共用方式為


在 SharePoint Server 中使用 SharePoint Active Directory 匯入設定設定檔同步處理

適用於:yes-img-132013 yes-img-16 2016yes-img-19 2019yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

您可以使用 SharePoint Active Directory 匯入選項 (AD 匯入) 作為替代方式,使用 Microsoft Identity Manager (MIM) 從 Active Directory 網域服務匯入使用者配置檔數據, (網域中的 AD DS) 。

使用 AD 匯入的匯入作業比使用 MIM 的相同作業快很多。 不過,AD 匯入僅適用於 Active Directory Domain Services (AD DS) ,而且無法與其他目錄服務搭配使用。 此外,如果您選擇使用AD匯入,則無法使用MIM或其他外部身分識別管理員來連線到其他數據源,例如商務應用程式。

您必須是伺服器陣組管理員群組的成員,才能執行本文中的程式。 您也需要具有同步處理許可權的網域認證,才能設定連線。

注意事項

MIM 是僅適用於 SharePoint Server 2016 和 SharePoint Server 2019 的外部提供者。

瞭解 Microsoft 365 中的 SharePoint 使用者配置檔同步處理

AD 匯入不支持的情況

請考慮下列情況,並注意當您決定是否要使用此選項時,AD 匯入選項不支持什麼:

  • AD 匯入選項不會執行雙向同步處理。 這表示對 SharePoint 使用者設定檔所做的變更將不會同步回域控制器。

  • 只會維護單一 Active Directory 樹系內使用者及群組之間的參考完整性。

  • AD 匯入選項可讓您只設定和使用單一的全伺服器陣列屬性對應。

  • AD 匯入選項不會自動將相片從 Active Directory 同步至 SharePoint Server 2016。

  • AD 匯入選項不支援非 AD) LDAP 來源的一般 (。

  • AD 匯入選項不支援來源架構探索。

  • AD 匯入選項不支援多樹系案例,例如:

    • 如果您在兩個樹系之間有信任,則不會匯入信任的樹系物件。

    • 只要您為每個網域建立一個同步處理連線,AD 匯入就支援從多個網域匯入使用者。 或者,請考慮使用 Microsoft Identity Manager。

  • AD 匯入選項不支援 Contact 物件 (也稱為跨物件指標) 。

  • 除了 User 和 Group 之外,AD 匯入選項不支援自定義物件類別。

  • AD 匯入選項不會篩選使用者介面來建立複雜的布爾表達式。

  • AD 匯入選項不會根據物件屬性值提供物件篩選 (您必須使用簡單的 LDAP 篩選) 。

  • AD 匯入選項不提供登入和資源樹系支援。 也就是說,來自多個來源的數據自定義聯結。

  • AD 匯入選項不支援 Business Connectivity Services 匯入。

  • AD 匯入選項不支援複雜類型的屬性對應,例如圖片和特殊 AD 類型。

  • AD 匯入選項不支援將數據從 SharePoint 匯出至目錄來源。

  • AD 匯入選項不支援升級/翻譯 FIM 型連線,或將設定同步至 AD 匯入 (或反向順序) 。

  • AD 匯入選項目前無法確保每個物件屬性的單一主 (,最後一個寫入器會) 。

  • AD 匯入選項不會執行每個租用戶的屬性對應。

設定 SharePoint Active Directory 匯入

您會在管理中心執行三個程式來設定AD匯入。

在第一個程式中,您會將 SharePoint Server 設定為使用 AD 匯入,而不是 MIM 之類的外部身分識別管理員。

在第二個程式中,您會建立AD DS的同步處理連線。 聯機會識別要同步處理的專案,並包含用來與 AD DS 互動的認證。

在第三個程式中,您會決定 SharePoint Server 中使用者配置檔的屬性如何對應至從 AD DS 擷取的用戶資訊。

將 SharePoint Server 設定為使用 AD 匯入

  1. 在SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]

  2. 在 [ 管理服務應用程式 ] 頁面上,按兩下 [使用者設定檔] 服務應用程式的連結。

  3. 在 [管理設定檔服務] 頁面上,按一下 [同步處理] 區段中的 [設定同步處理設定]

  4. 在 [設定同步處理設定] 頁面的 [同步處理選項] 區段中,選取 [使用 SharePoint Active Directory 匯入] 選項,然後按一下 [確定]

若要匯入設定檔,您至少必須具備一個連至 AD DS 的同步處理連線。 您可以連線到多個 AD DS 伺服器。 使用下列程式,建立您要從中匯入配置檔之每個 AD DS 伺服器的同步處理連線。 您可以在建立每個連線之後進行同步處理,或在建立全部連線之後一次進行同步處理。 雖然在每次連線之後進行同步處理需要較長的時間,但此程式可讓您更輕鬆地針對可能遇到的任何問題進行疑難解答。

建立目錄服務的連線以進行匯入

  1. 在SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]

  2. 在 [ 管理服務應用程式 ] 頁面上,按兩下 [使用者設定檔] 服務應用程式的連結。

  3. 在 [管理設定檔服務] 頁面上,按一下 [同步處理] 區段中的 [設定同步處理連線]

