Microsoft Entra云同步常见问题解答

密码哈希同步每 2-5 分钟计划一次。 大约每 10 到 20 分钟会进行一次用户和组的云预配同步。 但是，在 Microsoft Entra ID 中预配对象所需的实际时间取决于每个同步周期中待处理的更改数量。 较大的更改量可能会延长预配时间，而较小的集可能更快地完成。 因此，对象同步延迟受同步周期间隔和正在处理的更改量的影响。

这是预期的行为。 失败是由于Microsoft Entra ID中不存在的用户对象造成的。 预配用户后，请等待运行几次，然后确认密码哈希同步是否不再出错。

使用 Microsoft Entra Connect Sync，预配在本地同步服务器上运行。 配置存储在本地同步服务器上。 使用 Microsoft Entra Cloud Sync，预配配置存储在云中，并作为Microsoft Entra预配服务的一部分在云中运行。 有关详细比较，请参阅详细文章 什么是 Microsoft Entra Cloud Sync。

是的。 云预配可用于从多个Active Directory林同步。 在多林环境中，所有引用（例如管理器）需位于域中。

代理由Microsoft自动进行升级。 对于 IT 团队来说，这可以减轻必须测试和验证新代理版本的负担。

目前没有支持的方法来禁用自动升级。

默认情况下，云同步使用 ms-ds-consistency-GUID，并可回退到用作源定位点的 ObjectGUID。 不支持更改源定位点的方式。

是，云同步将使用域名作为服务主体名称，为预配配置创建服务主体。 请不要对服务主体配置进行任何更改。

如果在云同步中启用了密码哈希同步，并且同步用户需要在本地 AD 中下次登录时更改密码，则云同步不会将“to-be-changed”密码哈希预配到Microsoft Entra ID。 用户更改密码后，会将用户密码哈希从 AD 预配到Microsoft Entra ID。

否，云同步不支持写回任何对象（包括用户对象）的 ms-ds-consistencyGUID。

删除配置时，云同步不会自动删除Microsoft Entra ID中的同步对象。 若要确保没有旧对象，请将配置的范围更改为空组或组织单位。 预配运行并清理对象后，请禁用并删除配置。

卸载或停止云同步代理时，不会立即从Microsoft Entra admin center中删除代理。 大约一小时后，代理显示为 “非活动”。 大约 10 天后，代理会进行软删除处理，不再出现在门户中。 代理在证书过期时永久删除，从而阻止与Microsoft services进行进一步的交互。 有关详细信息，请参阅 卸载后从门户中删除代理。

是的。 云同步现在支持Exchange混合方案。 有关详细信息，请参阅使用云同步的Exchange混合架构

否，不支持在 Server Core 上安装代理。

是，支持在同一服务器上安装代理。

否，不支持暂存服务器。

否，不支持同步来宾用户帐户。

删除并重新创建用户。 如果将用户从限定为云同步范围的 OU 中移出，则会将此操作视为删除操作。 如果用户移动到由 Microsoft Entra Connect 管理的 OU，则会将其重新预配到Microsoft Entra ID并创建一个新用户。

无变化。 如果重命名或移动该 OU，不会删除用户。

是的。 目前，我们最多支持 50,000 个使用 OU 范围筛选进行同步的组成员。

否。 当使用安全组限定范围时，不会包括第一级以外的嵌套对象。 仅对试点场景使用组范围筛选，同步大型组时存在限制。

否。 只有一个代理处于活动状态。

否。 首选的域控制器列表是在代理安装过程中指定的，但该列表是可选的。 如果未配置首选 DC，代理会使用域中的任何可用 DC。

否，不支持通过 NAT 使用 Microsoft Entra 云同步，因为它依赖于不支持 NAT 的Active Directory。 请参阅 支持边界的 Active Directory 在 NAT 中的作用。

后续步骤

• 什么是预配？
• 什么是Microsoft Entra云同步？