Udostępnij przez

Obsługiwane topologie i scenariusze usługi Microsoft Entra Cloud Sync

W tym artykule opisano różne topologie lokalne i Microsoft Entra, które korzystają z usługi Microsoft Entra Cloud Sync. Ten artykuł zawiera tylko obsługiwane konfiguracje i scenariusze.

Ważne

Firma Microsoft nie obsługuje modyfikowania ani obsługi usługi Microsoft Entra Cloud Sync poza konfiguracjami lub akcjami, które zostały formalnie udokumentowane. Każda z tych konfiguracji lub akcji może spowodować niespójny lub nieobsługiwany stan usługi Microsoft Entra Cloud Sync. W związku z tym firma Microsoft nie może zapewnić pomocy technicznej dla takich wdrożeń.

Aby uzyskać więcej informacji, zobacz poniższe wideo.

Kwestie, które należy pamiętać o wszystkich scenariuszach i topologiach

Podczas wybierania rozwiązania należy pamiętać o poniższych informacjach.

  • Użytkownicy i grupy muszą być jednoznacznie identyfikowani we wszystkich lasach.
  • Dopasowywanie między lasami nie występuje w przypadku synchronizacji z chmurą.
  • Kotwica źródłowa dla obiektów jest wybierana automatycznie. Używa ms-DS-ConsistencyGuid, jeśli istnieje, w przeciwnym razie używany jest ObjectGUID.
  • Nie można zmienić atrybutu używanego dla kotwicy źródłowej.

Topologie obsługiwane przez Microsoft Active Directory i Entra ID

Poniższe topologie są obsługiwane w przypadku aprowizacji z Active Directory do Microsoft Entra ID.

Pojedynczy las, pojedyncza dzierżawa firmy Microsoft Entra

Diagram przedstawiający topologię pojedynczego lasu i pojedynczej dzierżawy.

Najprostszą topologią jest pojedynczy las lokalny z jedną lub wieloma domenami oraz jednym dzierżawcą Microsoft Entra. Aby zapoznać się z przykładem tego scenariusza, zobacz Samouczek: jeden las z jednym dzierżawcą Microsoft Entra

Wiele lasów, pojedynczy dzierżawca Microsoft Entra

Topologia dla wielu lasów i jednego dzierżawcy

Wiele lasów AD to powszechna topologia z jedną lub wieloma domenami i pojedynczym dzierżawcą Microsoft Entra.

Istniejący las z programem Microsoft Entra Connect, nowy las z aprowizowaniem w chmurze

Diagram przedstawiający topologię istniejącego lasu i nowego lasu.

Ta topologia scenariusza jest podobna do scenariusza obejmującego wiele lasów. Jednak ten scenariusz obejmuje istniejące środowisko Microsoft Entra Connect, a następnie dodanie nowego lasu za pomocą usługi Microsoft Entra Cloud Sync. Aby zapoznać się z przykładem tego scenariusza, zapoznaj się z Samouczek: Istniejący las z jedną dzierżawą usługi Microsoft Entra.

Pilotaż usługi Microsoft Entra Cloud Sync w istniejącym hybrydowym lesie AD

Topologia pojedynczego lasu i pojedynczego dzierżawcy

Scenariusz pilotażowy obejmuje istnienie zarówno Microsoft Entra Connect, jak i Microsoft Entra Cloud Sync w tym samym lesie oraz odpowiednie określenie zakresu użytkowników i grup. UWAGA: Obiekt powinien być widoczny tylko w jednym z narzędzi.

Aby zapoznać się z przykładem tego scenariusza, zobacz Samouczek: Pilotażowa synchronizacja z chmurą Microsoft Entra w istniejącym zsynchronizowanym lesie usługi AD

Scalanie obiektów z odłączonych źródeł

(Publiczna wersja zapoznawcza)

Diagram przedstawiający scalanie obiektów z odłączonych źródeł

W tym scenariuszu atrybuty użytkownika są współtworzone przez dwa niezależne lasy usługi Active Directory.

Przykładem może być:

  • Jeden las (1) zawiera większość atrybutów.
  • Drugi las (2) zawiera kilka atrybutów.

Ponieważ drugi las nie ma łączności sieciowej z serwerem Microsoft Entra Connect, nie można scalić obiektu za pośrednictwem programu Microsoft Entra Connect. Synchronizacja chmury w drugim lesie umożliwia pobranie wartości atrybutu z drugiego lasu. Program Microsoft Entra Connect synchronizuje obiekt w identyfikatorze Entra firmy Microsoft, a następnie można z nim scalić wartość.

Ta konfiguracja jest zaawansowana i istnieje kilka zastrzeżeń dotyczących tej topologii:

  1. Musisz użyć ms-DS-ConsistencyGuid jako kotwicy źródłowej w konfiguracji synchronizacji w chmurze.
  2. Obiekt ms-DS-ConsistencyGuid użytkownika w drugim lesie musi być zgodny z obiektem odpowiadającym mu w identyfikatorze Entra firmy Microsoft.
  3. Należy wypełnić atrybuty UserPrincipalName i Alias w drugim lesie tak, aby były zgodne z tymi, które są synchronizowane z pierwszego lasu.
  4. Należy usunąć wszystkie atrybuty z mapowania atrybutów w konfiguracji synchronizacji chmury, które nie mają wartości lub mogą mieć inną wartość w drugim lesie — nie można mieć nakładających się mapowań atrybutów między pierwszym lasem a drugim.
  5. Jeśli dla obiektu synchronizowanego z drugiego lasu nie ma odpowiadającego obiektu w pierwszym lesie, to synchronizacja w chmurze nadal tworzy obiekt w Microsoft Entra ID. Obiekt ma tylko te atrybuty, które są zdefiniowane w konfiguracji mapowania synchronizacji chmury dla drugiego lasu.
  6. Jeśli usuniesz obiekt z drugiego lasu, zostanie on tymczasowo miękko usunięty w Microsoft Entra ID. Zostanie ona automatycznie przywrócona po następnym cyklu synchronizacji programu Microsoft Entra Connect.
  7. Jeśli usuniesz obiekt z pierwszego lasu, zostanie on tymczasowo usunięty z Microsoft Entra ID. Obiekt nie zostanie przywrócony, chyba że zostanie wprowadzona zmiana obiektu w drugim lesie. Po upływie 30 dni obiekt jest trwale usuwany z identyfikatora Entra firmy Microsoft. Jeśli w drugim lesie zostanie wprowadzona zmiana w obiekcie, zostanie on utworzony jako nowy obiekt w Microsoft Entra ID.

Microsoft Entra ID dla obsługiwanych topologii Active Directory

Poniższe topologie są obsługiwane do aprowizacji z identyfikatora Entra firmy Microsoft do usługi Active Directory.

Udostępnianie grupy w jednym lesie w usłudze Active Directory

Koncepcyjny diagram buforowania zapisu dla pojedynczego lasu.

Najprostszą topologią aprowizacji grup jest pojedynczy lokalny las z jedną lub wieloma domenami oraz jedną dzierżawą Microsoft Entra. Przykład tego scenariusza zobacz w Provision groups to Active Directory

Tworzenie grup wielolasowych w usłudze Active Directory

Diagram koncepcyjny przywracania danych w wielu lasach.

Bardziej zaawansowana topologia aprowizacji grup składa się z wielu lokalnych lasów AD współużytkujących pojedynczą dzierżawę Microsoft Entra ID.

Ta konfiguracja jest zaawansowana i istnieje kilka rzeczy, które należy zapamiętać z tą topologią:

  • Grupy aprowizowane w usłudze AD przy użyciu synchronizacji za pomocą chmury mogą zawierać tylko lokalnych użytkowników synchronizowanych oraz/lub dodatkowe grupy zabezpieczeń utworzone w chmurze.
  • Wszyscy ci użytkownicy muszą mieć atrybut onPremisesObjectIdentifier ustawiony na swoim koncie.
  • Element onPremisesObjectIdentifier musi być zgodny z odpowiednim identyfikatorem objectGUID w docelowym środowisku AD.
  • Atrybut objectGUID użytkowników lokalnych można zsynchronizować z atrybutem onPremisesObjectIdentifier użytkowników chmurowych, korzystając z programu Microsoft Entra Synchro Chmury (1.1.1370.0) lub Microsoft Entra Synchro Połączenia (2.2.8.0).
  • W dzierżawie możesz udostępnić wspólną grupę zawierającą użytkowników z obu lasów.
  • Jednak użytkownicy, którzy nie istnieją w drugiej domenie, nie są dodawani jako członkowie grupy, gdy grupa jest tworzona lokalnie. Jeśli więc masz grupę w Microsoft Entra ID, która zawiera użytkowników z contoso.com i fabrikam.com, tylko użytkownicy, którzy istnieją w lesie contoso.com, są członkami grupy podczas aprowizacji w contoso.com. To samo dotyczy firmy Fabrikam.

Następne kroki

  • Last updated on