Sdílet prostřednictvím


Zřízení ID Microsoft Entra pro Active Directory – konfigurace

Následující dokument vás provede konfigurací Microsoft Entra Cloud Sync pro poskytování z ID Microsoft Entra do Active Directory. Pokud hledáte informace o zřizování z AD do Microsoft Entra ID, podívejte se na Konfigurace – Zřizování Active Directory do Microsoft Entra ID pomocí Microsoft Entra Cloud Sync

Důležité

Veřejná verze preview zpětné zápis skupiny v2 v Microsoft Entra Connect Sync nebude nadále k dispozici po 30. červnu 2024. Tato funkce bude k tomuto datu ukončena a v aplikaci Connect Sync již nebude podporováno poskytování cloudových skupin zabezpečení do služby Active Directory. Funkce bude fungovat i po datu ukončení; po tomto datu však již nebude podporována a může přestat fungovat kdykoli bez předchozího upozornění.

Ve službě Microsoft Entra Cloud Sync nabízíme podobnou funkci nazvanou Zřizování skupin pro Active Directory. Tuto funkci můžete použít místo Group Writeback v2, pokud zřizujete skupiny zabezpečení cloudu pro Active Directory. Pracujeme na vylepšení této funkce ve službě Cloud Sync spolu s dalšími novými funkcemi, které vyvíjíme ve službě Cloud Sync.

Zákazníci, kteří používají tuto funkci Preview v Connect Sync, by měli přepnout svoji konfiguraci z Connect Sync na Cloud Sync. Můžete se rozhodnout přesunout veškerou hybridní synchronizaci do služby Cloud Sync (pokud podporuje vaše potřeby). Službu Cloud Sync můžete také spustit vedle sebe a přesunout pouze zřizování skupin zabezpečení cloudu do služby Active Directory do Cloud Sync.

Pro zákazníky, kteří přiřazují skupiny Microsoft 365 do služby Active Directory, můžete nadále používat zpětný zápis skupiny v1 pro tuto funkci.

K vyhodnocení přesunu výhradně do služby Cloud Sync můžete použít průvodce synchronizací uživatelů.

Nakonfigurovat zřizování

Pokud chcete nakonfigurovat zřizování, postupujte podle těchto kroků.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní správce.
  2. Přejděte na Identita>Hybridní správa>Microsoft Entra Connect>Cloud sync. Snímek obrazovky úvodní stránky synchronizace cloudu.
  1. Vyberte Možnost Nová konfigurace.
  2. Vyberte synchronizaci Microsoft Entra ID s AD.

Snímek obrazovky s výběrem konfigurace

  1. Na konfigurační obrazovce vyberte svoji doménu a jestli chcete povolit synchronizaci hodnot hash hesel. Klikněte na Vytvořit.

Snímek obrazovky s novou konfigurací

  1. Otevře se obrazovka Začínáme . Odtud můžete pokračovat v konfiguraci cloudové synchronizace.

Snímek obrazovky konfiguračních sekcí

  1. Konfigurace je rozdělená do následujících 5 částí.
Oddíl Popis
1. Přidejte filtry oborů V této části můžete definovat, které objekty se zobrazí v ID Microsoft Entra.
2. Atributy mapování V této části můžete mapovat atributy mezi místními uživateli nebo skupinami pomocí objektů Microsoft Entra.
3. Test Otestování konfigurace před jejím nasazením
4. Zobrazení výchozích vlastností Zobrazení výchozího nastavení před povolením a provedení změn tam, kde je to vhodné
5. Povolení vaší konfigurace Jakmile budete připraveni, povolte konfiguraci a uživatele nebo skupiny se začnou synchronizovat.

Nastavení rozsahu pro konkrétní skupiny

Agenta můžete nastavit tak, aby synchronizoval všechny nebo konkrétní skupiny zabezpečení. V rámci konfigurace můžete nakonfigurovat skupiny a organizační jednotky.

  1. Na obrazovce Začínáme s konfigurací Klikněte buď na Přidat filtry oborů vedle ikony Přidat filtry oborů, nebo na Filtry oborů vlevo v části Spravovat.

Snímek obrazovky sekcí oborových filtrů

  1. Vyberte rozsahový filtr. Filtr může být jeden z následujících:
  • Všechny skupiny zabezpečení: Definuje konfiguraci, která se použije pro všechny skupiny zabezpečení cloudu.
  • Vybrané skupiny zabezpečení: Definuje konfiguraci, která se použije pro konkrétní skupiny zabezpečení.
  1. Pro konkrétní skupiny zabezpečení vyberte Upravit skupiny a ze seznamu vyberte požadované skupiny.

Poznámka:

Pokud vyberete skupinu zabezpečení, která má jako člena vnořenou skupinu zabezpečení, zapíše se zpět pouze vnořená skupina, nikoli její členové. Pokud je například skupina zabezpečení Prodej členem skupiny zabezpečení Marketing, zapíše se zpět pouze samotná skupina Prodej, nikoli členové skupiny Prodej.

Pokud chcete vnořit skupiny a zřídit je v Active Directory, budete muset do oboru přidat také všechny členské skupiny.

  1. Pole Cílový kontejner můžete použít k určení rozsahu skupin, které používají konkrétní kontejner. Tuto úlohu lze provést pomocí atributu parentDistinguishedName. Použijte buď mapování konstanty, přímé mapování nebo mapování výrazu.

Pomocí výrazu mapování atributů s funkcí Switch() je možné nakonfigurovat více cílových kontejnerů. Pokud je u tohoto výrazu hodnota displayName Marketing nebo Sales, vytvoří se skupina v odpovídající organizační jednotce. Pokud neexistuje shoda, vytvoří se skupina ve výchozí organizační jednotce.

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

Snímek obrazovky s výrazem oborových filtrů

  1. Podporuje se filtrování oborů na základě atributů. Další informace naleznete v tématu Filtrování oborů na základě atributů a odkaz pro zápis výrazů pro mapování atributů v Microsoft Entra ID a scénář – Použití rozšíření adresáře se zřizováním skupin pro Active Directory.
  2. Po nakonfigurování filtrů oborů klikněte na Uložit.
  3. Po uložení by se měla zobrazit zpráva s informacemi o tom, co je potřeba udělat při konfiguraci cloudové synchronizace. Pokračujte kliknutím na odkaz. Snímek obrazovky s upozorněním pro vymezení filtrů

Určení rozsahu zřizování pro konkrétní skupiny pomocí rozšíření adresáře

Pro pokročilejší nastavování rozsahů a filtrování můžete nakonfigurovat použití rozšíření adresáře. Přehled rozšíření adresářů najdete v tématu Rozšíření adresářů pro zřizování ID Microsoft Entra pro Službu Active Directory.

Podrobný kurz o rozšíření schématu a následném použití atributu rozšíření adresáře se zřizováním cloudové synchronizace ve službě AD najdete v tématu Scénář – Použití rozšíření adresářů se zřizováním skupin ve službě Active Directory.

Mapování atributů

Microsoft Entra Cloud Sync umožňuje snadno mapovat atributy mezi místními objekty uživatelských a grupových objektů a objekty v Microsoft Entra ID.

Snímek obrazovky s mapováním výchozích atributů

Výchozí mapování atributů můžete přizpůsobit podle potřeb vaší firmy. Můžete tedy změnit nebo odstranit existující mapování atributů nebo vytvořit nová mapování atributů.

Po uložení by se měla zobrazit zpráva s informacemi o tom, co je potřeba udělat při konfiguraci cloudové synchronizace. Pokračujte kliknutím na odkaz.

Další informace naleznete v tématu mapování atributů a odkaz pro zápis výrazů pro mapování atributů v Microsoft Entra ID.

Rozšíření adresářů a mapování vlastních atributů

Microsoft Entra Cloud Sync umožňuje rozšířit adresář o rozšíření a poskytuje mapování vlastních atributů. Další informace naleznete v tématu Rozšíření adresáře a mapování vlastních atributů.

Zřizování na vyžádání

Microsoft Entra Cloud Sync umožňuje testovat změny konfigurace použitím těchto změn u jednoho uživatele nebo skupiny.

Snímek obrazovky se zřizováním na vyžádání

Můžete ho použít k ověření a ověření správného použití změn provedených v konfiguraci a správné synchronizaci s ID Microsoft Entra.

Po testování by se měla zobrazit zpráva s informacemi o tom, co je potřeba udělat, abyste mohli nakonfigurovat cloudovou synchronizaci. Pokračujte kliknutím na odkaz.

Další informace najdete v tématu zřizování na vyžádání.

Náhodné odstranění a e-mailová oznámení

Výchozí část vlastností obsahuje informace o náhodných odstraněních a e-mailových oznámeních.

Funkce náhodného odstranění je navržená tak, aby vás chránila před náhodnými změnami konfigurace a změnami místního adresáře, které by ovlivnily mnoho uživatelů a skupin.

Tato funkce umožňuje:

  • Nakonfigurujte možnost zabránit náhodnému odstranění automaticky.
  • Nastavte počet objektů (prahovou hodnotu), za kterou se konfigurace projeví.
  • Nastavte e-mailovou adresu s oznámením, aby mohli dostávat e-mailové oznámení, jakmile je daná úloha synchronizace pro tento scénář v karanténě.

Další informace naleznete v tématu Náhodné odstranění

Kliknutím na tužku vedle položky Základy změníte výchozí hodnoty v konfiguraci.

Povolte svou konfiguraci

Po dokončení a otestování konfigurace ji můžete povolit.

Kliknutím na Povolit konfiguraci ji povolte.

Karantény

Synchronizace cloudu monitoruje stav konfigurace a umístí objekty, které nejsou v pořádku, ve stavu karantény. Pokud většina nebo všechna volání provedená v cílovém systému konzistentně selžou kvůli chybě, například kvůli neplatným přihlašovacím údajům správce, úloha synchronizace se označí jako v karanténě. Další informace najdete v části řešení potíží s karanténami.

Restartování zajištění

Pokud nechcete čekat na další naplánované spuštění, aktivujte proces zřizování pomocí tlačítka Restartovat synchronizaci.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní správce.
  2. Přejděte ke >Cloud sync.Snímek obrazovky domovské stránky synchronizace cloudu
  1. V části Konfigurace vyberte konfiguraci.

  2. Nahoře vyberte Restartovat synchronizaci.

Odstraňte konfiguraci

Chcete-li odstranit konfiguraci, postupujte podle těchto kroků.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní správce.
  2. Přejděte ke >Cloud sync.Snímek obrazovky domovské stránky synchronizace cloudu
  1. V části Konfigurace vyberte konfiguraci.

  2. V horní části obrazovky konfigurace vyberte Odstranit konfiguraci.

Důležité

Před odstraněním konfigurace není k dispozici žádné potvrzení. Než vyberete Odstranit, ujistěte se, že se jedná o akci, kterou chcete provést.

Další kroky