通过

将 Active Directory 预配到 Microsoft Entra ID - 配置

  • 项目

以下文档将指导你配置 Microsoft Entra Cloud Sync,以便从 Active Directory 预配到 Microsoft Entra ID。 如果想了解有关从 Microsoft Entra ID 预配到 AD 的信息,请参阅配置 - 使用 Microsoft Entra Cloud Sync 将 Active Directory 预配到 Microsoft Entra ID

以下文档演示了 Microsoft Entra 云同步的新引导式用户体验。

有关更多信息和如何配置云同步的示例,请观看以下视频。

配置预配

若要配置预配,请执行以下步骤。

  1. 至少以混合管理员的身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步”云同步主页的屏幕截图。
  1. 选择“新配置”。
  2. 选择“AD 到 Microsoft Entra ID 同步”添加配置的屏幕截图。
  3. 在“配置”屏幕上,选择你的域以及是否启用密码哈希同步。单击“创建”。

新配置的屏幕截图。

  1. 此时将打开“开始”屏幕。 在此处可以继续配置云同步。

开始屏幕的屏幕截图。

  1. 配置分为以下 5 个部分。
部分 说明
1. 添加范围筛选器 使用此部分定义要在 Microsoft Entra ID 中显示哪些对象
2. 映射属性 使用此部分在本地用户/组与 Microsoft Entra 对象之间映射属性
3. 测试 在部署配置之前对其进行测试
4. 查看默认属性 在启用默认设置之前查看这些设置,并根据情况进行更改
5. 启用配置 准备就绪后,启用配置,然后用户/组将开始同步

注意

在配置过程中,将使用 ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com 格式创建同步服务帐户。如果为同步服务帐户启用了多重身份验证,或者意外为同步帐户启用了其他交互式身份验证策略,你可能会收到错误。 删除同步服务帐户的多重身份验证或任何交互式身份验证策略应该可以解决错误,然后你就可以顺利完成配置。

向特定用户和组预配范围

默认情况下,预配代理将同步 Active Directory 中的部分用户和组。 可以通过使用本地 Active Directory 组或组织单位来进一步确定代理的范围,以便同步特定的用户和组。

范围筛选器图标的屏幕截图。

不能在配置中配置组和组织单位。

注意

不能使用具有组范围的嵌套组。 在使用安全组限定范围时,将不包括第一级以外的嵌套对象。 仅对试点方案使用组范围筛选,因为同步大型组有限制。

  1. 在“开始”配置屏幕上: 单击“添加范围筛选器”图标旁边的“添加范围筛选器”,或单击左侧“管理”下的“范围筛选器”。

范围筛选器的屏幕截图。

  1. 选择范围筛选器。 筛选器可以是下列其中一项:
    • 所有用户:将配置范围限定为应用于要同步的所有用户。
    • 选定的安全组:将配置范围限定为应用于特定的安全组。
    • 选定的组织单位:将配置范围限定为应用于特定的 OU。
  2. 对于安全组和组织单位,请提供相应的可分辨名称,然后单击“添加”。
  3. 配置范围筛选器后,单击“保存”。
  4. 保存后,你应会看到一条消息,告知你仍需执行哪些操作来配置云同步。可以单击相应的链接以继续。 范围筛选器提醒的屏幕截图。
  5. 更改范围后,应重启预配,以便立即同步更改。

属性映射

通过 Microsoft Entra 云同步,可轻松地在本地用户/组对象与 Microsoft Entra ID 中的对象之间映射属性。

映射属性图标的屏幕截图。

可以根据业务需求自定义默认的属性映射。 因此,可以更改或删除现有属性映射或者创建新的属性映射。

默认属性映射的屏幕截图。

保存后,你应会看到一条消息,告知你仍需执行哪些操作来配置云同步。可以单击相应的链接以继续。 属性筛选器提醒的屏幕截图。

有关详细信息,请参阅属性映射

目录扩展和自定义属性映射。

Microsoft Entra 云同步允许使用扩展来扩展目录并提供自定义属性映射。 有关详细信息,请参阅目录扩展和自定义属性映射

按需预配

通过 Microsoft Entra 云同步,可通过将配置更改应用于单个用户或组来测试这些更改。

测试图标的屏幕截图。

可以使用此功能验证和确认对配置所做的更改是否已适当应用并正确同步到 Microsoft Entra ID。

按需预配的屏幕截图。

测试后,你应会看到一条消息,告知你仍需执行哪些操作来配置云同步。可以单击相应的链接以继续。 测试提醒的屏幕截图。

有关详细信息,请参阅按需预配

意外删除和电子邮件通知

默认属性部分提供了有关意外删除和电子邮件通知的信息。

默认属性图标的屏幕截图。

意外删除功能旨在防止发生意外的配置更改,以及防止发生影响许多用户和组的本地目录更改。

可以使用此功能实现以下操作:

  • 配置阻止自动意外删除的功能。
  • 设置对象数上限(阈值),超过该值配置将会生效
  • 设置通知电子邮件地址,以便此方案中相关同步作业被置于隔离状态后,用户可以收到电子邮件通知

有关详细信息,请参阅意外删除

单击“基本信息”旁边的铅笔图标可更改配置中的默认值。

基本信息的屏幕截图。

启用配置

完成并测试配置后,可以启用它。

查看和启用图标的屏幕截图。

单击“启用配置”以启用配置。

启用配置的屏幕截图。

隔离

云同步监视配置的运行状况,并将不正常的对象置于隔离状态。 如果某个错误(例如管理员凭据无效)导致针对目标系统发出的大部分或所有调用持续失败,则同步作业将标记为“处于隔离状态”。 有关详细信息,请参阅关于隔离的故障排除部分。

重新启动预配

如果你不想等待下一次计划的运行,请使用“重启同步”按钮触发预配运行。

  1. 至少以混合管理员的身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步”云同步主页的屏幕截图。
  1. 在“配置”下选择你的配置。

重启同步的屏幕截图。

  1. 在顶部选择“重启同步”。

删除配置

若要删除配置,请执行以下步骤。

  1. 至少以混合管理员的身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步”云同步主页的屏幕截图。
  1. 在“配置”下选择你的配置。

删除配置的屏幕截图。

  1. 在配置屏幕的顶部选择“删除配置”。

重要

在删除配置之前,没有确认。 在选择“删除”之前,请确保这是要执行的操作。

后续步骤