以下文档介绍了常见和支持的混合同步方案。
支持的同步方案
下表概述了最常见和支持的同步方案。
| 情景 | 受云同步支持 | 受连接同步支持 | 受 MIM 和图形连接器支持 | 受 ECMA 主机连接器支持 |
|---|---|---|---|---|
| 管理标识的新混合客户 | ● | ● | ● | 不适用 |
| 合并和收购(已断开连接的林) | ● | 不适用 | ● | 不适用 |
| 高可用性 - 延迟(我需要高可用性) | ● | 不适用 | ● | 不适用 |
| 从连接同步迁移到云同步 | ● | ● | 不适用 | 不适用 |
| Microsoft Entra 混合联接 | 不适用 | ● | 不适用 | 不适用 |
| Exchange 混合 | ● | ● | 不适用 | 不适用 |
| 资源林中一个林/邮箱中的用户帐户 | N/A | ● | 不适用 | 不适用 |
| 同步具有超过 25 万个对象的大型域 | 不适用 | ● | ● | 不适用 |
| 基于属性值筛选 Directory 对象 | 不适用 | ● | ● | 不适用 |
| Windows Hello 企业版 | 不适用 | ● | 不适用 | 无 |
| 从云同步到本地 AD | N/A | 不适用 | ● | 不适用 |
| 从云同步到本地 LDAP | 不适用 | 不适用 | ● | ● |
| 从云同步到本地 SQL | 不适用 | 不适用 | ● | ● |
支持的预配场景
下表概述了支持的常见预配场景。
| 应用场景 | 受云同步支持 | 受连接同步支持 | 受 MIM 和图形连接器支持 | 受 ECMA 主机连接器支持 |
|---|---|---|---|---|
| 向 Active Directory 的组预配 | ● | 不适用 | ● | 不适用 |
其他信息
- 在以下情况下,可使用连接同步和云同步来同步同一域中的用户和组:
- 每个同步中的范围筛选器是互斥的
- 如果为包含,则不应有相同的属性值发生冲突(不支持优先级)
- 您可以使用Connect Sync同步用户和组,同时利用云同步的独有新功能(*已在路线图中标注)
- 如果仅在单个 Microsoft Entra 租户中启用写回功能,则可以将对象从单个 AD 同步到多个 Azure AD。
并行运行云同步和连接同步
可以在同一个林中运行云同步和 Microsoft Entra Connect。 你可能会决定允许云同步处理方案中 80% 的工作,并将 Microsoft Entra Connect 用于方案中 20% 的比较模糊的工作。 教程如何为现有的同步 AD 林迁移到 Microsoft Entra 云同步演示了如何运行每种同步的示例。
常见身份验证方法和方案
混合标识方案使用三种身份验证方法之一。 这三种方法是:
这些身份验证方法还提供单一登录功能。 单一登录可使连接到企业网络的企业设备上的用户自动登录。
有关更多信息,请参阅为 Microsoft Entra 混合标识解决方案选择正确的身份验证方法。
| 我需要: | PHS 和 SSO | PTA 和 SSO | 联邦 |
|---|---|---|---|
| 将本地 Active Directory 中创建的新用户、联系人和组帐户自动同步到云。 | ● | ● | ● |
| 针对 Microsoft 365 混合方案设置我的租户。 | ● | ● | ● |
| 使用户能够使用其本地密码登录并访问云服务。 | ● | ● | ● |
| 使用公司凭据实现单一登录。 | ● | ● | ● |
| 确保未在云中存储密码哈希。 | ● | ● | |
| 启用基于云的多因素身份验证解决方案。 | ● | ● | ● |
| 启用内部环境多因素身份验证解决方案。 | ● | ||
| 支持用户使用智能卡身份验证。 | ● |