通过

Microsoft Entra 云同步支持的拓扑和方案

  • 项目

本文描述了使用 Microsoft Entra 云同步的各种本地和 Microsoft Entra 拓扑。本文仅包括受支持的配置和场景。

重要

Microsoft 不支持在正式记录的配置或操作之外修改或操作 Microsoft Entra 云同步。 其中的任何配置或操作都可能会导致 Microsoft Entra云同步出现不一致或不受支持状态。因此,Microsoft 无法提供这种部署的技术支持。

有关详细信息,请观看以下视频。

有关所有方案和拓扑的注意事项

选择解决方案时,应记住以下信息。

  • 必须跨所有林唯一标识用户和组。
  • 云同步时不发生跨林匹配。
  • 对象的源锚点将自动选择。 如果存在,它将使用 ms-DS-ConsistencyGuid,否则使用 ObjectGUID。
  • 不能更改用于源定位点的属性。

Active Directory 到 Microsoft Entra ID 受支持的拓扑

以下拓扑结构支持从 Active Directory 向 Microsoft Entra ID 进行的预配。

单个林,单个 Microsoft Entra 租户

显示一个森林和一个租户的拓扑结构的图表。

最简单的拓朴是包含一个或多个域的单个本地林,以及单个 Microsoft Entra 租户。 有关此方案的示例,请参阅教程:包含单个 Microsoft Entra 租户的单个林

多个林,单个 Microsoft Entra 租户

多林和单个租户的拓扑

多个 AD 林是常见拓扑,包含一个或多个域和单个 Microsoft Entra 租户。

具有 Microsoft Entra Connect 的现有林,具有云预配的新林

显示现有林和新林的拓扑的关系图。

此方案拓扑与多林方案类似。 但是,这种方案涉及到现有 Microsoft Entra Connect 环境,然后使用 Microsoft Entra 云同步引入新的林。有关此方案的示例,请参阅教程:包含单个 Microsoft Entra 租户的现有林

在现有混合 AD 林中试验 Microsoft Entra 云同步

单个林和单个租户的拓扑

试点方案涉及在同一林中同时存在 Microsoft Entra Connect 和 Microsoft Entra 云同步,并相应地限定用户和组的范围。 注意:对象应只在其中一个工具的范围内。

有关这一场景的示例,请参阅教程:在现有同步的 AD 林中试点 Microsoft Entra 云同步

将已断开连接的源中的对象合并

(公共预览版)

此图显示如何将已断开连接的源中的对象合并

在此方案中,用户的属性由两个断开连接的 Active Directory 林提供。

例如:

  • 一个林 (1) 包含大部分属性。
  • 第二个林 (2) 包含一些属性。

由于第二个林没有与 Microsoft Entra Connect 服务器的网络连通,因此无法通过 Microsoft Entra Connect 实现对象合并。 使用第二个林中的云同步,可以从第二个林检索属性值。 Microsoft Entra Connect 将同步Microsoft Entra ID 中的对象,然后值可以与其合并。

此配置是高级配置,此拓扑有一些注意事项:

  1. 必须在云同步配置中将ms-DS-ConsistencyGuid用作源定位点。
  2. 第二个林中的用户对象的ms-DS-ConsistencyGuid必须与 Microsoft Entra ID 中相应对象的值匹配。
  3. 必须填充第二个林中的 UserPrincipalName 属性和 Alias 属性,这两个属性必须与从第一个林同步的相应属性匹配。
  4. 必须从云同步配置的属性映射中移除没有值的所有属性或其值不同于第二个林中的值的所有属性 - 第一个林和第二个林之间不能有重叠的属性映射。
  5. 如果第一个林中没有匹配的对象,则对于从第二个林同步的对象,云同步仍会在 Microsoft Entra ID 中创建该对象。 该对象仅具有在第二个林的云同步的映射配置中定义的属性。
  6. 如果你从第二个林中删除对象,则会在 Microsoft Entra ID 中暂时软删除该对象。 它会在下一个Microsoft Entra Connect 同步周期后自动还原。
  7. 如果你从第一个林中删除对象,则会从 Microsoft Entra ID 软删除该对象。 除非对第二个林中的对象进行了更改,否则不会还原该对象。 30 天后,对象将从 Microsoft Entra ID 中被彻底删除。 如果对第二个林中的对象进行了更改,则会将其创建为Microsoft Entra ID 中的新对象。

Microsoft Entra ID 到 Active Directory 受支持的拓扑

以下拓扑支持从 Microsoft Entra ID 预配到 Active Directory。

向 Active Directory 的单个林组预配

单个林写回的概念图。

最简单的组预配拓朴是包含一个或多个域的单个本地林,以及单个 Microsoft Entra 租户。 有关此方案的示例,请参阅向 Active Directory 预配组

向 Active Directory 的多个林组预配

多个林写回的概念图。

更高级的组预配拓扑包括多个本地 AD 林共享单个 Microsoft Entra ID 租户

此配置是高级配置,此拓扑需要记住以下几点:

  • 使用云同步预配到 AD 的组只能包含本地同步的用户和/或其他云创建的安全组。
  • 所有这些用户都必须在其帐户上设置 onPremisesObjectIdentifier 属性。
  • onPremisesObjectIdentifier 必须与目标 AD 环境中的相应 objectGUID 匹配。
  • 可以使用 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0) 将本地用户 objectGUID 属性同步到云用户 onPremisesObjectIdentifier 属性
  • 在租户中,可以共享包含来自这两个林的用户的公用组。
  • 但是,在本地配置组时,其他林中不存在的用户不会预配为该组的成员。 因此,如果你在 Microsoft Entra ID 中有一个包含来自 contoso.com 和 fabrikam.com 用户的组,那么只有存在于 contoso.com 域中的用户在预配到 contoso.com 时,才会成为该组的成员。 fabrikam 也是如此。

后续步骤