[Access Control] 使用者同步設定 (Access Control → Microsoft 365) – HENNGE One Help Center

對象

從 Access Control 同步使用者到 Microsoft Entra ID 的客戶

目的

說明從 Access Control 手動同步和定期同步使用者資訊到 Microsoft Entra ID 的步驟。

注意事項

本文內容基於 2025 年 8 月時的產品規格製作，之後可能會在未經通知的情況下更改。
設定使用者同步需要 Access Control 的全域管理者權限以及 Microsoft 365 的全域管理者。
管理介面的存取方法請參考以下文章。
Access Control 管理介面的訪問方法
使用者同步需要以網域為單位進行設定。
在執行使用者同步之前，必須事先將必要的使用者註冊到 Access Control。
從 Access Control 同步到 Microsoft Entra ID 創建的使用者不會自動獲得 Microsoft 365 的授權。
如有需要，請在同步後由管理者授予 Microsoft 365 的授權。
啟用定期同步後，將每小時同步一次使用者資訊。
※ 無法更改同步間隔。
如果已經從 Active Directory 同步使用者到 Microsoft Entra ID，則不需要進行此操作。

事前確認事項

對於計劃同步的網域，請更改非使用者對象的網域。
將非使用者對象的 UPN 更改為 onmicrosoft.com 網域

手順

1. 從 Access Control 管理介面訪問 [帳戶佈建設定]。

2. 從 [從 Access Control 同步使用者資料到其他服務。] 選單中點擊 [+ 新增服務]。

3. 從同步服務選擇畫面中點擊同步對象的服務。
如果顯示以下畫面，請點擊 [Entra ID]。

如果顯示 [使用已儲存的數據] 選單，請點擊 [使用已儲存的數據]，然後進行後續步驟 6。
※ 如果已完成步驟 5. [要求的訪問權限] 的同意，則會顯示此選單。

4. 顯示 Microsoft 365 的登入畫面，請使用全域管理者帳戶登入。

5. 顯示 [要求的訪問權限] 畫面，請點擊 [同意]。

6. 參考以下內容選擇同步的網域，並在必要時更改設定值後點擊 [繼續]。

・網域
勾選要同步的網域。

・使用者刪除保護等級
當嘗試執行超過設定比例的使用者刪除處理時，取消處理以防止意外大量刪除使用者。
例：如果使用者刪除保護等級為 65%，則在同步時如果刪除的使用者超過總數的 65%，將取消處理。

7.出現 [要求的存取權限] 勾選 [代表組織同意] 並點擊 [允許] 。
※ 如果未出現此畫面直接進到下一頁，代表過去已經執行過此操作，請繼續執行下一步。

a49b3979bd87a3ef2d8a1e170816d6d6bfb0e1fc4ac665daf1689d6b0f7e9594.png

8. 點擊每個同步對象網域的 [開始同步測試]，輸出預期的使用者同步結果。
※ 如果有多個網域，請對每個網域進行同步測試。

9. 選擇 [下載結果]，並確認下載的同步測試結果 (csv 檔案)。
※ 如果有多個網域，請逐一確認每個網域的結果。
※ 同步測試不適用於使用者刪除容許率，因此可能會輸出超過容許率的使用者刪除測試。

請參考以下內容，務必確認同步測試的結果。

如果出現預期外的 Add、Delete、Update 的使用者，請按 [取消]，編輯使用者資訊後再重新嘗試。
如有疑問，請通知 HENNGE One 導入負責人。
※ 無法更改同步測試結果輸出時的使用者列表排序。
※ 輸出的使用者列表中會顯示每位使用者的 Immutable ID。

同步測試結果中顯示 Add 或 Delete 的情況+

同步測試結果中顯示 Update 的情況+

請確認 Update 的使用者是否為預期的使用者。
可以通過比較 Access Control 中註冊的使用者資訊與 Microsoft 365 中註冊的使用者資訊來確認更新內容。
如果 Update 中有預期外的使用者，請點擊 [取消]，在 Access Control 或 Microsoft Entra ID 端編輯使用者資訊後再重新嘗試。
有關使用者同步時的同步項目的詳細資訊，請參考以下文章。
Access Control 與 Microsoft 365 的使用者同步項目是什麼？
Access Control 的使用者列表下載步驟請參考下列文章。
Access Control 使用者列表的下載

Microsoft Entra ID 使用者資訊的批次匯出步驟
可以使用以下指定批次匯出 Microsoft Entra ID 的使用者資訊，並用於確認同步預覽結果。
※ 此命令的操作為 Microsoft Entra ID 的規範，詳細資訊請諮詢 Microsoft 。
※ 在執行步驟前，請確認下列文章，確認可以使用 Microsoft Graph PowerShell。
從 Microsoft Graph PowerShell 連接到 Microsoft365

1. 以管理員權限啟動 Microsoft Graph，並執行以下命令。
※ 如果顯示登入對話框，請使用擁有 Microsoft 365 全域管理員權限的帳戶繼續登入處理。

Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop

2. 執行以下命令。
※ 在「"*@連接對象網域"」的部分，指定同步對象網域的值。
例 :「"*@example.com"」
※ 在「任意的路徑」的部分，指定匯出目的地的路徑。

Get-MgUser -all -Property MailNickname, UserPrincipalName, surname, givenname,DisplayName, OnPremisesImmutableId |Where-Object {$_.UserPrincipalName -like "*@連接對象網域"} | Select-Object MailNickname, UserPrincipalName, surname, givenname, DisplayName, OnPremisesImmutableId | Export-Csv -Path "/任意的路徑/msusers.csv" -NoTypeInformation

10. 如果內容沒有問題，請點擊 [繼續]。

11. 選擇 [ 定期同步] 或 [立即同步]，然後點擊 [繼續]。
※ 執行 [立即同步] 時，會立即執行使用者資訊的同步 (新增、刪除、更新)，並更新 Microsoft 365 的使用者。
請確認同步測試的結果符合預期後再執行。

立即同步
立即執行使用者資訊的同步 (新增、刪除、更新)。

Entra ID 定期同步
每小時一次，從同步來源服務到同步目的地服務進行使用者資訊的定期同步 (新增、刪除、更新)。
※ 建議在執行同步測試和立即同步，確認能夠按預期同步後再進行設定。

關於同步 (新增、刪除、更新)

新增 : 當使用者僅存在於同步來源服務，而不存在於同步目的地服務時，將使用者新增到同步目的地服務。
刪除 : 當使用者不存在於同步來源服務，而存在於同步目的地服務時，將刪除同步目的地服務的使用者。
更新 : 當同步來源和同步目的地服務中存在相同的使用者，且姓名、顯示名稱等項目有差異時，將同步目的地服務的值更新為同步來源的值。

12. 點擊 [確認同步記錄]，並確認同步結果。
※ 如果選擇 [Entra ID 的定期執行]，在啟用定期同步的階段不會執行同步處理，因此不會顯示在同步記錄中。
啟用定期同步後，每小時執行一次使用者資訊的定期同步，並輸出同步記錄。
有關確認同步記錄的方法詳細資訊，請參閱以下文章。
確認同步記錄 (新式介面)

※ 確認完成使用者同步請務必聯繫 HENNGE One 導入窗口。

截圖 2025-03-28 上午10.45.15.png

如果您使用多個網域，並且之後要設定其他網域的使用者資訊，請參閱以下步驟。
新增定期同步的網域 (Access Control → Microsoft 365)