Подготовка идентификатора Microsoft Entra в Active Directory — конфигурация
В следующем документе описано, как настроить Microsoft Entra Cloud Sync для подготовки из идентификатора Microsoft Entra в Active Directory. Если вы ищете сведения о подготовке из AD в идентификатор Microsoft Entra ID, см. статью "Настройка - подготовка Active Directory к идентификатору Microsoft Entra ID с помощью Microsoft Entra Cloud Sync"
Внимание
Общедоступная предварительная версия групповой обратной записи версии 2 в Microsoft Entra Connect Sync больше не будет доступна после 30 июня 2024 г. Эта функция будет прекращена по этой дате, и вы больше не будете поддерживаться в Connect Sync для подготовки групп безопасности облака в Active Directory. Функция будет продолжать работать за пределами даты прекращения; однако она больше не получит поддержку после этой даты и может прекратить работу в любое время без уведомления.
Мы предлагаем аналогичные функциональные возможности в Microsoft Entra Cloud Sync с именем "Подготовка групп в Active Directory", которые можно использовать вместо групповой обратной записи версии 2 для подготовки групп безопасности облака в Active Directory . Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.
Клиенты, использующие эту предварительную версию функции в Службе синхронизации connect, должны переключить конфигурацию с Connect Sync на Cloud Sync. Вы можете переместить всю гибридную синхронизацию в облачную синхронизацию (если она поддерживает ваши потребности). Вы также можете выполнять облачную синхронизацию параллельно и перемещать только подготовку группы безопасности облака в Active Directory в Cloud Sync.
Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи групп версии 1 для этой возможности.
Вы можете оценить перемещение исключительно в Cloud Sync с помощью мастера синхронизации пользователей.
Настройка подготовки
Чтобы настроить подготовку, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор.
- Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.
- Выберите Новая конфигурация.
- Выберите идентификатор Microsoft Entra в службу синхронизации AD.
- На экране конфигурации выберите домен и укажите, следует ли включить синхронизацию хэша паролей. Нажмите кнопку Создать.
- Откроется экран "Начало работы ". Здесь можно продолжить настройку облачной синхронизации.
- Конфигурация разделена на следующие 5 разделов.
| Раздел | Описание |
|---|---|
| 1. Добавление фильтров области | Используйте этот раздел, чтобы определить, какие объекты отображаются в идентификаторе Microsoft Entra |
| 2. Атрибуты карты | Используйте этот раздел для сопоставления атрибутов между локальными пользователями и группами с объектами Microsoft Entra |
| 3. Тестирование | Проверка конфигурации перед развертыванием |
| 4. Просмотр свойств по умолчанию | Просмотр параметра по умолчанию перед включением и внесение изменений в соответствии с соответствующими параметрами |
| 5. Включение конфигурации | После готовности включите конфигурацию и пользователей или группы начнет синхронизацию |
Подготовка области для определенных групп
Агент можно ограничить синхронизацией всех или определенных групп безопасности. Группы и организационные подразделения можно настроить в конфигурации.
- На экране настройки начала работы. Щелкните значок "Добавить фильтры области" рядом с значком "Добавить фильтры области" или щелкните фильтры области слева в разделе "Управление".
- Выберите фильтр области. Фильтр может быть одним из следующих вариантов:
- Все группы безопасности: область конфигурации, применяемая ко всем группам безопасности облака.
- Выбранные группы безопасности: область конфигурации для применения к определенным группам безопасности.
- Для определенных групп безопасности выберите "Изменить группы " и выберите нужные группы из списка.
Примечание.
Если выбрать группу безопасности, вложенную группу безопасности в качестве члена, то только вложенные группы будут записаны обратно, а не члены. Например, если группа безопасности продаж входит в группу безопасности маркетинга, только сама группа продаж будет записана обратно, а не члены группы продаж.
Если вы хотите вложить группы и подготовить их AD, необходимо также добавить все группы-члены в область.
- Поле "Целевой контейнер" можно использовать для групп областей, использующих определенный контейнер. Выполните эту задачу с помощью атрибута parentDistinguishedName. Используйте сопоставление констант, прямых или выражений.
Несколько целевых контейнеров можно настроить с помощью выражения сопоставления атрибутов с функцией Switch(). При использовании этого выражения, если значение displayName является маркетингом или продажами, группа создается в соответствующем подразделении. Если совпадения нет, группа создается в подразделении по умолчанию.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
- Поддерживается фильтрация области на основе атрибутов. Дополнительные сведения см. в разделе "Фильтрация области на основе атрибутов" и "Справочник по написанию выражений для сопоставления атрибутов" в идентификаторе и сценарии Microsoft Entra. Использование расширений каталогов с подготовкой групп в Active Directory.
- После настройки фильтров области нажмите кнопку "Сохранить".
- После сохранения вы увидите сообщение о том, что все еще необходимо сделать для настройки облачной синхронизации. Чтобы продолжить, щелкните ссылку.
Подготовка области для определенных групп с помощью расширений каталогов
Для более расширенной области и фильтрации можно настроить использование расширений каталогов. Общие сведения о расширениях каталогов см . в разделе "Расширения каталога" для подготовки идентификатора Microsoft Entra в Active Directory
Пошаговое руководство по расширению схемы, а затем использование атрибута расширения каталога с подготовкой облачной синхронизации в AD см. в статье "Сценарий. Использование расширений каталогов с подготовкой групп в Active Directory".
Сопоставление атрибутов
Microsoft Entra Cloud Sync позволяет легко сопоставлять атрибуты между локальными объектами пользователя или группы и объектами в идентификаторе Microsoft Entra.
Сопоставление атрибутов по умолчанию можно настроить в соответствии с потребностями вашего бизнеса. Поэтому можно изменить или удалить существующие сопоставления атрибутов или создать новые.
После сохранения вы увидите сообщение о том, что все еще необходимо сделать для настройки облачной синхронизации. Чтобы продолжить, щелкните ссылку.
Дополнительные сведения см. в разделе "Сопоставление атрибутов" и "Справочник по написанию выражений" для сопоставлений атрибутов в идентификаторе Microsoft Entra ID.
Расширения каталогов и сопоставление настраиваемых атрибутов.
Microsoft Entra Cloud Sync позволяет расширить каталог с расширениями и обеспечить сопоставление настраиваемых атрибутов. Дополнительные сведения см. в разделе "Расширения каталога" и сопоставление настраиваемых атрибутов.
Подготовка по запросу
Microsoft Entra Cloud Sync позволяет тестировать изменения конфигурации, применяя эти изменения к одному пользователю или группе.
Это можно использовать для проверки и проверки правильности применения изменений в конфигурации и правильной синхронизации с идентификатором Microsoft Entra.
После тестирования вы увидите сообщение о том, что вам по-прежнему нужно сделать для настройки облачной синхронизации. Чтобы продолжить, щелкните ссылку.
Дополнительные сведения приведены в статье о подготовке по требованию.
Случайное удаление и Уведомления по электронной почте
В разделе свойств по умолчанию содержатся сведения о случайном удалении и Уведомления по электронной почте.
Функция случайного удаления защищает от случайных изменений конфигурации и изменений в локальном каталоге, которые могут повлиять на большое количество пользователей и групп.
Эта функция позволяет:
- Настройте возможность автоматического предотвращения случайного удаления.
- задать количество объектов (пороговое значение), по достижении которого начнет действовать настроенная защита;
- Настройте адрес электронной почты уведомления, чтобы получить уведомление по электронной почте после того, как задание синхронизации в этом сценарии помещается в карантин.
Дополнительные сведения приведены в разделе Случайное удаление
Щелкните карандаш рядом с основами, чтобы изменить значения по умолчанию в конфигурации.
Включение конфигурации
После завершения и тестирования конфигурации его можно включить.
Нажмите кнопку "Включить конфигурацию", чтобы включить ее.
Карантин
Облачная синхронизация отслеживает работоспособность вашей конфигурации и помещает неработоспособные объекты в состояние карантина. Если большинство или все вызовы, отправленные в целевую систему, последовательно завершаются сбоем из-за ошибки (например, недопустимых учетных данных администратора), задание синхронизации отмечается как помещенное в карантин. Дополнительные сведения приведены в разделе об устранении неполадок при карантине.
Перезапуск подготовки
Если вы не хотите ждать следующего запланированного запуска, активируйте подготовку с помощью кнопки "Перезапустить синхронизацию ".
- Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор.
- Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.
В разделе Конфигурация выберите свою конфигурацию.
В верхней части нажмите кнопку "Перезапустить синхронизацию".
Удаление конфигурации
Чтобы удалить конфигурацию, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор.
- Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.
В разделе Конфигурация выберите свою конфигурацию.
В верхней части экрана конфигурации выберите "Удалить конфигурацию".
Внимание
Перед удалением конфигурации подтверждение не запрашивается. Прежде чем нажать кнопку Удалить, убедитесь, что это действие действительно необходимо.