Udostępnij za pośrednictwem


Microsoft Entra Connect: Konta i uprawnienia

Dowiedz się więcej o kontach używanych i utworzonych oraz uprawnieniach wymaganych do zainstalowania i używania programu Microsoft Entra Connect.

Diagram przedstawiający omówienie wymaganych kont programu Microsoft Entra Connect.

Konta używane w programie Microsoft Entra Connect

Program Microsoft Entra Connect używa trzech kont do synchronizowania informacji z lokalnej usługi Active Directory systemu Windows Server (Windows Server AD) do identyfikatora entra firmy Microsoft:

  • Konto łącznika usług AD DS: służy do odczytywania i zapisywania informacji w usłudze AD systemu Windows Server przy użyciu usług domena usługi Active Directory (AD DS).

  • Konto usługi ADSync: służy do uruchamiania usługi synchronizacji i uzyskiwania dostępu do bazy danych programu SQL Server.

  • Konto łącznika Microsoft Entra: służy do zapisywania informacji w identyfikatorze Entra firmy Microsoft.

Do zainstalowania programu Microsoft Entra Connect potrzebne są również następujące konta:

  • Konto administratora lokalnego: administrator, który instaluje program Microsoft Entra Connect i ma uprawnienia administratora lokalnego na komputerze.

  • Konto administratora przedsiębiorstwa usług AD DS: opcjonalnie używane do tworzenia wymaganego konta łącznika usług AD DS.

  • Konto microsoft Entra Hybrid Identity Administrator: służy do tworzenia konta łącznika Microsoft Entra Connector i konfigurowania identyfikatora Entra firmy Microsoft. Administrator tożsamości hybrydowej można wyświetlić w centrum administracyjnym firmy Microsoft Entra. Zobacz Wyświetlanie listy przypisań ról firmy Microsoft Entra.

  • Konto programu SQL SA (opcjonalnie): służy do tworzenia bazy danych ADSync podczas korzystania z pełnej wersji programu SQL Server. Wystąpienie programu SQL Server może być lokalne lub zdalne z instalacją programu Microsoft Entra Connect. To konto może być tym samym kontem co konto administratora przedsiębiorstwa.

    Aprowizowanie bazy danych można teraz wykonać poza pasmem przez administratora programu SQL Server, a następnie zainstalowane przez administratora programu Microsoft Entra Connect, jeśli konto ma uprawnienia właściciela bazy danych (DBO). Aby uzyskać więcej informacji, zobacz Install Microsoft Entra Connect by using SQL delegated administrator permissions (Instalowanie programu Microsoft Entra Connect przy użyciu delegowanych uprawnień administratora SQL).

Ważne

Począwszy od kompilacji 1.4.##.#.#, nie można już używać konta administratora przedsiębiorstwa ani konta administratora domeny jako konta łącznika usług AD DS. Jeśli spróbujesz wprowadzić konto administratora przedsiębiorstwa lub administratora domeny do użycia istniejącego konta, kreator wyświetli komunikat o błędzie i nie będzie można kontynuować.

Uwaga

Konta administracyjne używane w programie Microsoft Entra Connect można zarządzać przy użyciu modelu dostępu przedsiębiorstwa. Organizacja może używać modelu dostępu przedsiębiorstwa do hostowania kont administracyjnych, stacji roboczych i grup w środowisku, które ma silniejsze mechanizmy kontroli zabezpieczeń niż środowisko produkcyjne. Aby uzyskać więcej informacji, zobacz Model dostępu dla przedsiębiorstw.

Rola administratora tożsamości hybrydowej nie jest wymagana po wstępnej konfiguracji. Po skonfigurowaniu jedynym wymaganym kontem jest konto roli Konta synchronizacji katalogów. Zamiast usuwać konto z rolą Administratora tożsamości hybrydowej, zalecamy zmianę roli na rolę, która ma niższy poziom uprawnień. Całkowite usunięcie konta może spowodować problemy, jeśli kiedykolwiek będzie konieczne ponowne uruchomienie kreatora. Możesz dodać uprawnienia, jeśli musisz ponownie użyć kreatora Microsoft Entra Connect.

Instalacja programu Microsoft Entra Connect

Kreator instalacji programu Microsoft Entra Connect oferuje dwie ścieżki:

  • Ustawienia ekspresowe: w ustawieniach ekspresowych programu Microsoft Entra Connect kreator wymaga większej liczby uprawnień, aby można było łatwo skonfigurować instalację. Kreator tworzy użytkowników i konfiguruje uprawnienia, aby nie trzeba było tego robić.
  • Ustawienia niestandardowe: w ustawieniach niestandardowych programu Microsoft Entra Connect dostępnych jest więcej opcji i opcji w kreatorze. Jednak w przypadku niektórych scenariuszy ważne jest, aby upewnić się, że masz odpowiednie uprawnienia samodzielnie.

Ustawienia ekspresowe

W ustawieniach ekspresowych wprowadź te informacje w kreatorze instalacji:

  • Poświadczenia administratora przedsiębiorstwa usług AD DS
  • Poświadczenia administratora tożsamości hybrydowej firmy Microsoft Entra

Poświadczenia administratora przedsiębiorstwa usług AD DS

Konto administratora przedsiębiorstwa usług AD DS służy do konfigurowania usługi AD systemu Windows Server. Te poświadczenia są używane tylko podczas instalacji. Administrator przedsiębiorstwa, a nie administrator domeny, powinien upewnić się, że uprawnienia w usłudze AD systemu Windows Server można ustawić we wszystkich domenach.

W przypadku uaktualniania z narzędzia DirSync poświadczenia administratora przedsiębiorstwa usług AD DS są używane do resetowania hasła dla konta używanego przez narzędzie DirSync. Wymagane są również poświadczenia administratora tożsamości hybrydowej firmy Microsoft.

Poświadczenia administratora tożsamości hybrydowej firmy Microsoft Entra

Poświadczenia dla konta administratora tożsamości hybrydowej firmy Microsoft są używane tylko podczas instalacji. Konto służy do tworzenia konta łącznika Microsoft Entra Connector, które synchronizuje zmiany z identyfikatorem Entra firmy Microsoft. Konto umożliwia również synchronizację jako funkcję w identyfikatorze Entra firmy Microsoft.

Aby uzyskać więcej informacji, zobacz Administrator tożsamości hybrydowej.

Konto łącznika usług AD DS wymaga uprawnień do ustawień ekspresowych

Konto łącznika usług AD DS jest tworzone w celu odczytu i zapisu w usłudze AD systemu Windows Server. Konto ma następujące uprawnienia podczas jej tworzenia podczas instalacji ustawień ekspresowych:

Uprawnienie Sposób użycia
- Replikowanie zmian katalogu
— Replikowanie wszystkich zmian katalogu
Synchronizacja skrótów haseł
Odczytywanie/zapisywanie wszystkich właściwości użytkownika Importowanie i wymiana hybrydowa
Odczytywanie/zapisywanie wszystkich właściwości iNetOrgPerson Importowanie i wymiana hybrydowa
Odczytywanie/zapisywanie wszystkich właściwości grupy Importowanie i wymiana hybrydowa
Odczytywanie/zapisywanie wszystkich właściwości kontaktu Importowanie i wymiana hybrydowa
Resetowanie hasła Przygotowanie do włączenia zapisywania zwrotnego haseł

Kreator ustawień ekspresowych

W instalacji ustawień ekspresowych kreator tworzy dla Ciebie niektóre konta i ustawienia.

Zrzut ekranu przedstawiający stronę Ustawienia ekspresowe w programie Microsoft Entra Connect.

Poniższa tabela zawiera podsumowanie stron kreatora ustawień ekspresowych, zebranych poświadczeń i używanych elementów:

Strona kreatora Zebrane poświadczenia Wymagane uprawnienia Purpose
Nie dotyczy Użytkownik, który uruchamia kreatora instalacji. Administrator serwera lokalnego. Służy do tworzenia konta usługi ADSync używanego do uruchamiania usługi synchronizacji.
Nawiązywanie połączenia z identyfikatorem entra firmy Microsoft Poświadczenia katalogu Entra firmy Microsoft. Rola administratora tożsamości hybrydowej w usłudze Microsoft Entra ID. — Służy do włączania synchronizacji w katalogu Microsoft Entra.
— Służy do tworzenia konta łącznika Microsoft Entra Connector używanego do bieżących operacji synchronizacji w identyfikatorze Entra firmy Microsoft.
Łączenie z usługami AD DS Poświadczenia usługi AD systemu Windows Server. Członek grupy Administratorzy przedsiębiorstwa w usłudze AD systemu Windows Server. Służy do tworzenia konta łącznika usług AD DS w usłudze AD systemu Windows Server i udzielania do niego uprawnień. To utworzone konto służy do odczytywania i zapisywania informacji o katalogu podczas synchronizacji.

Ustawienia niestandardowe

W instalacji ustawień niestandardowych dostępnych jest więcej opcji i opcji w kreatorze.

Zrzut ekranu przedstawiający stronę Ustawienia ekspresowe w programie Microsoft Entra Connect z wyróżnionym przyciskiem Dostosuj.

Kreator ustawień niestandardowych

Poniższa tabela zawiera podsumowanie stron kreatora ustawień niestandardowych, zebranych poświadczeń i używanych elementów:

Strona kreatora Zebrane poświadczenia Wymagane uprawnienia Purpose
Nie dotyczy Użytkownik, który uruchamia kreatora instalacji. - Administrator serwera lokalnego.
— W przypadku korzystania z wystąpienia pełnego programu SQL Server użytkownik musi być administratorem systemu (sysadmin) w programie SQL Server.
Domyślnie służy do tworzenia konta lokalnego używanego jako konto usługi aparatu synchronizacji. Konto jest tworzone tylko wtedy, gdy administrator nie określi konta.
Zainstaluj usługi synchronizacji, opcję konta usługi Poświadczenia konta użytkownika lokalnego lub usługi AD systemu Windows Server. Użytkownik i uprawnienia są przyznawane przez kreatora instalacji. Jeśli administrator określi konto, to konto jest używane jako konto usługi synchronizacji.
Nawiązywanie połączenia z identyfikatorem entra firmy Microsoft Poświadczenia katalogu Entra firmy Microsoft. Rola administratora tożsamości hybrydowej w usłudze Microsoft Entra ID. — Służy do włączania synchronizacji w katalogu Microsoft Entra.
— Służy do tworzenia konta łącznika Microsoft Entra Connector używanego do bieżących operacji synchronizacji w identyfikatorze Entra firmy Microsoft.
Podłączanie katalogów Poświadczenia usługi AD systemu Windows Server dla każdego lasu połączonego z identyfikatorem Entra firmy Microsoft. Uprawnienia zależą od funkcji, które są włączone i można je znaleźć w temacie Tworzenie konta łącznika usług AD DS. To konto służy do odczytywania i zapisywania informacji o katalogu podczas synchronizacji.
Serwery usług AD FS Dla każdego serwera na liście kreator zbiera poświadczenia, gdy poświadczenia logowania użytkownika uruchamiającego kreatora są niewystarczające do nawiązania połączenia. Konto administratora domeny. Używane podczas instalacji i konfiguracji roli serwera usług Active Directory Federation Services (AD FS).
Serwery proxy aplikacji internetowej Dla każdego serwera na liście kreator zbiera poświadczenia, gdy poświadczenia logowania użytkownika uruchamiającego kreatora są niewystarczające do nawiązania połączenia. Administrator lokalny na maszynie docelowej. Używane podczas instalacji i konfiguracji roli serwera proxy aplikacji internetowej (WAP).
Poświadczenia zaufania serwera proxy Poświadczenia zaufania usługi federacyjnej (poświadczenia używane przez serwer proxy do rejestrowania certyfikatu zaufania z usług federacyjnych (FS)). Konto domeny, które jest administratorem lokalnym serwera usług AD FS. Początkowa rejestracja certyfikatu zaufania FS-WAP.
Strona Konto usługi AD FS Użyj opcji konta użytkownika domeny Poświadczenia konta użytkownika usługi AD systemu Windows Server. Użytkownik domeny. Konto użytkownika Microsoft Entra, którego poświadczenia są podane, jest używane jako konto logowania usługi AD FS.

