通过

Microsoft Entra 云同步支持的拓扑和方案

  • 项目

本文介绍了使用 Microsoft Entra 云同步的各种本地拓扑和 Microsoft Entra 拓扑。本文仅包括支持的配置和方案。

重要

Microsoft 不支持在正式记录的配置或操作之外修改或操作 Microsoft Entra 云同步。 其中的任何配置或操作都可能会导致 Microsoft Entra云同步出现不一致或不受支持状态。因此,Microsoft 无法提供这种部署的技术支持。

有关详细信息,请观看以下视频。

有关所有方案和拓扑的注意事项

选择解决方案时,应牢记以下几点。

  • 必须跨所有林唯一标识用户和组。
  • 云同步时不发生跨林匹配。
  • 将自动选择对象的源定位点。 它使用 ms-DS-ConsistencyGuid(如果存在),否则使用 ObjectGUID。
  • 不能更改用于源定位点的属性。

Active Directory 到 Microsoft Entra ID 受支持的拓扑

以下拓扑支持从 Active Directory 预配到 Microsoft Entra ID。

单个林、单个 Microsoft Entra 租户

显示单个林和单个租户的拓扑的关系图。

最简单的拓朴是包含一个或多个域的单个本地林,以及单个 Microsoft Entra 租户。 有关此方案的示例,请参阅教程:包含单个 Microsoft Entra 租户的单个林

多个林、单个 Microsoft Entra 租户

多林和单个租户的拓扑

多个 AD 林是常见拓扑,包含一个或多个域和单个 Microsoft Entra 租户。

具有 Microsoft Entra Connect 的现有林,具有云预配的新林

显示现有林和新林的拓扑的关系图。

这种方案的拓扑类似于多林方案,但这种方案涉及到现有 Microsoft Entra Connect 环境,然后使用 Microsoft Entra 云同步引入新的林。有关此方案的示例,请参阅教程:包含单个 Microsoft Entra 租户的现有林

在现有混合 AD 林中试验 Microsoft Entra 云同步

单个林和单个租户的拓扑

试点方案涉及在同一林中同时存在 Microsoft Entra Connect 和 Microsoft Entra 云同步,并相应地限定用户和组的范围。 注意:对象应只在其中一个工具的范围内。

有关此方案的示例,请参阅教程:在现有同步的 AD 林中试验 Microsoft Entra 云同步

将已断开连接的源中的对象合并

(公共预览版)

此图显示如何将已断开连接的源中的对象合并

在此方案中,用户的属性由两个断开连接的 Active Directory 林提供。

例如:

  • 一个林 (1) 包含大部分属性。
  • 第二个林 (2) 包含一些属性。

由于第二个林没有到 Microsoft Entra Connect 服务器的网络连接,因此无法通过 Microsoft Entra Connect 合并该对象。 使用第二个林中的云同步,可以从第二个林检索属性值。 然后,可以将该值与 Microsoft Entra Connect 同步 Microsoft Entra ID 中的对象合并。

此配置是高级配置,此拓扑有一些注意事项:

  1. 必须在云同步配置中将ms-DS-ConsistencyGuid用作源定位点。
  2. 第二个林中的用户对象的 ms-DS-ConsistencyGuid 必须与 Microsoft Entra ID 中的相应对象的该项匹配。
  3. 必须填充第二个林中的 UserPrincipalName 属性和 Alias 属性,这两个属性必须与从第一个林同步的相应属性匹配。
  4. 必须从云同步配置的属性映射中删除没有值的所有属性或其值不同于第二个林中的值的所有属性 - 第一个林和第二个林之间不能有重叠的属性映射。
  5. 对于从第二个林同步的对象,如果第一个林中没有匹配的对象,则云同步仍会在 Microsoft Entra ID 中创建该对象。 该对象将仅具有在第二个林的云同步的映射配置中定义的属性。
  6. 如果你从第二个林中删除对象,系统会在 Microsoft Entra ID 中暂时软删除该对象。 在下一个 Microsoft Entra Connect 同步周期之后,系统会将它自动还原。
  7. 如果你从第一个林中删除对象,系统会从 Microsoft Entra ID 软删除该对象。 除非对第二个林中的对象进行了更改,否则不会还原该对象。 30 天后,对象将从 Microsoft Entra ID 中硬删除;如果对第二个林中的对象进行了更改,则会在 Microsoft Entra ID 中将其创建为新对象。

Microsoft Entra ID 到 Active Directory 受支持的拓扑

以下拓扑支持从 Microsoft Entra ID 预配到 Active Directory。

向 Active Directory 的单个林组预配

单个林写回的概念图。

最简单的组预配拓朴是包含一个或多个域的单个本地林,以及单个 Microsoft Entra 租户。 有关此方案的示例,请参阅向 Active Directory 预配组

向 Active Directory 的多个林组预配

多个林写回的概念图。

更高级的组预配拓扑包括多个本地 AD 林共享单个 Microsoft Entra ID 租户

此配置是高级配置,此拓扑需要记住以下几点:

  • 使用云同步预配到 AD 的组只能包含本地同步的用户和/或其他云创建的安全组。
  • 所有这些用户都必须在其帐户上设置 onPremisesObjectIdentifier 属性。
  • onPremisesObjectIdentifier 必须与目标 AD 环境中的相应 objectGUID 匹配。
  • 可以使用 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0) 将本地用户 objectGUID 属性同步到云用户 onPremisesObjectIdentifier 属性
  • 在租户中,可以共享包含来自这两个林的用户的公用组。
  • 但是,在本地配置组时,其他林中不存在的用户不会预配为该组的成员。 因此,如果 Microsoft Entra ID 中有组包含来自 contoso.com 和 fabrikam.com 的用户,则当该组预配为 contoso.com 时,只有 contoso.com 林中存在的用户才会成为该组的成员。 与 fabrikam 相同。

后续步骤