使用 Microsoft Entra 系統管理中心設定從 Microsoft Entra 識別碼到 Microsoft Entra Domain Services 的範圍同步處理

為了提供驗證服務，Microsoft Entra Domain Services 會同步處理來自 Microsoft Entra ID 的使用者和群組。 在混合式環境中，您可以從 內部部署的 Active Directory Domain Services （AD DS） 環境的使用者和群組，先使用 Microsoft Entra 連線同步處理至 Microsoft Entra ID，然後同步處理至 Domain Services 受控網域。

根據預設，來自 Microsoft Entra 目錄的所有使用者和群組都會同步處理至受控網域。 如果只有某些使用者需要使用 Domain Services，您可以改為選擇只同步處理使用者群組。 您可以篩選內部部署、僅限雲端或兩者群組的同步處理。

本文說明如何設定範圍同步處理，然後使用 Microsoft Entra 系統管理中心變更或停用一組限定範圍的使用者。 您也可以 使用 PowerShell 完成這些步驟。

開始之前

若要完成本文，您需要下列資源和許可權：

• 啟用中的 Azure 訂用帳戶。
  • 如果您沒有 Azure 訂用帳戶， 請建立帳戶 。
• 與您的訂用帳戶相關聯的 Microsoft Entra 租使用者，會與內部部署目錄或僅限雲端目錄同步。
  • 如有需要， 請建立 Microsoft Entra 租使用者 ，或 建立 Azure 訂用帳戶與您的帳戶 的關聯。
• 在您的 Microsoft Entra 租使用者中啟用和設定 Microsoft Entra Domain Services 受控網域。
  • 如有需要，請完成建立 及設定 Microsoft Entra Domain Services 受控網域 的教學課程。
• 您需要 租使用者中的 Application 管理員istrator 和 Groups 管理員istrator Microsoft Entra 角色，才能變更 Domain Services 同步處理範圍。

限定範圍的同步處理概觀

根據預設，來自 Microsoft Entra 目錄的所有使用者和群組都會同步處理至受控網域。 您可以將同步處理的範圍設定為僅限在 Microsoft Entra ID 中建立的使用者帳戶，或同步處理所有使用者。

如果只有少數使用者群組需要存取受控網域，您可以選取 [依群組權利 篩選] 只同步處理這些群組。 此限定範圍的同步處理僅以群組為基礎。 當您設定以群組為基礎的範圍同步處理時，只有屬於您指定群組的使用者帳戶會同步處理至受控網域。 巢狀群組不會同步處理;只有您指定的群組已同步處理。

您可以在建立受控網域之前或之後變更同步處理範圍。 同步處理的範圍是由應用程式識別碼為 2565bd9d-da50-47d4-8b85-4c97f669dc36 的服務主體所定義。 若要防止範圍遺失，請勿刪除或變更服務主體。 如果意外刪除，則無法復原同步處理範圍。

如果您變更同步處理範圍，請記住下列注意事項：

• 發生完整同步處理。
• 已刪除受控網域中不再需要的物件。 新的物件會在受控網域中建立。

若要深入瞭解同步處理常式，請參閱 瞭解 Microsoft Entra Domain Services 中的同步處理 。

啟用限定範圍的同步處理

若要在 Microsoft Entra 系統管理中心啟用有範圍的同步處理，請完成下列步驟：

1. 在 Microsoft Entra 系統管理中心 中，搜尋並選取 [Microsoft Entra Domain Services ]。 選擇您的受控網域，例如 aaddscontoso.com 。

2. 從左側功能表中選取 [同步 處理]。

3. 針對 [ 同步處理範圍 ]，選取 [全部 ] 或 [ 僅限 雲端]。

4. 若要篩選所選群組的同步處理，請按一下 [ 顯示選取的群組 ]，選擇是否要同步處理僅限雲端群組、內部部署群組或兩者。 例如，下列螢幕擷取畫面顯示如何只同步處理在 Microsoft Entra ID 中建立的三個群組。 只有屬於這些群組的使用者才會將其帳戶同步處理至 Domain Services。

   

5. 若要新增群組，請按一下 [新增群組 ]，然後搜尋並選擇要新增的群組。

6. 進行所有變更時，請選取 [ 儲存同步處理範圍 ]。

變更同步處理範圍會導致受控網域重新同步處理所有資料。 已刪除受控網域中不再需要的物件，且重新同步處理可能需要一些時間才能完成。

修改限定範圍的同步處理

若要修改使用者應該同步至受控網域的群組清單，請完成下列步驟：

1. 在 Microsoft Entra 系統管理中心 中，搜尋並選取 [Microsoft Entra Domain Services ]。 選擇您的受控網域，例如 aaddscontoso.com 。
2. 從左側功能表中選取 [同步 處理]。
3. 若要新增群組，請選擇 頂端的 [+ 新增群組 ]，然後選擇要新增的群組。
4. 若要從同步處理範圍中移除群組，請從目前同步處理的群組清單中選取群組，然後選擇 [ 移除群組 ]。
5. 進行所有變更時，請選取 [ 儲存同步處理範圍 ]。

變更同步處理範圍會導致受控網域重新同步處理所有資料。 已刪除受控網域中不再需要的物件，且重新同步處理可能需要一些時間才能完成。

停用限定範圍的同步處理

若要停用受控網域的群組型範圍同步處理，請完成下列步驟：

1. 在 Microsoft Entra 系統管理中心 中，搜尋並選取 [Microsoft Entra Domain Services ]。 選擇您的受控網域，例如 aaddscontoso.com 。
2. 從左側功能表中選取 [同步 處理]。
3. 清除 [顯示選取的群組] 核取方塊 ，然後按一下 [ 儲存同步處理範圍 ]。

變更同步處理範圍會導致受控網域重新同步處理所有資料。 已刪除受控網域中不再需要的物件，且重新同步處理可能需要一些時間才能完成。

下一步

若要深入瞭解同步處理常式，請參閱 瞭解 Microsoft Entra Domain Services 中的同步處理 。