Tworzenie konta łącznika usług AD DS

Ważne

Wprowadzono nowy moduł programu PowerShell o nazwie ADSyncConfig.psm1 z kompilacją 1.1.880.0 (wydaną w sierpniu 2018 r.). Moduł zawiera kolekcję poleceń cmdlet, które ułatwiają skonfigurowanie prawidłowych uprawnień usługi AD systemu Windows Server dla konta łącznika microsoft Entra Domain Services.

Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect: Konfigurowanie uprawnień konta łącznika usług AD DS.

Konto określone na stronie Łączenie katalogów musi zostać utworzone w usłudze AD systemu Windows Server jako zwykły obiekt użytkownika (VSA, MSA lub gMSA nie są obsługiwane) przed instalacją. Program Microsoft Entra Connect w wersji 1.1.524.0 lub nowszej ma możliwość zezwalania kreatorowi Microsoft Entra Connect na utworzenie konta łącznika usług AD DS używanego do łączenia się z usługą AD systemu Windows Server.

Określone konto musi mieć również wymagane uprawnienia. Kreator instalacji nie weryfikuje uprawnień i występują problemy tylko podczas procesu synchronizacji.

Wymagane uprawnienia zależą od opcjonalnych funkcji, które włączysz. Jeśli masz wiele domen, uprawnienia muszą zostać przyznane dla wszystkich domen w lesie. Jeśli nie włączysz żadnej z tych funkcji, domyślne uprawnienia użytkownika domeny są wystarczające.

Cecha Uprawnienia
Funkcja ms-DS-ConsistencyGuid Uprawnienia zapisu do atrybutu opisanego ms-DS-ConsistencyGuid w temacie Design Concepts — Using ms-DS-ConsistencyGuid as sourceAnchor (Pojęcia dotyczące projektowania — używanie klasy ms-DS-ConsistencyGuid jako sourceAnchor).
Synchronizacja skrótów haseł - Replikowanie zmian katalogu
— Replikowanie wszystkich zmian katalogu
Wdrożenie hybrydowe programu Exchange Uprawnienia do zapisu do atrybutów udokumentowanych w funkcji zapisywania zwrotnego hybrydowego programu Exchange dla użytkowników, grup i kontaktów.
Folder publiczny poczty programu Exchange Uprawnienia do odczytu do atrybutów udokumentowanych w folderze publicznym poczty programu Exchange dla folderów publicznych.
Zapisywanie zwrotne haseł Uprawnienia do zapisu do atrybutów udokumentowanych w temacie Wprowadzenie do zarządzania hasłami dla użytkowników.
Zapisywanie zwrotne urządzeń Uprawnienia przyznane za pomocą skryptu programu PowerShell zgodnie z opisem w artykule Zapisywanie zwrotne urządzeń.
Zapisywanie zwrotne grup Umożliwia zapisywanie zwrotne Grupy Microsoft 365 do lasu z zainstalowanym programem Exchange.

Uprawnienia wymagane do uaktualnienia

Podczas uaktualniania z jednej wersji programu Microsoft Entra Connect do nowej wersji potrzebne są następujące uprawnienia:

Główne Wymagane uprawnienia Purpose
Użytkownik, który uruchamia kreatora instalacji Administrator serwera lokalnego Służy do aktualizowania plików binarnych.
Użytkownik, który uruchamia kreatora instalacji Członek adSyncAdmins Służy do wprowadzania zmian w regułach synchronizacji i innych konfiguracjach.
Użytkownik, który uruchamia kreatora instalacji Jeśli używasz pełnego wystąpienia programu SQL Server: DBO (lub podobne) bazy danych aparatu synchronizacji Służy do wprowadzania zmian na poziomie bazy danych, takich jak aktualizowanie tabel przy użyciu nowych kolumn.

Ważne

W kompilacji 1.1.484 wprowadzono usterkę regresji w programie Microsoft Entra Connect. Usterka wymaga uprawnień administratora systemu w celu uaktualnienia bazy danych programu SQL Server. Usterka została poprawiona w kompilacji 1.1.647. Aby przeprowadzić uaktualnienie do tej kompilacji, musisz mieć uprawnienia administratora systemu. W tym scenariuszu uprawnienia DBO nie są wystarczające. Jeśli spróbujesz uaktualnić program Microsoft Entra Connect bez uprawnień administratora systemu, uaktualnienie zakończy się niepowodzeniem i program Microsoft Entra Connect nie działa już poprawnie.

Szczegóły utworzonych kont

Poniższe sekcje zawierają więcej informacji na temat utworzonych kont w programie Microsoft Entra Connect.

Konto łącznika usług AD DS

Jeśli używasz ustawień ekspresowych, konto używane do synchronizacji jest tworzone w usłudze AD systemu Windows Server. Utworzone konto znajduje się w domenie głównej lasu w kontenerze Users. Nazwa konta jest poprzedzona MSOL_. Konto jest tworzone przy użyciu długiego, złożonego hasła, które nie wygasa. Jeśli masz zasady haseł w domenie, upewnij się, że długie i złożone hasła są dozwolone dla tego konta.

Zrzut ekranu przedstawiający konto łącznika usług AD DS z prefiksem MSOL w programie Microsoft Entra Connect.

Jeśli używasz ustawień niestandardowych, przed rozpoczęciem instalacji ponosisz odpowiedzialność za utworzenie konta. Zobacz Tworzenie konta łącznika usług AD DS.

Konto usługi ADSync

Usługa synchronizacji może działać na różnych kontach. Może działać w ramach konta usługi wirtualnej (VSA), konta usługi zarządzanej przez grupę (gMSA), autonomicznej usługi zarządzanej (sMSA) lub zwykłego konta użytkownika. Obsługiwane opcje zostały zmienione w kwietniowej wersji programu Microsoft Entra Connect z 2017 r., gdy wykonasz nową instalację. W przypadku uaktualnienia z wcześniejszej wersji programu Microsoft Entra Connect te inne opcje nie są dostępne.

Typ konta Opcja instalacji opis
VSA Ekspresowe i niestandardowe, kwiecień 2017 r. i nowsze Ta opcja jest używana dla wszystkich instalacji ustawień ekspresowych, z wyjątkiem instalacji na kontrolerze domeny. W przypadku ustawień niestandardowych jest to opcja domyślna.
gMSA Niestandardowe, kwiecień 2017 r. i nowsze Jeśli używasz zdalnego wystąpienia programu SQL Server, zalecamy użycie usługi gMSA.
Konto użytkownika Ekspresowe i niestandardowe, kwiecień 2017 r. i nowsze Konto użytkownika poprzedzone AAD_ jest tworzone podczas instalacji tylko wtedy, gdy program Microsoft Entra Connect jest zainstalowany w systemie Windows Server 2008 i gdy jest zainstalowany na kontrolerze domeny.
Konto użytkownika Ekspresowe i niestandardowe, marzec 2017 r. i starsze Konto lokalne poprzedzone prefiksem AAD_ jest tworzone podczas instalacji. W instalacji niestandardowej można określić inne konto.

