Microsoft Entra Connect 的拓撲
本文說明使用 Microsoft Entra 連線 Sync 作為主要整合解決方案的各種內部部署和 Microsoft Entra 拓撲。 本文包含受支援和不受支援的組態。
以下是文章中圖片的圖例:
| 描述 | 符號 |
|---|---|
| 內部部署 Active Directory 樹系 |  |
| 已篩選匯入的內部部署 Active Directory |  |
| Microsoft Entra 連線 Sync 伺服器 |  |
| Microsoft Entra 連線 同步伺服器「預備模式」 |  |
| GALSync with Microsoft Identity Manager (MIM) 2016 |  |
| Microsoft Entra 連線 Sync 伺服器,詳細 |  |
| Microsoft Entra ID |  |
| 不受支援的案例 |  |
重要
Microsoft 不支援在正式記載的設定或動作之外修改或操作 Microsoft Entra 連線 Sync。 上述任何組態或動作都可能導致 Microsoft Entra 連線 Sync 狀態不一致或不受支援。因此,Microsoft 無法提供這類部署的技術支援。
單一樹系、單一 Microsoft Entra 租用戶
最常見的拓撲是單一內部部署樹系 (內含一或多個網域) 和單一 Microsoft Entra 租用戶。 針對 Microsoft Entra 驗證,會使用密碼哈希同步處理。 Microsoft Entra Connect 的快速安裝僅支援此拓撲。
單一樹系,多個同步伺服器到一個 Microsoft Entra 租使用者
除了預備伺服器之外,不支援有多個 Microsoft Entra 連線 同步處理伺服器連線到相同 Microsoft Entra 租使用者。 即使這些伺服器設定為與互斥的物件集同步處理,也不受支援。 如果您無法從單一伺服器連線到樹系中的所有網域,或想要將負載分散到數部伺服器,您可能已考慮此拓撲。 (當新的 Azure AD 同步 伺服器設定為新的 Microsoft Entra 樹系和新的已驗證子域時,不會發生任何錯誤。
多個樹系,單一 Microsoft Entra 租用戶
許多組織的環境都擁有多個內部部署 Active Directory 樹系。 擁有多個內部部署 Active Directory 樹系的原因有很多。 典型的例子包括帳戶資源樹系的設計,以及合併或收購的結果。
當您有多個樹系時,所有樹系都必須由單一 Microsoft Entra 連線 Sync 伺服器連線。 伺服器必須加入網域。 如果必須連線到所有樹系,您可以將伺服器置於周邊網路 (也稱為 DMZ、非軍事區域和遮蔽式子網路) 中。
Microsoft Entra 連線 安裝精靈提供數個選項來合併多個樹系中代表的使用者。 目標是使用者只會在 Microsoft Entra ID 中表示一次。 您可以在安裝精靈的自訂安裝路徑中設定一些常見的拓撲。 在 [ 唯一識別您的使用者 ] 頁面上,選取代表拓撲的對應選項。 合併只會針對用戶進行設定。 重複的群組不會與預設組態合併。
常見的拓撲會在個別拓撲、 完整網格和 帳戶資源拓撲的各節中討論。
Microsoft Entra 連線 Sync 中的預設組態假設:
- 每個使用者只有一個已啟用帳戶,而且此帳戶所在的樹系用來驗證使用者。 此假設適用於密碼哈希同步處理、傳遞驗證和同盟。 UserPrincipalName 和 sourceAnchor/immutableID 來自此樹系。
- 每個使用者只有一個信箱。
- 為使用者裝載信箱的樹系,對於 Exchange 全域通訊清單 (GAL) 中顯示的屬性,具有最佳的數據品質。 如果沒有使用者的信箱,可以使用任何樹系來貢獻這些屬性值。
- 如果您有連結的信箱,另一個樹系中有一個帳戶用於登入。
如果您的環境不符合這些假設,就會發生下列情況:
- 如果您有一個以上的使用中帳戶或多個信箱,同步處理引擎會挑選一個信箱,並忽略另一個信箱。
- 沒有其他使用中帳戶的連結信箱不會匯出至 Microsoft Entra ID。 用戶帳戶不會表示為任何群組中的成員。 DirSync 中的連結信箱一律會以一般信箱表示。 這項變更是刻意不同的行為,可更好地支援多重樹系案例。
您可以在了解預設組態中找到更多詳細數據。
多個樹系、多個同步伺服器到一個 Microsoft Entra 租使用者
不支援將多個 Microsoft Entra 連線 同步處理伺服器連線到單一 Microsoft Entra 租使用者。 例外狀況是使用 預備伺服器。
此拓撲與下列拓撲不同,因為 不支援多個連線到單一 Microsoft Entra 租使用者的同步伺服器 。 (雖然不支援,但這仍然有效。
多個樹系、單一同步伺服器、使用者只會以一個目錄表示
在此環境中,所有內部部署樹系會被視為個別的實體。 使用者不會顯示在任何其他樹系中。 每個樹系具有自己的 Exchange 組織,而且在樹系之間沒有 GALSync。 此拓撲可能是合併/收購之後的情況,或出現在每個業務單位獨立作業的組織中。 在 Microsoft Entra ID 中,這些樹系會在相同的組織中,並與整合 GAL 一起出現。 在上圖中,每個樹系中的每個物件都會在Metaverse中表示一次,並在目標 Microsoft Entra 租使用者中匯總。
多個樹系:比對使用者
所有這些案例的常見情況是,散發和安全組可以包含使用者、聯繫人和外部安全主體 (FSP) 的組合。 FSP 用於 Active Directory 網域服務 (AD DS) 來代表安全組中其他樹系的成員。 所有 FSP 都會解析為 Microsoft Entra ID 中的真實物件。
多個樹系:內含選擇性 GALSync 的完整網格
完整網格拓撲可讓使用者和資源位於任何樹系中。 通常,在樹系之間有雙向信任關係。
如果 Exchange 出現在多個樹系中,則可能有 (選擇性) 內部部署 GALSync 解決方案。 然後每個使用者可以顯示為所有其他樹系中的連絡人。 GALSync 通常是透過 Microsoft Identity Manager 實作。 Microsoft Entra 連線 無法用於內部部署 GALSync。
在此案例中,身分識別物件會透過郵件屬性聯結。 一個樹系中有信箱的使用者會與其他樹系中的聯繫人聯結。
多個樹系:帳戶資源樹系
在帳戶資源樹系拓撲中,您有一或多個 具有作用中用戶帳戶的帳戶 樹系。 您也有一或多個 具有已停用帳戶的資源 樹系。
在此案例中,一 (或多) 個資源樹系信任所有帳戶樹系。 此資源樹系通常具有內含 Exchange 和 Lync 的擴充 Active Directory 結構描述。 所有的 Exchange 和 Lync 服務以及其他共用的服務都位於此樹系。 使用者在此樹系中擁有停用的使用者帳戶,而信箱會連結至帳戶樹系。
Microsoft 365 和拓撲考慮
某些 Microsoft 365 工作負載對支援的拓撲有特定限制:
| 工作負載 | 限制 |
|---|---|
| Exchange Online | 如需 Exchange Online 所支援混合式拓撲的詳細資訊,請參閱 具有多個 Active Directory 樹系的混合式部署。 |
| 商務用 Skype | 當您使用多個內部部署樹系時,僅支援帳戶資源樹系拓撲。 如需詳細資訊,請參閱 商務用 Skype Server 2015 的環境需求。 |
如果您是較大的組織,您應該考慮使用 Microsoft 365 PreferredDataLocation 功能。 它可讓您定義用戶資源所在的資料中心區域。
預備伺服器
Microsoft Entra Connect 支援以「預備模式」安裝第二部伺服器。 此模式中的伺服器會從所有連接的目錄讀取數據,但不會將任何內容寫入連接的目錄。 其使用正常同步處理週期,因此具有身分識別資料的更新複本。
在主伺服器失敗的災害中,您可以故障轉移至預備伺服器。 您可以在 Microsoft Entra 連線 精靈中執行此動作。 第二部伺服器可以位於不同的數據中心,因為沒有基礎結構與主伺服器共用。 您必須手動將主伺服器上所做的任何組態變更複製到第二部伺服器。
您可以使用預備伺服器來測試新的自訂組態,以及它對您數據的影響。 您可以預覽變更並調整設定。 當您滿意新的設定時,您可以將預備伺服器設為使用中伺服器,並將舊的使用中伺服器設定為預備模式。
您也可以使用此方法來取代作用中的同步伺服器。 準備新的伺服器,並將其設定為預備模式。 請確定它處於良好狀態、停用預備模式(使其為作用中),並關閉目前作用中的伺服器。
當您想要在不同數據中心有多個備份時,可能會有多個預備伺服器。
多個 Microsoft Entra 租用戶
我們建議在組織的 Microsoft Entra ID 中擁有單一租使用者。 在您打算使用多個 Microsoft Entra 租使用者之前,請參閱 Microsoft Entra 識別碼中的 管理員 單位管理一文。 其中涵蓋您可以使用單一租用戶的常見案例。
將 AD 物件同步至多個 Microsoft Entra 租使用者
此拓撲會實作下列使用案例:
- Microsoft Entra 連線 可以將使用者、群組和聯繫人從單一 Active Directory 同步至多個 Microsoft Entra 租使用者。 這些租用戶可以位於不同的 Azure 環境中,例如由 21Vianet 環境或 Azure Government 環境運作的 Microsoft Azure,但它們也可以位於相同的 Azure 環境中,例如兩個租用戶位於 Azure Commercial 中。 如需選項的詳細資訊,請參閱 規劃 Azure Government 應用程式的身分識別。
- 相同的來源錨點可用於不同租使用者中的單一物件(但不適用於相同租使用者中的多個物件)。 (已驗證的網域不能在兩個租使用者中相同。需要更多詳細數據,才能讓相同的物件有兩個 UPN。
- 您必須為每個您想要同步處理的 Microsoft Entra 租使用者部署 Microsoft Entra 連線 伺服器 - 一個 Microsoft Entra 連線 伺服器無法同步處理至多個 Microsoft Entra 租使用者。
- 支援針對不同的租使用者有不同的同步範圍和不同的同步處理規則。
- 只有一個 Microsoft Entra 租使用者同步處理可以設定為回寫至相同物件的 Active Directory。 這包括裝置和群組回寫,以及混合式 Exchange 設定 – 這些功能只能在一個租用戶中設定。 這裡唯一的例外是密碼回寫 – 請參閱下文。
- 支援將密碼哈希同步處理從 Active Directory 設定為相同用戶物件的多個 Microsoft Entra 租使用者。 如果租使用者已啟用密碼哈希同步處理,則密碼回寫也可以啟用,這可以在多個租使用者上完成:如果一個租使用者上的密碼已變更,則密碼回寫會在 Active Directory 中更新它,而密碼哈希同步也會更新其他租使用者中的密碼。
- 即使這些租用戶位於不同的 Azure 環境中,也不支援在多個 Microsoft Entra 租使用者中新增和驗證相同的自定義功能變數名稱。
- 不支援在 AD 中設定利用樹系層級設定的混合式體驗,例如無縫 SSO 和 Microsoft Entra 混合式聯結(非目標方法),以及多個租使用者。 這樣做會覆寫其他租用戶的設定,使其不再可供使用。 您可以在規劃 Microsoft Entra 混合式聯結部署中找到其他資訊。
- 您可以將裝置物件同步處理到多個租使用者,但裝置只能將 Microsoft Entra 混合式加入一個租使用者。
- 每個 Microsoft Entra 連線 實體都應該在已加入網域的電腦上執行。
注意
全域通訊清單同步處理 (GalSync) 不會在此拓撲中自動完成,而且需要額外的自定義 MIM 實作,以確保每個租使用者在 Exchange Online 和 商務用 Skype Online 中都有完整的全域通訊清單 (GAL)。
GALSync 使用回寫
GALSync 與內部部署同步伺服器
您可以使用 Microsoft Identity Manager 內部部署來同步處理兩個 Exchange 組織之間的使用者(透過 GALSync)。 一個組織中的用戶會顯示為另一個組織中的外國使用者/連絡人。 然後,這些不同的 內部部署的 Active Directory 實例可以與自己的 Microsoft Entra 租使用者同步處理。
使用未經授權的用戶端存取 Microsoft Entra 連線 後端
Microsoft Entra 連線 伺服器會透過 Microsoft Entra 連線 後端與 Microsoft Entra 標識符通訊。 唯一可用來與此後端通訊的軟體是 Microsoft Entra 連線。 不支援使用任何其他軟體或方法與 Microsoft Entra 連線 後端通訊。
下一步
若要瞭解如何針對這些案例安裝 Microsoft Entra 連線,請參閱 Microsoft Entra 連線 的自定義安裝。
深入瞭解 Microsoft Entra 連線 Sync 設定。