Предоставление идентификатора Microsoft Entra в Active Directory — настройка

В следующем документе описано, как настроить Microsoft Entra Cloud Sync для предоставления из Microsoft Entra ID в Active Directory. Если вы ищете сведения о подключении из AD к Microsoft Entra ID, см. раздел "Настройка - подготовка Active Directory к Microsoft Entra ID с помощью Microsoft Entra Cloud Sync"

Внимание

Общедоступная предварительная версия групповой записи версии 2 в Microsoft Entra Connect Sync больше не доступна по состоянию на 30 июня 2024 г.. Эта функция была прекращена на эту дату, и вы больше не поддерживаете microsoft Entra Connect Sync для подготовки групп безопасности облака в Active Directory. Функция продолжает работать за пределами даты прекращения работы; однако она больше не получает поддержку и может прекратить работу в любое время без уведомления.

В Microsoft Entra Cloud Sync мы предлагаем аналогичную функцию под названием Предоставление группы в Active Directory, которой вы можете воспользоваться вместо групповой обратной синхронизации версии 2 для предоставления облачных групп безопасности в Active Directory. Мы работаем над улучшением этой функции в Microsoft Entra Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Microsoft Entra Cloud Sync.

Клиенты, использующие эту предварительную версию функции синхронизации Microsoft Entra Connect, должны переключить конфигурацию с Microsoft Entra Connect Sync на Microsoft Entra Cloud Sync. Вы можете перенести всю вашу гибридную синхронизацию в Microsoft Entra Cloud Sync, если она удовлетворяет вашим потребностям. Вы также можете использовать Microsoft Entra Cloud Sync параллельно и перемещать задачи развертывания только облачных групп безопасности в Active Directory в Microsoft Entra Cloud Sync.

Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можете продолжать использовать функцию Group Writeback версии 1 для реализации этой функции.

Вы можете оценить переход исключительно на Microsoft Entra Cloud Sync с помощью мастера синхронизации пользователей .

Настройка обеспечения

Чтобы настроить предоставление ресурсов, выполните следующие действия.

1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора гибридных удостоверений .

2. Перейдите к Identity>гибридное управление>Microsoft Entra Connect>синхронизация с облаком.

   

3. Выберите Новая конфигурация.
4. Выберите синхронизацию Microsoft Entra ID с AD.

5. На экране конфигурации выберите домен и укажите, следует ли включить синхронизацию хэша паролей. Нажмите кнопку Создать.

6. Откроется экран "Начало работы ". Здесь можно продолжить настройку облачной синхронизации.

7. Конфигурация разделена на следующие 5 разделов.

Раздел	Описание
1. Добавление фильтров области	Используйте этот раздел, чтобы определить, какие объекты отображаются в идентификаторе Microsoft Entra
2. Атрибуты карты	Используйте этот раздел для сопоставления атрибутов между локальными пользователями и группами с объектами Microsoft Entra
3. Тестирование	Проверка конфигурации перед развертыванием
4. Просмотр свойств по умолчанию	Просмотрите настройки по умолчанию перед их включением и внесите изменения, если это необходимо.
5. Включите вашу конфигурацию	После того как все будет готово, включите конфигурацию, и пользователи/группы начнут синхронизироваться.

Предоставление параметров для конкретных групп

Вы можете настроить агента для синхронизации всех или определенных групп безопасности. Группы и организационные подразделения можно настроить в конфигурации.

1. На экране конфигурации "Начало работы". Щелкните Добавить фильтры области рядом с иконкой Добавить фильтры области или щелкните Фильтры области слева в разделе Управление.

2. Выберите фильтр области действия. Фильтр может быть одним из следующих вариантов:

• Все группы безопасности: область конфигурации, применяемая ко всем группам безопасности облака.
• Выбранные группы безопасности: область конфигурации для применения к определенным группам безопасности.

3. Для определенных групп безопасности выберите "Изменить группы " и выберите нужные группы из списка.

Примечание.

Если вы выберете группу безопасности, у которой вложенная группа безопасности является членом, то только вложенная группа будет записана обратно, а не её члены. Например, если группа безопасности продаж входит в группу безопасности маркетинга, только сама группа продаж будет записана обратно, а не члены группы продаж.

Если вы хотите вложить группы и подготовить их для AD, то необходимо также добавить все группы-члены в область действия.

4. Вы можете использовать поле "Целевой контейнер", чтобы определять группы, использующие конкретный контейнер. Выполните эту задачу с помощью атрибута parentDistinguishedName. Используйте сопоставление констант, прямых или выражений.

Несколько целевых контейнеров можно настроить с помощью выражения сопоставления атрибутов с функцией Switch(). При использовании этого выражения, если значение displayName является "Маркетинг" или "Продажи", группа создается в соответствующей ОЕ. Если совпадения нет, группа создается в "OU" по умолчанию.

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

5. Поддерживается фильтрация области на основе атрибутов. Дополнительные сведения см. в разделе Фильтрация области на основе атрибутов и Справочник по написанию выражений для сопоставления атрибутов в Microsoft Entra ID и Сценарий - Использование расширений каталогов с подготовкой групп в Active Directory.
6. После того как настроите фильтры охвата, нажмите кнопку "Сохранить".
7. После сохранения вы увидите сообщение о том, что все еще необходимо сделать для настройки облачной синхронизации. Чтобы продолжить, щелкните ссылку.

Настройка области охвата для определенных групп с помощью расширений каталогов

Для более расширенной области и фильтрации можно настроить использование расширений каталогов. См. раздел "Расширения каталогов для размещения Microsoft Entra ID в Active Directory" для получения общих сведений о расширениях каталогов.

Пошаговое руководство по расширению схемы, а затем использованию атрибута расширения каталога с облачной синхронизацией и подготовкой к AD см. статью Сценарий – Использование расширений каталогов с подготовкой групп в Active Directory.

Сопоставление атрибутов

Microsoft Entra Cloud Sync позволяет легко сопоставлять атрибуты между локальными объектами пользователя или группы и объектами в идентификаторе Microsoft Entra.

Сопоставление атрибутов по умолчанию можно настроить в соответствии с потребностями вашего бизнеса. Поэтому можно изменить или удалить существующие сопоставления атрибутов или создать новые.

После сохранения вы увидите сообщение о том, что все еще необходимо сделать для настройки облачной синхронизации. Чтобы продолжить, щелкните ссылку.

Дополнительные сведения см. в разделе "Сопоставление атрибутов" и "Справочник по написанию выражений" для сопоставлений атрибутов в идентификаторе Microsoft Entra ID.

Расширения каталогов и сопоставление настраиваемых атрибутов.

Microsoft Entra Cloud Sync позволяет расширить каталог с расширениями и обеспечить сопоставление настраиваемых атрибутов. Дополнительные сведения см. в разделе "Расширения каталога" и сопоставление настраиваемых атрибутов.

Подготовка по запросу

Microsoft Entra Cloud Sync позволяет тестировать изменения конфигурации, применяя эти изменения к одному пользователю или группе.

Вы можете использовать это для проверки и подтверждения, что изменения, внесенные в конфигурацию, применены правильно и правильно синхронизированы с Microsoft Entra ID.

После тестирования вы увидите сообщение о том, что вам по-прежнему нужно сделать для настройки облачной синхронизации. Чтобы продолжить, щелкните ссылку.

Дополнительные сведения приведены в статье о подготовке по требованию.

Случайные удаления и уведомления по электронной почте

В разделе свойств по умолчанию содержатся сведения о случайном удалении и Уведомления по электронной почте.

Функция случайного удаления защищает от случайных изменений конфигурации и изменений в локальном каталоге, которые могут повлиять на большое количество пользователей и групп.

Эта функция позволяет:

• Настройте возможность автоматического предотвращения случайного удаления.
• задать количество объектов (пороговое значение), по достижении которого начнет действовать настроенная защита;
• Настройте адрес электронной почты для уведомлений, чтобы они могли получать уведомление, когда указанное задание синхронизации в этом сценарии будет помещено в карантин.

Дополнительные сведения приведены в разделе Случайное удаление

Щелкните карандаш рядом с Основами, чтобы изменить значения по умолчанию в конфигурации.

Включите вашу конфигурацию

После завершения и тестирования конфигурации его можно включить.

Нажмите кнопку "Включить конфигурацию", чтобы включить ее.

Карантин

Облачная синхронизация отслеживает работоспособность вашей конфигурации и помещает неработоспособные объекты в состояние карантина. Если большинство или все вызовы, отправленные в целевую систему, последовательно завершаются сбоем из-за ошибки (например, недопустимых учетных данных администратора), задание синхронизации отмечается как помещенное в карантин. Дополнительные сведения приведены в разделе об устранении неполадок при карантине.

Перезапуск обеспечения

Если вы не хотите ждать следующего запланированного запуска, активируйте подготовку с помощью кнопки "Перезапустить синхронизацию ".

1. Войдите в центр администрирования Microsoft Entra как минимум администратора гибридных удостоверений.

2. Перейдите к Identity>гибридное управление>Microsoft Entra Connect>синхронизация с облаком.

   

4. В разделе Конфигурация выберите свою конфигурацию.

5. В верхней части нажмите кнопку "Перезапустить синхронизацию".

Удалите конфигурацию

Чтобы удалить конфигурацию, выполните следующие действия.

1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора по гибридной идентичности.

2. Перейдите к Identity>Гибридное управление>Microsoft Entra Connect>Синхронизация с облаком.

   

3. В разделе Конфигурация выберите свою конфигурацию.

4. В верхней части экрана конфигурации выберите "Удалить конфигурацию".

Внимание

Перед удалением конфигурации подтверждение не запрашивается. Прежде чем нажать кнопку Удалить, убедитесь, что это действие действительно необходимо.

Следующие шаги

• Обратная запись групп с использованием Microsoft Entra Cloud Sync
• Управление приложениями на основе локальных служб Active Directory (Kerberos) с помощью Microsoft Entra ID Governance
• Перенос Microsoft Entra Connect Sync group writeback V2 в Microsoft Entra Cloud Sync