分享方式:

Microsoft Entra Connect Sync:設定 Microsoft 365 資源的慣用資料位置

  • 文章

本主題的目的在於逐步解說如何在 Microsoft Entra Connect Sync 中設定慣用資料位置的屬性。當某人在 Microsoft 365 中使用多地理位置功能時,您可使用這個屬性來指定使用者 Microsoft 365 資料的地理位置。 (「區域」與「地區」這兩個詞可交換使用。)

支援的多地理位置

如需 Microsoft Entra Connect 所支援的所有地理位置清單,請參閱 Microsoft 365 多地理位置可用性

啟用慣用資料位置的同步處理

根據預設,使用者的 Microsoft 365 資源會與 Microsoft Entra 租用戶位於相同地理位置。 例如,如果您的租用戶位於北美洲,則使用者的 Exchange 信箱也會位於北美洲。 對於跨國組織,這可能不是最理想的情況。

藉由設定 preferredDataLocation 屬性,您可以定義使用者的地區。 您可以讓使用者的 Microsoft 365 資源 (例如信箱和 OneDrive) 位於與使用者相同的地理位置,而且整個組織仍有一個租用戶。

重要

自 2023 年 6 月 1 日起,多地理位置可供 CSP 合作夥伴購買,至少占客戶 Microsoft 365 訂閱基座總數的 5%。

具有作用中 Enterprise 合約的客戶也可以使用多地理位置。 如需詳細資訊,請與您的 Microsoft 代表連絡。

如需 Microsoft Entra Connect 所支援的所有地理位置清單,請參閱 Microsoft 365 多地理位置可用性

Microsoft Entra Connect 支援同步處理

Microsoft Entra Connect 可對 1.1.524.0 版和更新版本之使用者物件的 PreferredDataLocation 屬性進行同步處理。 具體而言:

  • 已擴充 Microsoft Entra 連接器中使用者物件類型的結構描述,進而納入 preferredDataLocation 屬性。 此屬性的類型是單一值字串。
  • 已擴充 Metaverse 連接器中人員物件類型的結構描述,進而納入 preferredDataLocation 屬性。 此屬性的類型是單一值字串。

依預設,preferredDataLocation 不會啟用同步處理。 這項功能適用於較大型組織。 Windows Server 2019 中的 Active Directory 結構描述具有您應該基於此用途使用的 msDS-preferredDataLocation 屬性。 如果您尚未更新 Active Directory 結構描述,而且無法這麼做,則必須識別屬性,以便為您的使用者保存 Microsoft 365 地理位置。 這在每個組織中皆不同。

重要

Microsoft Entra ID 允許使用 Microsoft Graph PowerShell,直接設定雲端使用者物件上的 preferredDataLocation 屬性。 若要在已同步處理的使用者物件上設定這個屬性,您必須使用 Microsoft Entra Connect。

啟用同步處理之前:

  • 如果您尚未將 Active Directory 結構描述升級至 2019,則需決定要使用哪一個內部部署的 Active Directory 屬性作為來源屬性。 此屬性的類型必須是單一值字串

  • 如果您先前已使用 Microsoft Graph PowerShell 來設定 Microsoft Entra ID 中現有已同步處理的使用者物件上的 preferredDataLocation 屬性,則必須將這些屬性值向下移植到內部部署 Active Directory 中對應的使用者物件內。

    重要

    如果您未將這些值向下移植,Microsoft Entra Connect 將會在 preferredDataLocation 屬性的同步處理啟用時,移除 Microsoft Entra ID 中現有的屬性值。

  • 立即在至少幾個內部部署 Active Directory 使用者物件上設定來源屬性。 您稍後可以使用此屬性進行驗證。

下列各節提供為 preferredDataLocation 屬性啟用同步處理的步驟。

注意

用來說明這些步驟的環境是某個 Microsoft Entra 部署,其具有單一樹系拓撲,但沒有自訂的同步處理規則。 如果您設定了多樹系拓撲和自訂同步處理規則,或具有預備伺服器,則應據此現況調整這些步驟。

步驟 1:停用同步排程器,並確認沒有任何同步處理在進行中

若要避免將不想要的變更匯出到 Microsoft Entra ID,請確定在您更新同步處理規則時,系統不會進行同步處理。 若要停用內建的同步排程器︰

  1. 在 Microsoft Entra Connect 伺服器上啟動 PowerShell 工作階段。
  2. 執行下列 Cmdlet 來停用排程的同步處理︰Set-ADSyncScheduler -SyncCycleEnabled $false
  3. 移至 [開始]> [同步處理服務] 來啟動 Synchronization Service Manager
  4. 選取 [作業] 索引標籤,確認沒有任何作業是「進行中」狀態。

Synchronization Service Manager 的螢幕擷取畫面

步驟 2:重新整理 Active Directory 的結構描述

如果您已將 Active Directory 結構描述更新至 2019,而且已在結構描述延伸模組之前安裝了 Connect,則 Connect 結構描述快取不會有更新的結構描述。 然後,您必須從精靈中重新整理結構描述,以使其出現在 UI 中。

  1. 從桌面啟動 Microsoft Entra Connect 精靈。
  2. 選取 [重新整理目錄結構描述] 選項,然後按一下 [下一步]
  3. 輸入 Microsoft Entra 認證,然後按 [下一步]
  4. 在 [重新整理目錄結構描述] 頁面上,確認已選取所有樹系,然後按一下 [下一步]
  5. 完成時,請關閉精靈。

[連線精靈] 中重新整理目錄架構的螢幕擷取畫面

步驟 3:將來源屬性新增至內部部署的 Active Directory 連接器結構描述

只有當您執行 Connect 版本 1.3.21 或更舊版本時,才需執行此步驟。 如果您是在 1.4.18 或更新版本上,請跳至步驟 5。
並非所有 Microsoft Entra 屬性都會匯入內部部署的 Active Directory 連接器空間中。 如果您選擇使用的屬性預設不會同步處理,則需自行將它匯入。 若要在所匯入屬性的清單中新增來源屬性︰

  1. 選取 Synchronization Service Manager 中的 [連接器] 索引標籤。
  2. 以滑鼠右鍵按一下 [內部部署 Active Directory 連接器],然後選取 [屬性]
  3. 在彈出的對話方塊中,移至 [選取屬性] 索引標籤。
  4. 確定您已在屬性清單中,勾選您選擇使用的來源屬性。 如果看不到您的屬性,請選取 [全部顯示] 核取方塊。
  5. 若要儲存,請選取 [確定]

顯示 [Synchronization Service Manager 和屬性] 對話方塊並醒目提示 [屬性] 清單的螢幕擷取畫面。

步驟 4:將 preferredDataLocation 新增至 Microsoft Entra 連接器結構描述

只有當您執行 Connect 版本 1.3.21 或更舊版本時,才需執行此步驟。 如果您是在 1.4.18 或更新版本上,請跳至步驟 5。
根據預設,系統不會將 preferredDataLocation 屬性匯入 Microsoft Entra 連接器空間中。 若要將它新增至匯入的屬性清單:

  1. 選取 Synchronization Service Manager 中的 [連接器] 索引標籤。
  2. 以滑鼠右鍵按一下 [Microsoft Entra 連接器],然後選取 [屬性]
  3. 在彈出的對話方塊中,移至 [選取屬性] 索引標籤。
  4. 選取清單中的 preferredDataLocation 屬性。
  5. 若要儲存,請選取 [確定]

Synchronization Service Manager 和 [屬性] 對話方塊的螢幕擷取畫面

步驟 5:建立輸入同步處理規則

輸入同步處理規則允許屬性值從內部部署 Active Directory 的來源屬性傳輸到 metaverse。

  1. 移至 [開始]> [同步處理規則編輯器] 來啟動同步處理規則編輯器

  2. 將搜尋篩選條件的 [方向] 設定為 [輸入]

  3. 若要建立新的輸入規則,請選取 [新增規則]

  4. 在 [描述] 索引標籤下,提供下列設定︰

    屬性 詳細資料
    名稱 提供名稱 例如,“In from AD – User preferredDataLocation”
    描述 提供自訂描述
    連線的系統 挑選內部部署 Active Directory 連接器
    連線的系統物件類型 使用者
    Metaverse 物件類型 人員
    連結類型 聯結
    優先順序 選擇 1–99 之間的數字 1–99 已保留供自訂同步處理規則使用。 請勿挑選已由其他同步處理規則使用的值。

  5. 讓 [範圍篩選器] 保持空白,以便包含所有物件。 您可能需要根據 Microsoft Entra Connect 部署來調整範圍篩選器。

  6. 移至 [轉換] 索引標籤,並實作下列轉換規則︰

    流程類型 目標屬性 來源 套用一次 合併類型
    直接 preferredDataLocation 挑選來源屬性 未選取 更新

  7. 若要建立輸入規則,請選取 [新增]

建立輸入同步處理規則的螢幕擷取畫面

步驟 6:建立輸出同步處理規則

輸出同步處理規則允許屬性值從 metaverse 傳輸到 Microsoft Entra ID 中的 preferredDataLocation 屬性︰

  1. 移至 [同步處理規則編輯器]

  2. 將搜尋篩選條件的 [方向] 設定為 [輸出]

  3. 選取 [新增規則]

  4. 在 [描述] 索引標籤下,提供下列設定︰

    屬性 詳細資料
    名稱 提供名稱 例如,“Out to Microsoft Entra ID – User preferredDataLocation”
    描述 提供描述
    連線的系統 選取 Microsoft Entra 連接器
    連線的系統物件類型 使用者
    Metaverse 物件類型 人員
    連結類型 聯結
    優先順序 選擇 1–99 之間的數字 1–99 已保留供自訂同步處理規則使用。 請勿挑選已由其他同步處理規則使用的值。

  5. 移至 [範圍篩選器] 索引標籤,並使用兩個子句來新增單一範圍篩選器群組:

    屬性 運算子
    sourceObjectType 等於 User
    cloudMastered NOTEQUAL True

    範圍篩選器會決定此輸出同步處理規則要套用至哪個 Microsoft Entra 物件。 在此範例中,我們使用來自 “Out to Microsoft Entra ID – User Identity” OOB (現成可用) 同步處理規則的同一個範圍篩選。 它可避免同步處理規則套用到並非從內部部署的 Active Directory 同步過來的使用者物件。 您可能需要根據 Microsoft Entra Connect 部署來調整範圍篩選器。

  6. 移至 [轉換] 索引標籤,並實作下列轉換規則︰

    流程類型 目標屬性 來源 套用一次 合併類型
    直接 preferredDataLocation preferredDataLocation 未選取 更新

  7. 關閉 [新增] 來建立輸出規則。

建立輸出同步處理規則的螢幕擷取畫面

步驟 7:執行完整的同步處理週期

一般來說,必須經歷完整的同步處理週期。 這是因為您已將新的屬性同時新增至 Active Directory 和 Microsoft Entra 連接器結構描述,並導入了自訂同步處理規則。 請先驗證變更,再將它們匯出至 Microsoft Entra ID。 在手動執行構成完整同步處理週期的步驟時,您可以使用下列步驟來驗證變更。

  1. 在內部部署 Active Directory 連接器上執行 [完整匯入]

    1. 移至 Synchronization Service Manager 中的 [連接器] 索引標籤。

    2. 以滑鼠右鍵按一下 [內部部署 Active Directory 連接器],然後選取 [執行]

    3. 在對話方塊中選取 [完整匯入],然後選取 [確定]

    4. 等候操作完成。

      注意

      如果所匯入屬性的清單中已包含來源屬性,您可以略過內部部署 Active Directory 連接器上的完整匯入。 換句話說,您不必在本文稍早的步驟 2 中進行任何變更。

  2. 在 Microsoft Entra 連接器上執行「完整匯入」

    1. 以滑鼠右鍵按一下 [Microsoft Entra 連接器],然後選取 [執行]
    2. 在對話方塊中選取 [完整匯入],然後選取 [確定]
    3. 等候操作完成。

  3. 驗證現有使用者物件上的同步處理規則變更。

    來自內部部署 Active Directory 的來源屬性和來自 Microsoft Entra ID 的 preferredDataLocation 都已匯入各自的連接器空間中。 在繼續進行完整同步處理步驟之前,請先預覽內部部署 AD 連接器空間中的現有使用者物件。 您所挑選的物件應該要填入來源屬性。 若能成功預覽到 Metaverse 中已填入 preferredDataLocation,則表示您已正確設定同步處理規則。 如需如何進行預覽的相關資訊,請參閱驗證變更

  4. 在內部部署 Active Directory 連接器上執行 [完整同步處理]

    1. 以滑鼠右鍵按一下 [內部部署 Active Directory 連接器],然後選取 [執行]
    2. 在對話方塊中選取 [完整同步處理],然後選取 [確定]
    3. 等候操作完成。

  5. 確認暫停匯出至 Microsoft Entra ID:

    1. 以滑鼠右鍵按一下 [Microsoft Entra ID 連接器],然後選取 [搜尋連接器空間]

    2. 在 [搜尋連接器空間] 對話方塊中:

      a. 將 [範圍] 設定為 [擱置匯出]
      b. 將 3 個核取方塊全部選取,包括 [新增]、[修改] 和 [刪除]
      c. 若要檢視有變更要匯出的物件清單,請選取 [搜尋]。 若要檢查給定物件的變更,請對物件按兩下。
      d. 確認變更符合預期。

  6. Microsoft Entra Connector 上執行「匯出」

    1. 以滑鼠右鍵按一下 [Microsoft Entra 連接器],然後選取 [執行]
    2. 在 [執行連接器] 對話方塊中選取 [匯出],然後選取 [確定]
    3. 等候操作完成。

注意

您可能會發現,上述步驟並未包含 Microsoft Entra 連接器上的完整同步處理步驟,或是 Active Directory 連接器上的匯出步驟。 屬性值只會從內部部署 Active Directory 傳輸到 Microsoft Entra,因此不需要這些步驟。

步驟 8:重新啟用同步排程器

重新啟用內建的同步排程器︰

  1. 啟動 PowerShell 工作階段。
  2. 執行下列 Cmdlet 來重新啟用排程的同步處理︰Set-ADSyncScheduler -SyncCycleEnabled $true

步驟 9:確認結果

現在該來確認組態,並且為您的使用者啟用它。

  1. 將地區新增至使用者的所選屬性。 本表格提供可用的地區清單。
    已新增至使用者的 AD 屬性螢幕擷取畫面
  2. 等待屬性與 Microsoft Entra ID 同步。
  3. 使用 Exchange Online PowerShell,確認已正確設定信箱區域。
    Exchange Online PowerShell 的螢幕擷取畫面
    假設租用戶已標示為能夠使用這項功能,則信箱會移至正確的地區。 這可藉由查看信箱所在的伺服器名稱來確認。

下一步

深入了解 Microsoft 365 的多地理位置:

深入了解同步處理引擎的組態模型:

概觀主題: