通过

将 Active Directory 预配到 Microsoft Entra ID - 配置

以下文档将指导你配置 Microsoft Entra Cloud Sync,以便从 Active Directory 预配到 Microsoft Entra ID。 如果要查找有关从 Microsoft Entra ID 预配到 AD 的信息,请参阅 “配置 - 使用 Microsoft Entra Cloud Sync 将 Active Directory 预配到 Microsoft Entra ID

以下文档演示了 Microsoft Entra Cloud Sync 的新引导用户体验。

有关配置云同步的其他信息和示例,请参阅以下视频。

配置预配

若要配置预配,请执行以下步骤。

  1. 至少以混合身份管理员的身份登录到Microsoft Entra 管理中心

  2. 浏览到 Entra ID>Entra Connect>云同步

    显示Microsoft Entra Connect Cloud Sync 主页的屏幕截图。

  1. 选择“新配置”。
  2. 选择 将 AD 同步到 Microsoft Entra ID添加配置的屏幕截图。
  3. 在“配置”屏幕上,选择你的域以及是否启用密码哈希同步。单击“创建”。

新配置的屏幕截图。

  1. 此时将打开“开始”屏幕。 在此处,可以继续配置云同步。

入门屏幕的屏幕截图。

  1. 配置拆分为以下 5 个部分。
部分 DESCRIPTION
1.添加范围筛选器 使用此部分定义Microsoft Entra ID 中显示的对象
2. 映射 属性 使用此部分可以映射具有 Microsoft Entra 对象的本地用户/组之间的属性
3. 测试 在部署配置之前对其进行测试
4.查看 默认属性 在启用默认设置之前查看默认设置,并在适当情况下进行更改
5.启用你的配置 准备就绪后,启用配置和用户/组将开始同步

注释

在配置过程中,将创建同步服务帐户的格式 为 ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com ,如果为同步服务帐户启用了多重身份验证,或者意外为同步帐户启用其他交互式身份验证策略,可能会出错。 删除同步服务帐户的多重身份验证或任何交互式身份验证策略应解决此错误,并且你可以顺利完成配置。

将预配范围限定为特定用户和组

默认情况下,预配代理将从 Active Directory 同步一部分用户和组。 可以使用本地 Active Directory 组或组织单位进一步限定代理范围,以同步特定用户和组。

范围筛选器图标的屏幕截图。

可以在配置中配置组和组织单位。

注释

不能使用具有组范围的嵌套组。 在使用安全组限定范围时,将不包括第一级以外的嵌套对象。 仅对试点方案使用组范围筛选,因为同步大型组存在限制。

  1. 在“开始”配置屏幕上。 单击“添加范围筛选器”图标旁边的“添加范围筛选器”,或单击左侧“管理”下的“范围筛选器”

范围筛选器的屏幕截图。

  1. 选择范围筛选器。 筛选器可以是下列筛选器之一:
    • 所有用户:限定要应用于正在同步的所有用户的配置。
    • 所选安全组:限定要应用于特定安全组的配置范围。
    • 所选组织单位:限定要应用于特定 OU 的配置范围。
  2. 对于安全组和组织单位,请提供相应的可分辨名称,然后单击“ 添加”。
  3. 配置范围筛选器后,单击“ 保存”。
  4. 保存后,应会看到一条消息,告知你仍需执行哪些作来配置云同步。可以单击链接以继续。 范围筛选器提醒的屏幕截图。
  5. 更改范围后,应 重启预配 以启动更改的即时同步。

属性映射

Microsoft Entra Cloud Sync 允许在本地用户/组对象与 Microsoft Entra ID 中的对象之间轻松映射属性。

地图属性图标的屏幕截图。

可以根据业务需求自定义默认的属性映射。 因此,可以更改或删除现有属性映射或者创建新的属性映射。

默认属性映射的屏幕截图。

保存后,应会看到一条消息,告知你仍需执行哪些作来配置云同步。可以单击链接以继续。 属性筛选器提醒的屏幕截图。

有关详细信息,请参阅 属性映射

目录扩展和自定义属性映射。

Microsoft Entra Cloud Sync 允许通过扩展来扩展目录,并提供自定义属性映射功能。 有关详细信息,请参阅 目录扩展和自定义属性映射

按需预配

Microsoft Entra Cloud Sync 允许通过将这些更改应用于单个用户或组来测试配置更改。

测试图标的屏幕截图。

可以使用此选项来验证和验证对配置所做的更改是否已正确应用,并且是否正确同步到 Microsoft Entra ID。

按需预配的屏幕截图。

测试后,应会看到一条消息,告知你仍需执行哪些作来配置云同步。可以单击链接以继续。 用于测试的提醒屏幕截图。

有关详细信息,请参阅按需预配

意外删除和电子邮件通知

默认属性部分提供有关意外删除和电子邮件通知的信息。

默认属性图标的屏幕截图。

意外删除功能旨在防止意外配置更改和对影响许多用户和组的本地目录的更改。

可以使用此功能实现以下操作:

  • 配置自动防止意外删除的功能。
  • 设置对象数量(阈值),超过该值后配置将生效。
  • 设置通知电子邮件地址,以便此方案中相关同步作业被置于隔离状态后,用户可以收到电子邮件通知

有关详细信息,请参阅意外删除

单击“基本信息”旁边的铅笔以更改配置中的默认值。

基本信息的屏幕截图。

启用配置

完成并测试配置后,即可启用它。

查看和启用图标的屏幕截图。

单击“ 启用配置 ”以启用它。

启用配置的屏幕截图。

隔离

云同步监视配置的运行状况,并将不正常的对象置于隔离状态。 如果由于错误(例如,管理员凭据无效),针对目标系统进行的大多数或全部调用都会失败,则同步作业将标记为隔离状态。 有关详细信息,请参阅关于隔离的故障排除部分。

重启预配

如果不想等待下一次计划的运行,请使用 “重启同步 ”按钮触发预配运行。

  1. 至少以混合身份管理员的身份登录到Microsoft Entra 管理中心

  2. 浏览到 Entra ID>Entra Connect>云同步

    显示Microsoft Entra Connect Cloud Sync 主页的屏幕截图。

  1. 配置下,选择您的配置。

重启同步的屏幕截图。

  1. 在顶部,选择“ 重启同步”。

删除配置

若要删除配置,请执行以下步骤。

  1. 至少以混合身份管理员的身份登录到Microsoft Entra 管理中心

  2. 浏览到 Entra ID>Entra Connect>云同步

    显示Microsoft Entra Connect Cloud Sync 主页的屏幕截图。

  1. 配置下,选择您的配置。

删除的屏幕截图。

  1. 在配置屏幕顶部,选择“ 删除配置”。

重要

删除配置时没有先进行确认。 在选择删除之前,请确保这是您想要执行的操作。

后续步骤