共用方式為

Microsoft Entra 雲端同步支援的拓撲和案例

  • 發行項

本文說明使用 Microsoft Entra 雲端同步的各種內部部署和Microsoft Entra 拓撲。本文僅包含支援的設定和案例。

重要

Microsoft 不支援在正式記載的設定或動作以外修改和操作 Microsoft Entra 雲端同步。 任何這些設定或動作都可能導致 Microsoft Entra 雲端同步處理發生不一致或不支援的狀態。如此一來,Microsoft 無法提供這類部署的技術支援人員。

如需詳細資訊,請觀看下列影片。

有關所有案例和拓撲要記住的事項

選取解決方案時,應該記住下方資訊。

  • 使用者和群組必須在所有樹系中可唯一識別。
  • 使用雲端同步時不會跨樹系進行比對。
  • 系統會自動選擇物件的來源錨點。 其會使用 ms-DS-ConsistencyGuid (如果存在的話),否則會使用 ObjectGUID。
  • 您無法變更用於來源錨點的屬性。

Active Directory 至 Microsoft Entra ID 支援的拓撲

下列拓撲支援從 Active Directory 佈建至 Microsoft Entra ID。

單一樹系、單一 Microsoft Entra 租用戶

圖表顯示單一樹系和單一租用戶的拓撲。

最簡單的拓撲是單一內部部署樹系 (內含一或多個網域) 和單一 Microsoft Entra 租用戶。 如需此案例的範例,請參閱教學課程:具有單一 Microsoft Entra 租用戶的單一樹系 (部分機器翻譯)

多樹系、單一 Microsoft Entra 租用戶

多樹系和單一租用戶的拓撲

多個 AD 樹系是通用拓撲,具有一或多個網域,以及單一 Microsoft Entra 租用戶。

具有 Microsoft Entra Connect 的現有樹系,具有雲端佈建的新樹系

圖表顯示現有樹系和新樹系的拓撲。

此案例拓撲與多樹系案例類似,但此案例牽涉到現有的 Microsoft Entra Connect 環境,然後使用 Microsoft Entra 雲端同步引進新的樹系。如需此案例的範例,請參閱教學課程:具有單一 Microsoft Entra 租用戶的現有樹系

在現有的混合式 AD 樹系中試驗 Microsoft Entra 雲端同步

單一樹系和單一租用戶的拓撲

試驗案例涉及 Microsoft Entra Connect 和 Microsoft Entra 雲端同步是否同時存在於相同的樹系中,並相應地設定使用者和群組的範圍。 注意:物件應該只在其中一個工具的範圍內。

如需此案例的範例,請參閱教學課程:在現有的同步 AD 樹系中試驗 Microsoft Entra 雲端同步連線 (部分機器翻譯)

從中斷連線的來源合併物件

(公開預覽)

從中斷連線來源合併物件的圖表

在此案例中,使用者的屬性由兩個中斷連線的 Active Directory 樹系所產生。

有一個範例如下:

  • 一個樹系 (1) 包含多數屬性。
  • 第二個樹系 (2) 包含一些屬性。

由於第二個樹系沒有 Microsoft Entra Connect 伺服器的網路連線,因此無法透過 Microsoft Entra Connect 合併物件。 第二個樹系中的雲端同步允許從第二個樹系擷取屬性值。 然後,此值可以與 Microsoft Entra Connect 所同步 Microsoft Entra 中的物件合併。

此為進階設定,且此拓撲有一些注意事項:

  1. 您必須使用 ms-DS-ConsistencyGuid 作為雲端同步設定中的來源錨點。
  2. 第二個樹系中使用者物件的 ms-DS-ConsistencyGuid 必須符合 Microsoft Entra ID 中對應物件的屬性。
  3. 您必須填入第二個樹系中的 UserPrincipalName 屬性和 Alias 屬性,且必須符合從第一個樹系同步的屬性。
  4. 您必須從雲端同步設定中沒有值或在第二個樹系中可能有不同值的屬性對應中移除所有屬性,您無法在第一個樹系和第二個樹系之間有重疊的屬性對應。
  5. 如果第一個樹系中沒有相符的物件,則對於從第二個樹系同步的物件,雲端同步仍會在 Microsoft Entra ID 中建立物件。 物件對於第二個樹系只會有定義於雲端同步對應設定中的屬性。
  6. 如果您從第二個樹系刪除物件,則系統會暫時在 Microsoft Entra ID 中將其虛刪除。 在下一個 Microsoft Entra Connect 同步週期之後,便會自動還原。
  7. 如果您從第一個樹系刪除物件,則系統會從 Microsoft Entra ID 虛刪除該物件。 除非對第二個樹系中的物件進行變更,否則不會還原物件。 在 30 天後,物件將會從 Microsoft Entra ID 中永久刪除,如果對第二個樹系中的物件進行變更,則系統會在 Microsoft Entra ID 中將其建立為新物件。

Microsoft Entra ID 至 Active Directory 支援的拓撲

下列拓撲支援從 Microsoft Entra ID 佈建至 Active Directory。

將單一樹系群組佈建至 Active Directory

單一樹系回寫的概念圖表。

最簡單的群組佈建拓撲是單一內部部署樹系 (內含一或多個網域) 和單一 Microsoft Entra 租用戶。 如需此案例的範例,請參閱將群組佈建至 Active Directory (部分機器翻譯)

將多樹系群組佈建至 Active Directory

多樹系回寫的概念圖表。

更進階的群組佈建拓撲包含多個共用單一Microsoft Entra ID 租用戶的內部部署 AD 樹系

此設定為進階設定,關於此拓撲則需留意:

  • 使用雲端同步佈建至 AD 的群組只能包含內部部署同步的使用者和/或其他雲端建立的安全群組。
  • 所有這些使用者都必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
  • onPremisesObjectIdentifier 必須符合目標 AD 環境中的對應 objectGUID。
  • 內部部署使用者 objectGUID 屬性可透過 Microsoft Entra 雲端同步 (1.1.1370.0) 或 Microsoft Entra Connect 同步 (2.2.8.0) 來同步至雲端使用者 onPremisesObjectIdentifier 屬性
  • 在您的租用戶內,您可以共用包含來自這兩個樹系使用者的同一群組。
  • 不過,在其他樹系中不存在的使用者,在內部部署佈建群組時,將不會佈建為群組的成員。 因此,如果您的群組位於 Microsoft Entra ID 中,其中包含來自 contoso.com 和 fabrikam.com 的使用者,則只有存在於 contoso.com 樹系中的使用者會在佈建至 contoso.com 時成為群組的成員。 fabrikam 也是一樣的。

下一步