將 Microsoft Entra ID 佈建至 Active Directory - 設定
下列文件將引導您設定 Microsoft Entra 雲端同步,以從 Microsoft Entra ID 佈建至 Active Directory。 如果您要尋找從 AD 佈建至 Microsoft Entra ID 的相關資訊,請參閱設定 - 使用 Microsoft Entra 雲端同步,將 Active Directory 佈建至 Microsoft Entra ID
重要
在 2024 年 6 月 30 日之後,Microsoft Entra Connect 同步將不再提供群組回寫 v2 的公開預覽版。 這項功能將會在此日期中止,而且 Connect 同步也不再支援將雲端安全性群組佈建至 Active Directory。 該功能將在終止日期之後繼續運作;不過,在此日期之後它將不再獲得支援,而且可能隨時停止運作,恕不另行通知。
我們會在 Microsoft Entra 雲端同步中提供類似的功能,稱為將群組佈建至 Active Directory,您可以利用此功能來取代使用群組回寫 v2 將雲端安全性群組佈建至 Active Directory。 我們正努力在雲端同步中增強這項功能,以及我們在雲端同步中開發的其他新功能。
在 Connect 同步中使用此預覽功能的客戶,應該將其設定從 Connect 同步切換至雲端同步。您可以選擇將所有混合式同步移至雲端同步 (如果其支援您的需求)。 也可以並排執行雲端同步,並只將佈建至 Active Directory 的雲端安全性群組移至雲端同步。
對於將 Microsoft 365 群組佈建至 Active Directory 的客戶,可以繼續使用群組回寫 v1 來執行這項功能。
您可以使用使用者同步處理精靈,評估專門移至雲端同步的狀況。
設定佈建
若要設定佈建,請遵循下列步驟。
- 至少以混合式系統管理員等級的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [混合式管理] > [Microsoft Entra Connect] > [雲端同步]。
- 選取 [新增設定]。
- 選取 [Microsoft Entra ID 至 AD 同步]。
- 在設定畫面上選取您的網域,以及是否啟用密碼雜湊同步。按一下 [建立]。
- 系統隨即會開啟 [開始] 畫面。 您可以從這裡繼續設定雲端同步。
- 設定分成下列 5 個區段。
| 區段 | 描述 |
|---|---|
| 1.新增範圍篩選 | 使用本節來定義在 Microsoft Entra ID 中顯示的物件 |
| 2.對應屬性 | 使用本節來對應內部部署使用者/群組與 Microsoft Entra 物件之間的屬性 |
| 3.Test | 在部署設定之前,先進行測試 |
| 4.檢視預設屬性 | 先檢視預設設定再啟用,並在適當時機進行變更 |
| 5.啟用您的設定 | 準備就緒後啟用設定,使用者/群組就會開始同步處理 |
佈建至特定群組的範圍
您可以將代理程式的範圍界定在同步處理所有或特定安全性群組。 您可以在設定內設定群組和組織單位。
- 在 [開始使用] 設定畫面上。 按一下 [新增範圍篩選條件] 圖示旁的 [新增範圍篩選條件],或是按一下 [管理]下方左側的 [範圍篩選條件]。
- 選取範圍篩選條件。 篩選條件可以是下列其中一個類型:
- 所有安全性群組:設定範圍以套用至所有雲端安全性群組。
- 選取的安全性群組:設定範圍以套用至特定安全性群組。
- 針對特定安全性群組,請選取 [編輯群組],然後從清單中挑選您想要的群組。
注意
如果您選取成員為巢狀安全性群組的安全性群組,則只會寫回巢狀群組,而不是其成員。 例如,如果 Sales 安全性群組是 Marketing 安全性群組的成員,則只會寫回 Sales 群組本身,而不是 Sales 群組的成員。
如果您想要建立巢狀群組並佈建 AD,則必須同時將所有成員群組也新增至範圍。
- 您可以使用 [目標容器] 方塊來設定使用特定容器的群組範圍。 請使用 parentDistinguishedName 屬性來完成這項工作。 使用常數、直接或運算式對應。
您可以使用屬性對應運算式搭配 Switch() 函式來設定多個目標容器。 使用此運算式時,如果 displayName 值為 Marketing 或 Sales,則會在對應的 OU 中建立群組。 如果沒有相符項目,則會在預設 OU 中建立群組。
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
- 支援屬性型範圍篩選。 如需詳細資訊,請參閱屬性型範圍篩選和在 Microsoft Entra ID 中撰寫屬性對應之運算式的參考,以及案例 - 使用目錄擴充搭配群組佈建至 Active Directory (部分機器翻譯)。
- 設定範圍篩選條件後,按一下 [儲存]。
- 儲存之後,您應該會看到一則訊息,告知您仍然需要執行哪些動作來設定雲端同步處理。您可以按一下連結以繼續。
使用目錄擴充將範圍佈建至特定群組
如需更進階的範圍和篩選,您可以設定使用目錄擴充。 如需目錄擴充的概觀,請參閱將 Microsoft Entra ID 佈建至 Active Directory 的目錄擴充
如需如何擴充結構描述,然後使用目錄擴充屬性搭配雲端同步佈建至 AD 的逐步教學課程,請參閱案例 - 使用目錄擴充搭配群組佈建至 Active Directory (部分機器翻譯)。
屬性對應
Microsoft Entra 雲端同步可讓您輕鬆地在內部部署使用者/群組物件與 Microsoft Entra ID 中的物件之間對應屬性。
您可以根據您的業務需求自訂預設的屬性對應。 因此,您可以變更或刪除現有的屬性對應,或建立新的屬性對應。
儲存之後,您應該會看到一則訊息,告知您仍然需要執行哪些動作來設定雲端同步處理。您可以按一下連結以繼續。
如需詳細資訊,請參閱屬性對應以及在 Microsoft Entra ID 中撰寫屬性對應之運算式的參考。
目錄擴充和自訂屬性對應。
Microsoft Entra 雲端同步可讓您使用擴充來擴充目錄,並提供自訂屬性對應。 如需詳細資訊,請參閱目錄擴充和自訂屬性對應。
隨選佈建
Microsoft Entra 雲端同步可讓您測試設定變更,方法是將這些變更套用至單一使用者或群組。
您可以使用此功能,來驗證並確認對設定所做的變更已正確套用,並已正確地同步至 Microsoft Entra ID。
測試之後,您應該會看到一則訊息,告知您仍然需要執行哪些動作來設定雲端同步處理。您可以按一下連結以繼續。
如需詳細資訊,請參閱隨選佈建。
意外刪除和電子郵件通知
預設的內容區段提供意外刪除和電子郵件通知的相關訊息。
意外刪除功能是專門用來保護您免於意外的組態變更及內部部署目錄的變更,因為這會影響許多使用者和群組。
這項功能可讓您:
- 設定自動防止意外刪除的能力。
- 設定超過就會讓組態生效的物件數目 (閾值)
- 設定通知電子郵件地址,讓他們可以在此案例中有問題的同步作業被放入隔離時收到電子郵件通知
如需詳細資訊,請參閱意外刪除
按一下 [基本資料] 旁的鉛筆,以變更設定中的預設值。
啟用您的設定
完成並測試設定之後,您就可以加以啟用。
按一下 [啟用設定] 即可啟用。
隔離
雲端同步會監視設定的健康情況,並將健康情況不良的物件設定為隔離狀態。 如果對目標系統進行的多數或所有呼叫持續因錯誤而失敗 (例如,系統管理員認證無效),同步作業會標記為隔離。 如需詳細資訊,請參閱有關隔離的疑難排解小節。
重新開始佈建
如果您不想等候下一個排程執行,請使用 [重新啟動同步] 按鈕來觸發佈建執行。
- 至少以混合式系統管理員等級的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [混合式管理] > [Microsoft Entra Connect] > [雲端同步]。
在 [設定] 底下,選取您的設定。
在頂端,選取 [重新啟動同步]。
移除設定
若要刪除設定,請遵循下列步驟。
- 至少以混合式系統管理員等級的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [混合式管理] > [Microsoft Entra Connect] > [雲端同步]。
在 [設定] 底下,選取您的設定。
在設定畫面的頂端,選取 [刪除設定]。
重要
刪除設定之前沒有確認。 確定這是您在選取 [刪除] 之前想要採取的動作。