Microsoft Entra 入站预配允许组织从 API 驱动的集成等源自动在本地 Active Directory(AD)环境中创建和更新用户帐户。 为了确保平稳高效的同步,请务必了解属性索引的作用,尤其是 employeeId 属性,该属性在预配过程中用作默认匹配属性。 本文提供关于如何使用employeeId属性优化同步性能的指导。
为何需要为 employeeId 编制索引
默认情况下,Active Directory 不为 employeeId 属性编制索引。 但是,我们建议对此属性编制索引,因为它用作主属性,以匹配在完整预配和增量预配运行期间Microsoft Entra 和 AD 之间的标识。 如果不编制索引,目录查找可能会随着用户群的增长而变慢,这可能会影响同步性能和增加预配时间。 索引可确保这些操作高效可靠地完成。
范围:适用于多个预配方案
本指南适用于将标识同步到本地 AD 的所有Microsoft Entra 入站预配方案,包括:
- API 驱动的入站预配至 Active Directory
多个匹配属性
如果预配设置使用多个匹配属性(例如 employeeId ,和 mail),请确保检查每个属性是否在 Active Directory 中编制索引。 为同步中使用的所有匹配属性编制索引有助于保持最佳性能,并减少预配运行期间延迟或超时的风险。
对 Active Directory 域存储的影响
为其他属性启用索引,例如 employeeId 增加 AD 域中的存储要求。 虽然存储影响通常适中,但规划大规模部署或处理具有有限可用资源的域时,请务必考虑这一点。
如何使用 AD 架构管理单元为属性编制索引(例如 employeeId)
先决条件:
- 确保你是 Active Directory 中 架构管理员 组的成员。
- AD 架构管理单元默认情况下未注册,因此您需要先进行注册。
注册架构插件
- 以 Windows Server 管理员身份打开命令提示符。
- 运行:
regsvr32 schmmgmt.dll
应会看到注册成功的确认对话框。
打开架构管理单元
- 按 Win + R,键入 mmc,然后按 Enter 打开Microsoft管理控制台。
- 在控制台中,转到 “文件 > 添加/删除管理单元”。
- 从列表中选择 Active Directory 架构 ,然后单击“ 添加”。
- 单击 “确定” 。
找到要编制索引的属性
- 在左窗格中,展开 Active Directory 架构并选择 “属性”。
- 滚动浏览列表以查找要编制索引的属性(例如)。
employeeId
编辑属性属性
- 右键单击属性(例如,
employeeId),然后选择“ 属性”。 - 在属性对话框中,选中标记为 “为此属性编制索引 ”的框(或类似的措辞,具体取决于 Windows Server 版本)。
应用和重复更改
单击“确定”保存更改。
架构更改将复制到所有域控制器。 更改传播开来可能需要一些时间。
后续步骤
- 若要检查 Active Directory 属性是否默认为索引,请参阅此列表 - 索引属性 (AD 架构) - Win32 应用。
- 若要验证服务器是否使用索引来处理查询,请参阅本文 - 索引属性 (AD DS) - Win32 应用。
- 一篇实用博客文章,介绍了索引编制的重要性 - 在 Active Directory 中为属性编制索引。