Настройка доменных служб Microsoft Entra для поддержки синхронизации профилей пользователей для SharePoint Server

SharePoint Server включает службу для синхронизации профилей пользователей. Эта функция позволяет хранить профили пользователей в центральном расположении и доступны для нескольких сайтов и ферм SharePoint. Чтобы настроить службу профилей пользователей SharePoint Server, соответствующие разрешения необходимо предоставить в управляемом домене доменных служб Microsoft Entra. Дополнительные сведения см. в разделе синхронизации профилей пользователей в SharePoint Server.

В этой статье показано, как настроить доменные службы для разрешения службы синхронизации профилей пользователей SharePoint Server.

Перед началом работы

Чтобы завершить эту статью, вам потребуются следующие ресурсы и привилегии:

• Активная подписка Azure.
  • Если у вас нет подписки Azure, создайте учетную запись.
• Клиент Microsoft Entra, связанный с подпиской, синхронизирован либо с локальным каталогом, либо с облачным каталогом.
  • При необходимости создать клиент Microsoft Entra или связать подписку Azure с вашей учетной записью.
• Управляемый домен доменных служб Microsoft Entra включен и настроен в клиенте Microsoft Entra.
  • При необходимости выполните инструкции, чтобы создать и настроить управляемый домен служб Microsoft Entra.
• Виртуальная машина управления Windows Server, присоединенная к управляемому домену доменных служб.
  • При необходимости пройдите обучение, чтобы создать управляющую виртуальную машину.
• Учетная запись пользователя, являющаяся членом администраторов контроллера домена Microsoft Entra, в клиенте Microsoft Entra.
• Имя учетной записи службы SharePoint для службы синхронизации профилей пользователей. Дополнительные сведения об учетной записи синхронизации профилей см. в разделе План для административных и служебных учетных записей в SharePoint Server. Чтобы получить имя учетной записи синхронизации профилей на веб-сайте центра администрирования SharePoint, щелкните >Управление приложениями службы>приложения службы профилей пользователей. Дополнительные сведения см. в статье Настройка синхронизации профилей с помощью импорта SharePoint Active Directory в SharePoint Server.

Обзор учетных записей служб

В управляемом домене существует группа безопасности с именем Microsoft Entra DC Service Accounts, которая является частью организационного подразделения Users. Членам этой группы безопасности делегированы следующие привилегии:

• Привилегия "Изменение репликации каталога" на корневом DSE.
• Права на репликацию изменений в каталоге в области именования конфигурации (контейнерcn=configuration).

учетные записи службы Microsoft Entra DC группа безопасности также включена во встроенную группу доступ с совместимостью для систем до Windows 2000.

При добавлении в эту группу безопасности учетной записи службы для службы синхронизации профилей пользователей SharePoint Server предоставляются необходимые привилегии для правильной работы.

Включение поддержки синхронизации профилей пользователей SharePoint Server

Для учетной записи службы SharePoint Server требуются достаточные привилегии для репликации изменений в каталог и правильной синхронизации профилей пользователей SharePoint Server. Чтобы предоставить эти привилегии, добавьте учетную запись службы, используемую для синхронизации профилей пользователей SharePoint, в группу учетных записей службы Microsoft Entra DC.

На виртуальной машине управления доменными службами выполните следующие действия.

Заметка

Чтобы изменить членство в группе в управляемом домене, необходимо войти в учетную запись пользователя, являющегося членом группы AAD DC Administrators.

1. На начальном экране выберите Административные инструменты. Показан список инструментов управления, установленных в ходе руководства, чтобы создатьвиртуальную машину управления.

2. Чтобы управлять членством в группах, выберите Центр администрирования Active Directory из списка средств администрирования.

3. В левой области выберите управляемый домен, например aaddscontoso.com. Отображается список существующих организационных единиц и ресурсов.

4. Выберите подразделение "Пользователи", затем выберите группу безопасности Microsoft Entra DC Service Accounts.

5. Выберите участники, затем выберите Добавить....

6. Введите имя учетной записи службы SharePoint, а затем нажмите кнопку ОК. В следующем примере учетная запись службы SharePoint называется spadmin: