可能導致問題的典型問題包括:
。安裝錯誤, 例如使用不正確的本機憑證或 Azure AD憑證
。無意中在 Azure入口網站或透過 Windows PowerShell停用目錄同步
。ADDS中的意外修改影響 OU範圍或屬性篩選
。損壞的 ADDS需要目錄還原
2019年9月6日 星期五
監控目錄同步的工具
監控目錄同步的工具:
。Operations Manager: 使用 System Center Management Pack for Azure
。Azure入口網站
。Windows PowerShell
。同步處理服務管理員(Synchronization Service Manager)
。事件日誌
修改目錄同步
在 Azure AD Connect同步中可以隨時啟用篩選, 如果已部署目錄同步的預設設定並啟用篩選, 則篩選出的物件將不再同步到 Azure AD, Azure AD中任何先前已同步但隨後被篩選的物件都會在 Azure AD中刪除, 如果由於篩選錯誤而意外刪除物件, 可以透過刪除篩選設定在 Azure AD中重新建立這些物件然後再次同步目錄, 篩選應用於 Azure AD Connect的設定類型包括:
。網域: 能夠選擇允許哪些 ADDS網域同步到 Azure AD
。OU: 能夠選擇允許 ADDS 中的哪些 OU同步到 Azure AD
。屬性: 能夠根據物件屬性的條件, 控制 ADDS中的哪些物件應同步到 Azure AD
使用目錄同步管理群組
。群組回寫的功能將群組從 Azure AD寫回本機的 ADDS
。指令 Initialize-ADSyncGroupWriteBack為群組回寫自動準備 ADDS
。$groupOU是雲端群組儲存在本機 ADDS中的組織單位
。源自 Azure AD的群組在本機 ADDS中表現為發佈型群組
。如果在沒有 Exchange伺服器混合回寫功能下啟用群組回寫, 則需要 Azure AD Premium授權
使用目錄同步管理用戶
成功部署 Azure AD Connect並啟用計畫同步後, 需要執行幾項管理任務以確保使用者有效率地同步:
。使用者回寫
。密碼回寫
。設備回寫
。主要 SMTP位址管理
。從意外刪除中復原
。從未同步的刪除中復原
。意外刪除帳戶
。大量啟用新帳戶
身分識別同步選項比較
| 僅目錄同步 | 目錄同步與密碼同步 | 使用SSO進行目錄同步 | |
|---|---|---|---|
| 與Azure同步使用者、群組和聯絡人 | O | O | O |
| 與Azure同步增量更新 | O | O | O |
| 啟用混合Microsoft Office 365方案 | O, 部分支援 | O, 部分支援 | O, 完全支援 |
| 使用者可以使用本機憑證登入 | X | O | O |
| 降低密碼管理成本 | X | O | O |
| 從本機目錄控制密碼原則 | X | O | O |
| 啟用基於雲端的多重身份驗證(MFA) | O | O | O |
| 啟用本地MFA | X | X | O |
| 根據本機目錄進行身份驗證 | X | X | O |
| 使用組織憑證實施SSO | X | X | O |
| 自訂登入頁面 | X | X | O |
| 根據位置或用戶端類型限制對服務的存取 | X | X | O |
2019年9月5日 星期四
Azure AD特權身分管理
Azure AD特權身分管理(Privileged Identity Management, PIM):
。探索哪些使用者是 Azure AD管理員
。依需求啟用對目錄資源存取的即時系統管理存取權限
。取得有關系統管理員存取記錄與系統管理員指派變更的報告
。取得有關特權角色存取的警示
。僅可在 Azure AD的 Premium P2版本中啟動使用