Поделиться через

Синхронизация Microsoft Entra Connect: настройка предпочтительного расположения данных для ресурсов Microsoft 365

  • Статья

В этой статье описано, как настроить атрибут для предпочтительного расположения данных в Microsoft Entra Connect Sync. Если в Microsoft 365 используются возможности с поддержкой нескольких регионов, этот атрибут используется для обозначения географического расположения данных Пользователя Microsoft 365. (Термины регион и гео используются взаимозаменяемо.)

Поддерживаемые мультигеографические расположения

Для получения списка всех регионов, поддерживаемых Microsoft Entra Connect, см. раздел доступность мульти-гео Microsoft 365.

Включение синхронизации предпочтительного расположения данных

По умолчанию ресурсы Microsoft 365 для пользователей находятся в том же регионе, что и клиент Microsoft Entra. Например, если клиента находится в Северной Америке, то почтовые ящики пользователей Exchange также находятся в Северной Америке. Для многонациональной организации это может быть не оптимальным.

Задав атрибут предпочитаемое местоположение данных, можно определить геолокацию пользователя. Вы можете иметь ресурсы Microsoft 365 пользователя, такие как почтовый ящик и OneDrive, в том же географическом регионе, что и пользователь, и по-прежнему один клиент для всей организации.

Важный

По состоянию на 1 июня 2023 года, Multi-Geo доступен для покупки партнёрами CSP при условии приобретения не менее 5% от общего количества мест подписки Microsoft 365 их клиентов.

Кроме того, Multi-Geo доступен клиентам с активным Корпоративным соглашением. Для получения сведений обратитесь к представителю Майкрософт.

Список всех регионов, поддерживаемых Microsoft Entra Connect, см. раздел о доступности Microsoft 365 с несколькими регионами.

Поддержка Microsoft Entra Connect для синхронизации

Microsoft Entra Connect поддерживает синхронизацию атрибута preferredDataLocation для объектов User в версии 1.1.524.0 и более поздних версий. Конкретно:

  • Схема типа объекта User в коннекторе Microsoft Entra Connector расширена, чтобы включить атрибут preferredDataLocation. Атрибут имеет тип однозначной строки.
  • Схема типа объекта Person в метавселенной расширена, чтобы включить атрибут preferredDataLocation. Тип атрибута — строка с одним значением.

По умолчанию предпочтительное местоположение данных не включено для синхронизации. Эта функция предназначена для крупных организаций. В схеме Active Directory Windows Server 2019 имеется атрибут msDS-preferredDataLocation, который следует использовать для этой цели. Если вы не обновили схему Active Directory и не можете сделать это, необходимо определить атрибут для хранения геообъекта Microsoft 365 для пользователей. Это будет отличаться для каждой организации.

Важный

Идентификатор Microsoft Entra позволяет напрямую настраивать атрибут preferredDataLocation для объектов облачных пользователей с помощью Microsoft Graph PowerShell. Чтобы настроить этот атрибут на синхронизированных пользовательских объектов, необходимо использовать Microsoft Entra Connect.

Перед включением синхронизации:

  • Если вы еще не обновили схему Active Directory до 2019 года, решите, какой локальный атрибут Active Directory будет использоваться в качестве исходного атрибута. Он должен быть типа и представлять собой однозначную строку.

  • Если вы ранее настроили атрибут preferredDataLocation для существующих синхронизированных объектов User в Microsoft Entra ID с помощью Microsoft Graph PowerShell, необходимо перенести значения атрибутов в соответствующие объекты User в локальной среде Active Directory.

    Важный

    Если эти значения не поддерживаются, Microsoft Entra Connect удаляет существующие значения атрибутов в идентификаторе Microsoft Entra id при включенной синхронизации для атрибута предпочтительный атрибутDataLocation.

  • Настройте исходный атрибут по крайней мере на нескольких локальных объектах пользователей Active Directory. Это можно использовать позже для проверки.

В следующих разделах приведены шаги по включению синхронизации атрибута preferredDataLocation.

Заметка

Действия описаны в контексте развертывания Microsoft Entra с топологией с одним лесом и без пользовательских правил синхронизации. Если у вас есть топология с несколькими лесами, настраиваемые правила синхронизации или промежуточный сервер, необходимо соответствующим образом настроить шаги.

Шаг 1. Отключите планировщик синхронизации и убедитесь, что синхронизация не выполняется

Чтобы избежать непреднамеренных изменений, экспортируемых в идентификатор Microsoft Entra, убедитесь, что синхронизация не выполняется во время обновления правил синхронизации. Чтобы отключить встроенный планировщик синхронизации, выполните следующие действия.

  1. Запустите сеанс PowerShell на сервере Microsoft Entra Connect.
  2. Отключите запланированную синхронизацию, выполнив этот командлет: Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Запустите Диспетчер службы синхронизации, перейдя в START>Служба синхронизации.
  4. Выберите вкладку операций и убедитесь, что операция со статусом в процессе выполнения отсутствует.

снимок экрана Диспетчера синхронизации

Шаг 2. Обновление схемы для Active Directory

Если вы обновили схему Active Directory до версии 2019, а Connect был установлен до расширения схемы, то кэш схемы Connect не будет содержать обновлённую версию схемы. Затем необходимо обновить схему из мастера, чтобы она отображалась в пользовательском интерфейсе.

  1. Запустите мастер Microsoft Entra Connect с рабочего стола.
  2. Выберите параметр Обновить схему каталога и выберите Далее.
  3. Введите учетные данные Microsoft Entra и выберите Далее.
  4. На странице Обновить схему каталога убедитесь, что выбраны все леса и выберите Далее.
  5. По завершении закройте мастер.

Снимок экрана обновления схемы каталога в мастере подключения

Шаг 3. Добавление исходного атрибута в локальную схему соединителя Active Directory

Этот шаг необходим только в том случае, если вы запускаете Подключение версии 1.3.21 или более поздней. Если вы находитесь в версии 1.4.18 или более поздней версии, перейдите к шагу 5.
Не все атрибуты Microsoft Entra импортируются в локальное пространство соединителя Active Directory. Если вы выбрали использовать атрибут, который не синхронизирован по умолчанию, необходимо импортировать его. Чтобы добавить исходный атрибут в список импортированных атрибутов:

  1. Перейдите на вкладку Соединители в менеджере служб синхронизации.
  2. Щелкните правой кнопкой мыши на локально размещенный соединитель Active Directory и выберите Свойства.
  3. Во всплывающем окне перейдите во вкладку Выбор атрибутов.
  4. Убедитесь, что выбранный исходный атрибут отмечен галочкой в списке атрибутов. Если атрибут не отображается, установите флажок Показать все.
  5. Чтобы сохранить, нажмите кнопку ОК.

снимок экрана, показывающий диалоговое окно

Шаг 4. Добавьте preferredDataLocation в схему соединителя Microsoft Entra Connector

Этот шаг необходим только в том случае, если вы запускаете Подключение версии 1.3.21 или более поздней. Если вы находитесь в версии 1.4.18 или более поздней версии, перейдите к шагу 5.
По умолчанию атрибут preferredDataLocation не импортируется в пространство соединителя Microsoft Entra. Чтобы добавить его в список импортированных атрибутов, выполните указанные ниже действия.

  1. Перейдите на вкладку Соединители в Менеджере служб синхронизации.
  2. Щелкните правой кнопкой мыши на коннекторе Microsoft Entra и выберите Свойства.
  3. Во всплывающем окне перейдите на вкладку Выбор атрибутов.
  4. Выберите в списке атрибут preferredDataLocation.
  5. Чтобы сохранить, нажмите кнопку ОК.

Шаг 5. Создание правила входящей синхронизации

Правило входящего синхронизации позволяет значению атрибута передаваться из исходного атрибута в локальной среде Active Directory в метавселенную.

  1. Запустите редактор правил синхронизации , перейдя в START>Редактор правил синхронизации.

  2. Задайте для фильтра поиска направлениевходящий.

  3. Чтобы создать новое правило для входящего трафика, выберите Добавить новое правило.

  4. На вкладке Описание укажите следующую конфигурацию:

    Атрибут Ценность Подробности
    Имя Укажите имя Например, «Из AD — Пользовательское предпочтительное местоположение данных».
    Описание Укажите пользовательское описание
    Подключенная система Выберите локальный соединитель Active Directory
    Тип подключенного системного объекта пользователь
    Тип объекта Metaverse Персона
    Тип ссылки присоединяйтесь к
    Предшествование Выберите число от 1 до 99 1–99 зарезервировано для пользовательских правил синхронизации. Не выбирайте значение, используемое другим правилом синхронизации.

  5. Оставьте фильтр области пустым, чтобы включить все объекты. Возможно, потребуется настроить фильтр области в соответствии с развертыванием Microsoft Entra Connect.

  6. Перейдите на вкладку преобразованияи реализуйте следующее правило преобразования:

    Тип потока Целевой атрибут Источник Применить один раз Тип слияния
    Прямой предпочитаемоеМестоположениеДанных Выбор исходного атрибута Непроверенный Обновить

  7. Чтобы создать правило для входящего трафика, выберите Добавить.

Снимок экрана создания правила синхронизации для входящих данных

Шаг 6. Создание правила исходящей синхронизации

Правило исходящей синхронизации позволяет значению атрибута передаваться из метавселенной в атрибут preferredDataLocation в идентификаторе Microsoft Entra ID:

  1. Перейдите в редактор правил синхронизации .

  2. Задайте для фильтра поиска направлениеисходящий.

  3. Выберите Добавить новое правило.

  4. На вкладке описание предоставьте следующую конфигурацию:

    Атрибут Ценность Подробности
    Имя Укажите имя Например, "Out to Microsoft Entra ID — предпочитаемое пользователем местоположение данных"
    Описание Укажите описание
    Подключенная система Выберите соединитель Microsoft Entra
    Тип подключенного системного объекта пользователь
    Тип объекта Metaverse человек
    Тип ссылки Присоединяйтесь
    Предшествование Выберите число от 1 до 99 1–99 зарезервировано для пользовательских правил синхронизации. Не выбирайте значение, используемое другим правилом синхронизации.

  5. Перейдите на вкладку фильтра области и добавьте одну группу фильтров области с двумя условиями:

    Атрибут Оператор Ценность
    тип исходного объекта РАВНО Пользователь
    CloudMastered ПРИМЕЧАНИЕQUAL Верно

    Фильтр области определяет, к каким объектам Microsoft Entra применяется это правило исходящей синхронизации. В этом примере мы используем тот же фильтр области из правила синхронизации "Out to Microsoft Entra ID — User Identity" OOB (out-of-box). Это предотвращает применение правила синхронизации к объектам user, которые не синхронизированы из локальной среды Active Directory. Возможно, потребуется настроить фильтр охвата в соответствии с вашим развертыванием Microsoft Entra Connect.

  6. Перейдите на вкладку преобразования и реализуйте следующее правило преобразования:

    Тип потока Целевой атрибут Источник Применить один раз Тип слияния
    Прямой предпочтительное_расположение_данных предпочитаемое местоположение данных Неконтролируемый Обновить

  7. Закройте . Добавьте, чтобы создать правило исходящего трафика.

снимок экрана создания правила исходящей синхронизации

Шаг 7. Запуск полного цикла синхронизации

Как правило, требуется полный цикл синхронизации. Это связано с тем, что вы добавили новые атрибуты в схему Active Directory и Microsoft Entra Connector, а также ввели пользовательские правила синхронизации. Проверьте изменения перед экспортом их в идентификатор Microsoft Entra. Вы можете использовать следующие шаги, чтобы проверить изменения, выполняя их вручную, составляя полный цикл синхронизации.

  1. Запустите полный импорт на локальном соединителе Active Directory.

    1. Перейдите на вкладку Соединители в менеджере служб синхронизации.

    2. Щелкните правой кнопкой мыши локальный соединитель Active Directoryи выберите запустить.

    3. В диалоговом окне выберите Полный импорти нажмите ОК.

    4. Дождитесь завершения операции.

      Заметка

      Можно пропустить полный импорт в локальном соединителе Active Directory, если исходный атрибут уже включен в список импортированных атрибутов. Другими словами, вам не нужно вносить никаких изменений во время шага 2 ранее в этой статье.

  2. Запустите полный импорт на соединителе Microsoft Entra:

    1. Щелкните правой кнопкой мыши соединителя Microsoft Entra и выберите запустить.
    2. В диалоговом окне выберите полный импорти выберите ОК.
    3. Дождитесь завершения операции.

  3. Проверьте изменения правила синхронизации в существующем объекте User.

    Исходный атрибут из локального Active Directory и предпочтительное местоположение данных из Microsoft Entra ID импортируются в соответствующее пространство каждого соединителя. Прежде чем перейти к полному шагу синхронизации, выполните предварительную версию существующего объекта пользователя в локальном пространстве соединителя Active Directory. Атрибут источника у выбранного объекта должен быть заполнен. Успешный предварительный просмотр с предпочтительным расположением данных , заполненным в метавселенной, является хорошим индикатором правильной настройки правил синхронизации. Дополнительные сведения о том, как выполнить предварительный просмотр, см. в Verify the change.

  4. Запустите полную синхронизацию на локальном соединителе Active Directory.

    1. Щелкните правой кнопкой мыши локальный соединитель Active Directoryи выберите запустить.
    2. В диалоговом окне выберите полную синхронизациюи подтвердите, нажав ОК.
    3. Дождитесь завершения операции.

  5. Проверьте экспортные операции ожидающие в Microsoft Entra ID.

    1. Щелкните правой кнопкой мыши соединителя Microsoft Entra и выберите пространство соединителя поиска.

    2. В диалоговом окне пространства соединителя поиска :

      a. Задайте области значение ожидающего экспорта.
      b. Установите все три флажка, включая добавить, изменить и удалить.
      с. Чтобы просмотреть список объектов с изменениями, которые нужно экспортировать, выберите поиск. Чтобы проверить изменения для данного объекта, дважды выберите объект.
      d. Убедитесь, что изменения ожидаются.

  6. Запустите экспорт на соединителе Microsoft Entra

    1. Щелкните правой кнопкой мыши на соединителе Microsoft Entra и выберите Запустить.
    2. В диалоговом окне Запуск соединителя выберите Экспорти нажмите ОК.
    3. Дождитесь завершения операции.

Заметка

Вы можете заметить, что шаги не включают полный шаг синхронизации на соединителе Microsoft Entra Connector или шаг экспорта соединителя Active Directory. Действия не требуются, так как значения атрибутов отправляются из локальной среды Active Directory только в Microsoft Entra.

Шаг 8. Повторное включение планировщика синхронизации

Повторно включите встроенный планировщик синхронизации:

  1. Запустите сеанс PowerShell.
  2. Повторно включите запланированную синхронизацию, выполнив этот командлет: Set-ADSyncScheduler -SyncCycleEnabled $true

Шаг 9. Проверка результата

Теперь пришло время проверить конфигурацию и включить ее для пользователей.

  1. Добавьте геообъект в выбранный атрибут пользователя. Список доступных регионов можно найти в этой таблице.
    снимок экрана атрибута AD, добавленного пользователю
  2. Дождитесь синхронизации атрибута с идентификатором Microsoft Entra.
  3. С помощью Exchange Online PowerShell убедитесь, что регион почтового ящика задан правильно.
    Exchange Online PowerShell снимок экрана
    Если клиент помечается использовать эту функцию, почтовый ящик перемещается в правильное географическое расположение. Это можно проверить, просмотрев имя сервера, в котором находится почтовый ящик.

Дальнейшие действия

Дополнительные сведения о Multi-Geo в Microsoft 365:

Дополнительные сведения о модели конфигурации в подсистеме синхронизации:

Общие разделы: