A Microsoft Entra Cloud Sync által támogatott topológiák és forgatókönyvek

  • Cikk

Ez a cikk a Microsoft Entra Cloud Syncet használó különböző helyszíni és Microsoft Entra-topológiákat ismerteti. Ez a cikk csak a támogatott konfigurációkat és forgatókönyveket tartalmazza.

Fontos

A Microsoft nem támogatja a Microsoft Entra Cloud Sync módosítását vagy üzemeltetését a formálisan dokumentált konfigurációkon vagy műveleteken kívül. Ezen konfigurációk vagy műveletek bármelyike a Microsoft Entra Cloud Sync inkonzisztens vagy nem támogatott állapotát eredményezheti. Ennek eredményeképpen a Microsoft nem tud technikai támogatást nyújtani az ilyen üzemelő példányokhoz.

További információt az alábbi videóban talál.

Tudnivalók az összes forgatókönyvről és topológiáról

A megoldás kiválasztásakor az alábbi információkat szem előtt kell tartani.

  • A felhasználókat és csoportokat minden erdőben egyedileg kell azonosítani.
  • Az erdők közötti egyeztetés nem történik meg a felhőszinkronizálással.
  • A rendszer automatikusan kiválasztja az objektumok forráshorgonyát. Az ms-DS-ConsistencyGuid függvényt használja, ha van ilyen, ellenkező esetben ObjectGUID-t használ.
  • A forráshorgonyhoz használt attribútum nem módosítható.

Active Directory–Microsoft Entra ID támogatott topológiák

A következő topológiák támogatottak az Active Directoryból a Microsoft Entra ID azonosítóba való kiépítéshez.

Egyetlen erdő, egyetlen Microsoft Entra-bérlő

Egy erdő és egy bérlő topológiájának diagramja.

A legegyszerűbb topológia egyetlen helyszíni erdő, egy vagy több tartománnyal és egyetlen Microsoft Entra-bérlővel. Példa erre a forgatókönyvre: Oktatóanyag: Egyetlen erdő egyetlen Microsoft Entra-bérlővel

Többerdős, önálló Microsoft Entra-bérlő

Többerdős és egyetlen bérlői topológia

A több AD-erdő közös topológia, egy vagy több tartománnyal és egyetlen Microsoft Entra-bérlővel.

Meglévő erdő a Microsoft Entra Csatlakozás, új erdő felhőkiépítéssel

Egy meglévő és egy új erdő topológiájának ábrázolása.

Ez a forgatókönyv a többerdős forgatókönyvhöz hasonló topológia, azonban ez magában foglal egy meglévő Microsoft Entra Csatlakozás környezetet, majd új erdőt hoz létre a Microsoft Entra Cloud Sync használatával. Példa erre a forgatókönyvre: Oktatóanyag: Meglévő erdő egyetlen Microsoft Entra-bérlővel

A Microsoft Entra Cloud Sync próbaüzeme egy meglévő hibrid AD-erdőben

Topológia egyetlen erdőhöz és egyetlen bérlőhözA kísérleti forgatókönyv magában foglalja a Microsoft Entra Csatlakozás és a Microsoft Entra Cloud Sync ugyanazon erdőben való meglétét, és ennek megfelelően a felhasználók és csoportok hatókörét. MEGJEGYZÉS: Egy objektumnak csak az egyik eszköz hatókörében kell lennie.

Példa erre a forgatókönyvre: Oktatóanyag: A Microsoft Entra Cloud Sync próbaüzeme egy meglévő szinkronizált AD-erdőben

Objektumok egyesítése leválasztott forrásokból

(Nyilvános előzetes verzió)

Diagram objektumok leválasztott forrásokból való egyesítéséhez Ebben a forgatókönyvben egy felhasználó attribútumaihoz két leválasztott Active Directory-erdő járul hozzá.

Ilyen például a következő:

  • Egy erdő (1) tartalmazza a legtöbb attribútumot.
  • A második erdő (2) tartalmaz néhány attribútumot.

Mivel a második erdő nem rendelkezik hálózati kapcsolattal a Microsoft Entra Csatlakozás kiszolgálóval, az objektum nem egyesíthető a Microsoft Entra Csatlakozás. A második erdőben a felhőszinkronizálás lehetővé teszi az attribútumérték lekérését a második erdőből. Az érték ezután egyesíthető a Microsoft Entra Csatlakozás által szinkronizált Microsoft Entra-azonosítóban lévő objektummal.

Ez a konfiguráció fejlett, és van néhány kikötés ehhez a topológiához:

  1. Forráshorgonyként kell használnia ms-DS-ConsistencyGuid a felhőszinkronizálási konfigurációban.
  2. A ms-DS-ConsistencyGuid második erdőben lévő felhasználói objektumnak meg kell egyeznie a Microsoft Entra ID megfelelő objektumával.
  3. Az attribútumot és az Alias attribútumot a második erdőben kell kitöltenieUserPrincipalName, és meg kell egyeznie az első erdőből szinkronizáltakkal.
  4. A felhőszinkronizálási konfigurációban el kell távolítania az attribútumleképezésből az összes olyan attribútumot, amely nem rendelkezik értékkel, vagy más értékkel rendelkezik a második erdőben – az első és a második erdő között nem lehetnek átfedésben az attribútumleképezések.
  5. Ha az első erdőben nincs egyező objektum, a második erdőből szinkronizált objektum esetében a felhőszinkronizálás továbbra is létrehozza az objektumot a Microsoft Entra-azonosítóban. Az objektum csak a második erdő felhőszinkronizálásának leképezési konfigurációjában definiált attribútumokkal rendelkezik.
  6. Ha törli az objektumot a második erdőből, az ideiglenesen helyreállíthatóan törlődik a Microsoft Entra-azonosítóban. A következő Microsoft Entra Csatlakozás szinkronizálási ciklus után a rendszer automatikusan visszaállítja.
  7. Ha törli az objektumot az első erdőből, az helyreállíthatóan törlődik a Microsoft Entra-azonosítóból. Az objektum csak akkor lesz visszaállítva, ha módosítja az objektumot a második erdőben. 30 nap elteltével az objektum keményen törlődik a Microsoft Entra-azonosítóból, és ha a második erdőben módosítják az objektumot, az új objektumként jön létre a Microsoft Entra ID-ban.

Microsoft Entra-azonosító az Active Directory által támogatott topológiákhoz

Az alábbi topológiák támogatottak a Microsoft Entra ID-ból az Active Directoryba való kiépítéshez.

Egyerdős csoport kiépítése az Active Directoryban

Az egyerdős visszaírás fogalmi diagramja.

A legegyszerűbb csoportkiépítési topológia egyetlen helyszíni erdő, egy vagy több tartománnyal és egyetlen Microsoft Entra-bérlővel. Példa erre a forgatókönyvre: Csoportok kiépítése az Active Directoryba

Többerdős csoport kiépítése az Active Directoryban

A többerdős visszaírás fogalmi diagramja.

A fejlettebb csoportkiépítési topológia több helyszíni AD-erdőből áll , és egyetlen Microsoft Entra ID-bérlővel rendelkezik.

Ez a konfiguráció fejlett, és néhány dologra emlékezni kell ezzel a topológiával:

  • Az AD-nek felhőszinkronizálással kiépített csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőben létrehozott biztonsági csoportokat tartalmazhatnak.
  • Mindegyik felhasználónak rendelkeznie kell az onPremisesObjectIdentifier attribútummal a fiókjában.
  • Az onPremisesObjectIdentifiernek meg kell egyeznie a cél AD-környezetben található megfelelő objectGUID-vel.
  • AzPremisesObjectIdentifier attribútumon lévő felhőfelhasználók helyszíni felhasználói objectGUID attribútuma szinkronizálható a Microsoft Entra Cloud Sync (1.1.1370.0) vagy a Microsoft Entra Csatlakozás Sync (2.2.8.0) használatával
  • A bérlőn belül megoszthat egy közös csoportot, amely mindkét erdő felhasználóit tartalmazza.
  • Azok a felhasználók azonban, amelyek nem léteznek a másik erdőben, NEM lesznek kiépítve a csoport tagjaiként a helyszíni kiépítéskor. Ha tehát rendelkezik a Microsoft Entra-azonosítóban egy olyan csoporttal, amely contoso.com és fabrikam.com felhasználóit tartalmazza, csak az contoso.com erdőben található felhasználók lesznek a csoport tagjai, amikor az contoso.com ki van építve. És ugyanez fabrikam.

Következő lépések