Microsoft Entra Cloud Sync 代表了微软在混合标识同步方面的战略方向,提供了一种现代化、云管理的方法,用于在 Active Directory 和 Microsoft Entra ID 之间同步用户、组和联系人。 当组织评估其混合标识基础结构时,了解技术优势和迁移准备情况对于做出明智的决策至关重要。
帮助 IT 架构师和决策者评估从 Microsoft Entra Connect 到云同步的迁移的决策指南,通过比较技术能力、识别体系结构优势,并提供迁移准备情况的评估。 有关基本概述信息,请参阅 什么是Microsoft Entra Cloud Sync?,有关分步迁移过程,请参阅 从 Microsoft Entra Connect 迁移到 Microsoft Entra Cloud Sync。
新的标识和同步功能主要在云同步平台上开发,使其成为大多数组织推荐的路径。
迁移的技术优势
本部分重点介绍从 Microsoft Entra Connect 迁移到云同步的主要技术优势,从而深入了解云同步的体系结构和功能如何增强混合标识环境。
云管理配置体系结构
Microsoft Entra Connect 依赖于需要直接服务器访问权限进行管理、更新和故障排除的本地服务器配置。 云同步将配置管理移动到云中,将所有同步设置存储在Microsoft Entra ID 中作为服务的一部分。 此体系结构消除了本地服务器管理的需求,同时通过 Microsoft Entra 管理中心提供集中控制。
管理员可以修改同步配置、监视同步状态,并排查来自任何位置的问题,而无需 VPN 访问或本地连接。 配置更改会自动分发到代理,从而减少管理开销和潜在的配置偏差。
通过多个活跃代理增强可靠性
Microsoft Entra Connect 创建单一故障点 - 如果 Connect 服务器不可用,同步将停止,直到服务器还原为止。 云同步支持跨不同服务器部署的多个活动预配代理,提供自动故障转移功能。
当一个代理不可用时,其他代理将继续处理同步请求,而不会中断。 此分布式模型消除了计划内维护停机时间,并针对硬件故障或网络连接问题提供内置复原能力。 组织可以跨不同位置或网络段战略性地部署代理,以优化性能和可靠性。
新式可伸缩性和部署模型
与 Connect 同步的全面安装相比,轻型预配代理模型需要最少的服务器资源。 可以在现有域控制器或独立服务器上部署代理,但资源影响最小。 这种部署灵活性使组织能够根据地理分布或组织要求缩放同步基础结构。
代理会自动从Microsoft接收更新和安全修补程序,而无需手动干预,确保同步基础结构保持最新和安全。 云管理的更新过程可减少维护时段和管理工作。
高级断开连接的森林能力
云同步原生支持从多个断开连接的 Active Directory 林进行同步。 在合并、收购或复杂的组织结构期间,通常需要这些方案。 与 Connect 同步不同,它需要在断开连接的林中进行复杂的配置或安装多个实例,而云同步则通过其多租户体系结构处理这些方案。
每个断开连接的林都可以有专用代理,同时通过云服务维护统一管理。 此功能简化了复杂的组织方案,并减少了传统多林同步所需的基础结构复杂性。
战略性新功能平台
Microsoft 的开发重点是云同步的新同步和预配功能。只有在云同步中才提供诸如组预配、Active Directory 的高级授权管理以及云原生身份场景等功能。使用 Connect 同步的组织可能无法访问新功能,或者需要额外工具以实现类似的功能。
Microsoft Entra Connect 与云同步之间的比较
下表详细比较了 Microsoft Entra Connect 与云同步之间的技术功能:
| 功能/能力 | 连接与同步 | 云同步 | 技术说明 |
|---|---|---|---|
| 用户、组、联系人同步 | ✓ | ✓ | 基本目录对象同步的完整一致性 |
| 单一连接的森林 | ✓ | ✓ | 两者都支持标准单林拓扑 |
| 多个连接的森林 | ✓ | ✓ | 两者都支持多个互连的森林场景 |
| 隔离林支持 | ✗ | ✓ | 云同步支持无需林合并的 M&A 场景 |
| 设备同步 | ✓ | ✗ | Connect 支持混合 Azure AD 联接;云同步当前不支持 |
| 多个活动同步实例 | ✗ | ✓ | 云同步代理提供自动故障转移和负载分发 |
| 每个域的缩放限制 | 无限制 | 150K 对象 | 云同步目前每个域最多支持 150,000 个对象 |
| 大型团队支持 | 25万成员 | 5万成员 | 连接支持更大的组;云同步限制为 50,000 个成员 |
| 密码哈希同步 | ✓ | ✓ | 完全等效的密码同步功能 |
| ADFS 集成设置 | ✓ | ✗ | 进行联合配置需要云同步中的独立工具 |
| Exchange 混合属性 | ✓ | ✓ | 完全支持 Exchange 混合方案 |
| 目录扩展 (1-15) | ✓ | ✓ | 支持标准扩展属性同步 |
| 自定义 AD 属性 | ✓ | ✓ | 支持客户定义的属性和目录扩展 |
| 基本属性自定义 | ✓ | ✓ | 可以通过表达式生成器自定义属性流 |
| 高级同步规则 | ✓ | ✗ | Connect 中提供的复杂同步规则引擎;云同步使用表达式生成器 |
| 基于 OU 的筛选 | ✓ | ✓ | 两者都支持组织单位范围定义 |
| 基于属性的筛选 | ✓ | 受限制 | 连接提供完整的属性筛选;云同步具有基本功能 |
| 设备写回 | ✓ | ✗ | 设备写回已停止,转而支持云 Kerberos 信任 |
| 组写回 V1 | ✓ | ✓ | 两者系统都支持传统组写回 |
| 向 AD 配置群组 | ✗ | ✓ | Cloud -to-AD 组预配仅在云同步中可用 |
| 用户预配到 AD | ✗ | ✗ | 当前不支持云到AD的用户预配 |
| 跨域引用 | ✓ | ✓ | 支持跨域的用户引用 |
| 跨林引用 | ✓ | ✗ | Connect 支持森林到森林对象关系 |
| 合并来自多个域的属性 | ✓ | ✗ | Connect 可以合并来自不同 AD 源的属性 |
| 对账能力 | ✓ | ✗ | 云同步当前不支持带外同步更正 |
| 按需预配 | ✗ | ✓ | 云同步提供即时同步测试功能 |
| 云配置管理 | ✗ | ✓ | 云同步完全通过 Microsoft Entra 管理中心进行管理 |
迁移就绪情况评估
根据上述表中的当前要求和功能比较,使用以下方案评估迁移准备情况:
准备好立即迁移
如果满足以下所有条件,组织可以立即迁移:
- 对象缩放:每个 Active Directory 域少于 150,000 个对象
- 组大小:成员少于 50,000 个的组
- 设备管理:如果不使用混合 Azure AD 加入,则可以选择过渡到云 Kerberos 信任
- 身份验证:单独使用密码哈希同步或管理 ADFS 配置
- 筛选:使用基于 OU 的筛选,而不是基于属性的复杂规则
- 森林配置:单个森林或连接的森林(无断开连接的森林要求)
符合此配置文件的组织可以立即从云同步的架构改进、多代理支持以及新云原生功能的访问中获益。
规划短期迁移
如果满足以下可能受支持的要求,请考虑根据功能可用性规划迁移:
- 设备同步:当前依赖于混合 Azure AD 加入设备同步
- 高级筛选:使用超出当前云同步功能的复杂基于属性的筛选
- 用户预配到 AD:需要云到 AD 的用户预配功能
根据关键依赖项监视Microsoft的功能公告,了解功能可用性和计划迁移时间。
评估将来的迁移
具有以下特征的组织应根据业务规划周期评估迁移时间:
- 大规模部署:每个域中超过 150,000 个对象,或组成员超过 50,000 的情况
- 复杂同步规则:需要大量重新配置的大规模自定义同步规则
- 跨林依赖关系:云同步中不支持的复杂跨林对象关系
- 同步校正要求:对带外同步更正功能的关键依赖关系
- 资源规划:迁移项目执行的有限资源
对于大规模环境,评估按域或组织单位划分迁移是否提供可行的路径,同时保持业务连续性。
决策框架
使用此框架做出迁移决策: