什么是 Microsoft Entra 云同步?

Microsoft Entra 云同步是 Microsoft 提供的一种新产品/服务,旨在满足和实现在 Microsoft Entra ID 中同步用户、组与联系人的混合标识目标。 它通过使用 Microsoft Entra 云预配代理而不是 Microsoft Entra Connect 应用程序来实现此目的。 但是,它可以与 Microsoft Entra Connect Sync 一起使用,并具有以下优势:

  • 支持从多林离线 Active Directory 林环境同步到 Microsoft Entra 租户:常见的应用场景包括企业并购(其中,被收购公司的 AD 林独立于父公司的 AD 林),并且这些公司在过去拥有多个 AD 林。
  • 使用轻型预配代理简化安装:代理充当 AD 与 Microsoft Entra ID 之间的桥梁,所有同步配置托管在云中。
  • 可以使用多个预配代理来简化高可用性部署,这对于依赖于在 AD 与 Microsoft Entra ID 之间实现密码哈希同步的组织而言尤其重要。
  • 支持具有多达 5 万成员的大型组。 建议在同步大型组时仅使用 OU 范围筛选器。

基本云同步的示意图。

Microsoft Entra 云同步与 Microsoft Entra Connect 同步有何不同?

使用 Microsoft Entra 云同步时,从 AD 到 Microsoft Entra ID 的预配将在 Microsoft Online Services 中经过协调。 组织只需在其本地或 IaaS 托管环境中部署一个轻量级代理充当 Microsoft Entra ID 与 AD 之间的桥梁。 预配配置存储在 Microsoft Entra ID 中,并作为服务的一部分进行管理。

Microsoft Entra 云同步视频

下面的短视频简单扼要地介绍了 Microsoft Entra 云同步:

选择正确的同步客户端

若要确定云同步是否适合你的组织,请使用以下链接。 这会转到一个工具,该工具可帮助你评估同步需求。 有关详细信息,请使用评估同步选项向导来评估选项

Microsoft Entra Connect 与云同步之间的比较

下表提供了 Microsoft Entra Connect 和 Microsoft Entra 云同步之间的比较:

功能 连接同步 云同步
连接到单个本地 AD 林
连接到多个本地 AD 林
连接到多个离线本地 AD 林
轻型代理安装模式
用于实现高可用性的多个活动代理
支持用户对象
支持组对象
支持联系人对象
支持设备对象
允许对属性流进行基本自定义
同步 Exchange Online 属性
同步扩展属性 1-15
同步客户定义的 AD 属性(目录扩展)
支持密码哈希同步
支持直通身份验证
支持联合身份验证
无缝单一登录
支持在域控制器上安装
Windows Server 2016 的支持
按域/OU/组进行筛选
按对象的属性值进行筛选
允许同步极少量的属性 (MinSync)
允许删除从 AD 流向 Microsoft Entra ID 的属性
允许对属性流进行高级自定义
支持密码写回
支持设备写回 客户应使用云 Kerberos 信任来促进此实现
支持组写回
支持合并来自多个域的用户属性
Microsoft Entra 域服务支持
Exchange 混合写回
每个 AD 域的对象数不受限制
支持对每个 AD 域配置多达 150,000 个对象
成员数超过 50,000 的组
成员数超过 250,000 的大型组
跨域引用
跨林引用
按需预配
支持美国政府

注意

有关同步到由世纪互联运营的 Microsoft Entra 租户(特定于中国的 Microsoft 365 版本)的信息,请参阅由世纪互联运营的 Microsoft 365Microsoft Entra Connect 的拓扑

后续步骤