将 Microsoft Entra ID 预配到 Active Directory - 配置

以下文档将指导你配置 Microsoft Entra Cloud Sync，以便从 Microsoft Entra ID 预配到 Active Directory。 如果要查找有关从 AD 预配到 Microsoft Entra ID 的信息，请参阅配置 - 使用 Microsoft Entra Cloud Sync 将 Active Directory 预配到 Microsoft Entra ID

重要

2024 年 6 月 30 日之后，Microsoft Entra Connect Sync 将不再提供组写回 V2 (GWB) 的公共预览版。 此功能将于该日期停止使用，Connect Sync 不再支持将云安全组预配到 Active Directory。

我们在 Microsoft Entra Cloud Sync 中提供了类似的功能，称为将组预配到 Active Directory，可以用来代替使用组写回 V2 将云安全组预配到 Active Directory。 我们正致力于在 Cloud Sync 中增强此功能，并增强我们在 Cloud Sync 中开发的其他新功能。

在 Connect Sync 中使用此预览功能的客户应将其配置从 Connect Sync 切换到 Cloud Sync。可以选择将所有混合同步移动到 Cloud Sync（如果其支持这种需求）。 还可以并行运行 Cloud Sync，并仅将云安全组预配移动到 Cloud Sync 中的 Active Directory。

对于将 Microsoft 365 组预配到 Active Directory 的客户，可以继续使用组写回 v1 实现此功能。

可以通过使用用户同步向导来评估只移动到 Cloud Sync 的操作。

配置预配

若要配置预配，请执行以下步骤。

1. 至少以混合管理员的身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步”。

3. 选择“新配置”。
4. 选择“Microsoft Entra ID 到 AD 同步”。

5. 在“配置”屏幕上，选择你的域以及是否启用密码哈希同步。单击“创建”。

6. 此时将打开“开始”屏幕。 在此处可以继续配置云同步。

7. 配置分为以下 5 个部分。

部分	说明
1. 添加范围筛选器	使用此部分定义要在 Microsoft Entra ID 中显示哪些对象
2. 映射属性	使用此部分在本地用户/组与 Microsoft Entra 对象之间映射属性
3. 测试	在部署配置之前对其进行测试
4. 查看默认属性	在启用默认设置之前查看这些设置，并根据情况进行更改
5. 启用配置	准备就绪后，启用配置，然后用户/组将开始同步

向特定组预配范围

可以将代理的范围限定为同步所有或特定安全组。 不能在配置中配置组和组织单位。

1. 在“开始”配置屏幕上： 单击“添加范围筛选器”图标旁边的“添加范围筛选器”，或单击左侧“管理”下的“范围筛选器”。

2. 选择范围筛选器。 筛选器可以是下列其中一项：

• 所有安全组：将配置的范围限定为应用于所有安全组。
• 选定的安全组：将配置范围限定为应用于特定的安全组。

3. 对于特定安全组，请选择“编辑组”并从列表中选择所需的组。

注意

如果选择具有嵌套安全组作为成员的安全组，则只会写回嵌套组，而不写回嵌套组的成员。 例如，如果 Sales 安全组是 Marketing 安全组的成员，则仅写回 Sales 组本身，而不写回 Sales 组的成员。

如果要嵌套组并为它们预配 AD，则还需要将所有成员组添加到该范围。

4. 可以使用“目标容器”框来限定使用特定容器的组的范围。 使用 parentDistinguishedName 属性完成此任务。 使用 constant、direct 或 expression 映射。

可以使用具有 Switch() 函数的属性映射表达式来配置多个目标容器。 使用此表达式时，如果 displayName 值为 Marketing 或 Sales，则会在相应的 OU 中创建该组。 如果没有匹配项，则会在默认 OU 中创建该组。

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

5. 支持基于属性的范围筛选。 有关详细信息，请参阅基于属性的范围筛选和在 Microsoft Entra ID 中编写属性映射的表达式的参考和方案 - 使用目录扩展与到 Active Directory 的组预配。
6. 配置范围筛选器后，单击“保存”。
7. 保存后，你应会看到一条消息，告知你仍需执行哪些操作来配置云同步。可以单击相应的链接以继续。

使用目录扩展将预配范围限定为特定组

若要进行更高级的范围限定和筛选，可以配置目录扩展的使用。 有关目录扩展的概述，请参阅用于将 Microsoft Entra ID 预配到 Active Directory 的目录扩展

有关如何扩展架构，以及如何将目录扩展属性与预配到 AD 的云同步配合使用的分步教程，请参阅方案 - 将目录扩展与预配到 Active Directory 的组配合使用。

属性映射

通过 Microsoft Entra 云同步，可轻松地在本地用户/组对象与 Microsoft Entra ID 中的对象之间映射属性。

可以根据业务需求自定义默认的属性映射。 因此，可以更改或删除现有属性映射或者创建新的属性映射。

保存后，你应会看到一条消息，告知你仍需执行哪些操作来配置云同步。可以单击相应的链接以继续。

有关详细信息，请参阅属性映射和在 Microsoft Entra ID 中编写属性映射表达式的参考。

目录扩展和自定义属性映射。

Microsoft Entra 云同步允许使用扩展来扩展目录并提供自定义属性映射。 有关详细信息，请参阅目录扩展和自定义属性映射。

按需预配

通过 Microsoft Entra 云同步，可通过将配置更改应用于单个用户或组来测试这些更改。

可以使用此功能验证和确认对配置所做的更改是否已适当应用并正确同步到 Microsoft Entra ID。

测试后，你应会看到一条消息，告知你仍需执行哪些操作来配置云同步。可以单击相应的链接以继续。

有关详细信息，请参阅按需预配。

意外删除和电子邮件通知

默认属性部分提供了有关意外删除和电子邮件通知的信息。

意外删除功能旨在防止发生意外的配置更改，以及防止发生影响许多用户和组的本地目录更改。

可以使用此功能实现以下操作：

• 配置自动阻止意外删除的功能。
• 设置对象数上限（阈值），超过该值配置将会生效
• 设置通知电子邮件地址，以便用户在此方案中存在问题的同步作业被置于隔离状态后可以收到电子邮件通知

有关详细信息，请参阅意外删除

单击“基本信息”旁边的铅笔图标可更改配置中的默认值。

启用配置

完成并测试配置后，可以启用它。

单击“启用配置”以启用配置。

隔离

云同步监视配置的运行状况，并将不正常的对象置于隔离状态。 如果某个错误（例如管理员凭据无效）导致针对目标系统发出的大部分或所有调用持续失败，则同步作业将标记为“处于隔离状态”。 有关详细信息，请参阅关于隔离的故障排除部分。

重新启动预配

如果你不想等待下一次计划的运行，请使用“重启同步”按钮触发预配运行。

1. 至少以混合管理员的身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步”。

4. 在“配置”下选择你的配置。

5. 在顶部选择“重启同步”。

删除配置

若要删除配置，请执行以下步骤。

1. 至少以混合管理员的身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步”。

3. 在“配置”下选择你的配置。

4. 在配置屏幕的顶部选择“删除配置”。

重要

在删除配置之前，没有确认。 在选择“删除”之前，请确保这是要执行的操作。

后续步骤

• 使用 Microsoft Entra 云同步进行组写回
• 使用 Microsoft Entra ID 治理来治理基于本地 Active Directory 的应用 (Kerberos)
• 将 Microsoft Entra Connect Sync 组写回 V2 迁移到 Microsoft Entra 云同步