使用 Microsoft Entra Connect 安裝及設定目錄同步作業
Microsoft Entra Connect 需要已加入網域的電腦來裝載同步服務。 大部分組織都會部署專用的同步伺服器。
需求
使用 Active Directory 租用戶設定 Azure 之後,必須執行下列步驟完成主要工作,以部署目錄同步作業:
- 將您的 AD DS 網域,新增至 Azure,並驗證該網域,然後將其設定為主要網域。
- 下載並安裝 Microsoft Entra Connect。
- 執行 [Microsoft Entra Connect 設定精靈]。 (您可以選擇是否要設定 Microsoft Entra Connect,以同步內部部署 AD DS 環境中的特定 OU)。
- 啟用選擇性功能,例如密碼雜湊同步、密碼回寫與 Exchange 混合式部署。
- 執行 Microsoft Entra Connect,由其設定環境,以進行目錄同步作業
- 驗證同步結果。
您可以在設定 Microsoft Entra Connect 並執行初始同步處理之後,視需要重新設定同步處理選項。 Microsoft Entra Connect 軟體安裝包含幾個應用程式與目錄同步作業相關。 當您執行 Microsoft Entra Connect 時,可以選擇使用 [快速] 安裝設定。這會為設定最常用的目錄同步作業設定;您也可以選擇 [自訂] 安裝選項。
若選擇使用 [自訂] 安裝,可以在安裝開始時,選擇使用自訂 SQL Server,而不是本機資料庫。 您也可以選擇不使用自動安裝程序建立的帳戶,而使用現有的服務帳戶。 此外,也可以指定自訂同步群組。 根據預設,Microsoft Entra Connect 會建立「系統管理員」、「操作員」、「瀏覽」與「密碼重設」群組,但您可以選擇使用您自己的自訂群組於此用途。
根據預設,Microsoft Entra Connect 會為目錄同步作業模式,設定密碼雜湊同步。 若選擇 [自訂安裝],也可以選擇 [與 AD FS 同盟] 選項或傳遞驗證。 若您有非 Microsoft 同盟伺服器,或已有部署了其他解決方案,也可以手動設定目錄同步作業。
自訂 Microsoft Entra Connect 安裝也可讓您選擇識別使用者的方式。 根據預設,安裝程式會假設您的使用者在所有目錄中只出現一次。 若您有使用者識別分存於多個目錄中,必須選擇相符的屬性。 您可以選擇下表所述的選項。
| 選項 | 描述 |
|---|---|
| 郵件屬性 | 如果電子郵件屬性在不同的樹系中具有相同的值,則此選項將連接使用者和連絡人。 |
| ObjectSID 和 msExchangeMasterAccountSID | 此選項會聯結帳戶樹系中已啟用的使用者與 Exchange 資源樹系中已停用的使用者。 在 Exchange 中,這也稱為「連結的信箱」。 |
| sAMAccountName 與 mailNickname | 此選項會聯結更多有關於使用者登入識別碼預期所在目錄中之位置的屬性。 |
| 我自己的屬性 | 此選項可讓您選擇自己的屬性。 |
| 來源錨點 | 此屬性在使用者物件存留期間會保持不變。 換言之,此屬性是連結內部部署使用者物件與 Microsoft Entra ID 中之使用者物件的主要索引鍵。 因為此屬性之後無法變更,所以您必須小心選擇此用途的屬性。 預設選項為 objectGUID。這是因為除非使用者帳戶在樹系與網域之間移動,否則此屬性不會變更。 |
您可以在同一個視窗中設定 UserPrincipalName 屬性。 這是使用者登入 Microsoft Entra ID 時所使用的屬性。 此用途的網域 (也稱為 UPN 尾碼) 應在同步使用者物件之前,先於 Microsoft Entra ID 中進行驗證。
在某些情況下,您可能只想要同步本機 AD DS 中的部分使用者。 Microsoft Entra Connect 可讓您選取要同步至 Microsoft Entra ID 的特定使用者群組。 您應在執行 Microsoft Entra Connect 之前,先建立此群組。 完成此步驟之後,就能新增及移除此群組的使用者,從而維護要在 Microsoft Entra ID 中顯示的使用者物件清單。 您也可以使用本機 AD DS 中的 OU 作為複寫的範圍。 在最後一個步驟中,Microsoft Entra 連線可讓您設定 Microsoft Entra ID P1 或 P2 中可用的一些選用功能。