將Microsoft項目標識符布建至 Active Directory - 組態
下列文件將引導您設定 Microsoft Entra Cloud Sync,以從 Microsoft Entra ID 佈建至 Active Directory。 如果您要尋找從 AD 布建至 Microsoft Entra 標識符的資訊,請參閱 使用 Microsoft Entra Cloud Sync 設定 - 將 Active Directory 布建至 Microsoft Entra ID
重要
在 2024 年 6 月 30 日 之後,Microsoft Entra Connect 同步中的群組回寫公開預覽版 v2 將不再提供。 這項功能將會在此日期中止,而且連線同步將不再支援您向 Active Directory 布建雲端安全性群組。 此功能將繼續在停產日期以外運作;不過,此日期之後將不再收到支援,而且隨時可能停止運作,而不通知。
我們會在 Microsoft Entra 雲端同步中提供類似的功能,稱為群組布建至 Active Directory,您可以加以使用,而不是使用 群組回寫 v2 將雲端安全組布建至 Active Directory。 我們正努力在雲端同步中增強這項功能,以及我們在雲端同步中開發的其他新功能。
在 [連線同步] 中使用此預覽功能的客戶應該 將設定從 [連線同步] 切換至 [雲端同步]。您可以選擇將所有混合式同步移至雲端同步 (如果支援您的需求)。 您也可以並排執行雲端同步,並只將布建至 Active Directory 的雲端安全組移至雲端同步。
對於將 Microsoft 365 群組布建至 Active Directory 的客戶,您可以繼續使用群組回寫 v1 來進行這項功能。
您可以使用使用者同步處理精靈,評估是否只移至雲端同步。
設定布建
若要設定布建,請遵循下列步驟。
- 至少以混合系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]> [混合式管理]> [Microsoft Entra Connect]> [雲端同步]。
- 選取 [ 新增設定]。
- 選取 [Microsoft [項目標識符] 至 [AD 同步]。
- 在組態畫面上,選取您的網域,以及是否啟用密碼哈希同步處理。按兩下 [ 建立]。
- [ 開始使用] 畫面隨即開啟。 您可以從這裡繼續設定雲端同步處理。
- 組態分成下列 5 個區段。
| 區段 | 描述 |
|---|---|
| 1.新增 範圍篩選 | 使用本節來定義在 entra ID Microsoft 中顯示的物件 |
| 2.對應 屬性 | 使用本節來對應內部部署使用者/群組與 Microsoft Entra 對象之間的屬性 |
| 3. 測試 | 在部署之前先測試您的設定 |
| 4.檢視 預設屬性 | 先檢視預設設定,再加以啟用,並在適當時進行變更 |
| 5.啟用 您的設定 | 準備就緒后,啟用設定和使用者/群組將會開始同步處理 |
將範圍布建至特定群組
您可以將代理程式限定為同步處理所有或特定安全組。 您可以在設定中設定群組和組織單位。
- 在 [ 開始使用設定] 畫面上。 點選單擊 [新增範圍篩選] 圖示旁的 [新增範圍篩選] 或按下 [管理] 下方左側的 [範圍篩選] 。
- 選取範圍篩選條件。 篩選條件可以是下列其中一項:
- 所有安全組:設定範圍以套用至所有雲端安全組。
- 選取的安全組:設定範圍以套用至特定安全組。
- 針對特定安全組,請選取 [編輯群組 ],然後從清單中挑選您想要的群組。
注意
如果您選取具有巢狀安全組作為其成員的安全組,則只會寫回巢狀群組,而不是其成員。 例如,如果 Sales 安全組是 Marketing 安全組的成員,則只會寫回 Sales 群組本身,而不是 Sales 群組的成員。
如果您想要巢狀群組並布建 AD,則必須同時將所有成員群組新增至範圍。
- 您可以使用 [ 目標容器 ] 方塊來設定使用特定容器的群組範圍。 使用 parentDistinguishedName 屬性來完成這項工作。 使用常數、直接或表達式對應。
您可以使用屬性對應表示式搭配 Switch() 函式來設定多個目標容器。 使用此表達式時,如果 displayName 值為 Marketing 或 Sales,則會在對應的 OU 中建立群組。 如果沒有相符專案,則會在預設 OU 中建立群組。
