可以将组的颁发机构(SOA)从 Active Directory 域服务(AD DS)转换为Microsoft Entra ID。 在转换 SOA 后,该组将变为由云拥有,并且可以将其映射到云中的相应云组类型。 有关支持的组类型的列表,请参阅 如何管理云安全组。
在 SOA 更改后,阻止 AD DS 与 Microsoft Entra ID 的同步
在将组 SOA 转换为云组后,最新版的 Microsoft Entra Connect Sync 和 Microsoft Entra Cloud Sync 会遵循 SOA 设置。 他们不会继续同步组。 不再需要 AD DS 组时,可以将其删除,而不是在范围筛选器中将其标记为超出范围并删除。
与Active Directory域服务(AD DS)中的安全组配置进行顺畅集成
若要将未启用邮件的云安全组预配回 AD DS 并将其与 Microsoft Entra ID 同步,请在将组预配到 AD DS 时将组添加到范围配置。 使用具有属性值范围 的所选组 或 所有组 。 将动态安全组预配到 AD DS。 云安全组预配为通用组。
当 Microsoft Entra Cloud Sync 将安全组预配到 AD DS 时,它会识别以前应用 SOA 的现有域组并将其从 Microsoft Entra ID 预配到 AD DS。 安全标识符 (SID) 值将它们关联在一起。 因此,将云安全组预配到 AD DS 后,会将其预配到原始 AD 组(如果存在)。 如果在 AD DS 中找不到匹配项,则会创建新的本地安全组。
删除和还原 AD DS 中的组
假设删除 AD DS 中的本地组。 稍后,你决定使用 Microsoft Entra Cloud Sync 将具有相同 SID 的组预配到 AD DS 域。在这种情况下,需要确保 已启用 Active Directory 回收站 。 在将组添加到 AD DS 的组预配范围之前,应从 Active Directory 回收站 还原该组。
回滚 SOA 更改
可以将对组的 SOA 更改进行撤销。 在此方案中,SOA 组会回退,由 AD DS 进行管理。 在下一个同步周期中,AD DS 将接管该组的控制。 在 Microsoft Entra ID 中,该组变为只读状态。
此方法保留在云中管理组时所做的任何更改。 一旦对象被接管,云中所做的任何修改都将被覆盖。