Microsoft Entra Csatlakozás Sync: A Microsoft 365-erőforrások előnyben részesített adathelyének konfigurálása

  • Cikk

Ennek a témakörnek az a célja, hogy megismerje, hogyan konfigurálhatja az attribútumot a Microsoft Entra Csatlakozás Syncben előnyben részesített adathelyre. Ha valaki Multi-Geo képességeket használ a Microsoft 365-ben, ezzel az attribútummal kijelölheti a felhasználó Microsoft 365-adatainak földrajzi helyét. (A régió és a geo kifejezések felcserélhetők.)

Támogatott több földrajzi helyek

A Microsoft Entra Csatlakozás által támogatott összes földrajzi hely listájáért lásd a Microsoft 365 Multi-Geo rendelkezésre állását

Az előnyben részesített adathely szinkronizálásának engedélyezése

Alapértelmezés szerint a Microsoft 365-erőforrások a felhasználók számára ugyanabban a földrajzi helyen találhatók, mint a Microsoft Entra-bérlő. Ha például a bérlő Észak-Amerika található, akkor a felhasználók Exchange-postaládái is Észak-Amerika találhatók. Egy nemzetközi szervezet esetében ez nem feltétlenül optimális.

A preferáltDataLocation attribútum beállításával megadhatja egy felhasználó földrajzi helyét. A felhasználó Microsoft 365-erőforrásai, például a postaláda és a OneDrive ugyanabban a földrajzi helyen lehetnek, mint a felhasználó, és továbbra is rendelkezhet egy bérlőjével a teljes szervezet számára.

Fontos

2023. június 1-től a Multi-Geo elérhető a CSP-partnerek számára, hogy megvásárolhassák az ügyfél teljes Microsoft 365-előfizetési helyének legalább 5%-át.

A Multi-Geo aktív Nagyvállalati Szerződés rendelkező ügyfelek számára is elérhető. A részletekért forduljon a Microsoft képviselőjéhez.

A Microsoft Entra Csatlakozás által támogatott összes földrajzi hely listájáért tekintse meg a Microsoft 365 Multi-Geo rendelkezésre állását.

A Microsoft Entra Csatlakozás szinkronizálási támogatása

A Microsoft Entra Csatlakozás támogatja a felhasználói objektumok előnyben részesítettDataLocation attribútumának szinkronizálását az 1.1.524.0-s és újabb verziókban. Ezek konkrétan a következők:

  • A Microsoft Entra Csatlakozás or felhasználó objektumtípusának sémája ki van terjesztve a preferáltDataLocation attribútummal. Az attribútum egyértékű sztring típusú.
  • A metaverzum Person objektumtípusának sémája ki van terjesztve a preferáltDataLocation attribútummal. Az attribútum egyértékű sztring típusú.

Alapértelmezés szerint a preferáltDataLocation nincs engedélyezve a szinkronizáláshoz. Ez a funkció nagyobb szervezetek számára készült. A Windows Server 2019 Active Directory-sémája rendelkezik egy msDS-preferáltDataLocation attribútummal, amelyet erre a célra érdemes használni. Ha nem frissítette az Active Directory-sémát, és nem tudja ezt megtenni, akkor azonosítania kell egy attribútumot a Microsoft 365 geo tárolásához a felhasználók számára. Ez minden szervezetnél más lesz.

Fontos

A Microsoft Entra ID lehetővé teszi, hogy a felhőbeli felhasználói objektumok előnyben részesítettDataLocation attribútuma közvetlenül konfigurálható legyen a Microsoft Graph PowerShell használatával. Ha szinkronizált felhasználói objektumokon szeretné konfigurálni ezt az attribútumot, a Microsoft Entra Csatlakozás kell használnia.

A szinkronizálás engedélyezése előtt:

  • Ha nem frissítette az Active Directory-sémát 2019-re, döntse el, hogy melyik helyi Active Directory attribútumot használja forrásattribútumként. A típusnak egyértékű karakterláncnak kell lennie.

  • Ha korábban a Microsoft Graph PowerShell használatával konfigurálta az előnyben részesítettDataLocation attribútumot a Microsoft Entra ID-ban meglévő szinkronizált felhasználói objektumokon, az attribútumértékeket vissza kell küldenie a helyi Active Directory megfelelő felhasználói objektumaiba.

    Fontos

    Ha nem küldi vissza ezeket az értékeket, a Microsoft Entra Csatlakozás eltávolítja a meglévő attribútumértékeket a Microsoft Entra-azonosítóból, amikor engedélyezve van a preferáltDataLocation attribútum szinkronizálása.

  • Konfigurálja a forrásattribútumot legalább néhány helyi Active Directory felhasználói objektumon. Ezt később is használhatja ellenőrzésre.

Az alábbi szakaszok a preferáltDataLocation attribútum szinkronizálásának engedélyezésére vonatkozó lépéseket ismertetik.

Feljegyzés

A lépéseket egy egyerdős topológiával rendelkező, egyéni szinkronizálási szabályok nélküli Microsoft Entra-telepítés kontextusában ismertetjük. Ha többerdős topológia, egyéni szinkronizálási szabályok vannak konfigurálva, vagy átmeneti kiszolgálóval rendelkezik, a lépéseket ennek megfelelően kell módosítania.

1. lépés: Szinkronizálásütemező letiltása és annak ellenőrzése, hogy nincs-e folyamatban szinkronizálás

Annak érdekében, hogy elkerülje a Microsoft Entra-azonosítóba való nem szándékos módosításokat, győződjön meg arról, hogy a szinkronizálási szabályok frissítése közben nem történik szinkronizálás. A beépített szinkronizálásütemező letiltása:

  1. Indítsa el a PowerShell-munkamenetet a Microsoft Entra Csatlakozás kiszolgálón.
  2. Tiltsa le az ütemezett szinkronizálást a következő parancsmag futtatásával: Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Indítsa el a Szinkronizálási szolgáltatáskezelőt a START>szinkronizálási szolgáltatással.
  4. Válassza a Műveletek lapot, és győződjön meg arról, hogy nincs folyamatban lévő művelet.

Képernyőkép a Szinkronizálási szolgáltatáskezelőről

2. lépés: Az Active Directory sémájának frissítése

Ha az Active Directory-sémát 2019-re frissítette, és Csatlakozás a sémakiterjesztés előtt lett telepítve, akkor a Csatlakozás sémagyorsítótár nem rendelkezik a frissített sémával. Ezután frissítenie kell a sémát a varázslóból, hogy megjelenjen a felhasználói felületen.

  1. Indítsa el a Microsoft Entra Csatlakozás varázslót az asztalról.
  2. Válassza a Címtárséma frissítése lehetőséget, és kattintson a Tovább gombra.
  3. Adja meg a Microsoft Entra hitelesítő adatait, és kattintson a Tovább gombra.
  4. A Címtárséma frissítése lapon győződjön meg arról, hogy az összes erdő ki van jelölve, és kattintson a Tovább gombra.
  5. Ha elkészült, zárja be a varázslót.

Képernyőkép a címtárséma frissítéséről a Csatlakozás varázslóban

3. lépés: A forrásattribútum hozzáadása a helyi Active Directory Csatlakozás or sémához

Erre a lépésre csak akkor van szükség, ha Csatlakozás 1.3.21-es vagy régebbi verzióját futtatja. Ha az 1.4.18-at vagy újabb verziót futtatja, ugorjon az 5. lépésre.
A rendszer nem minden Microsoft Entra-attribútumot importál az helyi Active Directory összekötőtérbe. Ha úgy van kiválasztva, hogy alapértelmezés szerint nem szinkronizált attribútumot használjon, importálnia kell. A forrásattribútum hozzáadása az importált attribútumok listájához:

  1. Válassza a Csatlakozás orok lapot a Szinkronizálási szolgáltatáskezelőben.
  2. Kattintson a jobb gombbal a helyi Active Directory Csatlakozás orra, és válassza a Tulajdonságok lehetőséget.
  3. Az előugró párbeszédpanelen lépjen az Attribútumok kiválasztása lapra.
  4. Győződjön meg arról, hogy a használni kívánt forrásattribútum be van jelölve az attribútumlistában. Ha nem látja az attribútumot, jelölje be az Összes megjelenítése jelölőnégyzetet.
  5. Mentéshez válassza az OK gombot.

