使用 Microsoft Entra 管理中心配置从 Microsoft Entra ID 到 Microsoft Entra 域服务的区分范围的同步

为了提供身份验证服务,Microsoft Entra 域服务从 Microsoft Entra ID 同步用户和组。 在混合环境中,本地 Active Directory 域服务 (AD DS) 环境中的用户和组可以先使用 Microsoft Entra Connect 同步到 Microsoft Entra ID,然后再同步到域服务托管域。

默认情况下,Microsoft Entra 目录中的所有用户和组都会同步到托管域。 如果只有一些用户需要使用域服务,则可以改为选择仅同步用户组。 可以按本地、仅云或两者筛选组同步。

本文展示了如何使用 Microsoft Entra 管理中心配置区分范围的同步,然后更改或禁用区分范围的用户集合。 也可以使用 PowerShell 完成这些步骤

Screenshot of group filter option.

准备阶段

需有以下资源和特权才能完成本文:

具有作用域的同步概述

默认情况下,Microsoft Entra 目录中的所有用户和组都会同步到托管域。 可以将同步范围限定为仅在 Microsoft Entra ID 中创建的用户帐户,也可以同步所有用户。

如果只有几组用户需要访问托管域,可以选择“按组权利筛选”以仅同步这些组。 此范围的同步仅基于组。 配置基于组的具有作用域的同步时,只有属于指定组的用户帐户才会同步到托管域。 不同步嵌套组,只同步你指定的组。

可以在创建托管域之前或之后更改同步范围。 同步范围由应用程序标识符为 2565bd9d-da50-47d4-8b85-4c97f669dc36 的服务主体定义。 为了防止范围丢失,请不要删除或更改服务主体。 如果意外删除了服务主体,则无法恢复同步范围。

如果更改同步范围,请记住以下注意事项:

  • 进行完全同步。
  • 托管域中不再需要的对象会被删除。 托管域中会新建对象。

若要详细了解同步过程,请参阅了解 Microsoft Entra 域服务中的同步

启用区分范围的同步

要在 Microsoft Entra 管理中心内启用区分范围的同步,请完成以下步骤:

  1. Microsoft Entra 管理中心,搜索并选择“Microsoft Entra 域服务”。 选择你的托管域,例如 aaddscontoso.com

  2. 在左侧菜单中选择“同步”。

  3. 对于“同步范围”,选择“全部”或“仅云”。

  4. 若要筛选所选组的同步,请单击“显示所选组”,选择是同步仅云组、本地组,还是同步两者。 例如,以下屏幕截图显示如何仅同步在 Microsoft Entra ID 中创建的三个组。 只有属于这些组的用户才能将其帐户同步到域服务。

    Screenshot that shows filter by cloud-only groups.

  5. 若要添加组,请单击“添加组”,然后搜索并选择要添加的组。

  6. 进行所有更改后,选择“保存同步作用域”。

更改同步作用域会导致托管域重新同步所有数据。 托管域中不再需要的对象会被删除,重新同步可能需要一些时间才能完成。

修改具有作用域的同步

若要修改包含应同步到托管域的用户的组列表,请完成以下步骤:

  1. Microsoft Entra 管理中心,搜索并选择“Microsoft Entra 域服务”。 选择你的托管域,例如 aaddscontoso.com
  2. 在左侧菜单中选择“同步”。
  3. 若要添加组,请选择顶部的“+ 添加组”,然后选择要添加的组。
  4. 若要从同步作用域中删除某个组,请从当前同步的组列表中选择它,然后选择“删除组”。
  5. 进行所有更改后,选择“保存同步作用域”。

更改同步作用域会导致托管域重新同步所有数据。 托管域中不再需要的对象会被删除,重新同步可能需要一些时间才能完成。

禁用具有作用域的同步

若要为托管域禁用基于组的具有作用域的同步,请完成以下步骤:

  1. Microsoft Entra 管理中心,搜索并选择“Microsoft Entra 域服务”。 选择你的托管域,例如 aaddscontoso.com
  2. 在左侧菜单中选择“同步”。
  3. 清除“显示所选组”的复选框,然后单击“保存同步范围”。

更改同步作用域会导致托管域重新同步所有数据。 托管域中不再需要的对象会被删除,重新同步可能需要一些时间才能完成。

后续步骤

若要详细了解同步过程,请参阅了解 Microsoft Entra 域服务中的同步