Sdílet prostřednictvím

Podporované topologie a scénáře cloudové synchronizacé Microsoft Entra

  • Článek

Tento článek popisuje různé místní topologie a topologie Microsoft Entra, které používají Microsoft Entra Cloud Sync. Tento článek obsahuje pouze podporované konfigurace a scénáře.

Důležité

Microsoft nepodporuje úpravy ani provoz synchronizace Microsoft Entra Cloud Sync mimo konfigurace nebo akce, které jsou formálně zdokumentované. Jakákoli z těchto konfigurací nebo akcí může vést k nekonzistentnímu nebo nepodporovanému stavu synchronizace Microsoft Entra Cloud Sync. Microsoft proto nemůže poskytnout technickou podporu pro taková nasazení.

Další informace naleznete v následujícím videu:

Co si pamatovat o všech scénářích a topologiích

Při výběru řešení byste měli mít na paměti následující informace.

  • Uživatelé a skupiny musí být jednoznačně identifikováni ve všech doménových strukturách.
  • Při synchronizaci cloudu nedojde k porovnávání napříč doménovými strukturami.
  • Zdrojové ukotvení pro objekty je vybráno automaticky. Pokud existuje, používá ms-DS-ConsistencyGuid, jinak se použije ObjectGUID.
  • Atribut, který se používá pro zdrojové ukotvení, nemůžete změnit.

Podporované topologie Active Directory do Microsoft Entra ID

Pro zřizování ze služby Active Directory do Microsoft Entra ID se podporují následující topologie.

Jedna doménová struktura, jeden tenant Microsoft Entra

Diagram znázorňující topologii jedné doménové struktury a jednoho tenanta

Nejjednodušší topologie je jedna místní doménová struktura s jednou nebo více doménami a jedním tenantem Microsoft Entra. Příklad tohoto scénáře najdete v kurzu : Jedna doménová struktura s jedním tenantem Microsoft Entra.

Více doménová struktura, jeden tenant Microsoft Entra

Topologie pro více doménovou strukturu a jednoho tenanta

Několik doménových struktur AD je společná topologie s jednou nebo více doménami a jedním tenantem Microsoft Entra.

Existující doménová struktura s Microsoft Entra Connect, novou doménovou strukturou se zřizováním cloudu

Diagram znázorňující topologii pro existující doménovou strukturu a novou doménovou strukturu

Tato topologie scénáře je podobná scénáři s více lesními systémy. To ale zahrnuje existující prostředí Microsoft Entra Connect a následné přenesení nové doménové struktury pomocí Microsoft Entra Cloud Sync. Příklad tohoto scénáře najdete v tématu Kurz: Existující doménová struktura s jedním tenantem Microsoft Entra

Pilotní nasazení Synchronizace cloudu Microsoft Entra v existující hybridní doménové struktuře AD

Topologie jedné doménové struktury a jednoho tenanta

Scénář pilotního nasazení zahrnuje existenci služby Microsoft Entra Connect a Microsoft Entra Cloud Sync ve stejné doménové struktuře a odpovídajícím způsobem definuje uživatele a skupiny. POZNÁMKA: Objekt by měl být v oboru pouze v jednom z nástrojů.

Příklad tohoto scénáře najdete v tématu Kurz: Pilotní synchronizace Cloudu Microsoft Entra v existující synchronizované doménové struktuře AD.

Slučování objektů z odpojených zdrojů

(Public Preview)

Diagram sloučení objektů z odpojených zdrojů

V tomto scénáři jsou atributy uživatele podporovány dvěma odpojenými doménovými strukturami služby Active Directory.

Příkladem může být:

  • Jedna doménová struktura (1) obsahuje většinu atributů.
  • Druhá doménová struktura (2) obsahuje několik atributů.

Vzhledem k tomu, že druhá doménová struktura nemá síťové připojení k serveru Microsoft Entra Connect, nelze objekt sloučit prostřednictvím služby Microsoft Entra Connect. Synchronizace cloudu ve druhé doménové struktuře umožňuje načtení hodnoty atributu z druhé doménové struktury. Microsoft Entra Connect synchronizuje objekt v MICROSOFT Entra ID a pak se s ní dá sloučit hodnota.

Tato konfigurace je pokročilá a existuje několik upozornění na tuto topologii:

  1. Musíte použít ms-DS-ConsistencyGuid jako zdrojovou kotvu v konfiguraci cloudové synchronizace.
  2. Objekt ms-DS-ConsistencyGuid uživatele ve druhé doménové struktuře musí odpovídat objektu odpovídajícího objektu v Microsoft Entra ID.
  3. UserPrincipalName Musíte vyplnit atribut a Alias atribut ve druhé doménové struktuře a musí odpovídat těm, které se synchronizují z první doménové struktury.
  4. Z mapování atributů v konfiguraci cloudové synchronizace musíte odebrat všechny atributy, které nemají hodnotu nebo můžou mít jinou hodnotu ve druhé doménové struktuře – nemůžete mít překrývající se mapování atributů mezi první doménovou strukturou a druhou doménovou strukturou.
  5. Pokud v první doménové struktuře neexistuje žádný odpovídající objekt pro synchronizovaný objekt z druhé doménové struktury, synchronizace cloudu přesto vytvoří objekt v Microsoft Entra ID. Objekt má pouze atributy, které jsou definovány v konfiguračním mapování synchronizace cloudu pro druhý les.
  6. Pokud odstraníte objekt z druhého lesa, dočasně se měkce odstraní v Microsoft Entra ID. Automaticky se obnoví po dalším cyklu synchronizace Microsoft Entra Connect.
  7. Pokud odstraníte objekt z první doménové struktury, bude měkce odstraněn z Microsoft Entra ID. Objekt se neobnoví, pokud nedojde ke změně objektu ve druhé doménové struktuře. Po 30 dnech se objekt pevně odstraní z ID Microsoft Entra. Pokud dojde ke změně objektu ve druhé doménové struktuře, vytvoří se jako nový objekt v ID Microsoft Entra.

Podporované topologie Microsoft Entra ID do služby Active Directory

Pro zřizování z Microsoft Entra ID do služby Active Directory se podporují následující topologie.

Zřizování jedné skupiny doménových struktur ve službě Active Directory

Koncepční diagram zpětného zápisu s jednou doménovou strukturou

Nejjednodušší topologie zřizování skupin je jedna místní doménová struktura s jednou nebo více doménami a jedním tenantem Microsoft Entra. Příklad tohoto scénáře najdete v tématu Zřizování skupin pro službu Active Directory.

Zřizování skupin s více doménovými strukturami ve službě Active Directory

Koncepční diagram zpětného zápisu s více doménovými strukturami

Pokročilejší topologie zřizování skupin se skládá z několika místních doménových struktur AD, které sdílejí jednoho tenanta Microsoft Entra ID.

Tato konfigurace je pokročilá a s touto topologií je potřeba pamatovat na několik věcí:

  • Skupiny zřízené pro AD pomocí cloudové synchronizace můžou obsahovat jenom místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
  • Všichni tito uživatelé musí mít u svého účtu nastavený atribut onPremisesObjectIdentifier.
  • OnPremisesObjectIdentifier musí odpovídat odpovídajícímu objektuGUID v cílovém prostředí AD.
  • Atribut objectGUID místních uživatelů pro cloudové uživatele onPremisesObjectIdentifier lze synchronizovat pomocí Microsoft Entra Cloud Sync (1.1.1370.0) nebo Microsoft Entra Connect Sync (2.2.8.0)
  • V tenantovi můžete sdílet společnou skupinu, která obsahuje uživatele z obou doménových struktur.
  • Nicméně uživatelé, kteří neexistují v jiné doménové struktuře, nejsou zřizováni jako členové skupiny při jejím zřizování na místě. Pokud tedy máte skupinu v Microsoft Entra ID, která obsahuje uživatele z contoso.com a fabrikam.com, při zřizování do contoso.com jsou členy skupiny pouze uživatelé, kteří existují v lesu contoso.com. Totéž platí i u společnosti fabrikam.

Další kroky