Share via

影響 Microsoft Entra 連線效能的因素

  • 文章

Microsoft Entra 連線將您的 Active Directory 同步處理至 Microsoft Entra 識別碼。 此伺服器是將使用者身分識別移至雲端的重要元件。 影響 Microsoft Entra 連線效能的主要因素包括:

設計因素 [定義]
拓撲 端點和元件的散發 Microsoft Entra 連線必須在網路上管理。
調整 Microsoft Entra 連線所管理的物件數目,例如使用者、群組和 OU。
硬體 Microsoft Entra 的硬體(實體或虛擬)連線,以及每個硬體元件的相依效能容量,包括 CPU、記憶體、網路和硬碟組態。
組態 Microsoft Entra 連線如何處理目錄和資訊。
載入 物件變更的頻率。 負載可能會在一小時、一天或一週期間有所不同。 視元件而定,您可能必須針對尖峰負載或平均負載進行設計。

本檔的目的是描述影響 Microsoft Entra 連線布建引擎效能的因素。 大型或複雜的組織(布建超過 100,000 個物件的組織)可以使用建議來優化其 Microsoft Entra 連線實作,如果他們遇到此處所述的任何效能問題。 此處未涵蓋 Microsoft Entra 連線的其他元件,例如 Microsoft Entra 連線 Health 和代理程式。

重要

Microsoft 不支援在正式記載的動作之外修改或操作 Microsoft Entra 連線。 上述任何動作都可能導致 Microsoft Entra 連線 Sync 狀態不一致或不受支援。因此,Microsoft 無法提供這類部署的技術支援。

Microsoft Entra Connect 元件因素

下圖顯示連線到單一樹系但支援多個樹系的佈建引擎概要架構。 此架構會顯示各種元件彼此互動的方式。

Diagram shows how the Connected Directories and Microsoft Entra Connect provisioning engine interact, including Connector Space and Metaverse components in an SQL Database.

佈建引擎會連線到每個 Active Directory 樹系和 Microsoft Entra ID。 從每個目錄讀取資訊的程序稱為「匯入」。 「匯出」則是指更新佈建引擎中的目錄。 「同步」會評估物件在佈建引擎內流動的規則。 如需更深入的深入探討,您可以參考 Microsoft Entra 連線 Sync:瞭解架構

Microsoft Entra Connect 會使用下列暫存區域、規則和程序,來允許從 Active Directory 同步到 Microsoft Entra ID:

  • 連接器空間 (CS) - 來自每個連線目錄 (CD,即實際目錄) 的物件會先暫存在此,再供佈建引擎處理。 Microsoft Entra ID 有自己的 CS,而您連線的每個樹系都有自己的 CS。
  • Metaverse (MV) - 需要同步處理的物件會根據同步規則在這裡建立。 物件必須先存在於 MV 中,才能將物件和屬性填入其他連線目錄。 MV 只有一個。
  • 同步規則 - 決定哪些物件要建立 (投影) 或連線 (加入) 到 MV 中的物件。 同步規則也會決定要在目錄之間複製或轉換哪些屬性值。
  • 執行設定檔 - 根據暫存區域和連線目錄之間的同步規則,將複製物件和其屬性值的程序步驟組合在一起。

不同的執行設定檔存在,可優化布建引擎的效能。 大部分的組織會針對一般作業使用預設排程和執行設定檔,但某些組織可能必須 變更排程 或觸發其他執行設定檔,以因應不常見的情況。 下列回合設定檔可供使用:

初始同步設定檔

初始同步設定檔是第一次讀取已連線目錄的程式,例如 Active Directory 樹系。 然後,它會對同步處理引擎資料庫中的所有專案執行分析。 初始迴圈會在 Microsoft Entra ID 中建立新的物件,如果您的 Active Directory 樹系很大,則需要額外的時間才能完成。 初始同步處理包含下列步驟:

  1. 所有連接器的完整匯入
  2. 所有連接器的完整同步處理
  3. 在所有連接器上匯出

差異同步設定檔

若要優化同步處理常式,此執行設定檔只會處理自上次同步處理常式以來,已連線目錄中物件的變更(建立、刪除和更新)。 根據預設,差異同步設定檔會每隔 30 分鐘執行一次。 組織應努力將時間保持在 30 分鐘以下,以確保 Microsoft Entra 識別碼是最新的。 若要監視 Microsoft Entra 連線的健康情況,請使用 健康情況監視代理程式 來查看程式的任何問題。 差異同步設定檔包含下列步驟:

  1. 所有連接器上的差異匯入
  2. 所有連接器上的差異同步處理
  3. 在所有連接器上匯出

典型的企業組織差異同步案例如下:

  • 刪除大約 1% 的物件
  • 建立大約 1% 的物件
  • 大約 5% 的物件已修改

您的變更率可能會因貴組織更新 Active Directory 中的使用者頻率而有所不同。 例如,雇用和減少工作力的季節性可能會發生較高的變更率。

完整同步設定檔

如果您已進行下列任何設定變更,則需要完整同步處理週期:

  • 增加要從連接目錄匯入的物件或屬性範圍。 例如,當您將網域或 OU 新增至匯入範圍時。
  • 對同步處理規則進行變更。 例如,當您建立新規則,以在 Active Directory 中的 extension_attribute3 中填入 Microsoft Entra ID 中的使用者標題。 此更新需要布建引擎重新檢查所有現有的使用者,以更新其標題,以套用變更。

下列作業會包含在完整同步處理週期中:

  1. 所有連接器的完整匯入
  2. 所有連接器的完整/差異同步處理
  3. 在所有連接器上匯出

注意

對 Active Directory 或 Microsoft Entra 識別碼中的許多物件執行大量更新時,需要仔細規劃。 大量更新會導致差異同步處理常式在匯入時花費較長的時間,因為許多物件已變更。 即使大量更新不會影響同步處理常式,也可能發生長時間匯入。 例如,將授權指派給 Microsoft Entra ID 中的許多使用者,會導致從 Microsoft Entra ID 進行長時間的匯入迴圈,但不會導致 Active Directory 中的任何屬性變更。

同步處理

同步處理常式執行時間具有下列效能特性:

  • 同步處理是單一執行緒,這表示布建引擎不會對連線目錄、物件或屬性的執行設定檔執行任何平行處理。
  • 匯入時間會隨著同步處理的物件數目以線性方式成長。 例如,如果 10,000 個物件需要 10 分鐘才能匯入,則相同伺服器上的 20,000 個物件大約需要 20 分鐘。
  • 匯出也是線性的。
  • 同步處理會根據具有其他物件參考的物件數目,以指數方式成長。 群組成員資格和巢狀群組會影響主要效能,因為其成員參考使用者物件或其他群組。 您必須找到這些參考並參考 MV 中的實際物件,才能完成同步處理迴圈。
  • 變更群組成員會導致重新評估所有群組成員。 例如,如果您有一個具有 50K 成員且只有更新 1 個成員的群組,這會觸發所有 50K 成員的同步處理。

篩選

您想要匯入的 Active Directory 拓撲大小是影響布建引擎內部元件所需效能和整體時間的第一個因素。

篩選 應該用來將物件縮減為同步處理。 它可防止不必要的物件處理並匯出至 Microsoft Entra ID。 依喜好設定的順序,可以使用下列篩選技術:

  • 網域型篩選 – 使用此選項來選取要同步至 Microsoft Entra ID 的特定網域。 當您在安裝 Microsoft Entra 連線 Sync 之後,對內部部署基礎結構進行變更時,您必須從同步處理引擎組態新增和移除網域。
  • 組織單位 (OU) 篩選 - 使用 OU 以 Active Directory 網域中的特定物件為目標,以布建至 Microsoft Entra ID。 OU 篩選是第二個建議的篩選機制,因為它會使用簡單的 LDAP 範圍查詢,從 Active Directory 匯入較小的物件子集。
  • 每個物件 的屬性篩選 - 使用 物件上的屬性值來決定 Active Directory 中的特定物件是否在 Microsoft Entra ID 中布建。 當網域和 OU 篩選不符合特定篩選需求時,屬性篩選非常適合微調篩選。 屬性篩選不會減少匯入時間,但可以減少同步處理和匯出時間。
  • 群組型篩選 - 使用群組成員資格來決定是否應在 Microsoft Entra ID 中布建物件。 群組型篩選僅適用于測試情況,不建議用於生產環境,因為同步處理週期期間檢查群組成員資格所需的額外負荷。

Active Directory CS 中的許多持續性 中斷連線器物件 可能會導致較長的同步處理時間,因為布建引擎必須重新評估每個中斷連線器物件,才能在同步處理週期中取得可能的連線。 若要克服此問題,請考慮下列其中一項建議:

  • 使用網域或 OU 篩選,將中斷連接器物件放在匯入範圍外。
  • Project/將物件聯結至 MV,並將 cloudFiltered 屬性設定 為 True,以避免在 Microsoft Entra CS 中布建這些物件。

注意

當使用者篩選太多物件時,可能會發生混淆或應用程式許可權問題。 例如,在混合式 Exchange Online 實作中,具有內部部署信箱的使用者在其全域通訊清單中會看到更多使用者,而不是 Exchange Online 中具有信箱的使用者。 在其他情況下,使用者可能會想要將雲端應用程式中的存取權授與另一個不屬於篩選物件集範圍的其他使用者。

屬性流程

屬性流程是複製或轉換物件屬性值的程式,從一個連接的目錄複寫到另一個連接的目錄。 它們會定義為同步處理規則的一部分。 例如,當您的 Active Directory 中變更使用者的電話號碼時,Microsoft Entra ID 中的電話號碼將會更新。 組織可以 修改屬性流程 以符合各種需求。 建議您先複製現有的屬性流程,再加以變更。

簡單的重新導向,例如將屬性值流向不同的屬性並不會影響材質效能。 重新導向的範例是將 Active Directory 中的行動電話號碼流向 Microsoft Entra ID 中的辦公室電話號碼。

轉換屬性值可能會對同步處理常式造成效能影響。 轉換屬性值包括修改、重新格式化、串連或減去屬性值。

組織可以防止特定屬性流向 Microsoft Entra 識別碼,但不會影響布建引擎的效能。

注意

請勿刪除同步處理規則中的垃圾屬性流程。 建議您停用它們,因為在 Microsoft Entra 連線升級期間會重新建立已刪除的規則。

Microsoft Entra 連線相依性因素

Microsoft Entra 連線的效能取決於其匯入和匯出的已連線目錄效能。 例如,需要匯入的 Active Directory 大小,或 Microsoft Entra 服務的網路延遲。 布建引擎所使用的 SQL 資料庫也會影響同步處理週期的整體效能。

Active Directory 因素

如先前所述,要匯入的物件數目會大幅影響效能。 Microsoft Entra 的硬體和必要條件連線 會根據部署的大小來概述特定的硬體層。 Microsoft Entra 連線僅支援特定拓撲,如 Microsoft Entra 連線 拓撲中所述 。 不支援的拓撲沒有效能優化和建議。

請確定您的 Microsoft Entra 連線伺服器符合您想要匯入的 Active Directory 大小的硬體需求。 Microsoft Entra 連線 伺服器與 Active Directory 網域控制站之間的網路連線不良或緩慢,可能會降低匯入速度。

Microsoft Entra 識別碼因素

Microsoft Entra ID 會使用節流來保護雲端服務免于阻斷服務 (DoS) 攻擊。 目前 Microsoft Entra ID 的節流限制為每 5 分鐘 7,000 次寫入(每小時 84,000 次)。 例如,可以節流下列作業:

  • Microsoft Entra 連線匯出至 Microsoft Entra 識別碼。
  • PowerShell 腳本或應用程式會直接在背景更新 Microsoft Entra 識別碼,例如動態群組成員資格。
  • 使用者更新自己的身分識別記錄,例如註冊 MFA 或 SSPR (自助式密碼重設)。
  • 圖形化使用者介面內的作業。

規劃部署和維護工作,以確保您的 Microsoft Entra 連線同步處理週期不會受到節流限制的影響。 例如,如果您有建立數千個使用者身分識別的大型招聘浪潮,可能會導致動態群組成員資格、授權指派和自助式密碼重設註冊的更新。 最好將這些寫入分散在數小時或幾天內。

SQL 資料庫因素

來源 Active Directory 拓撲的大小會影響您的 SQL 資料庫效能。 請遵循 SQL Server 資料庫的硬體需求 ,並考慮下列建議:

  • 有超過 100,000 位使用者的組織可以藉由將 SQL 資料庫和布建引擎共置在同一部伺服器上,來降低網路延遲。
  • 不支援 SQL 具名管道通訊協定,因為它在同步處理週期中導入了顯著的延遲,而且應該在 SQL Native Clients 和 SQL Server Network 下的SQL Server 組態管理員中停用。 請注意,變更具名管道設定只會在重新開機資料庫和 ADSync 服務之後生效。
  • 由於同步處理常式的高磁片輸入和輸出 (I/O) 需求,請針對布建引擎的 SQL 資料庫使用固態硬碟 (SSD),以獲得最佳結果,如果不可能,請考慮 RAID 0 或 RAID 1 組態。
  • 不要先行執行完整同步處理;它會導致不必要的變換和較慢的回應時間。

總結

若要優化 Microsoft Entra 連線實作的效能,請考慮下列建議:

  • 根據 Microsoft Entra 連線 伺服器的實作大小,使用建議的硬體 組態。
  • 在大規模部署中升級 Microsoft Entra 連線時,請考慮使用 搖擺移轉方法 ,以確保您擁有最少的停機時間和最佳可靠性。
  • 針對 SQL 資料庫使用 SSD 以獲得最佳寫入效能。
  • 篩選 Active Directory 範圍,只包含需要使用網域、OU 或屬性篩選在 Microsoft Entra ID 中布建的物件。
  • 如果您需要變更預設屬性流程規則,請先複製規則,然後變更複製並停用原始規則。 請記得重新執行完整同步處理。
  • 規劃初始完整同步執行設定檔的適當時間。
  • 努力在 30 分鐘內完成差異同步處理週期。 如果差異同步設定檔在 30 分鐘內未完成,請修改預設同步頻率以包含完整的差異同步週期。
  • 在 Microsoft Entra 識別碼中監視您的 Microsoft Entra 連線同步健康 情況。

下一步

深入瞭解 整合內部部署身分識別與 Microsoft Entra ID