在 SharePoint Server 中使用 SharePoint Active Directory 匯入設定設定檔同步處理

  • 發行項

適用于:yes-img-132013 yes-img-16 2016yes-img-192019 yes-img-se訂閱版本 no-img-sopMicrosoft 365 中的 SharePoint

您可以在 AD 匯入) (使用 SharePoint Active Directory 匯入選項,替代使用 Microsoft Identity Manager (MIM) 從網域中的 Active Directory 網域服務 (AD DS) 匯入使用者設定檔資料。

使用 AD 匯入的匯入作業比使用 MIM 的相同作業快很多。 不過,AD 匯入僅適用于 Active Directory 網域服務 (AD DS) ,而且不適用於其他目錄服務。 此外,如果您選擇使用 AD 匯入,則無法使用 MIM 或其他外部身分識別管理員來連線到其他資料來源,例如商務應用程式。

您必須是伺服器陣列管理員群組的成員,才能執行本文中的程式。 您也需要具有同步處理許可權的網域認證,才能設定連線。

注意事項

MIM 是僅適用于 SharePoint Server 2016 和 SharePoint Server 2019 的外部提供者。

瞭解 Microsoft 365 中 SharePoint 的使用者設定檔同步處理

AD 匯入不支援的情況

請考慮下列情況,並注意當您決定是否要使用此選項時,AD 匯入選項不支援什麼:

  • AD 匯入選項不會執行雙向同步處理。 這表示對 SharePoint 使用者設定檔所做的變更將不會同步回網域控制站。

  • 只會維護單一 Active Directory 樹系內使用者及群組之間的參考完整性。

  • AD 匯入選項可讓您只設定和使用單一的全伺服器陣列屬性對應。

  • AD 匯入選項不會自動將相片從 Active Directory 同步至 SharePoint Server 2016。

  • AD 匯入選項不支援非 AD) LDAP 來源的一般 (。

  • AD 匯入選項不支援來源架構探索。

  • AD 匯入選項不支援多樹系案例,例如:

    • 如果您在兩個樹系之間有信任,則不會匯入信任的樹系物件。

    • 只要您為每個網域建立一個同步處理連線,AD 匯入就支援從多個網域匯入使用者。 或者,請考慮使用 Microsoft Identity Manager。

  • AD 匯入選項不支援 Contact 物件 (也稱為跨物件指標) 。

  • 除了 User 和 Group 之外,AD 匯入選項不支援自訂物件類別。

  • AD 匯入選項不會篩選使用者介面來建立複雜的布林運算式。

  • AD 匯入選項不會根據物件屬性值提供物件篩選 (您必須使用簡單的 LDAP 篩選) 。

  • AD 匯入選項不提供登入和資源樹系支援。 也就是說,來自多個來源的資料自訂聯結。

  • AD 匯入選項不支援Business Connectivity服務匯入。

  • AD 匯入選項不支援複雜類型的屬性對應,例如圖片和特殊 AD 類型。

  • AD 匯入選項不支援將資料從 SharePoint 匯出至目錄來源。

  • AD 匯入選項不支援升級/翻譯 FIM 型連線,或將設定同步處理至 AD 匯入 (或反向順序) 。

  • AD 匯入選項目前無法確保每個物件屬性的單一主 (,最後一個寫入器會) 。

  • AD 匯入選項不會執行每個租使用者的屬性對應。

設定 SharePoint Active Directory 匯入

您會在管理中心執行三個程式來設定 AD 匯入。

在第一個程式中,您會將 SharePoint Server 設定為使用 AD 匯入,而不是 MIM 之類的外部身分識別管理員。

在第二個程式中,您會建立 AD DS 的同步處理連線。 連接會識別要同步處理的專案,並包含用來與 AD DS 互動的認證。

在第三個程式中,您會決定 SharePoint Server 中使用者設定檔的屬性如何對應至從 AD DS 擷取的使用者資訊。

將 SharePoint Server 設定為使用 AD 匯入

  1. 在SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]

  2. 在 [ 管理服務應用程式 ] 頁面上,按一下 [使用者設定檔] 服務應用程式的連結。

  3. 在 [管理設定檔服務] 頁面上,按一下 [同步處理] 區段中的 [設定同步處理設定]

  4. 在 [設定同步處理設定] 頁面的 [同步處理選項] 區段中,選取 [使用 SharePoint Active Directory 匯入] 選項,然後按一下 [確定]

若要匯入設定檔,您至少必須具備一個連至 AD DS 的同步處理連線。 您可以連線到多個 AD DS 伺服器。 使用下列程式,建立您要從中匯入設定檔之每個 AD DS 伺服器的同步處理連線。 您可以在建立每個連線之後進行同步處理,或在建立全部連線之後一次進行同步處理。 雖然在每次連線之後進行同步處理需要較長的時間,但此程式可讓您更輕鬆地針對您可能遇到的任何問題進行疑難排解。

建立目錄服務的連線以進行匯入

  1. 在SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]

  2. 在 [ 管理服務應用程式 ] 頁面上,按一下 [使用者設定檔] 服務應用程式的連結。

  3. 在 [管理設定檔服務] 頁面上,按一下 [同步處理] 區段中的 [設定同步處理連線]

  4. 在 [同步處理連線] 頁面上,按一下 [建立新連線]

  5. 在 [新增同步處理連線] 頁面的 [連線名稱] 方塊中,輸入同步處理連線名稱。

  6. 從 [類型] 清單中,選取 [Active Directory 匯入]

  7. 完成下列步驟以填入 [連線設定] 區段:

    1. 在 [ 完整功能變數名稱 ] 方塊中,輸入網域的完整功能變數名稱。

    2. 在 [驗證提供者類型] 方塊中,選取驗證提供者的類型。

    3. 如果選取 [表單驗證] 或 [信任的宣告提供者驗證],請從 [驗證提供者執行個體] 方塊中選取驗證提供者。

      [驗證提供者執行個體] 方塊只會列出 Web 應用程式目前使用的驗證提供者。

    4. 在 [ 帳戶名稱] 方塊中,輸入您想要 AD 匯入工具用來執行同步處理的帳戶名稱。 使用窗體 < DOMAIN >\ < UserName >。 同步處理帳戶必須具有樹系根目錄的複寫目錄許可權。

    5. 在 [ 密碼 ] 和 [ 確認密碼] 方塊中,輸入帳戶的密碼。

    6. 在 [連接埠] 方塊中,輸入您想要讓 AD 匯入工具在執行同步處理時用來連線到 AD DS 的連線連接埠。

    7. 如果目錄服務的連線需要使用 Secure Sockets Layer (SSL) 連線,請選取 [使用 SSL 安全連線]

      重要事項

      如果您使用 SSL 連線,則必須從 AD DS 伺服器匯出網域控制站的憑證,並在 SharePoint 伺服器 (的) 不信任 SSL 憑證時,將憑證匯入同步處理伺服器。

    8. 如果您想要篩選掉 AD DS 中已停用的使用者,請選 取 [篩選出已停用的使用者 ] 核取方塊。

    9. 如果您想篩選要從目錄服務匯入的物件,請在 [Active Directory 匯入的 LDAP 語法篩選] 方塊中,輸入標準 LDAP 查詢運算式來定義篩選器。

    10. 在 [容器] 區段中,按一下 [填入容器],然後從您要同步處理的目錄服務中選取容器。 所選取的所有組織單位 (OU) 都會與它們的子系 OU 同步處理。 目前沒有公用程式可讓您選取父系 OU,卻將其任一個子系 OU 排除在同步處理之外。

      注意事項

      只有在初始匯入物件期間才會篩選物件。 匯入後篩選的變更不會影響已匯入的物件。

    11. 按一下 [確定]

      [同步處理連線] 頁面會列出新建立的連線。

      提示

      在 [ 同步處理 連線] 頁面上,您可以按一下同步處理連線的名稱,然後按一下 [ 編輯 ] 或 [ 刪除 ] 來編輯或刪除連線。

對應使用者設定檔屬性

  1. 在SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]

  2. 在 [ 管理服務應用程式 ] 頁面上,按一下 [使用者設定檔] 服務應用程式的連結。

  3. 在 [管理設定檔服務] 頁面上,按一下 [人員] 區段中的 [管理使用者屬性]

  4. 在 [ 管理使用者屬性] 頁面上,按一下您要對應至目錄服務屬性的屬性名稱,然後按一下 [ 編輯]

  5. 若要移除現有對應,請在 [同步處理屬性對應] 區段中,選取您要移除的對應,然後按一下 [移除]

  6. 若要新增對應,請執行下列工作:

    1. 在 [新增對應] 區段的 [來源資料連線] 清單中,選取代表要對應使用者設定檔屬性之目錄服務的資料連線。

    2. 在 [屬性] 方塊中,輸入要對應屬性的目錄服務屬性的名稱。

    3. 按一下 [新增]

      注意事項

      您無法新增多個對應或編輯對應。 若要變更屬性的對應設定,您必須先移除現有對應,然後再新增對應。

  7. 按一下 [確定]

  8. 重複步驟 4 到 7 以對應更多屬性。

若要啟動設定檔同步處理

  1. 在SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]

  2. 在 [ 管理服務應用程式 ] 頁面上,按一下 [使用者設定檔] 服務應用程式的連結。

  3. 在 [管理設定檔服務] 頁面的 [同步處理] 區段中,按一下 [啟動設定檔同步處理]

  4. 在 [ 開始設定檔同步處理 ] 頁面上,選取 [開始進行第一次同步處理 的完整 同步處理],或如果您自上次同步處理之後新增或修改任何同步處理連線。 如果只要同步處理自上次同步處理之後變更的資訊,請選取 [啟動累加同步處理]

  5. 按一下 [確定]

    隨即顯示 [管理設定檔服務] 頁面,並在右窗格中顯示設定檔同步處理狀態。

另請參閱

概念

在 SharePoint Server 中管理使用者設定檔同步處理

規劃 SharePoint Server 2013 的設定檔同步處理

在 SharePoint Server 2013 中同步處理使用者和群組設定檔

在 SharePoint Server 中排程設定檔同步處理

其他資源

Update-SPProfilePhotoStore