Jeśli używasz programu Microsoft Entra Connect z kompilacją z marca 2017 r. lub wcześniej, nie resetuj hasła na koncie usługi. System Windows niszczy klucze szyfrowania ze względów bezpieczeństwa. Nie można zmienić konta na inne konto bez ponownej instalacji programu Microsoft Entra Connect. Jeśli uaktualnisz kompilację z kwietnia 2017 r. lub nowszą, możesz zmienić hasło na koncie usługi, ale nie możesz zmienić używanego konta.

Ważne

Konto usługi można ustawić tylko podczas pierwszej instalacji. Nie można zmienić konta usługi po zakończeniu instalacji.

W poniższej tabeli opisano domyślne, zalecane i obsługiwane opcje dla konta usługi synchronizacji.

Legenda:

  • Bold = Opcja domyślna i, w większości przypadków, zalecana opcja.
  • Kursywa = zalecana opcja, jeśli nie jest to opcja domyślna.
  • 2008 = opcja domyślna zainstalowana w systemie Windows Server 2008
  • Bez pogrubienia = obsługiwana opcja
  • Konto lokalne = konto użytkownika lokalnego na serwerze
  • Konto domeny = konto użytkownika domeny
  • sMSA = autonomiczne zarządzane konto usługi
  • gMSA = konto usługi zarządzanej przez grupę
Lokalna baza danych
Express
Lokalna baza danych/lokalny program SQL Server
Niestandardowy
Zdalny program SQL Server
Niestandardowy
maszyna przyłączona do domeny VSA
Konto lokalne (2008)
VSA
Konto lokalne (2008)
Konto lokalne
Konto domeny
sMSA, gMSA
gMSA
Konto domeny
Kontroler domeny Konto domeny gMSA
Konto domeny
sMSA
gMSA
Konto domeny

VSA

VsA to specjalny typ konta, które nie ma hasła i jest zarządzane przez system Windows.

Zrzut ekranu przedstawiający konto usługi wirtualnej.

Program VSA ma być używany ze scenariuszami, w których aparat synchronizacji i program SQL Server znajdują się na tym samym serwerze. Jeśli używasz zdalnego programu SQL Server, zalecamy użycie usługi gMSA zamiast usługi VSA.

Funkcja VSA wymaga systemu Windows Server 2008 R2 lub nowszego. Jeśli zainstalujesz program Microsoft Entra Connect w systemie Windows Server 2008, instalacja powróci do korzystania z konta użytkownika zamiast programu VSA.

gMSA

Jeśli używasz zdalnego wystąpienia programu SQL Server, zalecamy użycie usługi gMSA. Aby uzyskać więcej informacji na temat przygotowywania usługi AD systemu Windows Server dla grupy usługi zarządzanej przez grupę, zobacz Omówienie kont usług zarządzanych przez grupę.

Aby użyć tej opcji, na stronie Instalowanie wymaganych składników wybierz pozycję Użyj istniejącego konta usługi, a następnie wybierz pozycję Zarządzane konto usługi.

Zrzut ekranu przedstawiający wybieranie zarządzanego konta usługi w systemie Windows Server.

W tym scenariuszu można również użyć programu sMSA . Można jednak użyć programu sMSA tylko na komputerze lokalnym i nie ma korzyści z używania programu sMSA zamiast domyślnej usługi VSA.

Funkcja sMSA wymaga systemu Windows Server 2012 lub nowszego. Jeśli musisz użyć starszej wersji systemu operacyjnego i używasz zdalnego programu SQL Server, musisz użyć konta użytkownika.

Konto użytkownika

Konto usługi lokalnej jest tworzone przez kreatora instalacji (chyba że określono w ustawieniach niestandardowych konto do użycia). Konto jest poprzedzone AAD_ i jest używane do działania rzeczywistej usługi synchronizacji jako. Jeśli zainstalujesz program Microsoft Entra Connect na kontrolerze domeny, konto zostanie utworzone w domenie. Konto usługi AAD_ musi znajdować się w domenie, jeśli:

  • Używasz serwera zdalnego z uruchomionym programem SQL Server.
  • Używasz serwera proxy, który wymaga uwierzytelniania.

Zrzut ekranu przedstawiający konto użytkownika usługi synchronizacji w systemie Windows Server.

Konto usługi AAD_ jest tworzone z długim, złożonym hasłem, które nie wygasa.

To konto służy do bezpiecznego przechowywania haseł dla innych kont. Hasła są przechowywane w bazie danych. Klucze prywatne kluczy szyfrowania są chronione za pomocą szyfrowania kluczy tajnych usług kryptograficznych przy użyciu interfejsu API ochrony danych systemu Windows (DPAPI).

Jeśli używasz pełnego wystąpienia programu SQL Server, konto usługi jest bazą danych utworzonej bazy danych dla aparatu synchronizacji. Usługa nie będzie działać zgodnie z oczekiwaniami z żadnymi innymi uprawnieniami. Zostanie również utworzony identyfikator logowania programu SQL Server.

Konto ma również przyznane uprawnienia do plików, kluczy rejestru i innych obiektów związanych z aparatem synchronizacji.

Konto łącznika Microsoft Entra

Konto w usłudze Microsoft Entra ID jest tworzone do użycia przez usługę synchronizacji. To konto można zidentyfikować według jego nazwy wyświetlanej.

Zrzut ekranu przedstawiający konto Microsoft Entra z prefiksem DC1.

Nazwa serwera, na który jest używane konto, można zidentyfikować w drugiej części nazwy użytkownika. Na powyższej ilustracji nazwa serwera to DC1. Jeśli masz serwery przejściowe, każdy serwer ma własne konto.

Konto serwera jest tworzone z długim, złożonym hasłem, które nie wygasa. Konto ma przypisaną specjalną rolę Konta synchronizacji katalogów, która ma uprawnienia do wykonywania tylko zadań synchronizacji katalogów. Tej specjalnej wbudowanej roli nie można udzielić poza kreatorem Microsoft Entra Connect. W centrum administracyjnym firmy Microsoft Entra jest wyświetlane to konto z rolą Użytkownik.

Identyfikator Entra firmy Microsoft ma limit 20 kont usługi synchronizacji.

  • Aby uzyskać listę istniejących kont usługi Microsoft Entra w wystąpieniu firmy Microsoft Entra, uruchom następujące polecenie:

    $directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"}
    Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalProperties
    
  • Aby usunąć nieużywane konta usługi Microsoft Entra, uruchom następujące polecenie:

    Remove-MgUser -UserId <Id-of-the-account-to-remove>
    

Uwaga

Aby można było użyć tych poleceń programu PowerShell, należy zainstalować moduł Programu PowerShell programu Microsoft Graph i połączyć się z wystąpieniem identyfikatora Entra firmy Microsoft przy użyciu narzędzia Connect-MgGraph.

Aby uzyskać więcej informacji na temat zarządzania lub resetowania hasła dla konta microsoft Entra Connect, zobacz Zarządzanie kontem microsoft Entra Connect.

Aby uzyskać więcej informacji na temat programu Microsoft Entra Connect, zobacz następujące artykuły:

Temat Link
Pobierz program Microsoft Entra Connect Pobierz program Microsoft Entra Connect
Instalowanie przy użyciu ustawień ekspresowych Instalacja ekspresowa programu Microsoft Entra Connect
Instalowanie przy użyciu niestandardowych ustawień Niestandardowa instalacja usługi Microsoft Entra Connect
Uaktualnianie z narzędzia DirSync Uaktualnianie z narzędzia Azure AD Sync (DirSync)
Po instalacji Weryfikowanie instalacji i przypisywanie licencji

Następne kroki

Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.