Dela via

Topologier och scenarier som stöds av Microsoft Entra molnsynkronisering

  • Artikel

Den här artikeln beskriver olika lokala och Microsoft Entra-topologier som använder Microsoft Entra Cloud Sync. Den här artikeln innehåller endast konfigurationer och scenarier som stöds.

Viktigt!

Microsoft stöder inte ändring eller drift av Microsoft Entra Cloud Sync utanför de konfigurationer eller åtgärder som formellt dokumenteras. Någon av dessa konfigurationer eller åtgärder kan resultera i ett inkonsekvent eller tillstånd som inte stöds för Microsoft Entra Cloud Sync. Därför kan Microsoft inte tillhandahålla teknisk support för sådana distributioner.

Mer information finns i följande video.

Saker att komma ihåg om alla scenarier och topologier

Följande information bör hållas i åtanke när du väljer en lösning.

  • Användare och grupper måste identifieras unikt i alla skogar.
  • Matchning mellan skogar sker inte med molnsynkronisering.
  • Källankaret för objekt väljs automatiskt. Den använder ms-DS-ConsistencyGuid om det finns, annars används ObjectGUID.
  • Du kan inte ändra attributet som används för källankare.

Topologier som stöds av Active Directory till Microsoft Entra ID

Följande topologier stöds för etablering från Active Directory till Microsoft Entra-ID.

Enskild skog, enskild Microsoft Entra-klientorganisation

Diagram som visar topologin för en enskild skog och en enskild hyresgäst.

Den enklaste topologin är en enda lokal skog, med en eller flera domäner och en enda Microsoft Entra-klientorganisation. Ett exempel på det här scenariot finns i Självstudie: En enskild skog med en enda Microsoft Entra-klientorganisation

Flera skogar, enskild Microsoft Entra-klientorganisation

Topologi för en multiskogs- och en enda hyresgäst

Flera AD-skogar är en vanlig topologi, med en eller flera domäner och en enda Microsoft Entra-klientorganisation.

Befintlig domän med Microsoft Entra Connect, ny domän med molnprovisionering

Diagram som visar topologin för en befintlig skog och en ny skog.

Den här scenariotopologin liknar scenariot med flera skogar. Den här omfattar dock en befintlig Microsoft Entra Connect-miljö och sedan lägga till en ny skog med hjälp av Microsoft Entra Cloud Sync. Ett exempel på det här scenariot finns i Självstudie: En befintlig skog med en enda Microsoft Entra-hyresgäst

Testa Microsoft Entra Cloud Sync i en befintlig AD-hybridskog

Topologi för en enda skog och en enda klientorganisation

Pilotscenariot omfattar förekomsten av både Microsoft Entra Connect och Microsoft Entra Cloud Sync i samma domän och att anpassa omfattningen av användare och grupper därefter. Obs! Ett objekt bör vara inom räckhåll i endast ett av verktygen.

Ett exempel på det här scenariot finns i handledningen Pilot Microsoft Entra Cloud Sync i en befintlig synkroniserad AD-skog

Slå samman objekt från frånkopplade källor

(Offentlig förhandsversion)

Diagram för sammanslagning av objekt från frånkopplade källor

I det här scenariot bidrar två frånkopplade Active Directory-skogar till en användares attribut.

Ett exempel är:

  • En skog (1) innehåller de flesta attributen.
  • En andra skog (2) innehåller några attribut.

Eftersom den andra skogen inte har nätverksanslutning till Microsoft Entra Connect-servern kan objektet inte sammanfogas via Microsoft Entra Connect. Med molnsynkronisering i den andra skogen kan attributvärdet hämtas från den andra skogen. Microsoft Entra Connect synkroniserar objektet i Microsoft Entra-ID och sedan kan värdet sammanfogas med det.

Den här konfigurationen är avancerad och det finns några varningar till den här topologin:

  1. Du måste använda ms-DS-ConsistencyGuid som källankare i molnsynkroniseringskonfigurationen.
  2. Användarobjektets ms-DS-ConsistencyGuid i den andra skogen måste matcha motsvarande objekt i Microsoft Entra ID.
  3. Du måste fylla i UserPrincipalName-attributet och Alias-attributet i den andra skogen och dessa måste stämma överens med de attribut som synkroniseras från den första skogen.
  4. Du måste ta bort alla attribut från attributmappningen i molnsynkroniseringskonfigurationen som inte har något värde eller som kan ha ett annat värde i den andra skogen – du kan inte ha överlappande attributmappningar mellan den första skogen och den andra.
  5. Om det inte finns något matchande objekt i den första skogen skapar molnsynkronisering fortfarande objektet i Microsoft Entra-ID för ett objekt som synkroniseras från den andra skogen. Objektet har bara de attribut som definieras i mappningskonfigurationen för molnsynkronisering för den andra skogen.
  6. Om du tar bort objektet från den andra skogen tas det tillfälligt bort mjukt i Microsoft Entra-ID. Den återställs automatiskt efter nästa Microsoft Entra Connect Sync-cykel.
  7. Om du tar bort objektet från den första skogen tas det bort mjukt från Microsoft Entra-ID. Objektet återställs inte om inte en ändring görs i objektet i den andra skogen. Efter 30 dagar tas objektet bort permanent från Microsoft Entra ID. Om en ändring görs i objektet i den andra skogen skapas det som ett nytt objekt i Microsoft Entra-ID.

Topologier som stöds från Microsoft Entra ID till Active Directory

Följande topologier stöds för etablering från Microsoft Entra-ID till Active Directory.

Etablering av en enskild skogsgrupp till Active Directory

Konceptuellt diagram över tillbakaskrivning av en enskild skog.

Den enklaste topologin för gruppförsörjning är en enskild lokal skog som omfattar en eller flera domäner och en enda Microsoft Entra-klient. Ett exempel på det här scenariot finns i Etablera grupper till Active Directory

Konfigurering av grupper för fler skogsmiljöer till Active Directory

Konceptdiagram över tillbakaskrivning i flera skogar.

En mer avancerad topologi för gruppetablering består av flera lokala AD-skogar som delar en enda Microsoft Entra ID-klientorganisation.

Den här konfigurationen är avancerad och det finns några saker att komma ihåg med den här topologin:

  • Grupper som har etablerats till AD med hjälp av molnsynkronisering kan bara innehålla lokala synkroniserade användare och/eller ytterligare molnskapade säkerhetsgrupper.
  • Alla dessa användare måste ha attributet onPremisesObjectIdentifier inställt på sitt konto.
  • OnPremisesObjectIdentifier måste matcha en motsvarande objectGUID i AD-målmiljön.
  • En lokal användares objectGUID-attribut kan synkroniseras till en molnanvändares onPremisesObjectIdentifier-attribut med antingen Microsoft Entra Cloud Sync (1.1.1370.0) eller Microsoft Entra Connect Sync (2.2.8.0)
  • Inom din hyrdomän kan du dela en gemensam grupp som innehåller användare från båda domänerna.
  • Användare som inte existerar i den andra skogen skapas dock inte som medlemmar i gruppen när den skapas lokalt. Så om du har en grupp i Microsoft Entra ID som innehåller användare från contoso.com och fabrikam.com, är endast användare som finns i contoso.com-domänen medlemmar i gruppen när de tilldelas till contoso.com. Detsamma gäller Fabrikam.

Nästa steg