Microsoft Entra 連線：當您有現有的租使用者時

大部分如何使用 Microsoft Entra 連線 主題假設您從新的 Microsoft Entra 租用戶開始，而且沒有任何使用者或其他物件存在。 但是，如果您開始使用 Microsoft Entra 租使用者，並填入使用者和其他物件，現在想要使用 連線，則本主題適合您。

基本知識

Microsoft Entra 識別碼中的物件是在雲端或內部部署中管理。 對於單一物件，您無法管理內部部署的某些屬性，以及 Microsoft Entra ID 中的一些其他屬性。 每個物件都有一個旗標，指出物件在何處受管理。

您可以在內部部署管理某些使用者，以及雲端中的其他使用者。 此設定的常見案例是一個組織，其中混合了會計工作者和銷售人員。 會計工作者有內部部署 AD 帳戶，但銷售人員沒有，但兩者都有 Microsoft Entra ID 中的帳戶。 您會在內部部署管理某些使用者，以及某些用戶位於 Microsoft Entra ID 中。

當您開始管理 Microsoft Entra ID 中的使用者時，有一些額外的考慮，這些使用者也存在於內部部署，稍後想要使用 Microsoft Entra 連線。

在 Microsoft Entra ID 中與現有的使用者同步處理

當您開始與 Microsoft Entra 連線 同步處理時，Microsoft Entra 服務 API 會檢查每個新的傳入物件，並嘗試尋找符合的現有物件。 此程式使用三個屬性：userPrincipalName、proxyAddresses 和 sourceAnchor/immutableID。 userPrincipalName 或 proxyAddresses 上的比對稱為「軟體比對」。sourceAnchor 上的比對稱為 “hard=match”。若為 proxyAddresses 屬性，則只會使用 SMTP：的值，也就是主要電子郵件地址，用於評估。

只會針對來自 連線 的新物件評估比對。 如果您變更現有的物件，使其符合上述任何屬性，則改為看到錯誤。

如果 Microsoft Entra ID 找到與 Microsoft Entra 連線 中新傳入物件相同的物件，則會接管 Microsoft Entra ID 中的物件，而先前的雲端管理對象會轉換成內部部署受控物件。 Microsoft Entra ID 中具有內部部署 AD 值的所有屬性都會以個別的內部部署值覆寫。

警告

由於 Microsoft Entra ID 中的所有屬性都會被內部部署值覆寫，因此請確定您在內部部署中擁有良好的數據。 例如，如果您只有 Microsoft 365 中的 Managed 電子郵件位址，且未在內部部署 AD DS 中保持更新，則您會遺失 AD DS 中不存在 Microsoft Entra ID / Microsoft 365 中的任何值。

重要

如果您使用一律由快速設定使用的密碼同步處理，則會使用內部部署 AD 中的密碼覆寫 Microsoft Entra ID 中的密碼。 如果您的使用者用來管理不同的密碼，則您必須通知他們，當您安裝 連線 時，他們應該使用內部部署密碼。

在規劃中必須考慮上一節和警告。 如果您在未反映在內部部署 AD DS 的 Microsoft Entra ID 中做了許多變更，則若要防止數據遺失，您必須先規劃如何在將物件與 Microsoft Entra 連線 同步處理之前，先使用 Microsoft Entra ID 更新的值填入 AD DS。

如果您將對象與軟體比對比對，則 sourceAnchor 會新增至 Microsoft Entra ID 中的物件，以便稍後使用硬式比對。

重要

Microsoft 強烈建議您不同步處理內部部署帳戶與 Microsoft Entra 識別碼中既有的系統管理帳戶。

硬比對與軟比對

根據預設，“abcdefghijklmnopqrstuv==” 的 SourceAnchor 值是由 Microsoft Entra 連線 使用 MsDs-ConsistencyGUID 屬性（或 ObjectGUID 視組態而定）從 內部部署的 Active Directory 計算。 這個屬性值是 Microsoft Entra ID 中的對應 ImmutableId。 當 Microsoft Entra 連線 （sync engine） 新增或更新物件時，Microsoft Entra ID 會使用對應至 Microsoft Entra ID 中現有物件之 ImmutableId 屬性的 sourceAnchor 值比對傳入物件。 如果有相符專案，Microsoft Entra 連線 接管該物件，並以所謂的「硬式比對」中傳入 內部部署的 Active Directory 對象的屬性加以更新。當 Microsoft Entra ID 找不到任何與 SouceAnchor 值相符的 ImmutableId 物件時，它會嘗試使用傳入物件的 userPrincipalName 或主要 ProxyAddress，在所謂的 *“soft-match” 中找到相符專案。 軟比對會嘗試比對已在 Microsoft Entra ID 中呈現和管理的物件，並新增或更新代表相同實體內部部署的新傳入物件。 如果 Microsoft Entra ID 找不到連入物件的硬式比對或軟比對，它會在 Microsoft Entra ID 目錄中布建新的物件。 我們已新增組態選項，以停用 Microsoft Entra ID 中的硬式比對功能。 我們建議客戶停用硬式比對，除非客戶需要它只接管雲端帳戶。

若要停用硬式比對，請使用 Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell Cmdlet：

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

同樣地，我們新增了組態選項，以停用 Microsoft Entra ID 中的軟體比對選項。 我們建議客戶停用軟體比對，除非客戶需要軟體比對才能接管僅限雲端帳戶。

若要停用軟體比對，請使用 Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell Cmdlet：

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

注意

BlockCloudObjectTakeoverThroughHardMatchEnabled 和 BlockSoftMatchEnabled 是用來在針對租用戶啟用時封鎖所有物件的比對。 只有在租使用者需要比對程序期間，才鼓勵客戶停用這些功能。 完成任何比對之後，此旗標應該再次設定為 True ，且不再需要。

使用者以外的其他物件

針對啟用郵件的群組和聯繫人，您可以根據 proxyAddresses 進行軟式比對。 硬式比對不適用，因為您只能在使用者上更新 sourceAnchor/immutableID（使用 PowerShell）。 對於未啟用郵件功能的群組，目前不支援軟式比對或硬式比對。

管理員 角色考慮

為了防止未受信任的內部部署使用者，Microsoft Entra ID 與具有系統管理員角色的雲端使用者不符。 此行為預設為 。 若要解決此問題，您可以執行下列步驟：

1. 從僅限雲端的用戶物件中移除目錄角色。
2. 在雲端中硬刪除隔離的物件。
3. 觸發同步處理。
4. 選擇性地，在比對完成後，將目錄角色新增回雲端中的用戶物件。

在 Microsoft Entra ID 中從數據建立新的 內部部署的 Active Directory

有些客戶從具有 Microsoft Entra ID 的僅限雲端解決方案開始，而且他們沒有內部部署 AD。 稍後他們想要取用內部部署資源，並想要根據 Microsoft Entra 數據建置內部部署 AD。 Microsoft Entra 連線 無法協助您處理此案例。 它不會在內部部署建立使用者，而且無法將內部部署密碼設定為與 Microsoft Entra ID 中的相同。

如果您打算新增內部部署 AD 的唯一原因是支援 LOB（企業營運應用程式），則也許您應該考慮改用 Microsoft Entra Domain Services 。

下一步

深入瞭解 整合內部部署身分識別與 Microsoft Entra ID。