Предоставление идентификатора Microsoft Entra в Active Directory — настройка

2025-08-12

В следующем документе описано, как настроить Microsoft Entra Cloud Sync для предоставления из Microsoft Entra ID в Active Directory. Если вы ищете сведения о синхронизации из AD в Microsoft Entra ID, см. статью "Настройка - синхронизация Active Directory с Microsoft Entra ID с помощью Microsoft Entra Cloud Sync"

Внимание

Предварительная версия групповой обратной записи версии 2 в Microsoft Entra Connect Sync устарела и больше не поддерживается.

Microsoft Entra Cloud Sync можно использовать для подготовки групп безопасности облака в локальных доменных службах Active Directory (AD DS).

Если вы используете групповую обратную запись версии 2 в службе синхронизации Microsoft Entra Connect, необходимо переместить клиент синхронизации в Microsoft Entra Cloud Sync. Чтобы проверить, может ли вы перейти в Microsoft Entra Cloud Sync, используйте мастер синхронизации пользователей.

Если вы не можете использовать Microsoft Cloud Sync, как рекомендуется мастером, вы можете запустить Microsoft Entra Cloud Sync параллельно с Microsoft Entra Connect Sync. В этом случае вы можете запустить Microsoft Entra Cloud Sync только для подготовки групп безопасности облака в локальных AD DS.

Если вы подготавливаете группы Microsoft 365 в AD DS, вы можете продолжать использовать обратную запись групп версии 1.

Настройка обеспечения

Чтобы настроить предоставление ресурсов, выполните следующие действия.

Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора гибридных удостоверений.
Перейдите к Entra ID>Entra Connect>Cloud синхронизация.

Выберите новую конфигурацию.
Выберите синхронизацию Microsoft Entra ID с AD.

На экране конфигурации выберите домен и включите синхронизацию хэша паролей. Нажмите кнопку "Создать".

Откроется экран "Начало работы ". Здесь можно продолжить настройку облачной синхронизации.

Конфигурация разделена на следующие 5 разделов.

Раздел	Описание
1. Добавление фильтров области	Используйте этот раздел, чтобы определить, какие объекты отображаются в идентификаторе Microsoft Entra
2. Атрибуты карты	Используйте этот раздел для сопоставления атрибутов между локальными пользователями и группами с объектами Microsoft Entra
3. Тестирование	Проверка конфигурации перед развертыванием
4. Просмотр свойств по умолчанию	Просмотрите настройки по умолчанию перед их включением и внесите изменения, если это необходимо.
Включите вашу конфигурацию	После того как все будет готово, включите конфигурацию, и пользователи/группы начнут синхронизироваться.

Предоставление параметров для конкретных групп

Вы можете настроить агента для синхронизации всех или определенных групп безопасности.

Дополнительные сведения см. в разделе "Фильтрация области на основе атрибутов", "Справочник по написанию выражений для сопоставления атрибутов в Microsoft Entra ID" и "Сценарий - Использование расширений каталогов при подготовке групп в Active Directory".

Группы и организационные подразделения можно настроить в конфигурации.

На экране настройки начала работы. Щелкните либо "Добавить фильтры области" рядом с иконкой Добавить фильтры области, либо щелкните "Фильтры области" слева в разделе "Управление".

Выберите фильтр области действия. Фильтр может быть одним из следующих вариантов:

Все группы безопасности: область конфигурации, применяемая ко всем группам безопасности облака.
Выбранные группы безопасности: область конфигурации для применения к определенным группам безопасности.

Для определенных групп безопасности выберите "Изменить группы " и выберите нужные группы из списка.

Примечание.

Если вы выберете группу безопасности, у которой вложенная группа безопасности является членом, то только вложенная группа будет записана обратно, а не её члены. Например, если группа безопасности продаж входит в группу безопасности маркетинга, только сама группа продаж будет записана обратно, а не члены группы продаж.

Если вы хотите вложить группы и подготовить их для AD, то необходимо также добавить все группы-члены в область действия.

Вы можете использовать поле Целевой контейнер для определения групп, использующих определенный контейнер. Выполните эту задачу с помощью атрибута parentDistinguishedName. Используйте сопоставление констант, прямых или выражений.

Несколько целевых контейнеров можно настроить с помощью выражения сопоставления атрибутов с функцией Switch(). При использовании этого выражения, если значение displayName является "Маркетинг" или "Продажи", группа создается в соответствующей ОЕ. Если совпадения нет, группа создается в "OU" по умолчанию.

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

Поддерживается фильтрация области на основе атрибутов. Дополнительные сведения см. в разделе "Фильтрация области на основе атрибутов", "Справочник по написанию выражений для сопоставления атрибутов в Microsoft Entra ID" и "Сценарий - Использование расширений каталогов при подготовке групп в Active Directory".
После настройки фильтров области применения нажмите кнопку "Сохранить".
После сохранения вы увидите сообщение о том, что все еще необходимо сделать для настройки облачной синхронизации. Чтобы продолжить, щелкните ссылку.

Настройка области охвата для определенных групп с помощью расширений каталогов

Для более расширенной области и фильтрации можно настроить использование расширений каталогов. Для получения обзора расширений каталогов см. Расширения каталога для предоставления Microsoft Entra ID в Active Directory

Пошаговое руководство по расширению схемы и дальнейшему использованию атрибута расширения каталога для синхронизации с облачным обслуживанием Active Directory см. в статье «Сценарий - Использование расширений каталога для подготовки групп к Active Directory».

Сопоставление атрибутов

Microsoft Entra Cloud Sync позволяет легко сопоставлять атрибуты между локальными объектами пользователя или группы и объектами в идентификаторе Microsoft Entra.

Сопоставление атрибутов по умолчанию можно настроить в соответствии с потребностями вашего бизнеса. Поэтому можно изменить или удалить существующие сопоставления атрибутов или создать новые.

После сохранения вы увидите сообщение о том, что все еще необходимо сделать для настройки облачной синхронизации. Чтобы продолжить, щелкните ссылку.

Дополнительные сведения см. в разделе "Сопоставление атрибутов " и "Справочник по написанию выражений" для сопоставлений атрибутов в идентификаторе Microsoft Entra ID.

Расширения каталогов и сопоставление настраиваемых атрибутов.

Microsoft Entra Cloud Sync позволяет расширить каталог с расширениями и обеспечить сопоставление настраиваемых атрибутов. Дополнительные сведения см. в разделе "Расширения каталога" и сопоставление настраиваемых атрибутов.

Подготовка по запросу

Microsoft Entra Cloud Sync позволяет тестировать изменения конфигурации, применяя эти изменения к одному пользователю или группе.

Вы можете использовать это для проверки и подтверждения, что изменения, внесенные в конфигурацию, применены правильно и правильно синхронизированы с Microsoft Entra ID.

После тестирования вы увидите сообщение о том, что вам по-прежнему нужно сделать для настройки облачной синхронизации. Чтобы продолжить, щелкните ссылку.

Дополнительные сведения см. в статье о подготовке по запросу.

Случайные удаления и уведомления по электронной почте

В разделе свойств по умолчанию содержатся сведения о случайном удалении и Уведомления по электронной почте.

Функция случайного удаления защищает от случайных изменений конфигурации и изменений в локальном каталоге, которые могут повлиять на большое количество пользователей и групп.

Эта функция позволяет:

Настройте возможность автоматического предотвращения случайного удаления.
задать количество объектов (пороговое значение), по достижении которого начнет действовать настроенная защита;
Настройте адрес электронной почты для уведомлений, чтобы они могли получать уведомление, когда указанное задание синхронизации в этом сценарии будет помещено в карантин.

Дополнительные сведения см. в разделе Случайные удаления

Щелкните карандаш рядом с основами , чтобы изменить значения по умолчанию в конфигурации.

Включите вашу конфигурацию

После завершения и тестирования конфигурации его можно включить.

Нажмите кнопку "Включить конфигурацию", чтобы включить ее.

Карантин

Облачная синхронизация отслеживает работоспособность вашей конфигурации и помещает неработоспособные объекты в состояние карантина. Если большинство или все вызовы, отправленные в целевую систему, последовательно завершаются сбоем из-за ошибки (например, недопустимых учетных данных администратора), задание синхронизации отмечается как помещенное в карантин. Дополнительные сведения см. в разделе по устранению неполадок, посвященном карантинам.

Перезапуск обеспечения

Если вы не хотите ждать следующего запланированного запуска, запустите процесс подготовки с помощью кнопки Перезапустить синхронизацию.

Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора гибридных удостоверений.
Перейдите к Entra ID>Entra Connect>Cloud синхронизация.

В разделе "Конфигурация" выберите конфигурацию.
В верхней части нажмите кнопку "Перезапустить синхронизацию".

Удалите конфигурацию

Чтобы удалить конфигурацию, выполните следующие действия.

Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора гибридных удостоверений.
Перейдите к Entra ID>Entra Connect>Cloud синхронизация.

В разделе "Конфигурация" выберите конфигурацию.
В верхней части экрана конфигурации выберите "Удалить конфигурацию".