Share via

Microsoft Entra 雲端同步支援的拓撲和案例

  • 發行項

本文說明使用 Microsoft Entra Cloud Sync 的各種內部部署和 Microsoft Entra 拓撲。本文僅包含支援的組態和案例。

重要

Microsoft 不支援在正式記載的設定或動作之外修改或操作 Microsoft Entra Cloud Sync。 上述任何設定或動作都可能導致 Microsoft Entra Cloud Sync 的狀態不一致或不受支援。因此,Microsoft 無法提供這類部署的技術支援。

如需詳細資訊,請參閱下列影片。

所有案例和拓撲的注意事項

選取解決方案時,應該記住下列資訊。

  • 使用者和群組必須在所有樹系中唯一識別。
  • 跨樹系的比對不會與雲端同步。
  • 會自動選擇物件的來源錨點。 如果存在,則會使用 ms-DS-ConsistencyGuid,否則會使用 ObjectGUID。
  • 您無法變更用於來源錨點的屬性。

Active Directory 至 Microsoft Entra ID 支援的拓撲

下列拓撲支援從 Active Directory 布建至 Microsoft Entra ID。

單一樹系、單一 Microsoft Entra 租用戶

此圖顯示單一樹系和單一租使用者的拓撲。

最簡單的拓撲是單一內部部署樹系,具有一或多個網域,以及單一 Microsoft Entra 租使用者。 如需此案例的範例,請參閱 教學課程:具有單一 Microsoft Entra 租使用者的單一樹系

多樹系、單一 Microsoft Entra 租使用者

多樹系和單一租使用者的拓撲

多個 AD 樹系是通用拓撲,具有一或多個網域,以及單一 Microsoft Entra 租使用者。

具有 Microsoft Entra 連線 的現有樹系,具有雲端布建的新樹系

此圖顯示現有樹系和新樹系的拓撲。

此案例與多重樹系案例類似,但此案例牽涉到現有的 Microsoft Entra 連線 環境,然後使用 Microsoft Entra Cloud Sync 引進新的樹系。如需此案例的範例,請參閱教學課程:具有單一 Microsoft Entra 租使用者的現有樹系

在現有的混合式 AD 樹系中試驗 Microsoft Entra Cloud Sync

單一樹系和單一租使用者的拓撲試驗案例牽涉到相同樹系中存在 Microsoft Entra 連線 和 Microsoft Entra Cloud Sync,並據此界定使用者和群組的範圍。 注意:對象應該只位於其中一個工具的範圍內。

如需此案例的範例,請參閱 教學課程:在現有的同步 AD 樹系中試驗 Microsoft Entra Cloud Sync

從中斷連線的來源合併物件

(公開預覽)

從中斷連線的來源合併物件圖表 在此案例中,用戶的屬性是由兩個中斷連線的 Active Directory 樹系所貢獻。

有一個範例如下:

  • 一個樹系 (1) 包含大部分的屬性。
  • 第二個樹系 (2) 包含一些屬性。

由於第二個樹系沒有與 Microsoft Entra 連線 伺服器的網路連線,因此無法透過 Microsoft Entra 連線 合併物件。 第二個樹系中的雲端同步可讓從第二個樹系擷取屬性值。 然後,值可以與 Microsoft Entra 連線 同步的 Microsoft Entra 識別符中的 物件合併。

此設定是進階的,而且此拓撲有一些注意事項:

  1. 您必須使用 ms-DS-ConsistencyGuid 作為雲端同步設定中的來源錨點。
  2. ms-DS-ConsistencyGuid第二個樹系中使用者物件的 必須符合 Microsoft Entra ID 中對應物件的 。
  3. 您必須填入 UserPrincipalName 第二個樹系中的 屬性和 Alias 屬性,而且它必須符合從第一個樹系同步處理的屬性。
  4. 您必須從雲端同步組態中沒有值或可能有不同值的屬性對應中移除所有屬性;您無法在第一個樹系和第二個樹系之間有重疊的屬性對應。
  5. 如果第一個樹系中沒有相符的物件,則針對從第二個樹系同步的物件,雲端同步仍會在 Microsoft Entra ID 中建立物件。 物件只會有定義於第二個樹系之雲端同步對應組態中定義的屬性。
  6. 如果您從第二個樹系刪除物件,則會在 Microsoft Entra ID 中暫時虛刪除它。 它會在下一個 Microsoft Entra 連線 同步循環之後自動還原。
  7. 如果您從第一個樹系刪除物件,則會從 Microsoft Entra ID 虛刪除它。 除非對第二個樹系中的對象進行變更,否則不會還原物件。 30 天后,物件將會從 Microsoft Entra ID 硬式刪除,如果對第二個樹系中的對象進行變更,則會在 Microsoft Entra ID 中建立為新物件。

Microsoft Entra ID to Active Directory 支援的拓撲

下列拓撲支援從 Microsoft Entra ID 布建至 Active Directory。

將單一樹系群組布建至 Active Directory

單一樹系回寫的概念圖。

最簡單的群組布建拓撲是單一內部部署樹系,具有一或多個網域,以及單一 Microsoft Entra 租使用者。 如需此案例的範例,請參閱 將群組布建至 Active Directory

將多樹系群組布建至 Active Directory

多樹系回寫的概念圖。

更進階的群組布建拓撲包含 多個共享單一 Microsoft Entra ID 租用戶的內部部署 AD 樹系。

此設定是進階的,有一些事項可記住此拓撲:

  • 使用雲端同步布建至AD的群組只能包含內部部署同步處理的使用者和/或其他雲端建立的安全組。
  • 所有這些用戶都必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
  • onPremisesObjectIdentifier 必須符合目標 AD 環境中的對應 objectGUID。
  • 內部部署使用者 objectGUID 屬性可透過 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra 連線 Sync (2.2.8.0) 同步處理雲端使用者 onPremisesObjectIdentifier 屬性
  • 在您的租使用者內,您可以共用包含來自這兩個樹系之使用者的通用群組。
  • 不過,在其他樹系中不存在的使用者,在內部部署布建群組時,將不會布建為群組的成員。 因此,如果您的 Microsoft Entra 識別碼中有一個群組,其中包含來自 contoso.com 和 fabrikam.com 的使用者,則只有存在於 contoso.com 樹系中的使用者會在布建至 contoso.com 時成為群組的成員。 與 fabrikam 相同。

下一步