使用 Azure 门户配置从 Azure AD 到 Azure Active Directory 域服务的区分范围的同步

为了提供身份验证服务,Azure Active Directory 域服务 (Azure AD DS) 从 Azure AD 同步用户和组。 在混合环境中,本地 Active Directory 域服务 (AD DS) 环境中的用户和组可以先使用 Azure AD Connect 同步到 Azure AD,然后再同步到 Azure AD DS 托管域。

默认情况下,Azure AD 目录中的所有用户和组都同步到托管域。 如果有特定需求,可以改为选择只同步所定义的一组用户。

本文展示了如何使用 Azure 门户配置区分范围的同步,然后更改或禁用区分范围的用户集合。 也可以使用 PowerShell 完成这些步骤

准备阶段

需有以下资源和特权才能完成本文:

具有作用域的同步概述

默认情况下,Azure AD 目录中的所有用户和组都同步到托管域。 如果只有几个用户需要访问托管域,则可以仅同步这些用户帐户。 此具有作用域的同步基于组。 配置基于组的具有作用域的同步时,只有属于指定组的用户帐户才会同步到托管域。 不同步嵌套组,只同步所选的特定组。

可以在创建托管域时或完成部署后更改同步范围。 现在还可以更改现有托管域上同步的范围,而无需进行重新创建。

若要详细了解同步过程,请参阅了解 Azure AD 域服务中的同步

警告

更改同步作用域会导致托管域重新同步所有数据。 请注意以下事项:

  • 如果你更改托管域的同步范围,便会发生完全重新同步。
  • 托管域中不再需要的对象会被删除。 托管域中会新建对象。

启用区分范围的同步

若要在 Azure 门户中启用区分范围的同步,请完成以下步骤:

  1. 在 Azure 门户中,搜索并选择“Azure AD 域服务”。 选择你的托管域,例如 aaddscontoso.com
  2. 在左侧菜单中选择“同步”。
  3. 对于“同步类型”,请选择“区分范围”。
  4. 选择“选择组”,搜索并选择要添加的组。
  5. 进行所有更改后,选择“保存同步作用域”。

更改同步作用域会导致托管域重新同步所有数据。 托管域中不再需要的对象会被删除,重新同步可能需要一些时间才能完成。

修改具有作用域的同步

若要修改包含应同步到托管域的用户的组列表,请完成以下步骤:

  1. 在 Azure 门户中,搜索并选择“Azure AD 域服务”。 选择你的托管域,例如 aaddscontoso.com
  2. 在左侧菜单中选择“同步”。
  3. 若要添加组,请选择顶部的“+ 选择组”,然后选择要添加的组。
  4. 若要从同步作用域中删除某个组,请从当前同步的组列表中选择它,然后选择“删除组”。
  5. 进行所有更改后,选择“保存同步作用域”。

更改同步作用域会导致托管域重新同步所有数据。 托管域中不再需要的对象会被删除,重新同步可能需要一些时间才能完成。

禁用具有作用域的同步

若要为托管域禁用基于组的具有作用域的同步,请完成以下步骤:

  1. 在 Azure 门户中,搜索并选择“Azure AD 域服务”。 选择你的托管域,例如 aaddscontoso.com
  2. 在左侧菜单中选择“同步”。
  3. 将“同步类型”从“区分范围”更改为“全部”,然后选择“保存同步范围” 。

更改同步作用域会导致托管域重新同步所有数据。 托管域中不再需要的对象会被删除,重新同步可能需要一些时间才能完成。

后续步骤

若要详细了解同步过程,请参阅了解 Azure AD 域服务中的同步