Microsoft Entra Connect 的拓撲
本文說明使用 Microsoft Entra Connect Sync 作為主要整合解決方案的各種內部部署和 Microsoft Entra 拓撲。 本文包含受支援和不受支援的組態。
以下是文章中圖片的圖例︰
| 描述 | 符號 |
|---|---|
| 內部部署 Active Directory 樹系 |  |
| 內含篩選匯入的內部部署 Active Directory |  |
| Microsoft Entra Connect 同步伺服器 |  |
| Microsoft Entra Connect 同步伺服器「預備模式」 |  |
| 透過 Microsoft Identity Manager (MIM) 2016 進行 GALSync |  |
| Microsoft Entra Connect 同步伺服器,詳細 |  |
| Microsoft Entra ID |  |
| 不受支援的案例 |  |
重要
Microsoft 不支援使用非正式記載的設定或動作對 Microsoft Entra Connect 同步進行修改和操作。 任何這些設定或動作都可能導致 Microsoft Entra Connect 同步發生不一致或不支援的狀態。如此一來,Microsoft 無法提供這類部署的技術支援人員。
單一樹系、單一 Microsoft Entra 租用戶
最常見的拓撲是單一內部部署樹系 (內含一或多個網域) 和單一 Microsoft Entra 租用戶。 對於 Microsoft Entra 驗證,將使用密碼雜湊同步處理。 Microsoft Entra Connect 的快速安裝僅支援此拓撲。
單一樹系、多部同步處理伺服器連接到一個 Microsoft Entra 租用戶
不支援多部的 Microsoft Entra Connect 同步處理伺服器連線到相同 Microsoft Entra 租用戶 (除了預備伺服器之外)。 即使這些伺服器設定為同步處理互斥的一組物件,也不支援。 如果您無法從單一伺服器觸達樹系中的所有網域,或者想要將負載分散到數個伺服器,您可能已經考慮過這個拓撲。 (針對新的 Microsoft Entra 樹系和新的已驗證子網域設定新的 Azure AD 同步伺服器時,不會發生任何錯誤。)
多個樹系,單一 Microsoft Entra 租用戶
許多組織的環境都擁有多個內部部署 Active Directory 樹系。 擁有多個內部部署 Active Directory 樹系的原因有很多。 典型的例子包括帳戶資源樹系的設計,以及合併或收購的結果。
當您擁有多個樹系,所有樹系必須可由單一 Microsoft Entra Connect 同步處理伺服器連線。 伺服器必須加入網域。 如果必須連線到所有樹系,您可以將伺服器置於周邊網路 (也稱為 DMZ、非軍事區域和遮蔽式子網路) 中。
Microsoft Entra Connect 安裝精靈會提供數個選項以合併多個樹系中表示的使用者。 目標是使用者只會在 Microsoft Entra ID 中顯示一次。 有一些常見的拓撲,您可以在安裝精靈中的自訂安裝路徑中設定。 在 [專門識別您的使用者] 頁面上,選取表示拓撲的對應選項。 只對使用者設定合併。 重複群組不會和預設組態合併。
常見的拓撲將在個別拓撲、完整網狀和帳戶資源拓撲相關章節中討論。
Microsoft Entra Connect 同步的預設組態假設:
- 每個使用者只有一個啟用的帳戶,且此帳戶所在之樹系用於驗證使用者。 這項假設適用於密碼雜湊同步處理、傳遞驗證和同盟。 UserPrincipalName 和 sourceAnchor/immutableID 來自此樹系
- 每個使用者只有一個信箱。
- 裝載使用者信箱的樹系具有最佳資料品質,以供屬性在 Exchange 全域通訊清單 (GAL) 中顯示。 如果使用者沒有信箱,則任何樹系皆可用於提供這些屬性值。
- 如果您有連結的信箱,則不同的樹系中還有帳戶用來登入。
如果您的環境不符合這些假設,則會發生下列情況:
- 如果您有多個使用中的帳戶或多個信箱,同步處理引擎會挑選其中一個,其他全部忽略。
- 沒有使用中帳戶的已連結信箱不會匯出至 Microsoft Entra ID。 使用者帳戶不會顯示為任何群組中的成員。 DirSync 中已連結的信箱一律會顯示為一般信箱。 這個變更是刻意的不同行為,可更有效支援多個樹系案例。
您可以在了解預設組態中找到更多詳細資料。
多個樹系、多部同步處理伺服器連接到一個 Microsoft Entra 租用戶
