將 Microsoft Entra ID 佈建至 Active Directory - 設定
下列文件將引導您設定 Microsoft Entra 雲端同步,以從 Microsoft Entra ID 佈建至 Active Directory。 如果您要尋找從 AD 佈建至 Microsoft Entra ID 的相關資訊,請參閱設定 - 使用 Microsoft Entra 雲端同步,將 Active Directory 佈建至 Microsoft Entra ID
重要
自 2024 年 6 月 30 日起,Microsoft Entra Connect Sync 中的 Group Writeback v2 公開預覽已不再提供。 此功能已在這個日期停止,您在 Microsoft Entra Connect Sync 中不再支援將雲端安全群組布建到 Active Directory。 此功能會繼續在停產日期以外運作;不過,它不再收到支援,而且可以隨時停止運作,而不通知。
我們會在 Microsoft Entra 雲端同步中提供類似的功能,稱為將群組佈建至 Active Directory,您可以利用此功能來取代使用群組回寫 v2 將雲端安全性群組佈建至 Active Directory。 我們正努力在 Microsoft Entra Cloud Sync 中增強這項功能,以及我們在 Microsoft entra Cloud Sync 中開發的其他新功能。
在 Microsoft Entra Connect Sync 中使用這項預覽功能的客戶,應 將其設定從 Microsoft Entra Connect Sync 切換至 Microsoft Entra Cloud Sync。您可以選擇將所有混合式同步移至Microsoft Entra Cloud Sync(如果支援您的需求)。 您也可以同時運行 Microsoft Entra Cloud Sync,並將雲端安全群組的布建從 Active Directory 移至 Microsoft Entra Cloud Sync。
對於將 Microsoft 365 群組佈建至 Active Directory 的客戶,可以繼續使用群組回寫 v1 來執行這項功能。
設定佈署
若要設定佈建,請遵循下列步驟。
登入 Microsoft Entra 系統管理中心,身分至少需為 混合身分管理員。
瀏覽至 Identity>混合式管理>Microsoft Entra Connect>雲端同步。
- 選取 [新增設定]。
- 選擇 Microsoft Entra ID 到 AD 同步。
- 在設定畫面上選取您的網域,以及是否啟用密碼雜湊同步。按一下 [建立]。
- 系統隨即會開啟 [開始] 畫面。 您可以從這裡繼續設定雲端同步。
- 設定分成下列 5 個區段。
| 區段 | 描述 |
|---|---|
| 1.新增範圍篩選 | 使用本節來定義在 Microsoft Entra ID 中顯示的物件 |
| 2.映射屬性 | 使用本節來對應內部部署使用者/群組與 Microsoft Entra 物件之間的屬性 |
| 3.Test | 在部署設定之前,先進行測試 |
| 4.檢視預設屬性 | 先檢視預設設定再啟用,並在適當時機進行變更 |
| 5.啟用您的設定 | 準備就緒後啟用設定,使用者/群組就會開始同步處理 |
設定範圍為特定群組
您可以將代理程式設定為同步所有或特定的安全性群組。 您可以在設定內設定群組和組織單位。
- 在「開始使用」設定畫面上。 按一下 [新增範圍篩選條件] 圖示旁邊的 [新增範圍篩選條件],或者在 [管理] 項下左側按一下 [範圍篩選條件]。
- 選擇範圍篩選器。 篩選條件可以是下列其中一個類型:
- 所有安全性群組:設定範圍以套用至所有雲端安全性群組。
- 選取的安全性群組:設定範圍以套用至特定安全性群組。
- 針對特定安全性群組,請選取 [編輯群組],然後從清單中挑選您想要的群組。
注意
如果您選取的安全性群組包含一個巢狀的安全性群組作為其成員,則只有巢狀群組本身會被寫回,而不是它所包含的成員。 例如,如果「銷售」安全性群組是「行銷」安全性群組的成員,則只有「銷售」群組本身會被同步回去,而不會同步它的成員。
如果您想要將群組巢狀化並在 Active Directory 中進行配置,則必須將所有成員群組新增至範圍中。
- 您可以使用 [目標容器] 方塊來設定使用特定容器的群組範圍。 請使用 parentDistinguishedName 屬性來完成這項工作。 使用常數、直接映射或運算式對應。
您可以使用屬性對應運算式搭配 Switch() 函式來設定多個目標容器。 使用此運算式時,如果 displayName 值為 Marketing 或 Sales,則會在對應的 OU 中建立群組。 如果沒有匹配,則會在預設 OU 中建立群組。
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
- 支援屬性型範圍篩選。 如需詳細資訊,請參閱屬性型範圍篩選和在 Microsoft Entra ID 中撰寫屬性對應之運算式的參考,以及案例 - 使用目錄擴充功能來將群組配置至 Active Directory。
- 設定範圍篩選條件後,按一下 [儲存]。
- 儲存之後,您應該會看到一則訊息,告知您仍然需要執行哪些動作來設定雲端同步處理。您可以按一下連結以繼續。
使用目錄擴充屬性將範圍布建至特定群組
如需更進階的範圍和篩選,您可以設定使用目錄擴充。 如需目錄擴充的概觀,請參閱將 Microsoft Entra ID 佈建至 Active Directory 的目錄擴充
如需逐步教學課程,了解如何擴充結構描述,然後使用目錄擴充屬性與雲端同步佈建至 AD,請參閱範例 - 使用目錄擴充與群組佈建至 Active Directory。
屬性對應
Microsoft Entra 雲端同步可讓您輕鬆對應本機使用者/群組物件與 Microsoft Entra ID 中的物件屬性。
您可以根據您的業務需求自訂預設的屬性對應。 因此,您可以變更或刪除現有的屬性對應,或建立新的屬性對應。
儲存之後,您應該會看到一則訊息,告知您仍然需要執行哪些動作來設定雲端同步處理。您可以按一下連結以繼續。
如需詳細資訊,請參閱屬性對應以及在 Microsoft Entra ID 中撰寫屬性對應之運算式的參考。
目錄擴展和自訂屬性映射。
Microsoft Entra 雲端同步可讓您使用擴充來擴充目錄,並提供自訂屬性對應。 如需詳細資訊,請參閱目錄擴充和自訂屬性對應。
隨選配置
Microsoft Entra 雲端同步可讓您測試設定變更,方法是將這些變更套用至單一使用者或群組。
您可以使用此功能,來驗證並確認對設定所做的變更已正確套用,並已正確地同步至 Microsoft Entra ID。
測試之後,您應該會看到一則訊息,告知您仍然需要執行哪些動作來設定雲端同步處理。您可以按一下連結以繼續。
如需詳細資訊,請參閱隨選佈建。
意外刪除和電子郵件通知
預設的內容區段提供意外刪除和電子郵件通知的相關訊息。
意外刪除功能是專門用來保護您免於意外的組態變更及內部部署目錄的變更,因為這會影響許多使用者和群組。
這項功能可讓您:
- 設定自動防止意外刪除的能力。
- 設定物件數目(閾值),超過後組態將生效。
- 設定通知電子郵件地址,讓他們一旦針對此案例的同步作業被放入隔離時,可以收到電子郵件通知。
如需詳細資訊,請參閱意外刪除
按一下 [基本資料] 旁的鉛筆,以變更設定中的預設值。
啟用您的設定
完成並測試設定之後,您就可以加以啟用。
按一下 [啟用設定] 即可啟用。
隔離
雲端同步會監視設定的健康情況,並將健康情況不良的物件設定為隔離狀態。 如果對目標系統進行的多數或所有呼叫持續因錯誤而失敗 (例如,系統管理員認證無效),同步作業會標記為隔離。 如需詳細資訊,請參閱有關隔離的疑難排解小節。
重新開始配置
如果您不想等候下一個排程執行,請使用 [重新啟動同步] 按鈕來觸發佈建作業。
登入 Microsoft Entra 系統管理中心,身分至少需為 混合身分管理員。
瀏覽至 Identity>混合式管理>Microsoft Entra Connect>雲端同步。
在 [設定] 底下,選取您的設定。
在頂端,選取 [重新啟動同步]。
移除設定
若要刪除設定,請遵循下列步驟。
登入 Microsoft Entra 系統管理中心,身分至少需為 混合身分管理員。
瀏覽至 Identity>混合式管理>Microsoft Entra Connect>雲端同步。
在 [設定] 底下,選取您的設定。
在設定畫面的頂端,選取 [刪除設定]。
重要
刪除設定之前沒有確認。 確定這是您在選取 [刪除] 之前想要採取的動作。