Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
以下文档将指导你配置 Microsoft Entra Cloud Sync,以便从Active Directory预配到Microsoft Entra ID。 如果您正在查找有关从 Microsoft Entra ID 预配到 Active Directory 的信息,请查看 Configure - Provisioning Active Directory to Microsoft Entra ID using Microsoft Entra Cloud Sync。
以下文档演示了 Microsoft Entra 云同步的全新指导用户体验。
配置预配
若要配置预配,请执行以下步骤。
以至少混合身份管理员的身份登录到Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云同步。
选择“新配置”。
选择 将 AD 同步到 Microsoft Entra ID.
在“配置”屏幕上,选择你的域以及是否启用密码哈希同步。单击“创建”。
此时将打开“入门”屏幕。 在此处,可以继续配置云同步。
配置分为以下 5 个部分。
章节 说明 1. 添加范围筛选器 使用此部分定义Microsoft Entra ID中显示的对象 2. 映射 属性 使用此部分可以映射具有Microsoft Entra对象的本地用户/组之间的属性 3. 测试 在部署配置之前对其进行测试 4. 查看默认属性 在启用默认设置之前查看这些设置,并根据情况进行更改 5. 启用您的配置 准备就绪后,启用配置,然后用户/组将开始同步
注释
在配置过程中,将创建同步服务帐户的格式 为 ADToAADSyncServiceAccount@[TenantID].partner.onmschina.cn ,如果为同步服务帐户启用了多重身份验证,或者意外为同步帐户启用其他交互式身份验证策略,可能会出错。 删除同步服务帐户的多重身份验证或任何交互式身份验证策略应解决此错误,你可以顺利完成配置。
将预配范围限定为特定用户和组
默认情况下,预配代理将从Active Directory同步一部分用户和组。 可以使用本地 Active Directory 组或组织单位进一步限定代理范围,以便同步特定用户和组。
您可以在配置中配置组和组织单位。
注释
不能使用具有组范围的嵌套组。 在使用安全组限定范围时,将不包括第一级以外的嵌套对象。 仅对试点方案使用组范围筛选,因为同步大型组存在限制。
在“开始”配置屏幕上。 单击“添加范围筛选器”图标旁边的“添加范围筛选器”,或单击左侧“管理”下的“范围筛选器”。
选择范围过滤器。 筛选器可以是下列其中一项:
- 所有用户:限定要应用于正在同步的所有用户的配置。
- 所选安全组:限定要应用于特定安全组的配置范围。
- 所选组织单位:限定要应用于特定 OU 的配置范围。
对于安全组和组织单位,请提供相应的可分辨名称,然后单击“ 添加”。
配置范围筛选器后,单击“ 保存”。
保存后,你应会看到一条消息,告知你仍需执行哪些操作来配置云同步。可以单击相应的链接以继续。
更改范围后,应 重启预配 以启动更改的即时同步。
属性映射
Microsoft Entra Cloud Sync 允许在本地用户/组对象与Microsoft Entra ID中的对象之间轻松映射属性。
可以根据业务需求自定义默认的属性映射。 因此,可以更改或删除现有属性映射或者创建新的属性映射。
保存后,你应会看到一条消息,告知你仍需执行哪些操作来配置云同步。可以单击相应的链接以继续。
有关详细信息,请参阅 属性映射。
目录扩展和自定义属性映射。
Microsoft Entra Cloud Sync 允许使用扩展扩展来扩展目录,并提供自定义属性映射。 有关详细信息,请参阅目录扩展和自定义属性映射。
按需预配
Microsoft Entra Cloud Sync 允许通过将这些更改应用于单个用户或组来测试配置更改。
可以使用此选项验证和验证对配置所做的更改是否已正确应用,并正确同步到Microsoft Entra ID。
测试后,你应会看到一条消息,告知你仍需执行哪些操作来配置云同步。可以单击相应的链接以继续。
有关详细信息,请参阅按需预配。
意外删除和电子邮件通知
默认属性部分提供了有关意外删除和电子邮件通知的信息。
意外删除功能旨在防止意外配置更改和对影响许多用户和组的本地目录的更改。
可以使用此功能实现以下操作:
- 配置自动防止意外删除的功能。
- 设置对象数量(阈值),超过该值后配置将生效。
- 设置通知电子邮件地址,以便此方案中相关同步作业被置于隔离状态后,用户可以收到电子邮件通知
有关详细信息,请参阅意外删除
单击“基本信息”旁边的铅笔以更改配置中的默认值。
启用您的配置
完成并测试配置后,即可启用它。
单击“ 启用配置 ”以启用它。
隔离
云同步监视配置的运行状况,并将不正常的对象置于隔离状态。 如果某个错误(例如管理员凭据无效)导致针对目标系统发出的大部分或所有调用持续失败,则同步作业将标记为“处于隔离状态”。 有关详细信息,请参阅关于隔离的故障排除部分。
重新启动预配
如果不想等待下一次计划的运行,请使用 “重启同步 ”按钮触发预配运行。
以至少混合身份管理员的身份登录到Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云同步。
- 在 “配置”下,选择配置。
- 在顶部,选择“ 重启同步”。
删除配置
若要删除配置,请执行以下步骤。
以至少混合身份管理员的身份登录到Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云同步。
- 在 “配置”下,选择配置。
- 在配置屏幕顶部,选择“ 删除配置”。
重要
删除配置时没有先进行确认。 在选择删除之前,请确保这是您想要执行的操作。
卸载后从门户删除代理
卸载或停止 Microsoft Entra Cloud Sync 代理时,代理不会立即从 Microsoft Entra 管理中心中删除。 以下时间线描述了代理删除过程:
| Timeframe | 门户行为 |
|---|---|
| 大约 1 小时后 | 代理在门户中显示为 “非活动 ”。 |
| 大约 10 天后 | 代理已被软删除,且不再显示在门户网站中。 |
| 代理证书过期时 | 代理将被永久删除,并且无法再与Microsoft 服务交互。 |
如果不想等待自动清理,可以通过删除与代理关联的配置,从门户中手动删除代理配置。