Microsoft Entra Cloud Sync 是一种混合标识同步服务,它提供 Active Directory 与 Microsoft Entra ID 之间的用户、组和联系人的新式云托管同步。 它代表了 Microsoft 的混合标识战略方向,提供了一种基于代理的轻量级方法,可以简化部署和管理,同时支持未连接林同步等高级方案。
云同步通过消除单一故障点、减少本地管理开销以及实现支持组织增长和更改的复杂多林方案,解决组织与混合标识基础结构面临的常见挑战。
注释
云同步可用于由世纪互联运营的 Microsoft Azure 云中的租户。 本地身份的 SSPR 目前尚不能与由世纪互联运营的 Microsoft Azure 云同步一起使用。
核心体系结构和组件
云同步基于具有两个关键组件的现代云优先体系结构构建:
Microsoft Entra 预配代理:一种轻型本地代理,充当 Active Directory 与 Microsoft Entra ID 之间的安全桥。 代理使用与 Microsoft Entra 应用程序代理相同的成熟技术,只需要出站连接并从云提供自动更新。
Microsoft Entra 预配服务:一种基于云的业务流程服务,用于管理同步配置、计划和处理。 此服务使用与其他 Microsoft Entra 预配功能相同的基础结构,并以基于计划程序的模型运行,每两分钟进行一次同步。
云同步的工作原理
云同步利用跨域标识管理系统(SCIM)标准来确保可靠且基于标准的标识管理。 同步过程遵循以下流程:
- 代理通信:预配代理通过 Azure 服务总线维护与 Microsoft Entra 服务的持久出站连接,侦听同步请求。
- 请求处理:发生同步时,代理从云服务接收 SCIM 请求,并查询 Active Directory 以获取请求的信息。
- 数据筛选和转换:代理根据配置的作用域规则和属性映射筛选和转换数据,然后再将响应发送回Microsoft Entra ID。
- 云处理:预配服务处理响应并提交对 Microsoft Entra ID 的更改,通过水印跟踪维护同步状态并处理增量更新。
关键功能
| 能力 | 说明 |
|---|---|
| 云管理配置 | 所有同步配置通过 Microsoft Entra 管理中心存储在 Microsoft Entra ID 中并管理。 管理员可以修改设置、监视状态,并从任何位置排查没有 VPN 访问权限的问题。 |
| 通过多代理支持实现高可用性 | 云同步支持在不同服务器上部署的多活动预配代理,能够在无需更改配置的情况下实现自动故障转移。 当单个代理不可用时,同步将继续无缝进行。 |
| 断开连接的域林同步 | 云同步原生处理多个断开连接的 Active Directory 林,而无需复杂的配置或多个同步实例。 此功能支持并购操作、历史多林环境以及森林无法互联的场景。 |
| 简化安装和管理 | 轻型代理模型需要最少的服务器资源,并且可以部署在域控制器或专用服务器上。 代理会自动从Microsoft接收安全更新和修补程序。 |
| 高级预配方案 | 云同步支持云to-AD 预配方案,包括对 Active Directory 进行组预配,用于管理本地应用程序。 此双向功能支持新式标识体系结构,其中Microsoft Entra ID 充当权威标识源。 |
Microsoft Entra Cloud 同步与 Microsoft Entra Connect 同步有何不同?
使用 Microsoft Entra Cloud Sync 时,预配业务流程完全发生在 Microsoft Online Services 而不是本地基础结构中。 组织在其本地或基础结构即服务(IaaS)环境中部署轻型代理,这些代理充当 Microsoft Entra ID 和 Active Directory 之间的安全桥梁。 所有预配配置、监视和管理都通过云服务进行处理,消除了本地同步服务器管理的复杂性。
这种体系结构的差异使得即便在传统方法下复杂或不可能实现的方案成为可能,例如从多个未连接的目录林同步到单个 Microsoft Entra 租户,而不需要整合这些林。
有关详细的功能比较表,请参阅 Cloud Sync 和 Microsoft Entra Connect 功能比较。
何时考虑云同步
云同步旨在实现混合标识基础结构的现代化,并支持传统同步方法无法有效支持的方案。 关键方案包括:
- 正在接受合并和收购的组织需要快速集成断开连接的林
- 寻求消除单一故障点并提高同步可靠性的公司
- 需要简化管理和减少本地基础结构的环境
- 在多森林组织中,无法进行森林合并
- 实施云优先的身份策略并需要云到AD的预配的组织
对于评估从 Microsoft Entra Connect 迁移或实现新的混合标识解决方案的组织,云同步具有显著的体系结构优势。 有关详细的功能比较、迁移规划和就绪情况评估,请参阅 从 Microsoft Entra Connect 迁移到云同步:决策指南。
与 Microsoft Entra 生态系统集成
云同步与更广泛的Microsoft Entra 标识平台无缝集成,支持高级方案,例如:
- Microsoft Entra ID 治理:支持混合标识的生命周期管理和访问管理
- 权威来源 (SOA) 管理:支持以云为优先的身份管理策略,其中 Microsoft Entra ID 成为权威身份来源。
- HR 驱动的预配:与 HR 应用程序集成一起创建端到端标识预配工作流