Aprowizuj identyfikator Entra firmy Microsoft w usłudze Active Directory — konfiguracja
Poniższy dokument przeprowadzi Cię przez proces konfigurowania usługi Microsoft Entra Cloud Sync na potrzeby aprowizacji z usługi Microsoft Entra ID do usługi Active Directory. Jeśli szukasz informacji na temat aprowizacji z usługi AD do microsoft Entra ID, zobacz Konfigurowanie — aprowizowanie usługi Active Directory do usługi Microsoft Entra ID przy użyciu usługi Microsoft Entra Cloud Sync
Ważne
Publiczna wersja zapoznawcza funkcji zapisywania zwrotnego grup w wersji 2 w programie Microsoft Entra Connect Sync nie będzie już dostępna po 30 czerwca 2024 r. Ta funkcja zostanie wycofana począwszy od tej daty i nie będzie już obsługiwana wConnect Sync, na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Funkcja będzie nadal działać poza datą wycofania; jednakże nie będzie już otrzymywać wsparcia po tej dacie i może przestać działać w dowolnym momencie bez powiadomienia.
Oferujemy podobne funkcje w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory, których można użyć zamiast zapisywania zwrotnego grup w wersji 2 na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w Cloud Sync.
Klienci korzystający z tej funkcji w wersji zapoznawczej w Connect Sync powinni przełączyć konfigurację z Connect Sync na Cloud Sync. Możesz przenieść całą synchronizację hybrydową do Cloud Sync (jeśli obsługuje Twoje potrzeby). Możesz również uruchamiać Cloud Sync obok siebie i przenosić tylko aprowizację grupy zabezpieczeń w chmurze do Active Directory w Cloud Sync.
W przypadku klientów, którzy aprowizują grupy Microsoft 365 do Active Directory, mogą oni nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1 w tym celu.
Możesz ocenić przeniesienie wyłącznie do usługi Cloud Sync przy użyciu kreatora synchronizacji użytkownika.
Konfigurowanie aprowizacji
Aby skonfigurować aprowizację, wykonaj następujące kroki.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator hybrydowy.
- Przejdź do sekcji Zarządzanie hybrydowe tożsamościami>— synchronizacja z chmurą>Microsoft Entra Connect.>
- Wybierz pozycję Nowa konfiguracja.
- Wybierz pozycję Microsoft Entra ID do synchronizacji usługi AD.
- Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Kliknij pozycję Utwórz.
- Zostanie otwarty ekran Wprowadzenie . W tym miejscu możesz kontynuować konfigurowanie synchronizacji z chmurą.
- Konfiguracja jest podzielona na następujące 5 sekcji.
Sekcja | opis |
---|---|
1. Dodawanie filtrów określania zakresu | Ta sekcja służy do definiowania obiektów wyświetlanych w identyfikatorze Entra firmy Microsoft |
2. Mapuj atrybuty | Ta sekcja służy do mapowania atrybutów między lokalnymi użytkownikami/grupami z obiektami Firmy Microsoft Entra |
3. Test | Testowanie konfiguracji przed jej wdrożeniem |
4. Wyświetlanie właściwości domyślnych | Wyświetlanie ustawienia domyślnego przed ich włączeniem i wprowadzanie zmian w odpowiednich przypadkach |
5. Włączanie konfiguracji | Po uzyskaniu gotowości włącz konfigurację, a użytkownicy/grupy zaczną synchronizować |
Aprowizacja zakresu dla określonych grup
Możesz określić zakres agenta, aby zsynchronizować wszystkie lub określone grupy zabezpieczeń. Grupy i jednostki organizacyjne można skonfigurować w ramach konfiguracji.
- Na ekranie Konfiguracja wprowadzenie . Kliknij pozycję Dodaj filtry określania zakresu obok ikony Dodaj filtry określania zakresu lub kliknij pozycję Filtry określania zakresu po lewej stronie w obszarze Zarządzaj.
- Wybierz filtr określania zakresu. Filtr może być jednym z następujących elementów:
- Wszystkie grupy zabezpieczeń: określa zakres konfiguracji, która ma być stosowana do wszystkich grup zabezpieczeń w chmurze.
- Wybrane grupy zabezpieczeń: określa zakres konfiguracji, która ma być stosowana do określonych grup zabezpieczeń.
- W przypadku określonych grup zabezpieczeń wybierz pozycję Edytuj grupy i wybierz żądane grupy z listy.
Uwaga
Jeśli wybierzesz grupę zabezpieczeń z zagnieżdżonym grupą zabezpieczeń jako jej element członkowski, tylko zagnieżdżona grupa zostanie zapisana z powrotem, a nie jej składowa. Na przykład jeśli grupa zabezpieczeń Sales jest członkiem grupy zabezpieczeń Marketing, tylko sama grupa Sprzedaż zostanie zapisana z powrotem, a nie członkowie grupy Sprzedaż.
Jeśli chcesz zagnieżdżać grupy i aprowizować je w usłudze AD, musisz również dodać wszystkie grupy członkowskie do zakresu.
- Za pomocą pola Kontener docelowy można określić zakres grup używających określonego kontenera. Aby wykonać to zadanie, użyj atrybutu parentDistinguishedName. Użyj mapowania stałych, bezpośrednich lub wyrażeń.
Wiele kontenerów docelowych można skonfigurować przy użyciu wyrażenia mapowania atrybutów z funkcją Switch(). W tym wyrażeniu, jeśli wartość displayName to Marketing lub Sales, grupa jest tworzona w odpowiedniej jednostki organizacyjnej. Jeśli nie ma dopasowania, grupa zostanie utworzona w domyślnej jednostki organizacyjnej.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
- Filtrowanie zakresu opartego na atrybutach jest obsługiwane. Aby uzyskać więcej informacji, zobacz Filtrowanie zakresu oparte na atrybutach i Dokumentacja do pisania wyrażeń dla mapowań atrybutów w usłudze Microsoft Entra ID i Scenario — Using directory extensions with group provisioning to Active Directory (Używanie rozszerzeń katalogu z aprowizowaniem grup w usłudze Active Directory).
- Po skonfigurowaniu filtrów określania zakresu kliknij przycisk Zapisz.
- Po zapisaniu powinien zostać wyświetlony komunikat informujący o tym, co nadal trzeba zrobić, aby skonfigurować synchronizację w chmurze. Możesz kliknąć link, aby kontynuować.
Określanie zakresu aprowizacji dla określonych grup przy użyciu rozszerzeń katalogu
Aby uzyskać bardziej zaawansowane określanie zakresu i filtrowanie, można skonfigurować użycie rozszerzeń katalogu. Omówienie rozszerzeń katalogów można znaleźć w temacie Directory extensions for provisioning Microsoft Entra ID to Active Directory (Rozszerzenia katalogów do aprowizowania identyfikatora entra firmy Microsoft w usłudze Active Directory)
Aby zapoznać się z samouczkiem krok po kroku dotyczącym rozszerzania schematu, a następnie używania atrybutu rozszerzenia katalogu z aprowizowaniem synchronizacji chmury z usługą AD, zobacz Scenariusz — używanie rozszerzeń katalogów z aprowizowaniem grup w usłudze Active Directory.
Mapowanie atrybutów
Usługa Microsoft Entra Cloud Sync umożliwia łatwe mapowanie atrybutów między lokalnymi obiektami użytkowników/grup i obiektów w usłudze Microsoft Entra ID.
Domyślne mapowania atrybutów można dostosować zgodnie z potrzebami biznesowymi. Możesz więc zmienić lub usunąć istniejące mapowania atrybutów lub utworzyć nowe mapowania atrybutów.
Po zapisaniu powinien zostać wyświetlony komunikat informujący o tym, co nadal trzeba zrobić, aby skonfigurować synchronizację w chmurze. Możesz kliknąć link, aby kontynuować.
Aby uzyskać więcej informacji, zobacz mapowanie atrybutów i odwołanie do pisania wyrażeń mapowań atrybutów w identyfikatorze Entra firmy Microsoft.
Rozszerzenia katalogu i mapowanie atrybutów niestandardowych.
Usługa Microsoft Entra Cloud Sync umożliwia rozszerzenie katalogu przy użyciu rozszerzeń i zapewnia mapowanie atrybutów niestandardowych. Aby uzyskać więcej informacji, zobacz Directory extensions and custom attribute mapping (Rozszerzenia katalogu i mapowanie atrybutów niestandardowych).
Aprowizacja na żądanie
Usługa Microsoft Entra Cloud Sync umożliwia testowanie zmian konfiguracji przez zastosowanie tych zmian do pojedynczego użytkownika lub grupy.
Służy to do sprawdzania poprawności i sprawdzania, czy zmiany wprowadzone w konfiguracji zostały prawidłowo zastosowane i są prawidłowo synchronizowane z identyfikatorem Entra firmy Microsoft.
Po przetestowaniu powinien zostać wyświetlony komunikat informujący o tym, co nadal trzeba zrobić, aby skonfigurować synchronizację w chmurze. Możesz kliknąć link, aby kontynuować.
Aby uzyskać więcej informacji, zobacz Aprowizowanie na żądanie.
Przypadkowe usunięcie i powiadomienia e-mail
Sekcja właściwości domyślnych zawiera informacje o przypadkowych usunięciach i powiadomieniach e-mail.
Funkcja przypadkowego usuwania została zaprojektowana w celu ochrony przed przypadkowymi zmianami konfiguracji i zmianami w katalogu lokalnym, które miałyby wpływ na wielu użytkowników i grupy.
Ta funkcja umożliwia:
- Skonfiguruj możliwość automatycznego zapobiegania przypadkowym usuwaniu.
- Ustaw liczbę obiektów (próg), poza którą konfiguracja zacznie obowiązywać
- Skonfiguruj adres e-mail z powiadomieniem, aby otrzymywać powiadomienie e-mail po wprowadzeniu danego zadania synchronizacji w kwarantannie dla tego scenariusza
Aby uzyskać więcej informacji, zobacz Przypadkowe usuwanie
Kliknij ołówek obok pozycji Podstawy, aby zmienić ustawienia domyślne w konfiguracji.
Włączanie konfiguracji
Po zakończeniu i przetestowaniu konfiguracji możesz ją włączyć.
Kliknij pozycję Włącz konfigurację , aby ją włączyć.
Kwarantanny
Synchronizacja w chmurze monitoruje kondycję konfiguracji i umieszcza obiekty w złej kondycji w stanie kwarantanny. Jeśli większość lub wszystkie wywołania wykonywane względem systemu docelowego stale kończą się niepowodzeniem z powodu błędu, na przykład nieprawidłowe poświadczenia administratora, zadanie synchronizacji jest oznaczone jako w kwarantannie. Aby uzyskać więcej informacji, zobacz sekcję dotyczącą rozwiązywania problemów dotyczących kwarantann.
Ponowne uruchamianie aprowizacji
Jeśli nie chcesz czekać na następny zaplanowany przebieg, wyzwól uruchomienie aprowizacji przy użyciu przycisku Uruchom ponownie synchronizację .
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator hybrydowy.
- Przejdź do sekcji Zarządzanie hybrydowe tożsamościami>— synchronizacja z chmurą>Microsoft Entra Connect.>
W obszarze Konfiguracja wybierz konfigurację.
U góry wybierz pozycję Uruchom ponownie synchronizację.
Usuwanie konfiguracji
Aby usunąć konfigurację, wykonaj następujące kroki.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator hybrydowy.
- Przejdź do sekcji Zarządzanie hybrydowe tożsamościami>— synchronizacja z chmurą>Microsoft Entra Connect.>
W obszarze Konfiguracja wybierz konfigurację.
W górnej części ekranu konfiguracji wybierz pozycję Usuń konfigurację.
Ważne
Nie ma potwierdzenia przed usunięciem konfiguracji. Przed wybraniem pozycji Usuń upewnij się, że jest to akcja, którą chcesz wykonać.
Następne kroki
- Zapisywanie zwrotne grup za pomocą usługi Microsoft Entra Cloud Sync
- Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra
- Migrowanie zapisywania zwrotnego grup programu Microsoft Entra Connect Sync w wersji 2 do usługi Microsoft Entra Cloud Sync