如何在 Microsoft Entra Domain Services 受控網域中同步物件和認證
Microsoft Entra Domain Services 受控網域中的物件和認證可以在網域內由本機建立,或從 Microsoft Entra 租用戶同步處理。 第一次部署 Domain Services 時,系統會設定自動單向同步,並開始從 Microsoft Entra ID 複寫物件。 此單向同步會在背景持續執行,使 Domain Services 受控網域隨 Microsoft Entra ID 的任何變更而更新,以保持在最新狀態。 絕不會從 Domain Services 同步回 Microsoft Entra ID。
在混合式環境中,內部部署 AD DS 網域中的物件和認證可以使用 Microsoft Entra Connect 同步至 Microsoft Entra ID。 當這些物件成功同步至 Microsoft Entra ID 後,自動背景同步處理就會將這些物件和認證提供給使用受控網域的應用程式。
下圖說明 Domain Services、Microsoft Entra ID 和選擇性內部部署 AD DS 環境之間的同步運作方式:
從 Microsoft Entra ID 同步至 Domain Services
使用者帳戶、群組成員資格及認證雜湊都會從 Microsoft Entra ID 單向同步處理至 Domain Services。 此同步處理程序是自動執行的。 您不需要設定、監視或管理此同步處理流程。 首次同步可能需要花費數小時到數天的時間,視 Microsoft Entra 目錄中的物件數目而定。 當首次同步完成之後,Microsoft Entra ID 中的密碼或屬性變更等等,就會自動同步至 Domain Services。
在 Microsoft Entra ID 中建立使用者後,要等到使用者在 Microsoft Entra ID 中變更密碼後,才會同步到 Domain Services。 此密碼變更流程會導致產生 Kerberos 和 NTLM 驗證的密碼雜湊,並將這些資訊儲存 Microsoft Entra ID 中。 需要有密碼雜湊,才能在 Domain Services 中成功驗證使用者。
根據設計,同步處理是單向的。 Domain Services 中的變更絕不會反向同步回 Microsoft Entra ID。 除了您可建立的所有自訂 OU 之外,受控網域大部分都是唯讀狀態。 您無法對受控網域內的使用者屬性、使用者密碼或群組成員資格進行變更。
限定範圍同步和群組篩選
您可以設定同步範圍僅限源自雲端的用戶帳戶。 您可在該此同步範圍內,篩選特定的群組或使用者。 您可以選擇僅限雲端群組、內部部署群組或兩者皆選。 如需如何設定同步範圍的詳細資訊,請參閱設定同步範圍。
將屬性同步及對應至 Domain Services
下表列出一些常見屬性及其同步至 Domain Services 的方法。
| Domain Services 中的屬性 | 來源 | 備註 |
|---|---|---|
| UPN | Microsoft Entra 租用戶中的使用者 UPN 屬性 | Microsoft Entra 租用戶中的 UPN 屬性會以原狀同步至 Domain Services。 登入您受控網域的最可靠方法,是使用 UPN。 |
| SAMAccountName | Microsoft Entra 租用戶中或自動產生的使用者 mailNickname 屬性 | SAMAccountName 屬性來自於 Microsoft Entra 租用戶中的 mailNickname 屬性。 如果有多個使用者帳戶具有相同的 mailNickname 屬性,系統就會自動產生 SAMAccountName。 如果使用者的 mailNickname 或 UPN 前置詞長度超過 20 個字元,系統就會自動產生 SAMAccountName 來滿足 SAMAccountName 屬性上的 20 個字元限制。 |
| 密碼 | Microsoft Entra 中的使用者密碼 | NTLM 或 Kerberos 驗證所需的舊版密碼雜湊是從 Microsoft Entra 租用戶同步而來。 如果 Microsoft Entra 租用戶設定使用 Microsoft Entra Connect 執行混合式同步,則這些密碼雜湊是源自內部部署 AD DS 環境。 |
| 主要使用者/群組 SID | 自動產生 | Domain Services 會自動產生使用者/群組帳戶的主要 SID。 此屬性和內部部署 AD DS 環境中的主要使用者/群組 SID 並不相符。 這種不相符的情況是因為受控網域的 SID 命名空間與內部部署 AD DS 網域不同。 |
| 使用者和群組的 SID 歷程記錄 | 內部部署主要使用者和群組 SID | Domain Services 中使用者和群組的 SidHistory 屬性,會設定為與內部部署 AD DS 環境中對應的主要使用者或群組 SID 相符。 因為您不需要重新設定資源的 ACL,此功能可協助以更簡單的方式,將內部部署應用程式隨即轉移至 Domain Services。 |
提示
使用 UPN 格式來登入受控網域系統可能會針對受控網域中的某些使用者帳戶自動產生 SAMAccountName 屬性,例如 AADDSCONTOSO\driley。 自動產生的使用者 SAMAccountName 可能與其 UPN 前置詞不同,因此不一定是可靠的登入方式。
例如,如果有多個使用者具有相同的 mailNickname 屬性,或使用者的 UPN 前置詞太長,則可能會自動為這些使用者產生 SAMAccountName。 使用 UPN 格式 (例如 driley@aaddscontoso.com) 來可靠地登入受控網域。
使用者帳戶的屬性對應
下表說明如何將 Microsoft Entra ID 中使用者物件的特定屬性,同步到 Domain Services 中的對應屬性。
| Microsoft Entra ID 中的使用者屬性 | Domain Services 中的使用者屬性 |
|---|---|
| accountEnabled | userAccountControl (設定或清除 ACCOUNT_DISABLED 位元) |
| 市/鎮 | l |
| companyName | companyName |
| 國家/地區 | co |
| 部門 | 部門 |
| displayName | displayName |
| employeeId | employeeId |
| facsimileTelephoneNumber | facsimileTelephoneNumber |
| givenName | givenName |
| jobTitle | title |
| mailNickname | msDS-AzureADMailNickname |
| mailNickname | SAMAccountName (有時可能會自動產生) |
| manager | manager |
| 行動 | 行動 |
| objectid | msDS-aadObjectId |
| onPremiseSecurityIdentifier | sidHistory |
| passwordPolicies | userAccountControl (設定或清除 DONT_EXPIRE_PASSWORD 位元) |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| 郵遞區號 | 郵遞區號 |
| preferredLanguage | preferredLanguage |
| proxyAddresses | proxyAddresses |
| state | st |
| streetAddress | streetAddress |
| surname | sn |
| telephoneNumber | telephoneNumber |
| userPrincipalName | userPrincipalName |
群組的屬性對應
下表說明如何將 Microsoft Entra ID 中群組物件的特定屬性,同步到 Domain Services 中的對應屬性。
| Microsoft Entra ID 中的群組屬性 | Domain Services 中的群組屬性 |
|---|---|
| displayName | displayName |
| displayName | SAMAccountName (有時可能會自動產生) |
| mailNickname | msDS-AzureADMailNickname |
| objectid | msDS-AzureADObjectId |
| onPremiseSecurityIdentifier | sidHistory |
| proxyAddresses | proxyAddresses |
| securityEnabled | groupType |
從內部部署 AD DS 同步至 Microsoft Entra ID 和 Domain Services
使用 Microsoft Entra Connect 將使用者帳戶、群組成員資格及認證雜湊,從內部部署 AD DS 環境同步至 Microsoft Entra ID。 同步的對象包括使用者帳戶的屬性,例如 UPN 和內部部署安全性識別碼 (SID)。 若要使用 Domain Services 登入,NTLM 和 Kerberos 驗證所需的舊版密碼雜湊也要同步至 Microsoft Entra ID。
重要
只有內部部署 AD DS 環境同步才建議安裝和設定 Microsoft Entra Connect。 不支援在受控網域中安裝 Microsoft Entra Connect,將物件同步回 Microsoft Entra ID。
如果設定回寫,則 Microsoft Entra ID 的變更就會同步回內部部署 AD DS 環境。 例如,如果使用者使用 Microsoft Entra 自助式密碼管理變更其密碼,則會在內部部署 AD DS 環境中更新密碼。
注意
請一律使用最新版的 Microsoft Entra Connect 版本,以確保擁有全部已知問題的修正。
從多樹系內部部署環境同步處理
許多組織都有相當複雜的內部部署 AD DS 環境,其中包含多個樹系。 Microsoft Entra Connect 支援將使用者、群組及認證雜湊從多樹系環境同步到 Microsoft Entra ID。
Microsoft Entra ID 有更簡單的一般命名空間。 為確保使用者能穩定存取受 Microsoft Entra ID 保護的應用程式,請解決不同樹系中各個使用者帳戶之間的 UPN 衝突。 受控網域使用的一般 OU 結構和 Microsoft Entra ID 相似。 所有使用者帳戶和群組都會儲存在 AADDC 使用者容器中,即使您已設定階層式 OU 結構內部部署,仍會從不同的內部部署網域或樹系進行同步處理。 受控網域會壓平合併任何階層式 OU 結構。
如前文所述,Domain Services 不會同步回 Microsoft Entra ID。 您可以在 Domain Services 中建立自訂組織單位 (OU),並在這些自訂 OU 中建立使用者、群組或服務帳戶。 在自訂 OU 內建立的所有物件,都不會同步回 Microsoft Entra ID。 這些物件只能在受控網域中使用,且無法使用 Microsoft Graph PowerShell Cmdlet、Microsoft Graph API 或 Microsoft Entra 系統管理中心顯示。
未同步至 Domain Services 的物件
下列物件或屬性,不會從內部部署 AD DS 環境同步至 Microsoft Entra ID 或 Domain Services:
- 排除的屬性:您可以選擇將特定屬性排除在外,不使用 Microsoft Entra Connect 將其從內部部署 AD DS 環境同步到 Microsoft Entra ID。 這些排除的屬性後續將無法在 Domain Services 中使用。
- 群組原則:內部部署 AD DS 環境中設定的群組原則不會同步到 Domain Services。
- Sysvol 資料夾:內部部署 AD DS 環境中的 Sysvol 資料夾內容不會同步至 Domain Services。
- 電腦物件:已加入內部部署 AD DS 環境之電腦的電腦物件不會同步至 Domain Services。 這些電腦與受控網域沒有信任關聯性,且只屬於內部部署 AD DS 環境。 在 Domain Services 中,只會顯示已明確加入受控網域之電腦的電腦物件。
- 使用者和群組的 SidHistory 屬性:來自內部部署 AD DS 環境的主要使用者和主要群組 SID 會同步至 Domain Services。 然而,使用者和群組的現有 SidHistory 屬性,不會從內部部署 AD DS 環境同步至 Domain Services。
- 組織單位 (OU) 結構:內部部署 AD DS 環境中定義的組織單位不會同步至 Domain Services。 Domain Services 中有兩個內建的 OU,一個供使用者使用,另一個供電腦使用。 受控網域會有單層式 OU 結構。 您可以選擇在您的受控網域中建立自訂 OU。
密碼雜湊同步處理和安全性考量
當您啟用 Domain Services 時,會需要 NTLM 和 Kerberos 驗證的舊版密碼雜湊。 Microsoft Entra ID 不會儲存純文字密碼,因此無法為現有的使用者帳戶自動產生這些雜湊。 NTLM 和 Kerberos 相容的密碼雜湊一律會以加密方式儲存於 Microsoft Entra ID 中。
加密金鑰對每位 Microsoft Entra 租用戶而言都是唯一的。 這些雜湊均會加密,因此,只有 Domain Services 能夠存取解密金鑰。 Microsoft Entra ID 中沒有任何其他服務或元件可以存取解密金鑰。
然後,舊版密碼雜湊會從 Microsoft Entra ID 同步至受控網域的網域控制站。 這些 Domain Services 中受控網域控制站的磁碟,均會進行待用加密。 這些密碼雜湊會儲存在這些網域控制站上並受到保護,類似於將密碼儲存在 內部部署 AD DS 環境上並受到保護。
針對僅限雲端的 Microsoft Entra 環境,使用者必須重設/變更其密碼,才能產生必要的密碼雜湊,並儲存於 Microsoft Entra ID 中。 啟用 Microsoft Entra Domain Services 之後於 Microsoft Entra ID 中建立的任何雲端使用者帳戶,都會產生並儲存 NTLM 和 Kerberos 相容格式的密碼雜湊。 所有雲端使用者帳戶都必須先變更其密碼,才會同步至 Domain Services。
針對使用 Microsoft Entra Connect 從內部部署 AD DS 環境同步的混合式使用者帳戶,您必須設定 Microsoft Entra Connect 同步 NTLM 和 Kerberos 相容格式的密碼雜湊。
下一步
如需密碼同步規格的詳細資訊,請參閱使用 Microsoft Entra Connect 同步密碼雜湊的運作方式。
如要開始使用 Domain Services,請建立受控網域。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應