har aktiverats och konfigurerats i din Microsoft Entra-klientorganisation.
- Om det behövs slutför du självstudien för att skapa och konfigurera en hanterad Domän för Microsoft Entra Domain Services.
Du behöver Microsoft Entra-roller som programadministratör och gruppadministratör för att ändra synkroniseringsomfånget för Domäntjänster.

Översikt över begränsad synkronisering

Som standard synkroniseras alla användare och grupper från en Microsoft Entra-katalog till en hanterad domän. Du kan begränsa synkroniseringen till endast användarkonton som har skapats i Microsoft Entra-ID eller synkronisera alla användare.

Om bara några få grupper av användare behöver komma åt den hanterade domänen kan du välja Filtrera efter gruppbehörighet för att endast synkronisera dessa grupper. Den här begränsade synkroniseringen är endast gruppbaserad. När du konfigurerar gruppbaserad omfångssynkronisering synkroniseras endast de användarkonton som tillhör de grupper som du anger till den hanterade domänen. Kapslade grupper synkroniseras inte. endast de grupper som du anger synkroniseras.

Du kan ändra synkroniseringsomfånget före eller efter att du har skapat den hanterade domänen. Synkroniseringens omfattning definieras av ett huvudnamn för tjänsten med programidentifieraren 2565bd9d-da50-47d4-8b85-4c97f669dc36. Om du vill förhindra omfångsförlust ska du inte ta bort eller ändra tjänstens huvudnamn. Om den tas bort av misstag kan synkroniseringsomfånget inte återställas.

Tänk på följande varningar om du ändrar synkroniseringsomfånget:

En fullständig synkronisering sker.
Objekt som inte längre krävs i den hanterade domänen tas bort. Nya objekt skapas i den hanterade domänen.

Mer information om synkroniseringsprocessen finns i Förstå synkronisering i Microsoft Entra Domain Services.

Aktivera omfångssynkronisering

Utför följande steg för att aktivera begränsad synkronisering i administrationscentret för Microsoft Entra:

I administrationscentret för Microsoft Entra söker du efter och väljer Microsoft Entra Domain Services. Välj din hanterade domän, till exempel aaddscontoso.com.
Välj Synkronisering på menyn till vänster.
För Synkroniseringsomfång väljer du Alla eller Endast moln.
Om du vill filtrera synkronisering för valda grupper klickar du på Visa valda grupper, väljer om du vill synkronisera endast molngrupper, lokala grupper eller båda. Följande skärmbild visar till exempel hur du endast synkroniserar tre grupper som har skapats i Microsoft Entra-ID. Endast användare som tillhör dessa grupper får sina konton synkroniserade med Domain Services.
Om du vill lägga till grupper klickar du på Lägg till grupper och söker sedan efter och väljer de grupper som ska läggas till.
När alla ändringar har gjorts väljer du Spara synkroniseringsomfång.

Om du ändrar synkroniseringsomfånget blir det så att den hanterade domänen synkroniserar om alla data. Objekt som inte längre krävs i den hanterade domänen tas bort och omsynkroniseringen kan ta lite tid att slutföra.

Ändra begränsad synkronisering

Utför följande steg för att ändra listan över grupper vars användare ska synkroniseras till den hanterade domänen:

I administrationscentret för Microsoft Entra söker du efter och väljer Microsoft Entra Domain Services. Välj din hanterade domän, till exempel aaddscontoso.com.
Välj Synkronisering på menyn till vänster.
Om du vill lägga till en grupp väljer du + Lägg till grupper överst och väljer sedan de grupper som ska läggas till.
Om du vill ta bort en grupp från synkroniseringsomfånget väljer du den i listan över synkroniserade grupper och väljer Ta bort grupper.
När alla ändringar har gjorts väljer du Spara synkroniseringsomfång.

Inaktivera begränsad synkronisering

Utför följande steg för att inaktivera gruppbaserad omfångssynkronisering för en hanterad domän:

I administrationscentret för Microsoft Entra söker du efter och väljer Microsoft Entra Domain Services. Välj din hanterade domän, till exempel aaddscontoso.com.
Välj Synkronisering på menyn till vänster.
Avmarkera kryssrutan för Visa markerade grupper och klicka på Spara synkroniseringsomfång.

Nästa steg