不支援超過一部的 Microsoft Entra Connect 同步伺服器連線到單一 Microsoft Entra 租用戶。 例外狀況是使用 預備伺服器。
此拓撲與下列拓撲的不同之處,在於不支援多部同步伺服器連線到單一 Microsoft Entra 租用戶。 (儘管不支援,但這仍可運作。)
多個樹系、單一同步伺服器、使用者只會以一個目錄表示
在此環境中,所有內部部署樹系會被視為個別的實體。 使用者不會顯示在任何其他樹系中。 每個樹系具有自己的 Exchange 組織,而且在樹系之間沒有 GALSync。 此拓撲可能是合併/收購之後的情況,或出現在每個業務單位獨立作業的組織中。 在 Microsoft Entra ID 中,這些樹系會在相同的組織中,並與整合 GAL 一起出現。 在上圖中,每個樹系中的個別物件都會在 Metaverse 中顯示一次,並在目標 Microsoft Entra 租用戶中彙總。
多個樹系:比對使用者
這些案例的常見狀況是通訊群組和安全性群組可以包含使用者、連絡人和外部安全性主體 (FSP) 的組合。 FSP 可在 Active Directory Domain Services (ADDS) 中用來代表安全性群組中來自其他樹系的成員。 在 Microsoft Entra ID 中,所有 FSP 都會解析為實際物件。
多個樹系:內含選擇性 GALSync 的完整網格
完整網格拓撲可讓使用者和資源位於任何樹系中。 通常,在樹系之間有雙向信任關係。
如果 Exchange 出現在多個樹系中,則可能有 (選擇性) 內部部署 GALSync 解決方案。 然後每個使用者可以顯示為所有其他樹系中的連絡人。 GALSync 通常是透過 Microsoft Identity Manager 實作。 Microsoft Entra Connect 無法用於內部部署 GALSync。
在此案例中,身分識別物件是透過郵件屬性來聯結。 在一個樹系中擁有信箱的使用者會與其他樹系中的連絡人聯結。
多個樹系:帳戶資源樹系
在帳戶資源樹系拓撲中,您會有一個以上的帳戶樹系內含作用中的使用者帳戶。 您也會有一或多個資源樹系具有停用的帳戶。
在此案例中,一 (或多) 個資源樹系信任所有帳戶樹系。 此資源樹系通常具有內含 Exchange 和 Lync 的擴充 Active Directory 結構描述。 所有的 Exchange 和 Lync 服務以及其他共用的服務都位於此樹系。 使用者在此樹系中擁有停用的使用者帳戶,而信箱會連結至帳戶樹系。
Microsoft 365 和拓撲考量
有些 Microsoft 365 工作負載對受支援的拓撲有某些限制:
| 工作負載 | 限制 |
|---|---|
| Exchange Online | 如需有關 Exchange Online 所支援之混合式技術的詳細資訊,請參閱具有多個 Active Directory 樹系的混合部署。 |
| 商務用 Skype | 使用多個內部部署樹系時,只會支援帳戶資源樹系拓撲。 如需詳細資訊,請參閱商務用 Skype Server 2015 的環境需求。 |
如果您是較大型的組織,那麼就應該考量使用 Microsoft 365 PreferredDataLocation 功能。 它可讓您定義使用者的資源要放置於哪個資料中心區域。
預備伺服器
Microsoft Entra Connect 支援以「預備模式」安裝第二部伺服器。 此模式中的伺服器會讀取所有已連接目錄中的資料,但是不會將任何資料寫入已連接的目錄。 其使用正常同步處理週期,因此具有身分識別資料的更新複本。
在主要伺服器失敗的災害中,您可以容錯移轉到預備伺服器。 您可以在 Microsoft Entra Connect 精靈中執行此動作。 第二部伺服器可以位於不同的資料中心,因為沒有和主要伺服器共用基礎結構。 您必須手動將主要伺服器上進行的任何組態變更複製到第二部伺服器。
您可以使用預備伺服器以測試新的自訂組態以及它對您的資料所造成的影響。 您可以預覽變更並調整組態。 當您滿意新的組態時,您可以讓預備伺服器成為使用中的伺服器,並將舊的使用中伺服器設定為預備模式。
您也可以使用這個方法來取代使用中的同步處理伺服器。 準備新的伺服器,並且將其設定為預備模式。 請確定它處於良好狀態、停用預備模式 (讓它成為使用中),並關閉目前作用中的伺服器。
如果您想要在不同的資料中心有多個備份,您也可以擁有一個以上的預備伺服器。
多個 Microsoft Entra 租用戶
我們建議一個組織在 Microsoft Entra ID 中有單一租用戶。 在您計劃使用多個 Microsoft Entra 租用戶之前,請參閱文章 Microsoft Entra ID 中的系統管理單位管理。 它涵蓋了常見的案例,您可以使用單一租用戶。