Képernyőkép a Szinkronizálási szolgáltatáskezelő és a Tulajdonságok párbeszédpanelről, kiemelt

4. lépés: PreferredDataLocation hozzáadása a Microsoft Entra Csatlakozás or sémához

Erre a lépésre csak akkor van szükség, ha Csatlakozás 1.3.21-es vagy régebbi verzióját futtatja. Ha az 1.4.18-at vagy újabb verziót futtatja, ugorjon az 5. lépésre.
Alapértelmezés szerint a rendszer nem importálja az előnyben részesítettDataLocation attribútumot a Microsoft Entra Csatlakozás or területre. Az importált attribútumok listájához való hozzáadásához:

  1. Válassza a Csatlakozás orok lapot a Szinkronizálási szolgáltatáskezelőben.
  2. Kattintson a jobb gombbal a Microsoft Entra-összekötőre, és válassza a Tulajdonságok lehetőséget.
  3. Az előugró párbeszédpanelen lépjen az Attribútumok kiválasztása lapra.
  4. Válassza ki a preferáltDataLocation attribútumot a listában.
  5. Mentéshez válassza az OK gombot.

Képernyőkép a Szinkronizálási szolgáltatáskezelő és a Tulajdonságok párbeszédpanelről

5. lépés: Bejövő szinkronizálási szabály létrehozása

A bejövő szinkronizálási szabály lehetővé teszi, hogy az attribútum értéke a helyi Active Directory forrásattribútumából a metaverzumba áramoljon.

  1. Indítsa el a Szinkronizálási szabályok szerkesztőt a START>Szinkronizálási szabályok szerkesztőjével.

  2. Állítsa be a keresési szűrő irányát bejövőnek.

  3. Új bejövő szabály létrehozásához válassza az Új szabály hozzáadása lehetőséget.

  4. A Leírás lapon adja meg a következő konfigurációt:

    Attribútum Érték Részletek
    Név Adjon meg egy nevet Például: "In from AD – User preferredDataLocation"
    Leírás Egyéni leírás megadása
    Csatlakozás rendszer Válassza ki a helyi Active Directory Csatlakozás ort
    Csatlakozás rendszerobjektum típusa Felhasználó
    Metaverzum objektumtípus Személy
    Hivatkozástípus Csatlakozás
    Prioritás Szám kiválasztása 1–99 között Az 1–99 egyéni szinkronizálási szabályokhoz van fenntartva. Ne válasszon másik szinkronizálási szabály által használt értéket.

  5. Tartsa üresen a hatókörszűrőt az összes objektum belefoglalásához. Előfordulhat, hogy módosítania kell a hatókörszűrőt a Microsoft Entra Csatlakozás üzemelő példányának megfelelően.

  6. Lépjen az Átalakítás lapra, és hajtsa végre a következő átalakítási szabályt:

    Folyamat típusa Célattribútum Forrás Egyszer alkalmazva Egyesítés típusa
    Közvetlen preferredDataLocation Válassza ki a forrásattribútumot Nincs bejelölve Frissítés

  7. A bejövő szabály létrehozásához válassza a Hozzáadás lehetőséget.

Képernyőkép a bejövő szinkronizálási szabály létrehozásáról

6. lépés: Kimenő szinkronizálási szabály létrehozása

A kimenő szinkronizálási szabály lehetővé teszi, hogy az attribútum értéke a metaverzumból a Microsoft Entra ID preferáltDataLocation attribútumára haladjon:

  1. Nyissa meg a Szinkronizálási szabályok szerkesztőt.

  2. Állítsa be a keresési szűrő irányát kimenőnek.

  3. Válassza az Új szabály hozzáadása lehetőséget.

  4. A Leírás lapon adja meg a következő konfigurációt:

    Attribútum Érték Részletek
    Név Adjon meg egy nevet Például: "Out to Microsoft Entra ID – User preferredDataLocation"
    Leírás Leírás megadása
    Csatlakozás rendszer Válassza ki a Microsoft Entra Csatlakozás ort
    Csatlakozás rendszerobjektum típusa Felhasználó
    Metaverzum objektumtípus Személy
    Hivatkozástípus Csatlakozás
    Prioritás Szám kiválasztása 1–99 között Az 1–99 egyéni szinkronizálási szabályokhoz van fenntartva. Ne válasszon másik szinkronizálási szabály által használt értéket.

  5. Lépjen a Hatókörszűrő lapra, és adjon hozzá egyetlen hatókörkezelési szűrőcsoportot két záradékkal:

    Attribútum Operátor Érték
    sourceObjectType EGYENLŐ User
    cloudMastered JEGYZETQUAL Igaz

    A hatókörszűrő határozza meg, hogy a rendszer mely Microsoft Entra objektumokat alkalmazza erre a kimenő szinkronizálási szabályra. Ebben a példában ugyanazt a hatókörszűrőt használjuk a "Out to Microsoft Entra ID – User Identity" OOB (out-of-box) szinkronizálási szabályból. Megakadályozza, hogy a szinkronizálási szabály olyan felhasználói objektumokra legyen alkalmazva, amelyek nincsenek szinkronizálva egy helyi Active Directory. Előfordulhat, hogy módosítania kell a hatókörszűrőt a Microsoft Entra Csatlakozás üzemelő példányának megfelelően.

  6. Lépjen az Átalakítás lapra, és hajtsa végre a következő átalakítási szabályt:

    Folyamat típusa Célattribútum Forrás Egyszer alkalmazva Egyesítés típusa
    Közvetlen preferredDataLocation preferredDataLocation Nincs bejelölve Frissítés

  7. Zárja be a Hozzáadás elemet a kimenő szabály létrehozásához.

Képernyőkép a kimenő szinkronizálási szabály létrehozásáról

7. lépés: Teljes szinkronizálási ciklus futtatása

Általában teljes szinkronizálási ciklusra van szükség. Ennek az az oka, hogy új attribútumokat adott hozzá az Active Directory és a Microsoft Entra Csatlakozás or sémához, és egyéni szinkronizálási szabályokat vezetett be. Ellenőrizze a módosításokat, mielőtt a Microsoft Entra-azonosítóba exportálja őket. Az alábbi lépésekkel ellenőrizheti a módosításokat, miközben manuálisan futtathatja a teljes szinkronizálási ciklust alkotó lépéseket.

  1. Futtassa a teljes importálást a helyi Active Directory Csatlakozás oron:

    1. Nyissa meg a Csatlakozás orok lapot a Szinkronizálási szolgáltatáskezelőben.

    2. Kattintson a jobb gombbal a helyi Active Directory Csatlakozás orra, és válassza a Futtatás parancsot.

    3. A párbeszédpanelen válassza a Teljes importálás lehetőséget, majd az OK gombot.

    4. Várja meg, amíg a művelet befejeződik.

      Feljegyzés

      Kihagyhatja a teljes importálást a helyi Active Directory Csatlakozás oron, ha a forrásattribútum már szerepel az importált attribútumok listájában. Más szóval a cikk korábbi, 2. lépésében nem kellett semmilyen módosítást végeznie.

  2. Futtassa a teljes importálást a Microsoft Entra Csatlakozás oron:

    1. Kattintson a jobb gombbal a Microsoft Entra Csatlakozás orra, és válassza a Futtatás lehetőséget.
    2. A párbeszédpanelen válassza a Teljes importálás lehetőséget, majd az OK gombot.
    3. Várja meg, amíg a művelet befejeződik.

  3. Ellenőrizze a szinkronizálási szabály módosításait egy meglévő felhasználói objektumon.

    A helyi Active Directory forrásattribútumát és a Microsoft Entra ID által előnyben részesítettDataLocation-t importáltuk az egyes összekötők területére. A teljes szinkronizálási lépés végrehajtása előtt végezze el az előnézetet egy meglévő felhasználói objektumon a helyi Active Directory Csatlakozás or területen. A kiválasztott objektumnak ki kell töltenie a forrásattribútumot. A metaverzumban kitöltött preferáltDataLocation sikeres előzetes verziója jó jelzés, hogy helyesen konfigurálta a szinkronizálási szabályokat. Az előzetes verzióval kapcsolatos további információkért lásd : A módosítás ellenőrzése.

  4. Futtassa a teljes szinkronizálást a helyi Active Directory Csatlakozás oron:

    1. Kattintson a jobb gombbal a helyi Active Directory Csatlakozás orra, és válassza a Futtatás parancsot.
    2. A párbeszédpanelen válassza a Teljes szinkronizálás lehetőséget, majd az OK gombot.
    3. Várja meg, amíg a művelet befejeződik.

  5. Ellenőrizze, hogy a Microsoft Entra-azonosítóra irányuló exportálás függőben van-e:

    1. Kattintson a jobb gombbal a Microsoft Entra Csatlakozás orra, és válassza a Keresés Csatlakozás or szóköz lehetőséget.

    2. A Keresés Csatlakozás or szóköz párbeszédpanelen:

      a. Állítsa a hatókört függőben lévő exportálásra.
      b. Jelölje be mind a három jelölőnégyzetet, köztük a Hozzáadás, a Módosítás és a Törlés jelölőnégyzetet.
      c. Az exportálni kívánt módosításokat tartalmazó objektumok listájának megtekintéséhez válassza a Keresés lehetőséget. Egy adott objektum módosításainak vizsgálatához kattintson duplán az objektumra.
      d. Ellenőrizze, hogy a módosítások várhatóak-e.

  6. Exportálás futtatása a Microsoft Entra Csatlakozás oron

    1. Kattintson a jobb gombbal a Microsoft Entra Csatlakozás orra, és válassza a Futtatás lehetőséget.
    2. A Csatlakozás or futtatása párbeszédpanelen válassza az Exportálás, majd az OK gombot.
    3. Várja meg, amíg a művelet befejeződik.

Feljegyzés

Előfordulhat, hogy a lépések nem tartalmazzák a Microsoft Entra Csatlakozás or teljes szinkronizálási lépését vagy az Active Directory Csatlakozás or exportálási lépését. A lépésekre nincs szükség, mert az attribútumértékek helyi Active Directory csak a Microsoft Entra szolgáltatásba áramlanak.

8. lépés: Szinkronizálásütemező újbóli engedélyezése

Engedélyezze újra a beépített szinkronizálásütemezőt:

  1. Indítsa el a PowerShell-munkamenetet.
  2. A parancsmag futtatásával engedélyezze újra az ütemezett szinkronizálást: Set-ADSyncScheduler -SyncCycleEnabled $true

9. lépés: Az eredmény ellenőrzése

Itt az ideje, hogy ellenőrizze a konfigurációt, és engedélyezze a felhasználók számára.

  1. Adja hozzá a geot a felhasználó kijelölt attribútumához. A rendelkezésre álló földrajzi adatok listája ebben a táblázatban található.
    Képernyőkép a felhasználóhoz hozzáadott AD-attribútumról
  2. Várja meg, amíg az attribútum szinkronizálva lesz a Microsoft Entra-azonosítóval.
  3. Az Exchange Online PowerShell használatával ellenőrizze, hogy a postaláda régiója megfelelően van-e beállítva.
    Képernyőkép az Exchange Online PowerShellről
    Feltéve, hogy a bérlő úgy van megjelölve, hogy használni tudja ezt a funkciót, a postaláda a megfelelő földrajzi helyre kerül. Ezt a postaláda helyét megtekintő kiszolgálónévvel ellenőrizheti.

Következő lépések

További információ a Multi-Geo szolgáltatásról a Microsoft 365-ben:

További információ a szinkronizálási motor konfigurációs modelljéről:

  • További információ a konfigurációs modellről a Deklaratív kiépítés ismertetése című témakörben.
  • További információ a kifejezés nyelvéről a Deklaratív kiépítési kifejezések ismertetése című témakörben.

Áttekintési témakörök: