Microsoft Entra Connect:当你具有现有租户时

  • 项目

大多数有关如何使用 Microsoft Entra Connect 的主题都假定从新的 Microsoft Entra 租户开始,并且该租户中没有用户或其他对象。 但是,如果一开始使用的 Microsoft Entra 租户中填充了用户和其他对象,现在想要使用 Connect,那么,本主题适合你阅读。

基本内容

Microsoft Entra ID 中的对象可以在云或本地进行管控。 对于单个对象而言,无法在本地管理一些属性,在 Microsoft Entra ID 中管理另一些属性。 每个对象都有一个标志,指示对象的管理位置。

可以在本地管理一些用户,在云中管理另一些用户。 下面是此配置的常见应用情景:某家组织既有会计工作人员,也有销售工作人员。 会计人员有本地 AD 帐户,但销售人员没有,他们在 Microsoft Entra ID 中有帐户。 你将在本地管理一些用户,并在 Microsoft Entra ID 中管理一些用户。

如果你最初在 Microsoft Entra ID 中管理用户,而这些用户同时又在本地 AD 中,后来你想要使用 Connect,那么,就需要考虑到其他一些因素。

与 Microsoft Entra ID 中的现有用户同步

安装 Microsoft Entra Connect 并开始同步时,Azure AD 同步服务(在 Microsoft Entra ID 中)将对每个新对象执行检查,并尝试查找匹配的现有对象。 此过程使用三个属性:userPrincipalNameproxyAddressessourceAnchor/immutableID。 根据 userPrincipalName 或 proxyAddresses 执行的匹配称为软匹配。 根据 sourceAnchor 执行的匹配称为硬匹配。 对于 proxyAddresses 属性,只会将包含 SMTP: (即主要电子邮件地址)的值用于评估。

只会针对来自 Connect 的新对象评估匹配。 如果更改现有对象,使它与其中的任一属性匹配,则看到的是错误。

如果 Microsoft Entra ID 发现某个对象的属性值与来自 Connect 的某个对象的属性值相同,并且前一个对象已在 Microsoft Entra ID 中存在,则 Microsoft Entra ID 中的对象会被 Connect 取代。 以前,云管理的对象已标记为在本地管理。 Microsoft Entra ID 中的所有属性如果在本地 AD 中具有值,这些属性会被本地值覆盖。

警告

由于 Microsoft Entra ID 中的所有属性会被本地值覆盖,因此请确保本地的数据正确。 例如,如果只是在 Microsoft 365 中管理电子邮件地址,而没有在本地 AD DS 中对其进行更新,则会丢失 Microsoft Entra ID / Microsoft 365 中存在、但在 AD DS 中不存在的所有值。

重要

如果使用密码同步(快速设置始终会使用它),则 Microsoft Entra ID 中的密码会被本地 AD 中的密码覆盖。 如果用户经常管理不同的密码,则在安装 Connect 后,需要告知他们使用本地密码。

在规划过程中,必须考虑上一部分的内容和警告。 如果在 Microsoft Entra 中做了大量更改,但这些更改未反映在本地 AD DS 中,则在使用 Microsoft Entra Connect 同步对象之前,需要规划好如何在 AD DS 中填充更新的值。

如果使用软匹配匹配了对象,则 sourceAnchor 已添加到 Microsoft Entra ID 中的对象,因此以后可以使用硬匹配。

重要

Microsoft 强烈建议不要将本地帐户与 Microsoft Entra ID 中已有的管理帐户同步。

硬匹配与软匹配

对于全新的 Connect 安装,软匹配与硬匹配之间没有实质的差别。 主要差别在于灾难恢复情形。 如果解除了装有 Microsoft Entra Connect 的服务器,可以重新安装一个新实例,而不会丢失任何数据。 在初始安装期间,会向 Connect 发送一个包含 sourceAnchor 的对象。 然后客户端 (Microsoft Entra Connect) 可以评估匹配,这比在 Microsoft Entra ID 中执行这种操作要快得多。 Connect 和 Microsoft Entra ID 都会评估硬匹配。 软匹配仅由 Microsoft Entra ID 评估。

我们添加了一个配置选项来禁用 Microsoft Entra Connect 中的软匹配功能。 建议客户禁用软匹配,除非他们需要它来接管仅限云的帐户。

若要禁用软匹配,请使用 Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell cmdlet:

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement 

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$onPremisesDirectorySynchronizationId = "<TenantID>"  
$params = @{ 
	features = @{ 
		blockSoftMatchEnabled = $true 
	} 
} 
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $onPremisesDirectorySynchronizationId -BodyParameter $params

注意

blockSoftMatchEnabled - 用于阻止所有对象的软匹配(如果已为租户启用)。 建议客户启用此功能,并将其保持启用状态,直到租户再次需要软匹配。 在任何软匹配已完成且不再需要后,应再次启用此标志。

除用户以外的其他对象

对于启用了邮件的组和联系人,可以根据 proxyAddresses 进行软匹配。 硬匹配不适用,因为只能对用户更新 sourceAnchor/immutableID(使用 PowerShell)。 对于未启用邮件的组,目前不支持软匹配和硬匹配。

管理员角色注意事项

为了防止不受信任的本地用户与担任管理员角色的云用户进行匹配,Microsoft Entra Connect 不会将本地用户对象与担任管理员角色的对象进行匹配。 这是默认设置。 若要解决此行为,可以执行以下操作:

  1. 从仅限云的用户对象中删除目录角色。
  2. 如果用户同步尝试失败,请硬删除云中已隔离的对象。
  3. 触发同步。
  4. 可以在进行匹配以后将目录角色添加回云中的用户对象。

基于 Microsoft Entra ID 中的数据创建新的本地 Active Directory

某些客户最初在 Microsoft Entra ID 中使用仅限云的解决方案,而没有构建本地 AD。 后来,他们想要使用本地资源,并希望基于 Microsoft Entra 数据构建本地 AD。 Microsoft Entra Connect 无法帮助你解决这种情况。 它不会创建本地用户,并且没有能力将本地密码设置为与 Microsoft Entra ID 中的密码相同。

如果你计划添加本地 AD 的唯一原因是支持 LOB(业务线应用),也许应该考虑改用 Microsoft Entra 域服务

后续步骤

详细了解如何将本地标识与 Microsoft Entra ID 集成