Настройка синхронизации с идентификатором Microsoft Entra в доменные службы Microsoft Entra с помощью Центра администрирования Microsoft Entra
Для предоставления служб проверки подлинности доменные службы Microsoft Entra синхронизируют пользователей и группы из идентификатора Microsoft Entra. В гибридной среде пользователи и группы из среды локальная служба Active Directory доменных служб (AD DS) можно сначала синхронизировать с идентификатором Microsoft Entra с помощью Microsoft Entra Connect, а затем синхронизироваться с управляемым доменом доменных служб.
По умолчанию все пользователи и группы из каталога Microsoft Entra синхронизируются с управляемым доменом. Если только некоторые пользователи должны использовать доменные службы, вместо этого можно синхронизировать только группы пользователей. Синхронизацию можно отфильтровать только для локальных, облачных или обоих групп.
В этой статье показано, как настроить синхронизацию с областью действия, а затем изменить или отключить набор пользователей с областью действия с помощью Центра администрирования Microsoft Entra. Эти действия также можно выполнить с помощью PowerShell.
Подготовка к работе
Для работы с этой статьей требуются следующие ресурсы и разрешения:
- Активная подписка Azure.
- Если у вас еще нет подписки Azure, создайте учетную запись.
- Клиент Microsoft Entra, связанный с подпиской, либо синхронизирован с локальным каталогом или облачным каталогом.
- При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
- Управляемый домен доменных служб Microsoft Entra включен и настроен в клиенте Microsoft Entra.
- При необходимости выполните инструкции по созданию и настройке управляемого домена доменных служб Microsoft Entra.
- Чтобы изменить область синхронизации доменных служб, вам потребуется роль администратора приложений и администраторов групп Microsoft Entra в клиенте.
Общие сведения о синхронизации с заданной областью
По умолчанию все пользователи и группы из каталога Microsoft Entra синхронизируются с управляемым доменом. Синхронизацию можно ограничить только учетными записями пользователей, созданными в идентификаторе Microsoft Entra, или синхронизировать всех пользователей.
Если доступ к управляемому домену требуется только нескольким группам пользователей, можно выбрать "Фильтр по группам" , чтобы синхронизировать только эти группы. Эта ограниченная синхронизация основана только на группах. При настройке синхронизации с областью действия на уровне группы только учетные записи пользователей, принадлежащие к указанным вами группам, синхронизируются с управляемым доменом. Вложенные группы не синхронизированы; синхронизированы только те группы, которые вы указали.
Область синхронизации можно изменить до или после создания управляемого домена. Область синхронизации определяется субъектом-службой с идентификатором 2565bd9d-da50-47d4-8b85-4c97f669dc36
приложения. Чтобы предотвратить потери области, не удаляйте и не изменяйте субъект-службу. Если она была случайно удалена, область синхронизации восстановить нельзя.
При изменении области синхронизации учитывайте следующие предостережения.
- Выполняется полная синхронизация.
- Объекты, которые больше не требуются в управляемом домене, удаляются. В управляемом домене создаются новые объекты.
Дополнительные сведения о процессе синхронизации см. в статье "Общие сведения о синхронизации" в доменных службах Microsoft Entra.
Включение синхронизации в области
Чтобы включить синхронизацию с областью действия в Центре администрирования Microsoft Entra, выполните следующие действия.
В Центре администрирования Microsoft Entra найдите и выберите доменные службы Microsoft Entra. Выберите нужный управляемый домен, например aaddscontoso.com
Выберите в меню в левой части окна пункт Синхронизация.
Для области синхронизации выберите "Только все " или "Только облако".
Чтобы отфильтровать синхронизацию для выбранных групп, щелкните "Показать выбранные группы", выберите, следует ли синхронизировать только облачные группы, локальные группы или оба. Например, на следующем снимке экрана показано, как синхронизировать только три группы, созданные в идентификаторе Microsoft Entra. Только пользователи, принадлежащие этим группам, будут синхронизированы с доменными службами.
Чтобы добавить группы, нажмите кнопку "Добавить группы", а затем найдите и выберите группы, которые нужно добавить.
После внесения всех изменений выберите Сохранить область синхронизации.
Изменение области синхронизации приводит к тому, что управляемый домен повторно синхронизирует все данные. Объекты, которые больше не нужны в управляемом домене, будут удалены, а выполнение повторной синхронизации может занять некоторое время.
Изменение синхронизации в области
Чтобы изменить список групп, пользователей которых нужно синхронизировать с управляемым доменом, выполните следующие действия:
- В Центре администрирования Microsoft Entra найдите и выберите доменные службы Microsoft Entra. Выберите нужный управляемый домен, например aaddscontoso.com
- Выберите в меню в левой части окна пункт Синхронизация.
- Чтобы добавить группу, нажмите кнопку +Добавить группы вверху, а затем выберите группы, которые нужно добавить.
- Чтобы удалить группу из области синхронизации, выберите ее из списка синхронизированных групп и щелкните Удалить группы.
- После внесения всех изменений выберите Сохранить область синхронизации.
Изменение области синхронизации приводит к тому, что управляемый домен повторно синхронизирует все данные. Объекты, которые больше не нужны в управляемом домене, будут удалены, а выполнение повторной синхронизации может занять некоторое время.
Отключение синхронизации в области
Чтобы отключить синхронизацию в области на основе групп для управляемого домена, выполните следующие действия:
- В Центре администрирования Microsoft Entra найдите и выберите доменные службы Microsoft Entra. Выберите нужный управляемый домен, например aaddscontoso.com
- Выберите в меню в левой части окна пункт Синхронизация.
- Снимите флажок для отображения выбранных групп и нажмите кнопку "Сохранить область синхронизации".
Изменение области синхронизации приводит к тому, что управляемый домен повторно синхронизирует все данные. Объекты, которые больше не нужны в управляемом домене, будут удалены, а выполнение повторной синхронизации может занять некоторое время.
Следующие шаги
Дополнительные сведения о процессе синхронизации см. в статье "Общие сведения о синхронизации" в доменных службах Microsoft Entra.