你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure 门户配置从 Azure AD 到 Azure Active Directory 域服务的区分范围的同步

为了提供身份验证服务,Azure Active Directory 域服务 (Azure AD DS) 从 Azure AD 同步用户和组。 在混合环境中,本地 Active Directory 域服务 (AD DS) 环境中的用户和组可以先使用 Azure AD Connect 同步到 Azure AD,然后再同步到 Azure AD DS 托管域。

默认情况下,Azure AD 目录中的所有用户和组都同步到托管域。 如果有特定需求,可以改为选择只同步所定义的一组用户。

本文展示了如何使用 Azure 门户配置区分范围的同步,然后更改或禁用区分范围的用户集合。 也可以使用 PowerShell 完成这些步骤

准备阶段

需有以下资源和特权才能完成本文:

具有作用域的同步概述

默认情况下,Azure AD 目录中的所有用户和组都同步到托管域。 如果只有几个用户需要访问托管域,则可以仅同步这些用户帐户。 此具有作用域的同步基于组。 配置基于组的具有作用域的同步时,只有属于指定组的用户帐户才会同步到托管域。 不同步嵌套组,只同步所选的特定组。

可以在创建托管域之前或之后更改同步范围。 同步范围由应用程序标识符为 2565bd9d-da50-47d4-8b85-4c97f669dc36 的服务主体定义。 为了防止范围丢失,请不要删除或更改服务主体。 如果意外删除了服务主体,则无法恢复同步范围。

如果更改同步范围,请记住以下注意事项:

  • 进行完全同步。
  • 托管域中不再需要的对象会被删除。 托管域中会新建对象。

若要详细了解同步过程,请参阅了解 Azure AD 域服务中的同步

启用区分范围的同步

若要在 Azure 门户中启用区分范围的同步,请完成以下步骤:

  1. 在 Azure 门户中,搜索并选择“Azure AD 域服务”。 选择你的托管域,例如 aaddscontoso.com
  2. 在左侧菜单中选择“同步”。
  3. 对于“同步类型”,请选择“区分范围”。
  4. 选择“选择组”,搜索并选择要添加的组。
  5. 进行所有更改后,选择“保存同步作用域”。

更改同步作用域会导致托管域重新同步所有数据。 托管域中不再需要的对象会被删除,重新同步可能需要一些时间才能完成。

修改具有作用域的同步

若要修改包含应同步到托管域的用户的组列表,请完成以下步骤:

  1. 在 Azure 门户中,搜索并选择“Azure AD 域服务”。 选择你的托管域,例如 aaddscontoso.com
  2. 在左侧菜单中选择“同步”。
  3. 若要添加组,请选择顶部的“+ 选择组”,然后选择要添加的组。
  4. 若要从同步作用域中删除某个组,请从当前同步的组列表中选择它,然后选择“删除组”。
  5. 进行所有更改后,选择“保存同步作用域”。

更改同步作用域会导致托管域重新同步所有数据。 托管域中不再需要的对象会被删除,重新同步可能需要一些时间才能完成。

禁用具有作用域的同步

若要为托管域禁用基于组的具有作用域的同步,请完成以下步骤:

  1. 在 Azure 门户中,搜索并选择“Azure AD 域服务”。 选择你的托管域,例如 aaddscontoso.com
  2. 在左侧菜单中选择“同步”。
  3. 将“同步类型”从“区分范围”更改为“全部”,然后选择“保存同步范围” 。

更改同步作用域会导致托管域重新同步所有数据。 托管域中不再需要的对象会被删除,重新同步可能需要一些时间才能完成。

后续步骤

若要详细了解同步过程,请参阅了解 Azure AD 域服务中的同步