將 AD 物件同步至多個 Microsoft Entra 租用戶
此拓撲會實作下列使用案例:
- Microsoft Entra Connect 可將單一 Active Directory 中的使用者、群組和連絡人同步至多個 Microsoft Entra 租用戶。 這些租用戶可以位於不同的 Azure 環境中,例如由 21Vianet 營運的 Microsoft Azure 環境或 Azure Government 環境,但也可以位於相同的 Azure 環境中,例如兩個在 Azure Commercial 中的租用戶。 如需選項的詳細資訊,請參閱規劃 Azure Government 應用程式的身分識別。
- 相同的來源錨點可用於不同租用戶中的單一物件 (但不能用於相同租用戶中的多個物件)。 (已驗證的網域不能同時適用於兩個租用戶。若要讓相同的物件有兩個 UPN,則需要更多詳細資料。)
- 您必須針對您想要同步處理的每個 Microsoft Entra 租用戶部署 Microsoft Entra Connect 伺服器 - 一個 Microsoft Entra Connect 伺服器無法同步至一個以上的 Microsoft Entra 租用戶。
- 您可以為每個租用戶採用不同的同步範圍和同步規則。
- 只有一個 Microsoft Entra 的租用戶同步可以設定為寫回 Active Directory 的相同物件。 這包括裝置和群組回寫以及混合式 Exchange 設定,這些功能只能在一個租用戶中設定。 唯一的例外是密碼回寫,詳見下文。
- 您可以針對相同的使用者物件,設定從 Active Directory 到多個 Microsoft Entra 租用戶的密碼雜湊同步。 如果已為租用戶啟用密碼雜湊同步,則也可以啟用密碼回寫,而且可以在多個租用戶上執行此動作:如果某個租用戶的密碼已變更,則密碼回寫會在 Active Directory 中更新此密碼,而密碼雜湊同步將會更新其他租用戶中的密碼。
- 即使租用戶位於不同的 Azure 環境中,也不支援在多個 Microsoft Entra 租用戶中新增和驗證相同的自訂網域名稱。
- 不支援在 AD 中設定使用樹系層級設定的混合式體驗,例如無縫 SSO 和 Microsoft Entra 混合式加入 (非目標方法),並有多個租用戶。 這樣做會覆寫另一個租用戶的設定,並使其再也無法使用。 您可以在規劃 Microsoft Entra 混合式加入部署 (部分機器翻譯) 中找到其他資訊。
- 您可以將裝置物件同步至多個租用戶,但是一部裝置只能透過 Microsoft Entra 混合式加入至一個租用戶。
- 每個 Microsoft Entra Connect 執行個體都應該在已加入網域的機器上執行。
注意
「全域通訊清單同步處理」(GalSync) 在此拓撲中不會自動執行,需要額外的自訂 MIM 實作以確保每個租用戶在 Exchange Online 和「商務用 Skype Online」中都擁有完整的「全域通訊清單」(GAL)。
使用回寫 GALSync
具備內部部署同步處理伺服器的 GALSync
您可以使用 Microsoft Identity Manager 內部部署來同步處理兩個 Exchange 組織之間的使用者 (透過 GALSync)。 一個組織中的使用者將會顯示為其他組織中的外部使用者/連絡人。 這些不同的內部部署 Active Directory 執行個體可同步處理至它們自己的 Microsoft Entra 租用戶。
使用未經授權的用戶端存取 Microsoft Entra Connect 後端
Microsoft Entra Connect 伺服器會透過 Microsoft Entra Connect 後端與 Microsoft Entra ID 通訊。 唯一可以用來與此後端通訊的軟體是 Microsoft Entra Connect。 不支援使用任何其他軟體或方法與 Microsoft Entra Connect 後端進行通訊。
下一步
若要了解如何安裝這些案例的 Microsoft Entra Connect,請參閱 Microsoft Entra Connect 的自訂安裝。
深入了解 Microsoft Entra Connect 同步設定。
深入了解如何將內部部署身分識別與 Microsoft Entra ID 整合 (部分機器翻譯)。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: