Microsoft Entra Connect Sync: konfigurowanie preferowanej lokalizacji danych dla zasobów platformy Microsoft 365

Celem tego artykułu jest omówienie sposobu konfigurowania atrybutu dla preferowanej lokalizacji danych w usłudze Microsoft Entra Connect Sync. Jeśli ktoś używa funkcji multi-geo na platformie Microsoft 365, ten atrybut służy do wyznaczania geograficznej lokalizacji danych platformy Microsoft 365 użytkownika. (Terminy region i geo są używane zamiennie).

Obsługiwane lokalizacje obejmujące wiele lokalizacji geograficznych

Aby uzyskać listę wszystkich regionów geograficznych obsługiwanych przez program Microsoft Entra Connect, zobacz Microsoft 365 Multi-Geo availability

Włączanie synchronizacji preferowanej lokalizacji danych

Domyślnie zasoby platformy Microsoft 365 dla użytkowników znajdują się w tym samym obszarze geograficznym co tenant Microsoft Entra. Jeśli na przykład Tenant znajduje się w Ameryce Północnej, skrzynki pocztowe programu Exchange użytkowników znajdują się również w Ameryce Północnej. W przypadku międzynarodowej organizacji może to nie być optymalne.

Ustawiając atrybut preferredDataLocation, można zdefiniować obszar geograficzny użytkownika. Zasoby platformy Microsoft 365 użytkownika, takie jak skrzynka pocztowa i OneDrive, mogą znajdować się w tym samym obszarze geograficznym co użytkownik i nadal korzystać z jednego dzierżawcy dla całej organizacji.

Ważny

Od 1 czerwca 2023 r. Multi-Geo jest dostępne do zakupu dla partnerów CSP, przy minimalnym zakupie 5% z całkowitej liczby miejsc subskrypcji Microsoft 365 klienta.

Funkcja Multi-Geo jest również dostępna dla klientów z aktywną umową Enterprise Agreement. Skontaktuj się ze swoim przedstawicielem firmy Microsoft, aby uzyskać szczegółowe informacje.

Aby uzyskać listę wszystkich regionów geograficznych obsługiwanych przez Microsoft Entra Connect, zobacz Microsoft 365 Multi-Geo availability.

Obsługa programu Microsoft Entra Connect na potrzeby synchronizacji

Program Microsoft Entra Connect obsługuje synchronizację atrybutu preferredDataLocation dla obiektów użytkownika w wersji 1.1.524.0 lub nowszej. Specyficznie:

• Schemat typu obiektu User w łączniku Microsoft Entra Connector został rozszerzony w celu uwzględnienia atrybutu preferredDataLocation. Atrybut jest typu jednoelementowy ciąg.
• Schemat typu obiektu Person w metaverse jest rozszerzony w celu uwzględnienia atrybutu preferredDataLocation. Atrybut jest typu jednowartościowy ciąg znaków.

Domyślnie preferredDataLocation nie jest włączona na potrzeby synchronizacji. Ta funkcja jest przeznaczona dla większych organizacji. Schemat usługi Active Directory w systemie Windows Server 2019 ma atrybut msDS-preferredDataLocation, którego należy użyć w tym celu. Jeśli schemat usługi Active Directory nie został zaktualizowany i nie można tego zrobić, musisz zidentyfikować atrybut do przechowywania geograficznego rozwiązania Microsoft 365 dla użytkowników. Będzie to inne dla każdej organizacji.

Ważny

Microsoft Entra ID umożliwia skonfigurowanie atrybutu preferredDataLocation na obiektach użytkowników w chmurze bezpośrednio przy użyciu Microsoft Graph PowerShell. Aby skonfigurować ten atrybut dla zsynchronizowanych obiektów użytkownika, należy użyć programu Microsoft Entra Connect.

Przed włączeniem synchronizacji:

• Jeśli schemat usługi Active Directory nie został uaktualniony do wersji 2019, zdecyduj, który lokalny atrybut usługi Active Directory ma być używany jako atrybut źródłowy. Powinien to być jednowartościowy ciąg typu .

• Jeśli wcześniej skonfigurowałeś atrybut preferredDataLocation na istniejące zsynchronizowane obiekty użytkownika w usłudze Microsoft Entra ID przy użyciu programu Microsoft Graph PowerShell, musisz przenieść wartości atrybutów do odpowiednich obiektów użytkownika w lokalnej usłudze Active Directory.

  Ważny

  Jeśli nie przywrócisz tych wartości, Microsoft Entra Connect usunie istniejące wartości atrybutów w Microsoft Entra ID, gdy synchronizacja atrybutu preferredDataLocation jest włączona.

• Skonfiguruj atrybut źródłowy na co najmniej kilku lokalnych obiektach użytkownika usługi Active Directory. Można go użyć do weryfikacji później.

W poniższych sekcjach przedstawiono kroki umożliwiające synchronizację atrybutu preferredDataLocation.

Uwaga

Procedura jest opisana w kontekście wdrożenia Microsoft Entra w topologii jednego lasu, bez użycia niestandardowych reguł synchronizacji. Jeśli masz topologię z wieloma lasami, skonfigurowane niestandardowe reguły synchronizacji lub serwer przejściowy, należy odpowiednio dostosować kroki.

Krok 1. Wyłączanie harmonogramu synchronizacji i sprawdzenie, czy synchronizacja nie jest w toku

Aby uniknąć niezamierzonych zmian eksportowanych do identyfikatora Entra firmy Microsoft, upewnij się, że synchronizacja nie jest wykonywana podczas aktualizowania reguł synchronizacji. Aby wyłączyć wbudowany harmonogram synchronizacji:

1. Uruchom sesję programu PowerShell na serwerze Microsoft Entra Connect.
2. Wyłącz zaplanowaną synchronizację, uruchamiając następujące polecenie cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false.
3. Uruchom Menedżera Usługi Synchronizacji , przechodząc do START>Usługi Synchronizacji.
4. Wybierz kartę Operations i upewnij się, że nie ma operacji o stanie w toku.

Krok 2. Odświeżanie schematu dla usługi Active Directory

Jeśli schemat usługi Active Directory został zaktualizowany do wersji 2019, a program Connect został zainstalowany przed rozszerzeniem schematu, wówczas pamięć podręczna schematu Connect nie ma zaktualizowanego schematu. Następnie należy odświeżyć schemat z kreatora, aby pojawił się w interfejsie użytkownika.

1. Uruchom kreatora Microsoft Entra Connect z poziomu pulpitu.
2. Wybierz opcję Odśwież schemat katalogu i wybierz pozycję Dalej.
3. Wprowadź swoje poświadczenia usługi Microsoft Entra i wybierz pozycję Dalej.
4. Na stronie Odśwież schemat katalogu upewnij się, że wszystkie lasy są wybrane, a następnie wybierz Dalej.
5. Po zakończeniu zamknij kreatora.

Krok 3. Dodawanie atrybutu źródłowego do schematu lokalnego łącznika usługi Active Directory

Ten krok jest wymagany tylko w przypadku uruchomienia programu Connect w wersji 1.3.21 lub starszej. Jeśli korzystasz z wersji 1.4.18 lub nowszej, przejdź do kroku 5.
Nie wszystkie atrybuty Microsoft Entra są importowane do lokalnej przestrzeni łącznika Active Directory. Jeśli wybrano opcję używania atrybutu, który nie jest domyślnie zsynchronizowany, musisz go zaimportować. Aby dodać atrybut źródłowy do listy zaimportowanych atrybutów:

1. Wybierz kartę Łączniki w menedżerze usług synchronizacji.
2. Wybierz prawym przyciskiem myszy lokalny łącznik usługi Active Directory, a następnie wybierz pozycję Właściwości.
3. W oknie dialogowym przejdź do karty Wybierz atrybuty.
4. Upewnij się, że atrybut źródłowy wybrany do użycia jest zaznaczony na liście atrybutów. Jeśli atrybut nie jest widoczny, zaznacz pole wyboru Pokaż wszystkie.
5. Aby zapisać, wybierz pozycję OK.

Krok 4. Dodawanie preferredDataLocation do schematu łącznika Microsoft Entra Connector

Ten krok jest wymagany tylko w przypadku uruchomienia programu Connect w wersji 1.3.21 lub starszej. Jeśli korzystasz z wersji 1.4.18 lub nowszej, przejdź do kroku 5.
Domyślnie atrybut preferredDataLocation nie jest importowany do przestrzeni łącznika Microsoft Entra. Aby dodać go do listy zaimportowanych atrybutów:

1. Wybierz kartę Łączniki w menedżerze usług synchronizacji.
2. Wybierz prawym przyciskiem łącznik Microsoft Entra i wybierz Właściwości.
3. W oknie dialogowym przejdź do karty Wybierz atrybuty.
4. Wybierz atrybut preferredDataLocation na liście.
5. Aby zapisać, wybierz pozycję OK.

Krok 5. Tworzenie reguły synchronizacji ruchu przychodzącego

Reguła synchronizacji ruchu przychodzącego zezwala na przepływ wartości atrybutu z atrybutu źródłowego w lokalnej usłudze Active Directory do metaverse.

1. Uruchom Edytor reguł synchronizacji , przechodząc do START>Edytor reguł synchronizacji.

2. Ustaw filtr wyszukiwania Direction na przychodzący.

3. Aby utworzyć nową regułę ruchu przychodzącego, wybierz pozycję Dodaj nową regułę.

4. Na karcie Opis wprowadź następującą konfigurację:

   Atrybut	Wartość	Szczegóły
   Nazwa	Podaj nazwę	Na przykład „W od AD – preferowana lokalizacja danych użytkownika”
   Opis	podaj niestandardowy opis
   Połączony system	wybierz lokalny łącznik usługi Active Directory
   Typ obiektu systemu połączonego	użytkownika
   Typ obiektu Metaverse	Osoba
   Typ łącza	Dołącz
   Pierwszeństwo	wybierz liczbę z zakresu od 1 do 99	1–99 jest zarezerwowana dla niestandardowych reguł synchronizacji. Nie wybieraj wartości używanej przez inną regułę synchronizacji.

5. Pozostaw filtr zakresu pusty, aby uwzględnić wszystkie obiekty. Może być konieczne dostosowanie filtru określania zakresu zgodnie z wdrożeniem programu Microsoft Entra Connect.

6. Przejdź do zakładki Transformacjai zaimplementuj następującą regułę transformacji:

   Typ przepływu	Atrybut docelowy	Źródło	Zastosuj raz	Typ scalania
   Bezpośredni	preferowanaLokalizacjaDanych	Wybierz atrybut źródłowy	Niezweryfikowane	Aktualizacja

7. Aby utworzyć regułę ruchu przychodzącego, wybierz pozycję Dodaj.

Krok 6. Tworzenie reguły synchronizacji ruchu wychodzącego

Reguła synchronizacji wychodzącej zezwala na przepływ wartości atrybutu z metaverse do atrybutu preferredDataLocation w Microsoft Entra ID.

1. Przejdź do edytora reguł synchronizacji .

2. Ustaw filtr wyszukiwania Direction na kierunek wychodzący.

3. Wybierz pozycję Dodaj nową regułę.

4. Na karcie Opis podaj następującą konfigurację:

   Atrybut	Wartość	Szczegóły
   Nazwa	Podaj nazwę	Na przykład "Out to Microsoft Entra ID — preferowana lokalizacja danych użytkownika"
   Opis	Podaj opis
   Połączony system	Wybierz łącznik Microsoft Entra
   Typ obiektu systemu połączonego	użytkownika
   Typ obiektu Metaverse	Osoba
   Typ łącza	Dołącz
   Pierwszeństwo	wybierz liczbę z zakresu od 1 do 99	1–99 jest zarezerwowana dla niestandardowych reguł synchronizacji. Nie wybieraj wartości używanej przez inną regułę synchronizacji.

5. Przejdź do karty filtru określania zakresu i dodaj pojedynczą grupę filtrów określania zakresu z dwiema klauzulami:

   Atrybut	Operator	Wartość
   sourceObjectType	RÓWNY	Użytkownik
   cloudMastered	UWAGAQUAL	Prawda

   Filtr zakresu ustala, do których obiektów Microsoft Entra ma być zastosowana ta reguła synchronizacji wychodzącej. W tym przykładzie używamy tego samego filtru określania zakresu z reguły synchronizacji „Out to Microsoft Entra ID — Tożsamość użytkownika” OOB (out-of-box). Zapobiega to zastosowaniu reguły synchronizacji do obiektów użytkownika, które nie są synchronizowane z lokalnej usługi Active Directory. Może być konieczne dostosowanie filtru określania zakresu zgodnie z wdrożeniem programu Microsoft Entra Connect.

6. Przejdź do karty Przekształcanie i zaimplementuj następującą regułę przekształcania:

   Typ przepływu	Atrybut docelowy	Źródło	Zastosuj raz	Typ scalania
   Bezpośredni	preferowanaLokalizacjaDanych	preferowanaLokalizacjaDanych	Niezaznaczone	Aktualizacja

7. Zamknij . Dodaj, aby utworzyć regułę ruchu wychodzącego.

Krok 7. Uruchamianie pełnego cyklu synchronizacji

Ogólnie rzecz biorąc, wymagany jest pełny cykl synchronizacji. Jest to spowodowane tym, że dodano nowe atrybuty zarówno do schematu usługi Active Directory, jak i łącznika Microsoft Entra Connector oraz wprowadzono niestandardowe reguły synchronizacji. Przed wyeksportowaniem zmian do identyfikatora Entra firmy Microsoft sprawdź zmiany. Poniższe kroki umożliwiają zweryfikowanie zmian podczas ręcznego uruchamiania kroków tworzących pełny cykl synchronizacji.

1. Uruchom pełny import na lokalnym łączniku Active Directory:

   1. Przejdź do karty Łączniki w programie Synchronization Service Manager.

   2. Wybierz prawym przyciskiem myszy łącznik lokalnej usługi Active Directoryi wybierz Uruchom.

   3. W oknie dialogowym wybierz pozycję Full Importi wybierz pozycję OK.

   4. Poczekaj na zakończenie operacji.

      Notatka

      Pełny import można pominąć w lokalnym łączniku usługi Active Directory, jeśli atrybut źródłowy znajduje się już na liście zaimportowanych atrybutów. Innymi słowy, nie trzeba było wprowadzać żadnych zmian w kroku 2 wcześniej w tym artykule.

2. Uruchom pełny import na łączniku Microsoft Entra Connector:

   1. Wybierz prawym przyciskiem myszy Microsoft Entra Connectori wybierz Uruchom.
   2. W oknie dialogowym wybierz pozycję Full Importi wybierz pozycję OK.
   3. Poczekaj na zakończenie operacji.

3. Sprawdź zmiany reguły synchronizacji w istniejącym obiekcie użytkownika .

   Atrybut źródłowy z lokalnej usługi Active Directory i preferredDataLocation z identyfikatora Entra firmy Microsoft jest importowany do każdego odpowiedniego obszaru łącznika. Przed przejściem do kroku pełnej synchronizacji wykonaj podgląd istniejącego obiektu User w lokalnym łączniku usługi Active Directory. Wybrany obiekt powinien mieć wypełniony atrybut źródłowy. Pomyślna wersja zapoznawcza z preferredDataLocation wypełniona w metaverse jest dobrym wskaźnikiem prawidłowego skonfigurowania reguł synchronizacji. Aby uzyskać informacje na temat sposobu wykonywania wersji zapoznawczej, zobacz Weryfikowanie zmiany.