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
- 支援屬性型範圍篩選。 如需詳細資訊,請參閱 屬性型範圍篩選 和 參考,以在 Microsoft Entra ID 和 Scenario 中撰寫屬性對應表達式 - 搭配群組布建至 Active Directory 的目錄延伸模組。
- 設定範圍篩選后,按兩下 [ 儲存]。
- 儲存之後,您應該會看到一則訊息,告知您仍然需要執行哪些動作來設定雲端同步處理。您可以按下連結以繼續。
使用目錄延伸模組將範圍布建至特定群組
如需更進階的範圍和篩選,您可以設定目錄延伸模組的使用。 如需目錄延伸模組的概觀,請參閱 將目錄延伸模組布建至 Active Directory Microsoft Entra ID
如需如何擴充結構描述,然後使用目錄擴充屬性搭配雲端同步佈建至 AD 的逐步教學課程,請參閱案例 - 使用目錄擴充搭配群組佈建至 Active Directory (部分機器翻譯)。
屬性對應
Microsoft Entra Cloud Sync 可讓您輕鬆地對應內部部署使用者/群組物件與 Microsoft Entra 標識符中的對象之間的屬性。
您可以根據您的業務需求自定義預設屬性對應。 因此,您可以變更或刪除現有的屬性對應,或建立新的屬性對應。
儲存之後,您應該會看到一則訊息,告知您仍然需要執行哪些動作來設定雲端同步處理。您可以按下連結以繼續。
如需詳細資訊,請參閱在 entra ID Microsoft 中撰寫屬性對應表達式的屬性對應和參考。
目錄延伸模組和自定義屬性對應。
Microsoft Entra Cloud Sync 可讓您使用延伸模組擴充目錄,並提供自定義屬性對應。 如需詳細資訊,請參閱 目錄延伸模組和自定義屬性對應。
隨選佈建
Microsoft Entra Cloud Sync 可讓您測試設定變更,方法是將這些變更套用至單一使用者或群組。
您可以使用此選項來驗證並確認對組態所做的變更已正確套用,且正正確同步至Microsoft Entra ID。
測試之後,您應該會看到一則訊息,告知您仍然需要執行哪些動作來設定雲端同步處理。您可以按下連結以繼續。
如需詳細資訊,請參閱 隨選布建。
意外刪除和電子郵件通知
默認屬性區段提供意外刪除和電子郵件通知的相關信息。
意外刪除功能的設計目的是保護您免於意外設定變更,以及影響許多使用者和群組的內部部署目錄變更。
這項功能可讓您:
- 設定防止自動意外刪除的功能。
- 設定物件 #(閾值),設定組態將生效
- 設定通知電子郵件位址,以便在有問題的同步處理作業在此案例中隔離后,他們會收到電子郵件通知
如需詳細資訊,請參閱 意外刪除
按兩下 [基本] 旁的鉛筆,以變更設定中的預設值。
啟用您的設定
完成並測試組態之後,您就可以加以啟用。
按兩下 [ 啟用組態 ] 加以啟用。
隔離
雲端同步會監視設定的健康情況,並將狀況不良的物件置於隔離狀態。 如果針對目標系統進行的大部分或所有呼叫一致失敗,因為發生錯誤,例如,無效的系統管理員認證,同步處理作業就會標示為隔離中。 如需詳細資訊,請參閱隔離的疑難解答一節。
重新開始佈建
如果您不想等候下一次排程執行,請使用 [重新啟動同步 處理] 按鈕來觸發佈建執行。
- 至少以混合系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]> [混合式管理]> [Microsoft Entra Connect]> [雲端同步]。
在 [設定] 底下,選取您的設定。
在頂端,選取 [ 重新啟動同步處理]。
拿掉設定
若要刪除設定,請遵循下列步驟。
- 至少以混合系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]> [混合式管理]> [Microsoft Entra Connect]> [雲端同步]。
在 [設定] 底下,選取您的設定。
在組態畫面頂端,選取 [ 刪除設定]。
重要
刪除設定之前沒有確認。 選取 [刪除] 之前,請確定這是您想要採取的動作。
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: