Поддерживаемые топологии и сценарии облачной синхронизации Microsoft Entra

  • Статья

В этой статье описаны различные локальные топологии и топологии Microsoft Entra, использующие Microsoft Entra Cloud Sync. Эта статья содержит только поддерживаемые конфигурации и сценарии.

Внимание

Корпорация Майкрософт не поддерживает изменение или эксплуатацию Microsoft Entra Cloud Sync за пределами конфигураций или действий, которые официально документированы. Любая из этих конфигураций или действий может привести к несогласованным или неподдерживаемому состоянию Microsoft Entra Cloud Sync. В результате корпорация Майкрософт не может предоставлять техническую поддержку для таких развертываний.

Для получения дополнительной информации просмотрите следующее видео.

Особенности, которые следует учитывать во всех сценариях и топологиях

Информацию ниже следует учитывать при выборе решения.

  • Пользователи и группы должны быть однозначно идентифицированы во всех лесах.
  • Сопоставление между лесами не происходит с облачной синхронизацией.
  • Привязка к источнику для объектов выбирается автоматически. При наличии используется MS-DS-ConsistencyGuid, а в противном случае — ObjectGUID.
  • Вы не можете изменить атрибут, который используется для привязки к источнику.

Поддерживаемые топологии Active Directory в Microsoft Entra ID

Следующие топологии поддерживаются для подготовки из Active Directory в идентификатор Microsoft Entra.

Один лес, один клиент Microsoft Entra

Схема, на которой показана топология для одного леса и одного клиента.

Простейшая топология — это один локальный лес с одним или несколькими доменами и одним клиентом Microsoft Entra. Пример этого сценария см . в руководстве. Один лес с одним клиентом Microsoft Entra

Много лес, один клиент Microsoft Entra

Топология для нескольких лесов и одного клиента

Несколько лесов AD — это общая топология с одним или несколькими доменами и одним клиентом Microsoft Entra.

Существующий лес с microsoft Entra Connect, новый лес с подготовкой облака

Схема, на которой показана топология для существующего леса и нового леса.

Эта топология сценария аналогична сценарию с несколькими лесами, однако она включает в себя существующую среду Microsoft Entra Connect, а затем принести новый лес с помощью Microsoft Entra Cloud Sync. Пример этого сценария см . в руководстве. Существующий лес с одним клиентом Microsoft Entra

Пилотирование Microsoft Entra Cloud Sync в существующем гибридном лесу AD

Топология для одного леса и одного клиента

Сценарий пилотного развертывания включает в себя существование Microsoft Entra Connect и Microsoft Entra Cloud Sync в одном лесу и определение области пользователей и групп соответствующим образом. Примечание. Объект должен находиться в области только одного из средств.

Пример этого сценария см . в руководстве. Пилотная синхронизация Microsoft Entra Cloud в существующем синхронизированном лесу AD

Объединение объектов из несвязанных источников

(Общедоступная предварительная версия)

Схема объединения объектов из отключенных источников

В этом сценарии атрибуты пользователя вносятся двумя отключенными лесами Active Directory.

Пример:

  • Один лес (1) содержит большинство атрибутов.
  • Второй лес (2) содержит несколько атрибутов.

Так как второй лес не имеет сетевого подключения к серверу Microsoft Entra Connect, объект не может быть объединен через Microsoft Entra Connect. Облачная синхронизация во втором лесу позволяет получить значение атрибута из второго леса. Затем значение можно объединить с объектом в идентификаторе Microsoft Entra, синхронизированном Microsoft Entra Connect.

Эта конфигурация является расширенной, и в этой топологии есть несколько предостережений:

  1. Необходимо использовать ms-DS-ConsistencyGuid в качестве исходной привязки в конфигурации облачной синхронизации.
  2. Объект ms-DS-ConsistencyGuid пользователя во втором лесу должен соответствовать соответствующему объекту в идентификаторе Microsoft Entra.
  3. Необходимо заполнить атрибут UserPrincipalName и атрибут Alias во втором лесу, и они должны совпадать с теми, которые синхронизируются из первого леса.
  4. Необходимо удалить все атрибуты из сопоставления атрибутов в конфигурации облачной синхронизации, которые не имеют значения или могут иметь другое значение во втором лесу. У вас не может быть перекрывающихся сопоставлений атрибутов между первым лесом и вторым.
  5. Если в первом лесу нет соответствующего объекта, для объекта, синхронизированного со второго леса, то облачная синхронизация по-прежнему создаст объект в идентификаторе Microsoft Entra. Объект будет иметь только атрибуты, определенные в конфигурации сопоставления облачной синхронизации для второго леса.
  6. Если удалить объект из второго леса, он будет временно обратимо удален в идентификаторе Microsoft Entra. Он будет восстановлен автоматически после следующего цикла синхронизации Microsoft Entra Connect.
  7. Если удалить объект из первого леса, он будет обратимо удален из идентификатора Microsoft Entra. Объект не будет восстановлен, пока не будут внесены изменения в объект во втором лесу. Через 30 дней объект будет жестко удален из идентификатора Microsoft Entra ID, и если изменения внесены в объект во втором лесу, он будет создан в качестве нового объекта в идентификаторе Microsoft Entra.

Идентификатор Microsoft Entra для поддерживаемых топологий Active Directory

Следующие топологии поддерживаются для подготовки из идентификатора Microsoft Entra в Active Directory.

Подготовка группы отдельных лесов в Active Directory

Концептуальная схема обратной записи одного леса.

Простейшая топология подготовки групп — это один локальный лес с одним или несколькими доменами и одним клиентом Microsoft Entra. Пример этого сценария см. в статье "Подготовка групп в Active Directory"

Подготовка групп с несколькими лесами в Active Directory

Концептуальная схема обратной записи в нескольких лесах.

Более расширенная топология подготовки групп состоит из нескольких локальных лесов AD, совместного использования одного клиента Идентификатора Microsoft Entra ID.

Эта конфигурация расширена и существует несколько способов, которые следует помнить с этой топологией:

  • Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Все эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
  • OnPremisesObjectIdentifier должен соответствовать соответствующему объекту OBJECTGUID в целевой среде AD.
  • Атрибут objectGUID локального пользователя для облачных пользователей в атрибутеPremisesObjectIdentifier можно синхронизировать с помощью microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Connect Sync (2.2.8.0)
  • В клиенте вы можете совместно использовать общую группу, содержащую пользователей из обоих лесов.
  • Однако пользователи, которые не существуют в другом лесу, НЕ будут подготовлены как члены группы при подготовке локальной среды. Таким образом, если у вас есть группа в идентификаторе Microsoft Entra, которая содержит пользователей из contoso.com и fabrikam.com, только те пользователи, которые существуют в лесу contoso.com, будут членами группы при подготовке к contoso.com. И то же самое с fabrikam.

Следующие шаги