Поделиться через


Поддерживаемые топологии и сценарии облачной синхронизации Microsoft Entra

В этой статье описаны различные локальные топологии и топологии Microsoft Entra, использующие Microsoft Entra Cloud Sync. Эта статья содержит только поддерживаемые конфигурации и сценарии.

Внимание

Корпорация Майкрософт не поддерживает изменение или эксплуатацию Microsoft Entra Cloud Sync за пределами конфигураций или действий, которые официально документированы. Любая из этих конфигураций или действий может привести к несогласованным или неподдерживаемому состоянию Microsoft Entra Cloud Sync. В результате корпорация Майкрософт не может предоставлять техническую поддержку для таких развертываний.

Для получения дополнительной информации просмотрите следующее видео.

Особенности, которые следует учитывать во всех сценариях и топологиях

При выборе решения следует учитывать следующие сведения.

  • Пользователи и группы должны быть однозначно идентифицированы во всех лесах.
  • Сопоставление данных между лесами не осуществляется при облачной синхронизации.
  • Привязка к источнику для объектов выбирается автоматически. При наличии используется ms-DS-ConsistencyGuid, а в противном случае — ObjectGUID.
  • Вы не можете изменить атрибут, который используется для привязки к источнику.

Топологии, поддерживаемые при переходе с Active Directory на Microsoft Entra ID

Следующие топологии поддерживаются для предоставления из Active Directory в Microsoft Entra ID.

Один лес, один клиент Microsoft Entra

Диаграмма, показывающая топологию для одного леса и одного арендатора.

Простейшая топология — это один локальный лес с одним или несколькими доменами и одним клиентом Microsoft Entra. Пример этого сценария смотрите в руководстве "Один лес с одним клиентом Microsoft Entra".

Мультифорест, один арендатор Microsoft Entra

Топология для нескольких лесов и одного арендатора

Несколько лесов AD — это общая топология с одним или несколькими доменами и одним клиентом Microsoft Entra.

Существующий лес с Microsoft Entra Connect, новый лес с облачным развертыванием

Схема, на которой показана топология для существующего леса и нового леса.

Эта топология сценария аналогична сценарию с несколькими лесами. Однако этот сценарий включает в существующую среду Microsoft Entra Connect, а затем включает новый лес с помощью Microsoft Entra Cloud Sync. Чтобы увидеть пример этого сценария, см. в руководстве : существующий лес с одним клиентом Microsoft Entra.

Использование в тестовом режиме Microsoft Entra Cloud Sync в существующем гибридном лесу AD

Топология для одного леса и одного арендатора

Сценарий пилотного развертывания включает в себя существование Microsoft Entra Connect и Microsoft Entra Cloud Sync в одном лесу и определение области пользователей и групп соответствующим образом. Примечание. Объект должен находиться в области видимости только одного из инструментов.

В качестве примера этого сценария см. Руководство: Пилотная синхронизация Microsoft Entra Cloud в существующем синхронизированном лесу AD

Объединение объектов из несвязанных источников

(Общедоступная предварительная версия)

Схема объединения объектов из отключенных источников

В этом сценарии атрибуты пользователя формируются двумя независимыми лесами Active Directory.

Пример:

  • Один лес (1) содержит большинство атрибутов.
  • Второй лес (2) содержит несколько атрибутов.

Так как второй лес не имеет сетевого подключения к серверу Microsoft Entra Connect, объект не может быть объединен через Microsoft Entra Connect. Облачная синхронизация во втором лесу позволяет получить значение атрибута из второго леса. Microsoft Entra Connect синхронизирует объект в идентификаторе Microsoft Entra ID, а затем значение можно объединить с ним.

Эта конфигурация является расширенной, и в этой топологии есть несколько предостережений:

  1. Необходимо использовать ms-DS-ConsistencyGuid в качестве исходной привязки в конфигурации облачной синхронизации.
  2. Объект ms-DS-ConsistencyGuid пользователя во втором лесу должен соответствовать соответствующему объекту в идентификаторе Microsoft Entra.
  3. Необходимо заполнить атрибут UserPrincipalName и атрибут Alias во втором лесу, и они должны совпадать с теми, которые уже синхронизированы из первого леса.
  4. Необходимо удалить все атрибуты из сопоставления атрибутов в конфигурации облачной синхронизации, которые не имеют значения или могут иметь другое значение во втором лесу. У вас не может быть перекрывающихся сопоставлений атрибутов между первым лесом и вторым.
  5. Если в первом лесу нет соответствующего объекта для объекта, который синхронизирован из второго леса, то облачная синхронизация все равно создает объект в Microsoft Entra ID. Объект имеет только атрибуты, определенные в конфигурации сопоставления облачной синхронизации для второго леса.
  6. Если удалить объект из второго леса, он временно удаляется в идентификаторе Microsoft Entra. Он автоматически восстанавливается после следующего цикла синхронизации Microsoft Entra Connect.
  7. Если удалить объект из первого домена, он будет временно удален из Microsoft Entra ID. Объект не будет восстановлен, пока не будут внесены изменения в объект во втором лесу. Через 30 дней объект жестко удаляется из идентификатора Microsoft Entra. При изменении объекта во втором лесу он создается как новый объект в Microsoft Entra ID.

Топологии, поддерживаемые Microsoft Entra ID и Active Directory

Следующие топологии поддерживаются для предоставления из Microsoft Entra ID в Active Directory.

Развертывание единой лесной группы в Active Directory

Концептуальная схема обратной записи одного леса.

Простейшая топология для управления группами — это один локальный лес с одним или несколькими доменами и одним клиентом Microsoft Entra. Пример этого сценария см. в разделе "Настройка групп в Active Directory"

Управление группами в нескольких лесах в Active Directory

Концептуальная схема обратной записи в нескольких лесах.

Более продвинутая топология управления группами состоит из нескольких локальных лесов AD, совместно использующих единого клиента Microsoft Entra ID.

Эта конфигурация продвинутая, и есть несколько моментов, которые следует учитывать в этой топологии.

  • Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Все эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
  • Идентификатор onPremisesObjectIdentifier должен соответствовать соответствующему objectGUID в целевой среде AD.
  • Атрибут objectGUID локального пользователя можно синхронизировать с атрибутом onPremisesObjectIdentifier для облачных пользователей с помощью Microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Connect Sync (2.2.8.0).
  • В клиенте вы можете совместно использовать общую группу, содержащую пользователей из обоих лесов.
  • Однако пользователи, которые не существуют в другом каталоге, не добавляются в группу при добавлении группы в локальную среду. Таким образом, если у вас есть группа в Microsoft Entra ID, которая содержит пользователей из contoso.com и fabrikam.com, только пользователи, существующие в каталоге contoso.com, являются членами группы при поставке в contoso.com. То же самое верно для fabrikam.

Следующие шаги