安裝和配置 Microsoft Entra Cloud Sync

您想要將本地 Active Directory 與 Microsoft Entra 同步。但不想讓本地軟件保持最新狀態並希望雲來完成這項工作。實現此目的的一個出色工具是使用 Microsoft Entra Cloud Sync。在本文中，您將了解如何安裝和配置 Microsoft Entra Cloud Sync。

Microsoft Entra Cloud Sync 是一款輕量級的現代身份同步工具，旨在支持混合身份場景。它允許您將本地 Active Directory (AD) 用戶、組和聯繫人同步到 Microsoft Entra ID，而無需 Microsoft Entra Connect 的開銷。

此解決方案在以下情況下非常理想：

• 您有多個 Active Directory 林。
• 您希望簡化高可用性部署。
• 您需要避免複雜的本地基礎設施。
• 您希望與 Microsoft Entra ID 進行更快、更可靠的同步。

Microsoft Entra Cloud Sync 使用在本地環境中的 Windows Server 計算機上運行的雲預配代理。與 Microsoft Entra Connect 不同，它將大部分同步邏輯卸載到雲端，從而簡化了管理和擴展。

Microsoft Entra 云同步的先決條件

在繼續之前，請確保您擁有：

1. Microsoft Entra ID 租戶。
2. 用於初始設置的 Entra ID 全局管理員帳戶。
3. 至少一台 Windows Server 2016 或更高版本的計算機（已加入域）用於託管預配代理。
4. 打開必要的防火牆端口：到 Microsoft 雲端點的 HTTPS (443) 和 HTTP (80)。
5. 從服務器到域控制器以及外部互聯網的正確 DNS 解析。

步驟1.下載云同步代理

1. 登錄到微軟 Entra 管理中心。
2. 導航至身份 > 顯示更多

3. 選擇混合管理 > Microsoft Entra Connect
4. 點擊云同步

5. 選擇代理商
6. 點擊下載本地代理

7. 點擊接受條款並下載
8. 將可執行文件保存到您的 Windows Server 計算機

步驟 2. 在 Windows Server 上安裝 Provisioning Agent

1. 開始文件瀏覽器
2. 轉到已下載的配置代理安裝可執行文件
3. 以管理員身份運行下載的 Microsoft Entra Connect Provisioning Agent 安裝程序

4. 接受許可條款和條件
5. 點擊安裝

6. 安裝程序開始安裝 Microsoft Entra Provisioning Agent

7. 點擊下一個在“歡迎使用 Microsoft Entra 配置代理配置嚮導”屏幕中

8. 選擇HR 驅動的配置（Workday 和 SuccessFactors）/Microsoft Entra Cloud Sync
9. 點擊下一個

10. 單擊“驗證”
11. 使用您的登錄Microsoft Entra ID 管理員憑據

12. 選擇創建gSMA
13. 輸入您的本地域管理員憑據
14. 點擊下一個

15. 點擊下一個

16. 點擊確認

17. 點擊出口

步驟 3. 驗證配置代理狀態

1. 登錄到微軟 Entra 管理中心
2. 點擊代理商並驗證機器名稱是否出現且狀態為積極的

3. 開始視窗服務
4. 驗證Microsoft Azure AD Connect 配置代理服務正在運行

5. 開始Active Directory 用戶和計算機
6. 導航至域 (exoip.local) > 託管服務帳戶
7. 驗證省代理gMSA出現服務帳戶

步驟 4. 設置 Microsoft Entra Cloud 配置

1. 登錄到微軟 Entra 管理中心
2. 點擊配置
3. 選擇+ 新配置 > AD 到 Microsoft Entra ID 同步

4. 選擇活動目錄域
5. 選中復選框啟用密碼哈希同步
6. 點擊創造

7. 點擊概述
8. 選擇特性
9. 單擊鉛筆圖標可編輯基礎知識

10. 配置基礎知識:

• 啟用密碼哈希同步
• 啟用 Exchange 混合寫回
• 添加通知電子郵件地址
• 啟用防止意外刪除
• 將意外刪除閾值設置為 500

11. 選擇申請

12. 點擊範圍過濾器
13. 選擇選定的組織單位
14. 填寫專有名稱的本地組織單位您想要與 Microsoft Entra ID 同步的
15. 點擊添加
16. 點擊節省

17. 點擊概述
18. 點擊檢查並啟用

19. 點擊啟用配置

筆記：雲配置計劃每 2 分鐘運行一次。每 2 分鐘，任何用戶、組和密碼哈希更改都會配置到 Microsoft Entra ID。

20. 驗證從 AD 到 Microsoft Entra ID 的配置同步顯示狀態健康

步驟 5. 啟用密碼寫回

按照以下步驟允許 Microsoft Entra ID 中的密碼更改同步回本地 AD：

1. 登錄到微軟 Entra 管理中心
2. 前往保護 > 密碼重置 > 本地集成
3. 打開：

• 為同步用戶啟用密碼寫回
• 使用 Microsoft Entra Connect 云同步寫回密碼
• 允許用戶通過重置密碼來解鎖帳戶

4. 點擊節省

步驟 6. 檢查 Microsoft Entra Cloud Sync 日誌

1. 登錄到微軟 Entra 管理中心
2. 選擇配置日誌

3. 登錄到您的 Windows 服務器
4. 檢查安裝代理的服務器上本地存儲的日誌：

C:ProgramDataMicrosoft Entra Connect Provisioning AgentLogs

就是這樣！

結論

您了解瞭如何安裝和配置 Microsoft Entra Cloud Sync。對於希望以最小的開銷進行混合身份管理的組織來說，這是一個絕佳的選擇。它提供了一個完整而輕量級的解決方案，用於將本地對象同步到雲。

您喜歡這篇文章嗎？您可能還喜歡條件訪問 MFA 中斷 Azure AD Connect 同步。不要忘記關注我們並分享這篇文章。

另請閱讀：如何卸載本地 Microsoft Entra 密碼保護