4. Uruchom pełną synchronizację na lokalnym łączniku usługi Active Directory.

   1. Wybierz prawym przyciskiem myszy lokalny łącznik Active Directoryi wybierz pozycję Uruchom.
   2. W oknie dialogowym wybierz pozycję pełna synchronizacja, a następnie wybierz pozycję OK.
   3. Poczekaj na zakończenie operacji.

5. Sprawdź eksporty oczekujące do Microsoft Entra ID.

   1. Kliknij prawym przyciskiem myszy Microsoft Entra Connectori wybierz Przestrzeń Konektora Wyszukiwania.

   2. W oknie dialogowym obszaru łącznika wyszukiwania :

      a. Ustaw zakres na Oczekujący eksport.
      b. Zaznacz wszystkie trzy pola wyboru, w tym Dodaj, Modyfikuj i Usuń.
      c. Aby wyświetlić listę obiektów ze zmianami do wyeksportowania, wybierz pozycję Wyszukaj. Aby zbadać zmiany dla danego obiektu, zaznacz dwukrotnie obiekt.
      d. Sprawdź, czy zmiany są oczekiwane.

6. Uruchom Export na Microsoft Entra Connector

   1. Wybierz prawym przyciskiem myszy Microsoft Entra Connectori wybierz Uruchom.
   2. W oknie dialogowym Uruchom łącznik wybierz Eksportuji kliknij OK.
   3. Poczekaj na zakończenie operacji.

Notatka

Możesz zauważyć, że kroki nie obejmują pełnego kroku synchronizacji łącznika Microsoft Entra Connector ani kroku eksportu łącznika usługi Active Directory. Kroki nie są wymagane, ponieważ wartości atrybutów przepływają z lokalnej usługi Active Directory do usługi Microsoft Entra-only.

Krok 8. Ponowne włączanie harmonogramu synchronizacji

Ponownie włącz wbudowany harmonogram synchronizacji:

1. Uruchom sesję programu PowerShell.
2. Włącz ponownie zaplanowaną synchronizację, uruchamiając następujące polecenie cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Krok 9. Weryfikowanie wyniku

Nadszedł czas, aby zweryfikować konfigurację i włączyć ją dla użytkowników.

1. Dodaj obszar geograficzny do wybranego atrybutu użytkownika. Listę dostępnych regionów geograficznych można znaleźć w tej tabeli.
   
2. Poczekaj na zsynchronizowanie atrybutu z identyfikatorem Entra firmy Microsoft.
3. Za pomocą programu PowerShell usługi Exchange Online sprawdź, czy region skrzynki pocztowej jest poprawnie ustawiony.
   zrzut ekranu
   Zakładając, że klient jest skonfigurowany do używania tej funkcji, skrzynka pocztowa zostanie przeniesiona do właściwego regionu geograficznego. Można to zweryfikować, przeglądając nazwę serwera, w którym znajduje się skrzynka pocztowa.

Następne kroki

Dowiedz się więcej o funkcji Multi-Geo na platformie Microsoft 365:

• sesje Multi-Geo na konferencji Ignite
• multi-geo w usłudze OneDrive
• Multi-Geo w usłudze SharePoint Online

Dowiedz się więcej o modelu konfiguracji w silniku synchronizacji:

• Przeczytaj więcej na temat modelu konfiguracji w Understanding Declarative Provisioning.
• Czytaj więcej o języku wyrażeń w Understanding Declarative Provisioning Expressions.

Tematy omówienia:

• Microsoft Entra Connect Sync: Zrozumienie i dostosowywanie synchronizacji
• Integracja tożsamości lokalnych z Microsoft Entra ID