Konfigurowanie synchronizacji o określonym zakresie z identyfikatora Entra firmy Microsoft do usług Microsoft Entra Domain Services przy użyciu centrum administracyjnego firmy Microsoft Entra

Artykuł
03/14/2025

Aby zapewnić usługi uwierzytelniania, usługi Microsoft Entra Domain Services synchronizują użytkowników i grupy z identyfikatora Entra firmy Microsoft. W środowisku hybrydowym użytkownicy i grupy z lokalnych usług Active Directory Domain Services (AD DS) mogą być najpierw zsynchronizowani z Microsoft Entra ID za pomocą Microsoft Entra Connect, a następnie zsynchronizowani z domeną zarządzaną usługą domen zarządzanych.

Domyślnie wszyscy użytkownicy i grupy z katalogu Microsoft Entra są synchronizowane z domeną zarządzaną. Jeśli tylko niektórzy użytkownicy muszą korzystać z usług Domain Services, możesz zamiast tego wybrać synchronizację tylko grup użytkowników. Synchronizację można filtrować dla grup lokalnych, tylko w chmurze lub obu tych grup.

W tym artykule pokazano, jak skonfigurować synchronizację z zakresem, a następnie zmienić lub wyłączyć listę użytkowników o określonym zakresie za pomocą centrum administracyjnego Microsoft Entra. Możesz również wykonać te kroki przy użyciu programu PowerShell.

Zrzut ekranu przedstawiający opcję filtru grupy.

Zanim rozpoczniesz

Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:

Aktywna subskrypcja platformy Azure.
- Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
Dzierżawa firmy Microsoft Entra skojarzona z twoją subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem tylko w chmurze.
- W razie potrzeby utwórz dzierżawę Microsoft Entra lub powiąż subskrypcję platformy Azure z Twoim kontem.
Ta domena zarządzana przez usługę Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie firmy Microsoft Entra.
- W razie potrzeby ukończ samouczek, aby utworzyć i skonfigurować domenę zarządzaną usług Microsoft Entra Domain Services.
Aby zmienić zakres synchronizacji usług Domain Services, musisz mieć role Application Administrator i Groups Administrator Microsoft Entra w swojej dzierżawie.

Omówienie synchronizacji zasięgowej

Domyślnie wszyscy użytkownicy i grupy z katalogu Microsoft Entra są synchronizowane z domeną zarządzaną. Synchronizację można ograniczyć tylko do kont użytkowników utworzonych w identyfikatorze Entra firmy Microsoft lub zsynchronizować wszystkich użytkowników.

Jeśli tylko kilka grup użytkowników musi uzyskać dostęp do domeny zarządzanej, możesz wybrać opcję Filtruj według uprawnień grupy, aby zsynchronizować tylko te grupy. Ta synchronizacja dotyczy tylko grup. Podczas konfigurowania synchronizacji w zakresie grupy tylko konta użytkowników należące do określonych grup są synchronizowane z domeną zarządzaną. Grupy zagnieżdżone nie są synchronizowane; tylko grupy, które określisz, są synchronizowane.

Zakres synchronizacji można zmienić przed lub po utworzeniu domeny zarządzanej. Zakres synchronizacji jest definiowany przez jednostkę usługi z identyfikatorem 2565bd9d-da50-47d4-8b85-4c97f669dc36aplikacji . Aby zapobiec utracie zakresu uprawnień, nie usuwaj ani nie zmieniaj głównej jednostki usługi. Jeśli zostanie on przypadkowo usunięty, nie można odzyskać zakresu synchronizacji.

Pamiętaj o następujących zastrzeżeniach w przypadku zmiany zakresu synchronizacji:

Wykonywana jest pełna synchronizacja.
Obiekty, które nie są już wymagane w domenie zarządzanej, są usuwane. Nowe obiekty są tworzone w domenie zarządzanej.

Aby dowiedzieć się więcej na temat procesu synchronizacji, zobacz Omówienie synchronizacji w usługach Microsoft Entra Domain Services.

Włącz synchronizację z zakresem

Aby włączyć synchronizację z zakresowaniem w centrum administracyjnym Microsoft Entra, wykonaj następujące kroki:

W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Microsoft Entra Domain Services. Wybierz domenę zarządzaną, taką jak aaddscontoso.com.
Wybierz pozycję Synchronizacja z menu po lewej stronie.
W zakresie synchronizacji wybierz opcję wszystkie lub tylko chmura.
Aby filtrować synchronizację dla wybranych grup, kliknij pozycję Pokaż wybrane grupy, wybierz, czy synchronizować grupy tylko w chmurze, grupy lokalne, czy oba te grupy. Na przykład poniższy zrzut ekranu przedstawia sposób synchronizowania tylko trzech grup utworzonych w usłudze Microsoft Entra ID. Tylko użytkownicy należący do tych grup będą mieli swoje konta zsynchronizowane z usługami Domain Services.
Aby dodać grupy, kliknij pozycję Dodaj grupy, a następnie wyszukaj i wybierz grupy do dodania.
Po wprowadzeniu wszystkich zmian wybierz pozycję Zapisz zakres synchronizacji.

Zmiana zakresu synchronizacji powoduje ponowne zsynchronizowanie wszystkich danych przez domenę zarządzaną. Obiekty, które nie są już wymagane w domenie zarządzanej, są usuwane, a ponowna synchronizacja może zająć trochę czasu.

Modyfikowanie zasięgu synchronizacji

Aby zmodyfikować listę grup, których użytkownicy powinni być zsynchronizowani z domeną zarządzaną, wykonaj następujące kroki:

W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Microsoft Entra Domain Services. Wybierz domenę zarządzaną, taką jak aaddscontoso.com.
Wybierz pozycję Synchronizacja z menu po lewej stronie.
Aby dodać grupę, wybierz pozycję + Dodaj grupy u góry, a następnie wybierz grupy do dodania.
Aby usunąć grupę z zakresu synchronizacji, wybierz ją z listy aktualnie zsynchronizowanych grup i wybierz pozycję Usuń grupy.
Po wprowadzeniu wszystkich zmian wybierz pozycję Zapisz zakres synchronizacji.

Wyłącz zakresową synchronizację

Aby wyłączyć synchronizację w zakresie grupy dla domeny zarządzanej, wykonaj następujące kroki:

W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Microsoft Entra Domain Services. Wybierz domenę zarządzaną, taką jak aaddscontoso.com.
Wybierz pozycję Synchronizacja z menu po lewej stronie.
Wyczyść pole wyboru Pokaż wybrane grupy, a następnie kliknij pozycję Zapisz zakres synchronizacji.

Następne kroki