以下文档将指导你配置 Microsoft Entra Cloud Sync,以便从 Microsoft Entra ID 预配到 Active Directory。 如果要查找有关从 AD 预配到 Microsoft Entra ID 的信息,请参阅配置 - 使用 Microsoft Entra Cloud Sync 将 Active Directory 预配到 Microsoft Entra ID
重要
Microsoft Entra Connect Sync 中的 Group Writeback v2 功能预览版已被弃用,并且不再受支持。
如果将 Microsoft 365 组配置到 AD DS,则可以继续使用 Group Writeback v1。
配置预配
若要配置预配,请执行以下步骤。
请以至少混合身份管理员的身份登录Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云同步。
选择“新配置”。
选择“Microsoft Entra ID 与 AD 同步”。
在“配置”屏幕上,选择你的域以及是否启用密码哈希同步。单击“创建”。
此时将打开“入门”屏幕。 在此处,可以继续配置云同步。
配置分为以下 5 个部分。
章节 说明 1. 添加范围筛选器 使用此部分定义Microsoft Entra ID 中显示的对象 2. 映射 属性 使用此部分可以映射具有 Microsoft Entra 对象的本地用户/组之间的属性 3. 测试 在部署配置之前对其进行测试 4. 查看默认属性 在启用默认设置之前查看这些设置,并根据情况进行更改 5. 启用您的配置 准备就绪后,启用配置,然后用户/组将开始同步
向特定组预配范围
可以将代理的范围限定为同步所有或特定安全组。
有关详细信息,请参阅基于属性的范围筛选、在 Microsoft Entra ID 中编写属性映射表达式的参考资料和使用目录扩展进行到 Active Directory 的组预配的方案。
您可以在配置中配置组和组织单位。
在“开始”配置屏幕上。 单击“添加范围筛选器”图标旁边的“添加范围筛选器”,或单击左侧“管理”下的“范围筛选器”。
选择范围过滤器。 筛选器可以是下列其中一项:
- 所有安全组:将配置的范围限定为应用于所有安全组。
- 所选安全组:限定要应用于特定安全组的配置范围。
对于特定安全组,请选择“编辑组”并从列表中选择所需的组。
注释
如果您选择将具有嵌套安全组作为成员的安全组,那么只会写回这个嵌套安全组,而不是其成员。 例如,如果 Sales 安全组是 Marketing 安全组的成员,那么在写回过程中,仅 Sales 组本身会被写回,而不是 Sales 组的成员。
如果要在 AD 中嵌套组并为其进行预配,则还需要将所有成员组添加到范围中。
可以使用“目标容器”框来限定使用特定容器的组的范围。 使用 parentDistinguishedName 属性完成此任务。 使用 constant、direct 或 expression 映射。
可以使用具有 Switch() 函数的属性映射表达式来配置多个目标容器。 使用此表达式时,如果 displayName 值为 Marketing 或 Sales,则会在相应的 OU 中创建该组。 如果没有匹配项,则会在默认 OU 中创建该组。
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
支持基于属性的范围筛选。 有关详细信息,请参阅基于属性的范围筛选、在 Microsoft Entra ID 中编写属性映射表达式的参考资料和使用目录扩展进行到 Active Directory 的组预配的方案。
配置范围筛选器后,单击“ 保存”。
保存后,你应会看到一条消息,告知你仍需执行哪些操作来配置云同步。可以单击相应的链接以继续。
使用目录扩展将预配范围限定为特定组
若要进行更高级的范围限定和筛选,可以配置目录扩展的使用。 有关目录扩展的概述,请参阅用于将 Microsoft Entra ID 预配到 Active Directory 的目录扩展
有关如何扩展架构,以及如何将目录扩展属性与预配到 AD 的云同步配合使用的分步教程,请参阅方案 - 将目录扩展与预配到 Active Directory 的组配合使用。
属性映射
通过 Microsoft Entra 云同步,可轻松地在本地用户/组对象与 Microsoft Entra ID 中的对象之间映射属性。
可以根据业务需求自定义默认的属性映射。 因此,可以更改或删除现有属性映射或者创建新的属性映射。
保存后,你应会看到一条消息,告知你仍需执行哪些操作来配置云同步。可以单击相应的链接以继续。
有关详细信息,请参阅属性映射和在 Microsoft Entra ID 中编写属性映射表达式的参考。
目录扩展和自定义属性映射。
Microsoft Entra Cloud Sync 允许通过扩展来扩展目录,并提供自定义属性映射功能。 有关详细信息,请参阅目录扩展和自定义属性映射。
按需预配
Microsoft Entra Cloud Sync 允许通过将这些更改应用于单个用户或组来测试配置更改。
可以使用此功能验证和确认对配置所做的更改是否已适当应用并正确同步到 Microsoft Entra ID。
测试后,你应会看到一条消息,告知你仍需执行哪些操作来配置云同步。可以单击相应的链接以继续。
有关详细信息,请参阅按需预配。
意外删除和电子邮件通知
默认属性部分提供了有关意外删除和电子邮件通知的信息。
意外删除功能旨在防止意外配置更改和对影响许多用户和组的本地目录的更改。
可以使用此功能实现以下操作:
- 配置自动防止意外删除的功能。
- 设置对象数量(阈值),超过该值后配置将生效。
- 设置一个通知电子邮件地址,以便当相关的同步作业在此场景中被隔离时,用户可以收到电子邮件通知。
有关详细信息,请参阅意外删除
单击“基本信息”旁边的铅笔以更改配置中的默认值。
启用您的配置
完成并测试配置后,即可启用它。
单击“ 启用配置 ”以启用它。
隔离
云同步监视配置的运行状况,并将不正常的对象置于隔离状态。 如果某个错误(例如管理员凭据无效)导致针对目标系统发出的大部分或所有调用持续失败,则同步作业将标记为“处于隔离状态”。 有关详细信息,请参阅关于隔离的故障排除部分。
重新启动预配
如果不想等待下一次计划的运行,请使用 “重启同步 ”按钮触发预配运行。
请以至少混合身份管理员的身份登录Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云同步。
在 “配置”下,选择配置。
在顶部,选择“ 重启同步”。
删除配置
若要删除配置,请执行以下步骤。
请以至少混合身份管理员的身份登录Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云同步。
在 “配置”下,选择配置。
在配置屏幕顶部,选择“ 删除配置”。
重要
删除配置时没有先进行确认。 在选择删除之前,请确保这是您想要执行的操作。