  4. 在 [同步處理連線] 頁面上,按一下 [建立新連線]

  5. 在 [新增同步處理連線] 頁面的 [連線名稱] 方塊中,輸入同步處理連線名稱。

  6. 從 [類型] 清單中,選取 [Active Directory 匯入]

  7. 完成下列步驟以填入 [連線設定] 區段:

    1. 在 [ 完整域名 ] 方塊中,輸入網域的完整域名。

    2. 在 [驗證提供者類型] 方塊中,選取驗證提供者的類型。

    3. 如果選取 [表單驗證] 或 [信任的宣告提供者驗證],請從 [驗證提供者執行個體] 方塊中選取驗證提供者。

      [驗證提供者執行個體] 方塊只會列出 Web 應用程式目前使用的驗證提供者。

    4. 在 [ 帳戶名稱] 方塊中,輸入您想要 AD 匯入工具用來執行同步處理的帳戶名稱。 使用表單< DOMAIN>\ <UserName>。 同步處理帳戶必須具有樹系根目錄的複寫目錄許可權。

    5. 在 [ 密碼 ] 和 [ 確認密碼] 方塊中,輸入帳戶的密碼。

    6. 在 [連接埠] 方塊中,輸入您想要讓 AD 匯入工具在執行同步處理時用來連線到 AD DS 的連線連接埠。

    7. 如果目錄服務的連線需要使用 Secure Sockets Layer (SSL) 連線,請選取 [使用 SSL 安全連線]

      重要事項

      如果您使用 SSL 連線,則必須從 AD DS 伺服器匯出域控制器的憑證,並在 SharePoint 伺服器 (的) 不信任 SSL 憑證時,將憑證匯入同步處理伺服器。

    8. 如果您想要篩選掉 AD DS 中已停用的使用者,請選 取 [篩選出已停用的使用者 ] 複選框。

    9. 如果您想篩選要從目錄服務匯入的物件,請在 [Active Directory 匯入的 LDAP 語法篩選] 方塊中,輸入標準 LDAP 查詢運算式來定義篩選器。

    10. 在 [容器] 區段中,按一下 [填入容器],然後從您要同步處理的目錄服務中選取容器。 所選取的所有組織單位 (OU) 都會與它們的子系 OU 同步處理。 目前沒有公用程式可讓您選取父系 OU,卻將其任一個子系 OU 排除在同步處理之外。

      注意事項

      只有在初始匯入物件期間才會篩選物件。 匯入后篩選的變更不會影響已匯入的物件。

    11. 按一下確定

      [同步處理連線] 頁面會列出新建立的連線。

      提示

      在 [ 同步處理 連線] 頁面上,您可以按下同步處理連線的名稱,然後按兩下 [ 編輯 ] 或 [ 刪除 ] 來編輯或刪除連線。

對應使用者設定檔屬性

  1. 在SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]

  2. 在 [ 管理服務應用程式 ] 頁面上,按兩下 [使用者設定檔] 服務應用程式的連結。

  3. 在 [管理設定檔服務] 頁面上,按一下 [人員] 區段中的 [管理使用者屬性]

  4. 在 [ 管理使用者屬性] 頁面上,按下您要對應至目錄服務屬性的屬性名稱,然後按兩下 [ 編輯]

  5. 若要移除現有對應,請在 [同步處理屬性對應] 區段中,選取您要移除的對應,然後按一下 [移除]

  6. 若要新增對應,請執行下列工作:

    1. 在 [新增對應] 區段的 [來源資料連線] 清單中,選取代表要對應使用者設定檔屬性之目錄服務的資料連線。

    2. 在 [屬性] 方塊中,輸入要對應屬性的目錄服務屬性的名稱。

    3. 按一下 [新增]

      注意事項

      您無法新增多個對應或編輯對應。 若要變更屬性的對應設定,您必須先移除現有對應,然後再新增對應。

  7. 按一下確定

  8. 重複步驟 4 到 7 以對應更多屬性。

若要啟動設定檔同步處理

  1. 在SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]

  2. 在 [ 管理服務應用程式 ] 頁面上,按兩下 [使用者設定檔] 服務應用程式的連結。

  3. 在 [管理設定檔服務] 頁面的 [同步處理] 區段中,按一下 [啟動設定檔同步處理]

  4. 在 [ 開始配置檔同步處理 ] 頁面上,選取 [開始進行第一次同步處理 的完整 同步處理],或如果您自上次同步處理之後新增或修改任何同步處理連線。 如果只要同步處理自上次同步處理之後變更的資訊,請選取 [啟動累加同步處理]

  5. 按一下 [確定]

    隨即顯示 [管理設定檔服務] 頁面,並在右窗格中顯示設定檔同步處理狀態。

另請參閱

概念

在 SharePoint Server 中管理使用者設定檔同步處理

規劃 SharePoint Server 2013 的設定檔同步處理

在 SharePoint Server 2013 中同步處理使用者和群組設定檔

在 SharePoint Server 中排程設定檔同步處理

其他資源

Update-SPProfilePhotoStore