Azure AD Domain Services yönetilen etki alanı eşitlemeSynchronization in an Azure AD Domain Services managed domain

Aşağıdaki diyagram, eşitleme Azure AD Domain Services yönetilen etki alanlarını nasıl çalıştığını gösterir.The following diagram illustrates how synchronization works in Azure AD Domain Services managed domains.

Azure AD Etki Alanı Hizmetleri'nde eşitleme

Azure AD kiracınız için şirket içi dizininizden eşitlemeSynchronization from your on-premises directory to your Azure AD tenant

Azure AD Connect eşitleme grup üyelikleri kullanıcı hesaplarını eşitlemek için kullanılır ve Azure AD kiracınız için kimlik bilgisi karma hale getirir.Azure AD Connect sync is used to synchronize user accounts, group memberships, and credential hashes to your Azure AD tenant. Kullanıcı öznitelikleri gibi UPN'nin hesaplar ve şirket içi SID (güvenlik tanımlayıcısı) eşitlenir.Attributes of user accounts such as the UPN and on-premises SID (security identifier) are synchronized. Azure AD Domain Services'ı kullanırsanız, NTLM ve Kerberos kimlik doğrulaması için gereken eski bir kimlik bilgisi karmalarının Azure AD kiracınıza de eşitlenir.If you use Azure AD Domain Services, legacy credential hashes required for NTLM and Kerberos authentication are also synchronized to your Azure AD tenant.

Geri yazma yapılandırırsanız, Azure AD dizininizde gerçekleşen değişiklikler geri şirket içi Active Directory'nize eşitlenir.If you configure write-back, changes occurring in your Azure AD directory are synchronized back to your on-premises Active Directory. Örneğin, Azure AD Self Servis parola Yönetimi'ni kullanarak parolanızı değiştirirseniz, şirket içinde değiştirilen parolayı güncelleştirilir AD etki alanı.For example, if you change your password using Azure AD self-service password management, the changed password is updated in your on-premises AD domain.

Not

Düzeltmeleri tüm bilinen hataların olduğundan emin olmak için her zaman Azure AD Connect'in en son sürümünü kullanın.Always use the latest version of Azure AD Connect to ensure you have fixes for all known bugs.

Azure AD kiracınızdan yönetilen Etki Alanınızla eşitlemeSynchronization from your Azure AD tenant to your managed domain

Kullanıcı hesapları, Grup üyeliklerinin ve kimlik bilgisi karmalarının Azure AD kiracınızdan Azure AD Domain Services yönetilen Etki Alanınızla eşitlenir.User accounts, group memberships, and credential hashes are synchronized from your Azure AD tenant to your Azure AD Domain Services managed domain. Bu eşitleme işlemi otomatik olarak gerçekleşir.This synchronization process is automatic. Yapılandırma, izleme veya bu eşitleme işlemi, yönetimi gerekmez.You do not need to configure, monitor, or manage this synchronization process. İlk eşitleme birkaç gün Azure AD dizininizdeki nesneleri sayısına bağlı olarak birkaç saat sürebilir.Initial synchronization may take from a few hours to a couple of days depending on the number of objects in your Azure AD directory. İlk eşitleme tamamlandıktan sonra yönetilen etki alanınızda güncelleştirilecek Azure AD'de yapılan değişiklikler için yaklaşık 20-30 dakika sürer.After initial synchronization completes, it takes about 20-30 minutes for changes that are made in Azure AD to be updated in your managed domain. Bu eşitleme aralığı parola değişiklikleri uygular veya için öznitelikler Azure AD'de yapılan değişiklikler.This synchronization interval applies to password changes or changes to attributes made in Azure AD.

Eşitleme işlemi, aynı zamanda bir-way/doğası gereği tek yönlü.The synchronization process is also one-way/unidirectional in nature. Yönetilen etki alanınıza büyük ölçüde oluşturduğunuz özel OU'lar dışında salt okunur.Your managed domain is largely read-only except for any custom OUs you create. Bu nedenle, kullanıcı öznitelikleri, kullanıcı parolalarını veya yönetilen etki alanı içinde grup üyeliği değişiklik yapamazsınız.Therefore, you cannot make changes to user attributes, user passwords, or group memberships within the managed domain. Sonuç olarak, yönetilen etki alanınızdan değişikliklerin Azure AD kiracınız için geri ters eşitleme yoktur.As a result, there is no reverse synchronization of changes from your managed domain back to your Azure AD tenant.

Çok ormanlı şirket içi ortamdan eşitlemeSynchronization from a multi-forest on-premises environment

Çoğu kuruluş birden fazla hesap ormanına oluşan bir oldukça karmaşık şirket içi kimlik altyapınızı vardır.Many organizations have a fairly complex on-premises identity infrastructure consisting of multiple account forests. Azure AD Connect eşitleme kullanıcıları, grupları ve kimlik bilgisi karmalarının Azure AD kiracınıza Çoklu orman ortamlarından destekler.Azure AD Connect supports synchronizing users, groups, and credential hashes from multi-forest environments to your Azure AD tenant.

Buna karşılık, Azure AD kiracınıza kadar bir daha basit ve düz ad alanıdır.In contrast, your Azure AD tenant is a much simpler and flat namespace. Kullanıcının Azure AD tarafından güvenliği sağlanan uygulamalar güvenilir bir şekilde erişmesini sağlamak için kullanıcı hesapları farklı ormanlardaki genelinde UPN çakışmalarını çözme.To enable users to reliably access applications secured by Azure AD, resolve UPN conflicts across user accounts in different forests. Azure AD kiracınıza benzeyen, Azure AD Domain Services yönetilen etki alanı ayılarının kapatın.Your Azure AD Domain Services managed domain bears close resemblance to your Azure AD tenant. Yönetilen etki alanınızda düz bir OU yapısı görürsünüz.You see a flat OU structure in your managed domain. Tüm kullanıcı hesapları ve grupları farklı şirket içi etki alanları veya ormanlar eşitlenmekte olan rağmen 'AADDC Users' kapsayıcısı içinde depolanır.All user accounts and groups are stored within the 'AADDC Users' container, despite being synchronized from different on-premises domains or forests. Hiyerarşik bir OU yapılandırılmış şirket içi yapı.You may have configured a hierarchical OU structure on-premises. Yönetilen etki alanınıza hala basit düz bir OU yapısına sahiptir.Your managed domain still has a simple flat OU structure.

Dışlamalar - ne yönetilen Etki Alanınızla eşitlenmemişExclusions - what isn't synchronized to your managed domain

Aşağıdaki nesneler veya öznitelikleri, Azure AD kiracınız veya yönetilen etki alanınıza eşitlenmedi:The following objects or attributes are not synchronized to your Azure AD tenant or to your managed domain:

  • Hariç tutulan öznitelikleri: Azure AD Connect kullanarak şirket içi etki alanınızdan Azure AD kiracınız ile eşitlenmesini belirli öznitelikleri dışlamak isteyebilirsiniz.Excluded attributes: You may choose to exclude certain attributes from synchronizing to your Azure AD tenant from your on-premises domain using Azure AD Connect. Hariç tutulan bu öznitelikler, yönetilen etki alanında kullanılamaz.These excluded attributes are not available in your managed domain.
  • Grup ilkeleri: Şirket içi etki alanınızda yapılandırılan Grup ilkeleri, yönetilen Etki Alanınızla eşitlenmez.Group Policies: Group Policies configured in your on-premises domain are not synchronized to your managed domain.
  • Sysvol paylaşımı: Benzer şekilde, yönetilen etki alanınıza şirket içi etki alanınızdaki Sysvol paylaşımının içeriğini eşitlenmez.Sysvol share: Similarly, the contents of the Sysvol share on your on-premises domain are not synchronized to your managed domain.
  • Bilgisayar nesneleri için: Bilgisayar nesneleri, şirket içi etki alanına katılmış bilgisayarlar için yönetilen Etki Alanınızla eşitlenmez.Computer objects: Computer objects for computers joined to your on-premises domain are not synchronized to your managed domain. Bu bilgisayarlar değil, yönetilen etki alanınız ile güven ilişkisi olan ve şirket içi etki alanınıza yalnızca ait.These computers do not have a trust relationship with your managed domain and belong to your on-premises domain only. Yönetilen etki alanında yalnızca, açıkça etki alanının yönetilen etki alanına katılmış bilgisayarları için bilgisayar nesneleri bulun.In your managed domain, you find computer objects only for computers you have explicitly domain-joined to the managed domain.
  • Kullanıcılar ve gruplar için SID Geçmişi öznitelikleri: Birincil kullanıcı ve birincil grup SID şirket etki alanınızdan yönetilen Etki Alanınızla eşitlenir.SidHistory attributes for users and groups: The primary user and primary group SIDs from your on-premises domain are synchronized to your managed domain. Ancak, kullanıcılar ve gruplar için mevcut SIDHistory öznitelikleri, yönetilen etki alanınıza şirket içi etki alanınızdan eşitlenmez.However, existing SidHistory attributes for users and groups are not synchronized from your on-premises domain to your managed domain.
  • Kuruluş birimi (OU) yapıları: Tanımlanan şirket içi etki alanınızdaki kuruluş birimlerini, yönetilen Etki Alanınızla eşitleme yapmayın.Organization Units (OU) structures: Organizational Units defined in your on-premises domain do not synchronize to your managed domain. Yönetilen etki alanınızda iki yerleşik OU'lar vardır.There are two built-in OUs in your managed domain. Varsayılan olarak, yönetilen etki alanınıza düz bir OU yapısı vardır.By default, your managed domain has a flat OU structure. Ancak tercih edebilirsiniz yönetilen etki alanınızda özel bir OU oluşturun.You may however choose to create a custom OU in your managed domain.

Yönetilen etki alanınızla eşitlenen belirli öznitelikler nasılHow specific attributes are synchronized to your managed domain

Aşağıdaki tabloda, bazı ortak öznitelikleri listeler ve yönetilen Etki Alanınızla nasıl eşitleneceğini açıklar.The following table lists some common attributes and describes how they are synchronized to your managed domain.

Yönetilen etki alanınızda özniteliğiAttribute in your managed domain sourceSource NotlarNotes
UPNUPN Azure AD kiracınızda kullanıcının UPN özniteliğiUser's UPN attribute in your Azure AD tenant Azure AD kiracınızdan UPN özniteliğini, yönetilen Etki Alanınızla olarak eşitlenir.The UPN attribute from your Azure AD tenant is synchronized as is to your managed domain. Bu nedenle, yönetilen Etki Alanınızla oturum açmak için en güvenilir yol UPN'nizi kullanıyor.Therefore, the most reliable way to sign in to your managed domain is using your UPN.
SAMAccountNameSAMAccountName Kullanıcının mailNickname Azure AD kiracınızda özniteliği veya otomatik olarak oluşturulanUser's mailNickname attribute in your Azure AD tenant or auto-generated SAMAccountName özniteliğinin Azure AD kiracınızda mailNickname özniteliğinden kaynaklanıyor.The SAMAccountName attribute is sourced from the mailNickname attribute in your Azure AD tenant. Birden çok kullanıcı hesapları aynı mailNickname özniteliğine sahipse, SAMAccountName otomatik olarak üretilir.If multiple user accounts have the same mailNickname attribute, the SAMAccountName is auto-generated. Kullanıcının mailNickname veya UPN önek 20 karakterden uzun ise, SAMAccountName SAMAccountName özniteliklerde 20 karakter sınırını karşılamak için otomatik oluşturulmuş olur.If the user's mailNickname or UPN prefix is longer than 20 characters, the SAMAccountName is auto-generated to satisfy the 20 character limit on SAMAccountName attributes.
ParolalarPasswords Azure AD kiracınızdan kullanıcı parolasıUser's password from your Azure AD tenant (Ek kimlik bilgileri olarak da bilinir) NTLM veya Kerberos kimlik doğrulaması için gereken kimlik bilgisi karmalarını Azure AD kiracınızdan eşitlenir.Credential hashes required for NTLM or Kerberos authentication (also called supplemental credentials) are synchronized from your Azure AD tenant. Azure AD kiracınıza eşitlenmiş bir kiracı ise, bu kimlik bilgilerini şirket etki alanınızdan elde edilir.If your Azure AD tenant is a synced tenant, these credentials are sourced from your on-premises domain.
Birincil kullanıcı/Grup SIDPrimary user/group SID Otomatik olarak oluşturulanAuto-generated Birincil SID kullanıcı/grup hesapları için yönetilen etki alanınız otomatik olarak üretilir.The primary SID for user/group accounts is auto-generated in your managed domain. Bu öznitelik, birincil kullanıcı/Grup SID'si şirket içi nesnesinin eşleşmiyor AD etki alanı.This attribute does not match the primary user/group SID of the object in your on-premises AD domain. Bu uyuşmazlık, yönetilen etki alanı farklı bir SID ad alanı, şirket içi etki sahip olmasıdır.This mismatch is because the managed domain has a different SID namespace than your on-premises domain.
Kullanıcılar ve gruplar için SID GeçmişiSID history for users and groups Şirket içi birincil kullanıcı ve Grup SID'siOn-premises primary user and group SID Yönetilen etki alanınız içindeki kullanıcılar ve gruplar için SID Geçmişi özniteliği, ilgili birincil kullanıcı veya grup SID şirket içi etki alanınızda eşleşecek şekilde ayarlanır.The SidHistory attribute for users and groups in your managed domain is set to match the corresponding primary user or group SID in your on-premises domain. Bu özellik, yeniden ACL kaynaklarına gerekmediğinden lift-and-shift ile taşıma şirket içi uygulamaların yönetilen etki alanında kolaylaştırmak yardımcı olur.This feature helps make lift-and-shift of on-premises applications to the managed domain easier, since you do not need to re-ACL resources.

Not

UPN biçimini kullanarak yönetilen etki alanına oturum açın: SAMAccountName özniteliğini, yönetilen etki alanınıza bazı kullanıcı hesapları için otomatik olarak oluşturulmuş olabilir.Sign in to the managed domain using the UPN format: The SAMAccountName attribute may be auto-generated for some user accounts in your managed domain. Birden çok kullanıcı aynı mailNickname özniteliğine sahip veya kullanıcıların aşırı uzun UPN ön ekleri varsa, bu kullanıcılar için SAMAccountName otomatik olarak oluşturulmuş olabilir.If multiple users have the same mailNickname attribute or users have overly long UPN prefixes, the SAMAccountName for these users may be auto-generated. Bu nedenle, SAMAccountName biçimi (örneğin, ' CONTOSO100\joeuser') her zaman etki alanında oturum açmak için güvenilir bir yol değil.Therefore, the SAMAccountName format (for example, 'CONTOSO100\joeuser') is not always a reliable way to sign in to the domain. Kullanıcıların otomatik olarak oluşturulan SAMAccountName kendi UPN önekten farklı olabilir.Users' auto-generated SAMAccountName may differ from their UPN prefix. UPN biçimini kullanın (örneğin, 'joeuser@contoso100.com') için yönetilen etki alanında güvenilir bir şekilde oturum açmak için.Use the UPN format (for example, 'joeuser@contoso100.com') to sign in to the managed domain reliably.

Kullanıcı hesapları için öznitelik eşlemesiAttribute mapping for user accounts

Aşağıdaki tabloda, Azure AD kiracınızda nesneleri yönetilen etki alanınıza karşılık gelen özniteliklerle eşitlenen bir kullanıcı için nasıl özel öznitelikler gösterilmektedir.The following table illustrates how specific attributes for user objects in your Azure AD tenant are synchronized to corresponding attributes in your managed domain.

Azure AD kiracınıza kullanıcı özniteliğiUser attribute in your Azure AD tenant Yönetilen etki alanınıza kullanıcı özniteliğiUser attribute in your managed domain
accountEnabledaccountEnabled userAccountControl (ayarlar veya bit ACCOUNT_DISABLED temizler)userAccountControl (sets or clears the ACCOUNT_DISABLED bit)
citycity ml
Ülkecountry Ortakco
Bölümdepartment Bölümdepartment
displayNamedisplayName displayNamedisplayName
facsimileTelephoneNumberfacsimileTelephoneNumber facsimileTelephoneNumberfacsimileTelephoneNumber
givenNamegivenName givenNamegivenName
İş UnvanıjobTitle başlıktitle
postamail postamail
mailNicknamemailNickname msDS-AzureADMailNicknamemsDS-AzureADMailNickname
mailNicknamemailNickname SAMAccountName (bazen otomatik olarak oluşturulmuş olabilir)SAMAccountName (may sometimes be auto-generated)
Mobilmobile Mobilmobile
Nesne Kimliğiobjectid msDS-AzureADObjectIdmsDS-AzureADObjectId
onPremiseSecurityIdentifieronPremiseSecurityIdentifier SID GeçmişisidHistory
passwordPoliciespasswordPolicies userAccountControl (ayarlar veya bit DONT_EXPIRE_PASSWORD temizler)userAccountControl (sets or clears the DONT_EXPIRE_PASSWORD bit)
physicalDeliveryOfficeNamephysicalDeliveryOfficeName physicalDeliveryOfficeNamephysicalDeliveryOfficeName
posta kodupostalCode posta kodupostalCode
preferredLanguagepreferredLanguage preferredLanguagepreferredLanguage
statestate Stst
streetAddressstreetAddress streetAddressstreetAddress
Soyadısurname snsn
telephoneNumbertelephoneNumber telephoneNumbertelephoneNumber
userPrincipalNameuserPrincipalName userPrincipalNameuserPrincipalName

Gruplar için öznitelik eşlemesiAttribute mapping for groups

Aşağıdaki tabloda, Azure AD kiracınızda nesneler, yönetilen etki alanınıza karşılık gelen özniteliklerle eşitlenir grubu için nasıl özel öznitelikler gösterilmektedir.The following table illustrates how specific attributes for group objects in your Azure AD tenant are synchronized to corresponding attributes in your managed domain.

Azure AD kiracınızda grubu özniteliğiGroup attribute in your Azure AD tenant Yönetilen etki alanınıza grubu özniteliğiGroup attribute in your managed domain
displayNamedisplayName displayNamedisplayName
displayNamedisplayName SAMAccountName (bazen otomatik olarak oluşturulmuş olabilir)SAMAccountName (may sometimes be auto-generated)
postamail postamail
mailNicknamemailNickname msDS-AzureADMailNicknamemsDS-AzureADMailNickname
Nesne Kimliğiobjectid msDS-AzureADObjectIdmsDS-AzureADObjectId
onPremiseSecurityIdentifieronPremiseSecurityIdentifier SID GeçmişisidHistory
securityEnabledsecurityEnabled groupTypegroupType

Parola Karması eşitleme ve güvenlik konularıPassword hash synchronization and security considerations

Azure AD Etki Alanı Hizmetleri'ni etkinleştirdiğinizde, Azure AD dizininizi oluşturur ve parola karmalarının NTLM ve Kerberos uyumlu biçimlerde depolar.When you enable Azure AD Domain Services, your Azure AD directory generates and stores password hashes in NTLM & Kerberos compatible formats.

Mevcut bulut kullanıcı hesapları için Azure AD düz metin parolalarını hiçbir zaman depolar bu yana bu karmaları otomatik olarak oluşturulamaz.For existing cloud user accounts, since Azure AD never stores their clear-text passwords, these hashes cannot be automatically generated. Bu nedenle Microsoft gerektirir parolalarını sıfırlama/değiştirme için bulut kullanıcıları sırada oluşturulan ve Azure AD'de depolanan kendi parola karmaları için.Therefore, Microsoft requires cloud-users to reset/change their passwords in order for their password hashes to be generated and stored in Azure AD. Parola karmalarının Azure AD Domain Services'ı etkinleştirdikten sonra Azure AD'de oluşturulan bulut kullanıcı hesabı için oluşturulur ve NTLM ve Kerberos uyumlu biçimlerinde depolanır.For any cloud user account created in Azure AD after enabling Azure AD Domain Services, the password hashes are generated and stored in the NTLM and Kerberos compatible formats.

Kullanıcı hesaplarını gelen eşitlenen için şirket içi Azure AD Connect Sync kullanarak AD yapmanız NTLM ve Kerberos uyumlu biçimde parola karmaları eşitlemek için Azure AD Connect yapılandırma.For user accounts synced from on-premises AD using Azure AD Connect Sync, you need to configure Azure AD Connect to synchronize password hashes in the NTLM and Kerberos compatible formats.

NTLM ve Kerberos uyumlu parola karmaları, Azure AD'de her zaman şifrelenmiş olarak depolanır.The NTLM and Kerberos compatible password hashes are always stored in an encrypted manner in Azure AD. Bu karmalar, yalnızca Azure AD Domain Services sahip şifre çözme anahtarları erişim şekilde şifrelenir.These hashes are encrypted such that only Azure AD Domain Services has access to the decryption keys. Başka bir hizmet veya bileşen Azure AD'de şifre çözme anahtarları erişimi vardır.No other service or component in Azure AD has access to the decryption keys. Şifreleme anahtarları benzersiz başına Azure AD kiracınız var.The encryption keys are unique per-Azure AD tenant. Azure AD Domain Services yönetilen etki alanınız için etki alanı denetleyicilerinde parola karmalarının eşitler.Azure AD Domain Services synchronizes the password hashes into the domain controllers for your managed domain. Bu parola karmaları depolanır ve bu etki alanı denetleyicileri Windows Server AD etki alanı denetleyicilerinde güvenli parolaları nasıl depolandığını ve benzer güvenli.These password hashes are stored and secured on these domain controllers similar to how passwords are stored and secured on Windows Server AD domain controllers. Bu yönetilen etki alanı denetleyicileri için diskler, bekleme sırasında şifrelenir.The disks for these managed domain controllers are encrypted at rest.

Azure AD kiracınız için yönetilen etki alanınızdan eşitlenmez nesneleriObjects that are not synchronized to your Azure AD tenant from your managed domain

Bu makalenin önceki bölümde açıklandığı gibi yönetilen etki alanınızdan Azure AD kiracınız için yeniden eşitleme yoktur.As described in a preceding section of this article, there is no synchronization from your managed domain back to your Azure AD tenant. Tercih edebilirsiniz özel kuruluş birimi (OU) oluşturun yönetilen etki alanınızda.You may choose to create a custom Organizational Unit (OU) in your managed domain. Ayrıca, diğer OU'ları, kullanıcıları, grupları veya bu özel OU içinde hizmet hesapları oluşturabilirsiniz.Further, you can create other OUs, users, groups, or service accounts within these custom OUs. Hiçbir özel OU içinde oluşturulan nesneler, Azure AD kiracınıza eşitlenir.None of the objects created within custom OUs are synchronized back to your Azure AD tenant. Bu nesneler, yalnızca yönetilen etki alanınız içinde kullanmak için kullanılabilir.These objects are available for use only within your managed domain. Bu nedenle, bu nesneler, Azure AD PowerShell cmdlet'leri, Azure AD Graph API'si veya Azure AD Yönetimi kullanıcı Arabirimi kullanarak görünür değildir.Therefore, these objects are not visible using Azure AD PowerShell cmdlets, Azure AD Graph API or using the Azure AD management UI.