Синхронизация Microsoft Entra Connect: настройка предпочтительного расположения данных для ресурсов Microsoft 365

В этой статье описано, как настроить атрибут для предпочтительного расположения данных в Microsoft Entra Connect Sync. Если в Microsoft 365 используются возможности с поддержкой нескольких регионов, этот атрибут используется для обозначения географического расположения данных Пользователя Microsoft 365. (Термины регион и гео используются взаимозаменяемо.)

Supported Multi-Geo locations

For a list of all geos supported by Microsoft Entra Connect, see Microsoft 365 Multi-Geo availability

Включение синхронизации предпочтительного расположения данных

По умолчанию ресурсы Microsoft 365 для пользователей находятся в том же регионе, что и клиент Microsoft Entra. For example, if the Tenant is located in North America, then the users' Exchange mailboxes are also located in North America. Для многонациональной организации это может быть не оптимальным.

Задав атрибут предпочитаемое местоположение данных, можно определить геолокацию пользователя. Вы можете иметь ресурсы Microsoft 365 пользователя, такие как почтовый ящик и OneDrive, в том же географическом регионе, что и пользователь, и по-прежнему один клиент для всей организации.

Поддержка Microsoft Entra Connect для синхронизации

Microsoft Entra Connect поддерживает синхронизацию атрибута preferredDataLocation для объектов User в версии 1.1.524.0 и более поздних версий. Конкретно:

• The schema of the object type User in the Microsoft Entra Connector is extended to include the preferredDataLocation attribute. Атрибут имеет тип однозначной строки.
• Схема типа объекта Person в метавселенной расширена, чтобы включить атрибут preferredDataLocation. Атрибут имеет тип однозначной строки.

By default, preferredDataLocation isn't enabled for synchronization. Эта функция предназначена для крупных организаций. В схеме Active Directory Windows Server 2019 имеется атрибут msDS-preferredDataLocation, который следует использовать для этой цели. Если вы не обновили схему Active Directory и не можете сделать это, необходимо определить атрибут для хранения геообъекта Microsoft 365 для пользователей. Это будет отличаться для каждой организации.

Перед включением синхронизации:

• Если вы еще не обновили схему Active Directory до 2019 года, решите, какой локальный атрибут Active Directory будет использоваться в качестве исходного атрибута. It should be of the type, single-valued string.

• If you previously configured the preferredDataLocation attribute on existing synchronized User objects in Microsoft Entra ID by using Microsoft Graph PowerShell, you must backport the attribute values to the corresponding User objects in on-premises Active Directory.

  Important

  If you don't backport these values, Microsoft Entra Connect removes the existing attribute values in Microsoft Entra ID when synchronization for the preferredDataLocation attribute is enabled.

• Настройте исходный атрибут по крайней мере на нескольких локальных объектах пользователей Active Directory. Это можно использовать позже для проверки.

В следующих разделах приведены шаги по включению синхронизации атрибута preferredDataLocation.

Шаг 1. Отключите планировщик синхронизации и убедитесь, что синхронизация не выполняется

Чтобы избежать непреднамеренных изменений, экспортируемых в идентификатор Microsoft Entra, убедитесь, что синхронизация не выполняется во время обновления правил синхронизации. Чтобы отключить встроенный планировщик синхронизации, выполните следующие действия.

1. Запустите сеанс PowerShell на сервере Microsoft Entra Connect.
2. Отключите запланированную синхронизацию, выполнив этот командлет: Set-ADSyncScheduler -SyncCycleEnabled $false.
3. Start the Synchronization Service Manager by going to START>Synchronization Service.
4. Select the Operations tab, and confirm there's no operation with the status in progress.

Шаг 2. Обновление схемы для Active Directory

Если вы обновили схему Active Directory до версии 2019, а Connect был установлен до расширения схемы, то кэш схемы Connect не будет содержать обновлённую версию схемы. Затем необходимо обновить схему из мастера, чтобы она отображалась в пользовательском интерфейсе.

1. Start the Microsoft Entra Connect wizard from the desktop.
2. Выберите параметр Обновить схему каталога и выберите Далее.
3. Введите учетные данные Microsoft Entra и выберите Далее.
4. На странице Обновить схему каталога убедитесь, что выбраны все леса и выберите Далее.
5. When completed, close the wizard.

Шаг 3. Добавление исходного атрибута в локальную схему соединителя Active Directory

Этот шаг необходим только в том случае, если вы запускаете Подключение версии 1.3.21 или более поздней. Если вы находитесь в версии 1.4.18 или более поздней версии, перейдите к шагу 5.
Не все атрибуты Microsoft Entra импортируются в локальное пространство соединителя Active Directory. Если вы выбрали использовать атрибут, который не синхронизирован по умолчанию, необходимо импортировать его. Чтобы добавить исходный атрибут в список импортированных атрибутов:

1. Select the Connectors tab in the Synchronization Service Manager.
2. Right-select the on-premises Active Directory Connector, and select Properties.
3. In the pop-up dialog box, go to the Select Attributes tab.
4. Убедитесь, что выбранный исходный атрибут отмечен галочкой в списке атрибутов. Если атрибут не отображается, установите флажок Показать все.
5. Чтобы сохранить, нажмите кнопку ОК.

Step 4: Add preferredDataLocation to the Microsoft Entra Connector schema

Этот шаг необходим только в том случае, если вы запускаете Подключение версии 1.3.21 или более поздней. Если вы находитесь в версии 1.4.18 или более поздней версии, перейдите к шагу 5.
По умолчанию атрибут preferredDataLocation не импортируется в пространство соединителя Microsoft Entra. Чтобы добавить его в список импортированных атрибутов, выполните указанные ниже действия.

1. Select the Connectors tab in the Synchronization Service Manager.
2. Right-select the Microsoft Entra connector, and select Properties.
3. In the pop-up dialog box, go to the Select Attributes tab.
4. Выберите в списке атрибут preferredDataLocation.
5. Чтобы сохранить, нажмите кнопку ОК.

Шаг 5. Создание правила входящей синхронизации

Правило входящего синхронизации позволяет значению атрибута передаваться из исходного атрибута в локальной среде Active Directory в метавселенную.

1. Start the Synchronization Rules Editor by going to START>Synchronization Rules Editor.

2. Установите фильтр поиска Направление на Входящие.

3. Чтобы создать новое правило для входящего трафика, выберите Добавить новое правило.

4. На вкладке Описание укажите следующую конфигурацию:

   Атрибут	Ценность	Подробности
   Имя	Укажите имя	For example, “In from AD – User preferredDataLocation”
   Описание	Укажите пользовательское описание
   Подключенная система	Выберите локальный соединитель Active Directory
   Тип подключенного системного объекта	User
   Тип объекта Metaverse	Person
   Тип ссылки	Join
   Предшествование	Выберите число от 1 до 99	1–99 зарезервировано для пользовательских правил синхронизации. Не выбирайте значение, используемое другим правилом синхронизации.

5. Keep the Scoping filter empty, to include all objects. Возможно, потребуется настроить фильтр области видимости для соответствия развертыванию Microsoft Entra Connect.

6. Go to the Transformation tab, and implement the following transformation rule:

   Тип потока	Целевой атрибут	Источник	Применить один раз	Тип слияния
   Direct	предпочитаемоеМестоположениеДанных	Выбор исходного атрибута	Unchecked	Обновить

7. Чтобы создать правило для входящего трафика, выберите Добавить.

Шаг 6. Создание правила исходящей синхронизации

Правило исходящей синхронизации позволяет значению атрибута передаваться из метавселенной в атрибут preferredDataLocation в идентификаторе Microsoft Entra ID:

1. Перейдите в редактор правил синхронизации .

2. Установите для фильтра поиска Направление значение Исходящий.

3. Выберите Добавить новое правило.

4. На вкладке Описание укажите следующую конфигурацию:

   Атрибут	Ценность	Подробности
   Имя	Укажите имя	For example, “Out to Microsoft Entra ID – User preferredDataLocation”
   Описание	Укажите описание
   Подключенная система	Select the Microsoft Entra Connector
   Тип подключенного системного объекта	User
   Тип объекта Metaverse	Person
   Тип ссылки	Join
   Предшествование	Выберите число от 1 до 99	1–99 зарезервировано для пользовательских правил синхронизации. Не выбирайте значение, используемое другим правилом синхронизации.

5. Go to the Scoping filter tab, and add a single scoping filter group with two clauses:

   Атрибут	Оператор	Ценность
   тип исходного объекта	РАВНО	Пользователь
   CloudMastered	NOTEQUAL	Верно

   Фильтр области определяет, к каким объектам Microsoft Entra применяется это правило исходящей синхронизации. In this example, we use the same scoping filter from “Out to Microsoft Entra ID – User Identity” OOB (out-of-box) synchronization rule. Это предотвращает применение правила синхронизации к объектам user, которые не синхронизированы из локальной среды Active Directory. Возможно, потребуется настроить фильтр области видимости для соответствия развертыванию Microsoft Entra Connect.

6. Go to the Transformation tab, and implement the following transformation rule:

   Тип потока	Целевой атрибут	Источник	Применить один раз	Тип слияния
   Direct	предпочитаемоеМестоположениеДанных	предпочитаемоеМестоположениеДанных	Unchecked	Обновить

7. Close Add to create the outbound rule.

Шаг 7. Запуск полного цикла синхронизации

Как правило, требуется полный цикл синхронизации. Это связано с тем, что вы добавили новые атрибуты в схему Active Directory и Microsoft Entra Connector, а также ввели пользовательские правила синхронизации. Проверьте изменения перед экспортом их в идентификатор Microsoft Entra. You can use the following steps to verify the changes, while manually running the steps that make up a full synchronization cycle.

1. Run Full import on the on-premises Active Directory Connector:

   1. Go to the Connectors tab in the Synchronization Service Manager.

   2. Right-select the on-premises Active Directory Connector, and select Run.

   3. In the dialog box, select Full Import, and select OK.

   4. Дождитесь завершения операции.

      Заметка

      Можно пропустить полный импорт в локальном соединителе Active Directory, если исходный атрибут уже включен в список импортированных атрибутов. Другими словами, вам не нужно вносить никаких изменений во время шага 2 ранее в этой статье.

2. Run Full import on the Microsoft Entra Connector:

   1. Щелкните правой кнопкой мыши соединитель Microsoft Entra и выберите Запустить.
   2. In the dialog box, select Full Import, and select OK.
   3. Дождитесь завершения операции.

3. Проверьте изменения правила синхронизации в существующем объекте User.

   The source attribute from on-premises Active Directory, and preferredDataLocation from Microsoft Entra ID, is imported into each respective connector space. Прежде чем перейти к полному шагу синхронизации, выполните предварительный просмотр существующего объекта User в локальном пространстве соединителя Active Directory. Атрибут источника у выбранного объекта должен быть заполнен. A successful preview with preferredDataLocation populated in the metaverse is a good indicator that you configured the synchronization rules correctly. For information about how to do a preview, see Verify the change.

4. Run Full Synchronization on the on-premises Active Directory Connector:

   1. Right-select the on-premises Active Directory Connector, and select Run.
   2. In the dialog box, select Full Synchronization, and select OK.
   3. Дождитесь завершения операции.

5. Verify Pending Exports to Microsoft Entra ID:

   1. Right-select the Microsoft Entra Connector, and select Search Connector Space.

   2. In the Search Connector Space dialog box:

      a. Set Scope to Pending Export.
      b. Установите все три флажка, включая добавить, изменить и удалить.
      c. Чтобы просмотреть список объектов с изменениями, которые нужно экспортировать, выберите поиск. Чтобы проверить изменения для данного объекта, дважды выберите объект.
      d. Убедитесь, что изменения ожидаются.

6. Run Export on the Microsoft Entra Connector

   1. Щелкните правой кнопкой мыши соединитель Microsoft Entra и выберите Запустить.
   2. In the Run Connector dialog box, select Export, and select OK.
   3. Дождитесь завершения операции.

Шаг 8. Повторное включение планировщика синхронизации

Повторно включите встроенный планировщик синхронизации:

1. Запустите сеанс PowerShell.
2. Повторно включите запланированную синхронизацию, выполнив этот командлет: Set-ADSyncScheduler -SyncCycleEnabled $true

Шаг 9. Проверка результата

Теперь пришло время проверить конфигурацию и включить ее для пользователей.

1. Добавьте геообъект в выбранный атрибут пользователя. Список доступных регионов можно найти в этой таблице.
   
2. Дождитесь синхронизации атрибута с идентификатором Microsoft Entra.
3. С помощью Exchange Online PowerShell убедитесь, что регион почтового ящика задан правильно.
   
   Assuming your tenant is marked to use this feature, the mailbox is moved to the correct geo. Это можно проверить, просмотрев имя сервера, в котором находится почтовый ящик.

Дальнейшие действия

Дополнительные сведения о Multi-Geo в Microsoft 365:

• Multi-Geo sessions at Ignite
• Multi-Geo в OneDrive
• Multi-Geo в SharePoint Online

Дополнительные сведения о модели конфигурации в подсистеме синхронизации:

• Дополнительные сведения о модели конфигурации см. в разделе Основные сведения о декларативной подготовке.
• Read more about the expression language in Understanding Declarative Provisioning Expressions.

Общие разделы:

• Синхронизация Microsoft Entra Connect: общие сведения о синхронизации и настройка
• Integrating your on-premises identities with Microsoft Entra ID