使用 Microsoft Entra 系統管理中心設定從 Microsoft Entra ID 到 Microsoft Entra Domain Services 的範圍同步處理
為了提供驗證服務,Microsoft Entra Domain Services 會同步處理 Microsoft Entra ID 中的使用者和群組。 在混合式環境中,內部部署 Active Directory Domain Services (AD DS) 環境中的使用者和群組可以先使用 Microsoft Entra Connect 同步至 Microsoft Entra ID,然後同步處理至 Domain Services 受控網域。
預設會將 Microsoft Entra 目錄中的所有使用者和群組都同步至受控網域。 如果只有某些使用者需要使用 Domain Services,您可以改為選擇只同步處理使用者群組。 您可以篩選內部部署、僅限雲端或兩者的同步。
本文說明如何設定限域同步處理,然後使用 Microsoft Entra 系統管理中心變更或停用一組限域的使用者。 您也可以使用 PowerShell 來完成這些步驟。
開始之前
若要完成本文章,您需要下列資源和權限:
- 有效的 Azure 訂閱。
- 如果您沒有 Azure 訂用帳戶,請先建立帳戶。
- 與訂用帳戶相關聯的 Microsoft Entra 租用戶,且其已與內部部署目錄或純雲端目錄同步。
- 在 Microsoft Entra 租用戶中已啟用和設定的 Microsoft Entra Domain Services 受控網域。
- 如有需要,請完成教學課程,以建立和設定 Microsoft Entra Domain Services 受控網域。
- 您需要應用程式管理員和群組管理員 Microsoft 租用戶中的 Entra 角色,才能變更 Domain Services 同步處理範圍。
限域同步處理概觀
預設會將 Microsoft Entra 目錄中的所有使用者和群組都同步至受控網域。 您可以將同步處理的範圍設定為僅限在 Microsoft entra ID 中建立的使用者帳戶,或同步處理所有使用者。
如果只有少數使用者群組需要存取受控網域,您可以選取依群組權利篩選只同步處理這些群組。 此限定範圍的同步處理僅以群組為基礎。 當您設定群組型限域同步處理時,只有屬於您所指定群組的使用者帳戶會同步處理至受控網域。 巢狀群組不會同步處理;只有您指定的群組才會同步。
您可以在建立受控網域之前或之後變更同步處理範圍。 同步處理的範圍是由應用程式識別碼為 2565bd9d-da50-47d4-8b85-4c97f669dc36
的服務主體所定義。 若要防止範圍遺失,請勿刪除或變更服務主體。 如果意外刪除,則無法復原同步處理範圍。
如果您變更同步處理範圍,請記住下列注意事項:
- 會發生完整的同步處理。
- 受控網域中不再需要的物件會被刪除。 系統會在受控網域中建立新物件。
若要深入瞭解同步處理程序,請參閱瞭解 Microsoft Entra Domain Services 中的同步處理。
啟用限域同步處理
若要在 Microsoft Entra 系統管理中心啟用有範圍的同步處理,請完成下列步驟:
在 Microsoft Entra 系統管理中心,搜尋並選取 [Microsoft Entra Domain Services]。 選擇您的受控網域,例如 aaddscontoso.com。
然後從左側功能表中選取 [同步處理]。
針對 [同步處理範圍],選取 [全部] 或 [僅限雲端]。
若要篩選所選群組的同步處理,請按一下 [顯示選取的群組],選擇是否同步處理僅限雲端群組、內部部署群組或兩者。 例如,下列螢幕擷取畫面顯示如何只同步處理在 Microsoft Entra ID 中建立的三個群組。 只有屬於這些群組的使用者才會將其帳戶同步處理至 Domain Services。
若要新增群組,請按一下 [新增群組],然後搜尋並選擇要新增的群組。
進行所有變更時,請選取 [儲存同步處理範圍]。
變更同步處理的範圍會導致受控網域重新同步處理所有資料。 已刪除受控網域中不再需要的物件,重新同步處理可能需要很長的時間才能完成。
修改限域同步處理
若要修改使用者應該同步至受控網域的群組清單,請完成下列步驟:
- 在 Microsoft Entra 系統管理中心,搜尋並選取 [Microsoft Entra Domain Services]。 選擇您的受控網域,例如 aaddscontoso.com。
- 然後從左側功能表中選取 [同步處理]。
- 若要新增群組,請選擇頂端的 [+ 新增群組],然後選擇要新增的群組。
- 若要從同步處理範圍中移除群組,請從目前同步處理的群組清單中選取該群組,然後選擇 [移除群組]。
- 進行所有變更時,請選取 [儲存同步處理範圍]。
變更同步處理的範圍會導致受控網域重新同步處理所有資料。 已刪除受控網域中不再需要的物件,重新同步處理可能需要很長的時間才能完成。
停用限域同步處理
若要針對受控網域停用群組型限域同步處理,請完成下列步驟:
- 在 Microsoft Entra 系統管理中心,搜尋並選取 [Microsoft Entra Domain Services]。 選擇您的受控網域,例如 aaddscontoso.com。
- 然後從左側功能表中選取 [同步處理]。
- 清除 [顯示選取的群組] 核取方塊,然後按一下 [儲存同步處理範圍]。
變更同步處理的範圍會導致受控網域重新同步處理所有資料。 已刪除受控網域中不再需要的物件,重新同步處理可能需要很長的時間才能完成。
下一步
若要深入瞭解同步處理程序,請參閱瞭解 Microsoft Entra Domain Services 中的同步處理。