Konfigurace synchronizace s vymezeným oborem z ID Microsoft Entra do služby Microsoft Entra Domain Services pomocí Centra pro správu Microsoft Entra
Za účelem poskytování ověřovacích služeb služba Microsoft Entra Domain Services synchronizuje uživatele a skupiny z ID Microsoft Entra. V hybridním prostředí je možné nejprve synchronizovat uživatele a skupiny z prostředí služby místní Active Directory Domain Services (AD DS) do Microsoft Entra ID pomocí služby Microsoft Entra Connect a pak synchronizovat se spravovanou doménou služby Domain Services.
Ve výchozím nastavení se všichni uživatelé a skupiny z adresáře Microsoft Entra synchronizují do spravované domény. Pokud službu Domain Services potřebují používat jenom někteří uživatelé, můžete se místo toho rozhodnout synchronizovat jenom skupiny uživatelů. Synchronizaci můžete filtrovat pro místní skupiny, jenom cloud nebo obojí.
V tomto článku se dozvíte, jak nakonfigurovat synchronizaci s vymezeným oborem a pak změnit nebo zakázat sadu uživatelů s vymezeným oborem pomocí Centra pro správu Microsoft Entra. Tyto kroky můžete provést také pomocí PowerShellu.
Než začnete
K dokončení tohoto článku potřebujete následující prostředky a oprávnění:
- Aktivní předplatné Azure.
- Pokud nemáte předplatné Azure, vytvořte účet.
- Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
- V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
- Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
- V případě potřeby dokončete kurz a vytvořte a nakonfigurujte spravovanou doménu služby Microsoft Entra Domain Services.
- Ke změně oboru synchronizace služby Domain Services potřebujete role Správce aplikací a skupiny Microsoft Entra ve vašem tenantovi.
Přehled omezené synchronizace
Ve výchozím nastavení se všichni uživatelé a skupiny z adresáře Microsoft Entra synchronizují do spravované domény. Synchronizaci můžete nastavit na jenom uživatelské účty vytvořené v Microsoft Entra ID nebo synchronizovat všechny uživatele.
Pokud ke spravované doméně potřebuje přístup jenom několik skupin uživatelů, můžete vybrat možnost Filtrovat podle oprávnění skupiny a synchronizovat pouze tyto skupiny. Tato synchronizace s vymezeným oborem je založená pouze na skupinách. Když konfigurujete synchronizaci s vymezeným oborem skupiny, synchronizují se do spravované domény jenom uživatelské účty, které patří do zadaných skupin. Vnořené skupiny se nesynchronují; synchronizovat pouze skupiny, které zadáte.
Rozsah synchronizace můžete změnit před nebo po vytvoření spravované domény. Rozsah synchronizace je definován instančním objektem s identifikátorem 2565bd9d-da50-47d4-8b85-4c97f669dc36
aplikace . Pokud chcete zabránit ztrátě oboru, neodstraňovat ani měnit instanční objekt. Pokud dojde k náhodnému odstranění, rozsah synchronizace se nedá obnovit.
Pokud změníte rozsah synchronizace, mějte na paměti následující upozornění:
- Dojde k úplné synchronizaci.
- Objekty, které už nejsou ve spravované doméně potřeba, se odstraní. Ve spravované doméně se vytvoří nové objekty.
Další informace o procesu synchronizace najdete v tématu Principy synchronizace ve službě Microsoft Entra Domain Services.
Povolení synchronizace s vymezeným oborem
Pokud chcete povolit vymezenou synchronizaci v Centru pro správu Microsoft Entra, proveďte následující kroky:
V Centru pro správu Microsoft Entra vyhledejte a vyberte Microsoft Entra Domain Services. Zvolte spravovanou doménu, například aaddscontoso.com.
V nabídce na levé straně vyberte Možnost Synchronizace .
Pro obor synchronizace vyberte Pouze vše nebo Cloud.
Pokud chcete filtrovat synchronizaci vybraných skupin, klikněte na Zobrazit vybrané skupiny, zvolte, jestli se mají synchronizovat jenom cloudové skupiny, místní skupiny nebo obojí. Například následující snímek obrazovky ukazuje, jak synchronizovat pouze tři skupiny vytvořené v MICROSOFT Entra ID. Pouze uživatelé, kteří patří do těchto skupin, budou mít své účty synchronizované se službou Domain Services.
Pokud chcete přidat skupiny, klikněte na Přidat skupiny, vyhledejte a zvolte skupiny, které chcete přidat.
Po provedení všech změn vyberte Uložit rozsah synchronizace.
Změna rozsahu synchronizace způsobí, že spravovaná doména znovu synchronizuje všechna data. Objekty, které už nejsou ve spravované doméně potřeba, se odstraní a dokončení opětovné synchronizace může nějakou dobu trvat.
Úprava synchronizace s vymezeným oborem
Pokud chcete upravit seznam skupin, jejichž uživatelé by měli být synchronizovaní se spravovanou doménou, proveďte následující kroky:
- V Centru pro správu Microsoft Entra vyhledejte a vyberte Microsoft Entra Domain Services. Zvolte spravovanou doménu, například aaddscontoso.com.
- V nabídce na levé straně vyberte Možnost Synchronizace .
- Pokud chcete přidat skupinu, zvolte + Přidat skupiny v horní části a pak zvolte skupiny, které chcete přidat.
- Pokud chcete odebrat skupinu z oboru synchronizace, vyberte ji ze seznamu aktuálně synchronizovaných skupin a zvolte Odebrat skupiny.
- Po provedení všech změn vyberte Uložit rozsah synchronizace.
Změna rozsahu synchronizace způsobí, že spravovaná doména znovu synchronizuje všechna data. Objekty, které už nejsou ve spravované doméně potřeba, se odstraní a dokončení opětovné synchronizace může nějakou dobu trvat.
Zakázání synchronizace s vymezeným oborem
Pokud chcete zakázat synchronizaci s vymezeným oborem skupiny pro spravovanou doménu, proveďte následující kroky:
- V Centru pro správu Microsoft Entra vyhledejte a vyberte Microsoft Entra Domain Services. Zvolte spravovanou doménu, například aaddscontoso.com.
- V nabídce na levé straně vyberte Možnost Synchronizace .
- Zrušte zaškrtnutí políčka Zobrazit vybrané skupiny a klikněte na Uložit obor synchronizace.
Změna rozsahu synchronizace způsobí, že spravovaná doména znovu synchronizuje všechna data. Objekty, které už nejsou ve spravované doméně potřeba, se odstraní a dokončení opětovné synchronizace může nějakou dobu trvat.
Další kroky
Další informace o procesu synchronizace najdete v tématu Principy synchronizace ve službě Microsoft Entra Domain Services.