Настройка доменных служб Microsoft Entra для поддержки синхронизации профилей пользователей для SharePoint Server

Сервер SharePoint включает службу для синхронизации профилей пользователей. Эта функция позволяет хранить профили пользователей в центральном расположении и делает их доступными на нескольких сайтах и фермах SharePoint. Чтобы настроить службу профилей пользователей SharePoint Server, соответствующие разрешения необходимо предоставить в управляемом домене доменных служб Microsoft Entra. Дополнительные сведения см. в разделе Синхронизация профилей пользователей в SharePoint Server.

В этой статье показано, как настроить доменные службы для разрешения службы синхронизации профилей пользователей SharePoint Server.

Подготовка к работе

Для работы с этой статьей требуются следующие ресурсы и разрешения:

• Активная подписка Azure.
  • Если у вас еще нет подписки Azure, создайте учетную запись.
• Клиент Microsoft Entra, связанный с подпиской, либо синхронизирован с локальным каталогом или облачным каталогом.
  • При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
• Управляемый домен доменных служб Microsoft Entra включен и настроен в клиенте Microsoft Entra.
  • При необходимости выполните инструкции по созданию и настройке управляемого домена доменных служб Microsoft Entra.
• Виртуальная машина управления Windows Server, присоединенная к управляемому домену доменных служб.
  • Если потребуется, выполните инструкции из руководства по созданию виртуальной машины управления.
• Учетная запись пользователя, которая входит в группу администраторов контроллера домена Microsoft Entra в клиенте Microsoft Entra.
• Имя учетной записи службы SharePoint для службы синхронизации профилей пользователей. Дополнительные сведения об учетной записи синхронизации профиля см. в разделе План административных и служебных учетных записей в SharePoint Server. Чтобы получить имя учетной записи синхронизации профиля на сайте Центра администрирования SharePoint, нажмите Управление приложениями>Управление приложениями службы>Приложение службы профиля пользователя. Дополнительные сведения см. в разделе Настройка синхронизации профилей с помощью импорта Active Directory SharePoint в SharePoint Server.

Общие сведения об учетных записях служб

В управляемом домене группа безопасности с именем Учетные записи службы контроллера домена Майкрософт существует в рамках подразделения "Пользователи ". Участникам этой группы безопасности делегируются следующие привилегии доступа:

• Привилегия репликации изменений каталога в корневом DSE.
• Привилегия репликации изменений каталога в контексте именования конфигурации (контейнер cn=configuration).

Группа безопасности учетных записей службы контроллера домена Майкрософт также входит в встроенную группу предварительно совместимого доступа с Windows 2000.

При добавлении в эту группу безопасности учетной записи службы для службы синхронизации профилей пользователей SharePoint Server предоставляются необходимые привилегии для правильной работы.

Включение поддержки для синхронизации профилей пользователей SharePoint Server

Учетной записи службы для SharePoint Server требуются достаточные права для репликации изменений в каталоге и обеспечения правильной работы синхронизации профилей пользователей SharePoint Server. Чтобы предоставить эти привилегии, добавьте учетную запись службы, используемую для синхронизации профилей пользователей SharePoint, в группу учетных записей службы контроллера домена Майкрософт.

На виртуальной машине управления доменными службами выполните следующие действия.

Примечание.

Для изменения членства группы в управляемом домене необходимо войти в учетную запись пользователя, принадлежащую к группе AAD DC Administrators (Администраторы контроллера домена AAD).

1. На начальном экране выберите Администрирование. Отобразится список доступных средств управления, установка которых описана в руководстве по созданию виртуальной машины управления.

2. Чтобы управлять членством в группе, выберите Центр администрирования Active Directory в списке средств администрирования.

3. Выберите нужный управляемый домен, например aaddscontoso.com. Отобразится список существующих подразделений и ресурсов.

4. Выберите подразделение "Пользователи", а затем выберите группу безопасности учетных записей службы контроллера домена Майкрософт.

5. Выберите Элементы, а затем нажмите кнопку Добавить....

6. Введите имя учетной записи службы SharePoint, а затем нажмите кнопку ОК. В следующем примере учетной записи службы SharePoint присваивается имя spadmin: