Udostępnij za pośrednictwem

Skonfiguruj usługę Active Directory w usłudze Microsoft Entra ID — konfiguracja

  • Artykuł

Poniższy dokument przeprowadzi Cię przez proces konfigurowania usługi Microsoft Entra Cloud Sync na potrzeby aprowizacji z usługi Active Directory do identyfikatora Entra firmy Microsoft. Jeśli szukasz informacji na temat aprowizacji z usługi Microsoft Entra ID do usługi AD, zobacz Configure — Provisioning Active Directory to Microsoft Entra ID using Microsoft Entra Cloud Sync

W poniższej dokumentacji przedstawiono nowe środowisko użytkownika z przewodnikiem dla usługi Microsoft Entra Cloud Sync.

Aby uzyskać dodatkowe informacje i przykład konfigurowania synchronizacji w chmurze, zobacz poniższy film wideo.

Skonfiguruj aprowizację

Aby skonfigurować aprowizację, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej administrator hybrydowy.
  2. Przejdź do Identity>Hybrid Management>Microsoft Entra Connect>Cloud Sync. Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.
  1. Wybierz Nowa konfiguracja.
  2. Wybierz pozycję AD do synchronizacji usługi Microsoft Entra ID. Zrzut ekranu przedstawiający dodawanie konfiguracji.
  3. Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Kliknij pozycję Utwórz.

Zrzut ekranu przedstawiający nową konfigurację.

  1. Zostanie otwarty ekran Rozpoczęcie. W tym miejscu możesz kontynuować konfigurowanie synchronizacji z chmurą.

zrzut ekranu przedstawiający ekran startowy.

  1. Konfiguracja jest podzielona na następujące 5 sekcji.
Sekcja Opis
1. Dodawanie filtrów określania zakresu Ta sekcja służy do definiowania obiektów wyświetlanych w identyfikatorze Entra firmy Microsoft
2. Mapuj atrybuty Ta sekcja służy do mapowania atrybutów między lokalnymi użytkownikami/grupami z obiektami Firmy Microsoft Entra
3. Test Testowanie konfiguracji przed jej wdrożeniem
4. Wyświetlanie właściwości domyślnych Wyświetlanie ustawienia domyślnego przed ich włączeniem i wprowadzanie zmian w odpowiednich przypadkach
5. Włącz swoją konfigurację Po uzyskaniu gotowości włącz konfigurację, a użytkownicy/grupy zaczną synchronizować

Notatka

Podczas procesu konfiguracji konto usługi synchronizacji zostanie utworzone przy użyciu formatu ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com i może wystąpić błąd, jeśli dla konta usługi synchronizacji włączono uwierzytelnianie wieloskładnikowe lub inne interaktywne zasady uwierzytelniania są przypadkowo włączone dla konta synchronizacji. Usunięcie uwierzytelniania wieloskładnikowego lub wszelkich interaktywnych zasad uwierzytelniania dla konta usługi synchronizacji powinno rozwiązać ten błąd i można bezproblemowo ukończyć konfigurację.

Określanie zakresu przydzielenia dla określonych użytkowników i grup

Domyślnie agent aprowizacji synchronizuje podzestaw użytkowników i grup z usługi Active Directory. Możesz dodatkowo ograniczyć zakres agenta do synchronizowania określonych użytkowników i grup przy użyciu lokalnych grup usługi Active Directory lub jednostek organizacyjnych.

Zrzut ekranu przedstawiający ikonę filtrów określania zakresu.

Grupy i jednostki organizacyjne można skonfigurować w ramach konfiguracji.

Notatka

Nie można używać zagnieżdżonych grup z określeniem zakresu grupy. Obiekty zagnieżdżone poza pierwszym poziomem nie zostaną uwzględnione podczas określania zakresu przy użyciu grup zabezpieczeń. Używaj filtrowania zakresu grup tylko w scenariuszach pilotażowych, ponieważ istnieją ograniczenia dotyczące synchronizowania dużych grup.

  1. Na ekranie Rozpoczęcie konfiguracji. Kliknij Dodaj filtry określania zakresu obok ikony Dodaj filtry określania zakresu lub kliknij filtry określania zakresu po lewej stronie w obszarze Zarządzaj.

Zrzut ekranu przedstawiający filtry określania zakresu.

  1. Wybierz filtr określania zakresu. Filtr może być jednym z następujących elementów:
    • Wszyscy użytkownicy: Określa zakres konfiguracji, która ma być stosowana do wszystkich użytkowników, którzy są synchronizowani.
    • Wybrane grupy zabezpieczeń: określa zakres konfiguracji, która ma być stosowana do określonych grup zabezpieczeń.
    • Wybrane jednostki organizacyjne: określa zakres konfiguracji, która ma być stosowana do określonych jednostek organizacyjnych.
  2. W przypadku grup zabezpieczeń i jednostek organizacyjnych podaj odpowiednią nazwę wyróżniającą, a następnie kliknij przycisk Dodaj.
  3. Po skonfigurowaniu filtrów określania zakresu kliknij Zapisz.
  4. Po zapisaniu powinien zostać wyświetlony komunikat informujący o tym, co nadal trzeba zrobić, aby skonfigurować synchronizację w chmurze. Możesz kliknąć link, aby kontynuować. Zrzut ekranu przedstawiający wskazówkę dotyczącą filtrów określania zakresu.
  5. Po zmianie zakresu należy ponowne uruchomienie aprowizacji, aby zainicjować natychmiastową synchronizację zmian.

Mapowanie atrybutów

Usługa Microsoft Entra Cloud Sync umożliwia łatwe mapowanie atrybutów między lokalnymi obiektami użytkowników/grup i obiektów w usłudze Microsoft Entra ID.

Zrzut ekranu przedstawiający ikonę atrybutów mapy.

Domyślne mapowania atrybutów można dostosować zgodnie z potrzebami biznesowymi. Możesz więc zmienić lub usunąć istniejące mapowania atrybutów lub utworzyć nowe mapowania atrybutów.

Zrzut ekranu przedstawiający domyślne mapowania atrybutów.

Po zapisaniu powinien zostać wyświetlony komunikat informujący o tym, co nadal trzeba zrobić, aby skonfigurować synchronizację w chmurze. Możesz kliknąć link, aby kontynuować. Zrzut ekranu przedstawiający wskazówkę dotyczącą filtrów atrybutów.

Aby uzyskać więcej informacji, zobacz mapowanie atrybutów.

Rozszerzenia katalogu i mapowanie atrybutów niestandardowych.

Usługa Microsoft Entra Cloud Sync umożliwia rozszerzenie katalogu przy użyciu rozszerzeń i zapewnia mapowanie atrybutów niestandardowych. Aby uzyskać więcej informacji, zobacz Rozszerzenia katalogu i mapowanie atrybutów niestandardowych.

Aprowizowanie na żądanie

Usługa Microsoft Entra Cloud Sync umożliwia testowanie zmian konfiguracji przez zastosowanie tych zmian do pojedynczego użytkownika lub grupy.

Zrzut ekranu przedstawiający ikonę testu.

Służy to do sprawdzania poprawności i sprawdzania, czy zmiany wprowadzone w konfiguracji zostały prawidłowo zastosowane i są prawidłowo synchronizowane z identyfikatorem Entra firmy Microsoft.

Zrzut ekranu przedstawiający aprowizację na żądanie.

Po przetestowaniu powinien zostać wyświetlony komunikat informujący o tym, co nadal trzeba zrobić, aby skonfigurować synchronizację w chmurze. Możesz kliknąć link, aby kontynuować. zrzut ekranu przedstawiający posuw do testowania.

Aby uzyskać więcej informacji, zobacz udostępniania na żądanie.

Przypadkowe usunięcia i powiadomienia e-mail

Sekcja właściwości domyślnych zawiera informacje o przypadkowych usunięciach i powiadomieniach e-mail.

Zrzut ekranu przedstawiający ikonę właściwości domyślnych.

Funkcja przypadkowego usuwania została zaprojektowana w celu ochrony przed przypadkowymi zmianami konfiguracji i zmianami w katalogu lokalnym, które miałyby wpływ na wielu użytkowników i grupy.

Ta funkcja umożliwia:

  • skonfiguruj możliwość automatycznego zapobiegania przypadkowym usuwaniu.
  • Ustaw liczbę obiektów (próg), poza którą konfiguracja zacznie obowiązywać
  • Ustaw adres e-mail do powiadomień, aby mogli otrzymywać powiadomienia e-mailowe, gdy dane zadanie synchronizacji zostanie poddane kwarantannie w tym przypadku.

Aby uzyskać więcej informacji, zobacz Przypadkowe usuwanie

Kliknij ołówek obok Basics, aby zmienić ustawienia domyślne w konfiguracji.

Zrzut ekranu przedstawiający podstawy.

Włącz konfigurację

Po zakończeniu i przetestowaniu konfiguracji możesz ją włączyć.

Zrzut ekranu przedstawiający ikonę przeglądania i włączania.

Kliknij Włącz konfigurację, aby ją włączyć.

Zrzut ekranu przedstawiający włączanie konfiguracji.

Kwarantanny

Synchronizacja w chmurze monitoruje kondycję konfiguracji i umieszcza obiekty w złej kondycji w stanie kwarantanny. Jeśli większość lub wszystkie wywołania wykonywane względem systemu docelowego stale kończą się niepowodzeniem z powodu błędu, na przykład nieprawidłowe poświadczenia administratora, zadanie synchronizacji jest oznaczone jako w kwarantannie. Aby uzyskać więcej informacji, zobacz sekcję rozwiązywania problemów dotyczącą kwarantanny.

Ponowne uruchamianie konfiguracji

Jeśli nie chcesz czekać na następny zaplanowany przebieg, uruchom proces prowizjonowania za pomocą przycisku Uruchom ponownie synchronizację.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator Hybrydowy.
  2. Przejdź do Tożsamość>Zarządzanie hybrydowe>Microsoft Entra Connect>Synchronizacja chmury. Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.
  1. W sekcji Konfiguracjawybierz konfigurację.

Zrzut ekranu przedstawiający ponowne uruchamianie synchronizacji.

  1. W górnej części wybierz pozycję Uruchom ponownie synchronizację.

Usuwanie konfiguracji

Aby usunąć konfigurację, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Hybrydowy.
  2. Przejdź do identity>hybrid management>Microsoft Entra Connect>Cloud sync. Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.
  1. W obszarze Konfiguracjawybierz konfigurację.

zrzut ekranu przedstawiający usuwanie.

  1. W górnej części ekranu konfiguracji wybierz pozycję Usuń konfigurację.

Ważny

Nie ma potwierdzenia przed usunięciem konfiguracji. Upewnij się, że jest to akcja, którą chcesz wykonać przed wybraniem opcji Usuń.

Następne kroki