Microsoft Entra Connect︰當您已有現有租用戶時
大部分有關如何使用 Microsoft Entra Connect 的主題,會假設您以全新 Microsoft Entra 租用戶開始使用,且其中沒有任何使用者或其他物件。 但如果您是以 Microsoft Entra 租用戶開始使用,並其中已填入使用者和其他物件,而現在想使用 Connect,則這個主題便相當適合您。
基本知識
Microsoft Entra ID 中的物件可在雲端或內部部署中管理。 針對單一物件,您無法在內部部署管理部分屬性,同時在 Microsoft Entra ID 管理其他屬性。 每個物件都有表示物件受控位置的旗標。
您可以在內部部署管理部分使用者,並在雲端中管理其他使用者。 混合著會計工作者和銷售工作者的組織是此組態的常見案例。 會計人員具有內部部署 AD 帳戶,銷售人員沒有,而雙方均有 Microsoft Entra ID 帳戶。 您可在內部部署管理部分使用者,並在 Microsoft Entra ID 管理其他使用者。
如果您開始在 Microsoft Entra ID 中管理同時存在於內部部署的使用者,且稍後想要使用 Microsoft Entra Connect,則您必須考慮一些其他考量。
在 Microsoft Entra ID 中與現有的使用者同步處理
開始與 Microsoft Entra Connect 同步時,Microsoft Entra 服務 API 會檢查每個新傳入的物件,然後嘗試尋找要比對的現有物件。 有三種屬性用於此處理程序︰userPrincipalName、proxyAddresses 和 sourceAnchor/immutableID。 userPrincipalName 或 proxyAddresses 的比對稱為「大致比對」。sourceAnchor 的比對則稱為「精確比對」。針對 proxyAddresses 屬性,僅具有 SMTP: 的值 (也就是主要電子郵件地址) 會用來進行評估。
比對只會評估來自 Connect 的新物件。 若變更現有的物件,使其與上述任一屬性相符,則會出現錯誤。
若 Microsoft Entra ID 找到一個物件,其中屬性值與來自 Microsoft Entra Connect 的新傳入物件相同,則其會接管 Microsoft Entra ID 中的物件,而先前的雲端受控物件會轉換成內部部署受控物件。 Microsoft Entra ID 中具有內部部署 AD 值的所有屬性,均會以相應的內部部署值覆寫。
警告
因為 Microsoft Entra ID 中的所有屬性都會以內部部署值覆寫,因此請確定內部部署中的資料均正確無誤。 例如,若只在 Microsoft 365 中管理電子郵件地址,且並未在內部部署 AD DS 中保持更新,則會遺失不存在於 AD DS 之 Azure AD/Microsoft 365 中的任何值。
重要
若使用一律由快速設定使用的密碼同步處理,則會以內部部署 AD 中的密碼覆寫 Microsoft Entra ID 中的密碼。 若您的使用者會管理多個密碼,則在安裝 Connect 後,必須通知其應使用內部部署密碼。
必須在您的規劃中考量上一節和警告。 若在 Microsoft Entra ID 中進行的許多變更並未反映於內部部署 AD DS,為預防資料遺失,必須規劃如何在使用 Microsoft Entra Connect 同步您的物件之前,在 AD DS 中填入來自 Microsoft Entra ID 的更新值。
如果以大致比對來比對軟體,則 sourceAnchor 會新增至 Microsoft Entra ID 中的物件,以便稍後進行精確比對。
重要
Microsoft 強烈建議不要同步內部部署帳戶與 Microsoft Entra ID 中原有的管理帳戶。
精確比對與大致比對
根據預設,“abcdefghijklmnopqrstuv=” 的 SourceAnchor 值是透過使用 MsDs-ConsistencyGUID 屬性 (或 ObjectGUID,視設定而定),從內部部署的 Active Directory 利用 Microsoft Entra Connect 計算而得。 此屬性值是 Microsoft Entra ID 中對應的 ImmutableId。 當 Microsoft Entra Connect (同步處理引擎) 新增或更新物件時,Microsoft Entra ID 會使用對應至 Microsoft Entra ID 中存在物件之 ImmutableId 屬性的 sourceAnchor 值比對傳入物件。 若存在相符項目,Microsoft Entra Connect 會接管該物件,並使用傳入內部部署 Active Directory 對象的屬性來進行更新,即「精確比對」。若 Microsoft Entra ID 找不到有任何物件的 ImmutableId 屬性符合 SouceAnchor 值,便會嘗試使用傳入物件的 userPrincipalName 或 主要 ProxyAddress,以所謂的 *「大致比對」來尋找相符項目。 大致比對會嘗試比對 Microsoft Entra ID 中已存在的受控物件,並新增或更新代表同一內部部署實體的新傳入物件。 若 Microsoft Entra ID 無法找到傳入物件的「精確比對」或「大致比對」,則會在 Microsoft Entra ID 目錄中佈建新物件。 我們已新增設定選項,以停用 Microsoft Entra ID 中的精確比對功能。 除非客戶需要以精確比對來接管僅限雲端的帳戶,否則建議客戶停用精確比對。
若要停用精確比對,請使用 Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell Cmdlet:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
同樣地,我們已新增設定選項,以停用 Microsoft Entra Connect 中的大致比對選項。 建議客戶停用軟比對,除非它們需要它接管僅限雲端帳戶。
若要停用大致比對,請使用 Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell Cmdlet:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
注意
BlockCloudObjectTakeoverThroughHardMatchEnabled 和 BlockSoftMatchEnabled 可在租用戶已啟用比對功能時,封鎖所有物件的比對。 建議客戶僅在租用戶須進行比對程序的期間才停用此類功能。 一旦完成且不再需要比對後,便應將旗標再度設為 True。
使用者以外的其他物件
針對擁有郵件功能的群組和連絡人,您可以根據 proxyAddresses 來進行大致比對。 精確比對不適用,因為您只能更新使用者的 sourceAnchor/immutableID (使用 PowerShell)。 針對未擁有郵件功能的群組,目前不支援大致比對或精確比對。
管理員角色考量
為防止不受信任的內部部署使用者,Microsoft Entra ID 不會比對內部部署使用者物件與具有管理員角色的物件。 此為預設行為。 若要解決此問題,您可以執行下列步驟:
- 從僅限雲端使用者物件中移除目錄角色。
- 實刪除雲端中的 Quarantined 物件。
- 觸發同步。
- 比對後,可以選擇性地將目錄角色新增回雲端中的使用者物件。
利用 Microsoft Entra ID 中的資料建立新的內部部署 Active Directory
部分客戶以僅限雲端的解決方案與 Microsoft Entra ID 開始,且並未具有內部部署 AD。 接著,他們想使用內部部署資源,並根據 Microsoft Entra 資料建置內部部署 AD。 Microsoft Entra Connect 無法針對此案例提供協助。 其不會在內部部署建立使用者,且無法在內部部署設定與 Microsoft Entra ID 相同的密碼。
若要新增內部部署 AD 的唯一理由是要支援 LOB (企業營運應用程式),則應考慮改為使用 Microsoft Entra 網域服務。