對象
- 從 Microsoft Entra ID 同步使用者到 Access Control 的客戶
目的
- 說明從 Microsoft Entra ID 手動同步和定期同步使用者資訊到 Access Control 的步驟。
注意事項
- 本文內容基於 2025 年 4 月的產品規格製作,未來如有變更,將不另行通知。
- 設定使用者同步需要 Access Control 的全域管理者權限以及 Microsoft 365 的全域管理者。
- 管理介面的存取方法請參考以下文章。
進入 HENNGE Access Control 管理員介面的方法 (新式介面) - 使用者同步以「網域」為單位進行設定。
- 在執行使用者同步之前,必須將必要的使用者註冊到 Microsoft Entra ID。
- Microsoft Entra ID 的使用者密碼不會同步到 Access Control。
使用者同步完成後,必須在 Access Control 端設定初始密碼。 - 啟用定期同步後,將每小時同步一次使用者資訊。
※ 無法更改同步間隔。 - 如果已經從 Active Directory 同步使用者到 Microsoft Entra ID,則不需要進行此操作。
事前確認事項
- 請將同步網域中非同步對象的物件調整為 onmicrosoft.com 網域。
將非使用者物件的 UPN 更改為 onmicrosoft.com 網域 - 執行以下步驟,確認您的環境可以使用 Microsoft Graph PowerShell。
Microsoft Graph PowerShell SDK 的安裝
從 Microsoft Graph PowerShell 連接到 Microsoft365
步驟
1. 從 HENNGE Access Control 管理介面存取 [帳戶佈建設定]。
2. 在 [同步來源] 選單中選擇 [+ 新增服務]。
3. 從同步服務選擇畫面中選擇同步對象的服務。
如果顯示以下畫面,請選擇 [Entra ID]。
如果顯示 [使用已儲存的數據] 選單,請選擇 [使用已儲存的數據],並進行後續步驟 6。
※ 如果已完成步驟 5. [要求的存取權限] 的同意,則會顯示此選單。
4. 顯示 Microsoft 365 的登入畫面,請使用全域管理者帳戶登入。
5. 顯示 [要求的存取權限] 畫面,請選擇 [同意]。
6. 勾選同步的網域,設定 UPN Mode 及 使用者刪除保護等級,點擊 [繼續]。
・網域
勾選同步的網域。
・使用者刪除保護等級
嘗試刪除超過設定比例的使用者時,系統將自動取消同步作業以防止意外大量刪除使用者。
例:如果使用者刪除保護等級為 65%,則在同步時如果刪除的使用者超過總數的 65%,將取消同步作業。
・UPN Mode
根據設定,Access Control 的使用者名稱會有所變化。
※ Access Control 的使用者名稱無法後續更改。
【UPN Mode 有效】
將 Microsoft Entra ID 的 UserPrincipalName 屬性同步為 Access Control 的使用者名稱。
例 : 使用者的 UserPrincipalName 屬性為「user@example.com」時,使用者名稱為「user@example.com」。
【UPN Mode 無效】
將 Microsoft Entra ID 的 UserPrincipalName 屬性中的 @ 前的值同步為 Access Control 的使用者名稱。
例 : 使用者的 UserPrincipalName 屬性為「user@example.com」時,使用者名稱為「user」。
7. 顯示 Microsoft Graph PowerShell 的命令,請複製命令並使用 Microsoft 365 的全域管理者帳戶執行。
※ 此畫面無論是否執行都會顯示。
如果過去已經執行過此操作,請進行步驟 10。
8. 如果要求 Microsoft 365 的登入,請使用具有全域管理者權限的帳戶登入 Microsoft 365。
9. 確認步驟 7. 中執行的 Microsoft Graph PowerShell 指令結果中沒有以紅字顯示錯誤。
如果發生錯誤,請參考以下文章。
錯誤訊息集 Microsoft Graph PowerShell
※ 如果無法解決,請截取錯誤畫面的截圖,並通知 HENNGE One 導入負責人或支援窗口。
10. 確認 Microsoft Graph PowerShell 指令正確執行後,選擇 [繼續]。
11. 點擊每個同步對象網域的 [開始同步測試],確認出現預期的使用者同步結果。
※ 如果有多個網域,請對每個網域進行同步測試。
12. 選擇 [下載結果],並確認下載的同步測試結果 (csv 檔案)。
※ 如果有多個網域,請確認每個網域的結果。
※ 同步測試不適用於使用者刪除保護等級,因此可能會輸出超過容許率的使用者刪除測試。
請務必參考以下內容確認同步測試結果。
如果同步結果中包含非預期的新增、刪除、更新的使用者,請按 [取消],完成使用者資訊的編輯後再試一次。
如有疑問,請通知 HENNGE One 導入支援負責人。
※ 同步測試結果輸出時無法更改使用者列表的排序。
※ 輸出的使用者列表右側欄位會顯示每個使用者的 Imuutable ID。
同步測試結果中顯示新增或刪除時
請確認新增或刪除對象的使用者是否為預期的使用者。
如果有非預期新增或刪除對象的使用者,請點擊 [取消],在 Access Control 或 Microsoft Entra ID 端註冊或刪除使用者資訊後再試一次。
同步測試結果中顯示更新時
請確認更新對象使用者的同步項目值是否如預期。
通過比較您在 Access Control 中註冊的使用者資訊和 Microsoft 365 中註冊的使用者資訊,可以確認更新內容。
如果更新內容中有非預期的使用者,請點擊 [取消],在 Access Control 或 Microsoft Entra ID 端編輯使用者資訊後再試一次。
有關使用者同步時的同步項目詳細資訊,請參考以下文章。
Access Control 與 Microsoft 365 的使用者同步項目是什麼?
13. 如果內容沒有問題,請點擊 [繼續]。
14. 選擇 [定期同步設定] 或 [立即同步],確認顯示的注意事項後,如果沒有問題,勾選核取方塊並點擊 [執行]。
EntraID 定期同步
每小時一次,從同步來源服務到同步目的地服務進行使用者資訊的定期同步 (新增、刪除、更新) 設定。
※ 建議在執行「同步測試」和「立即同步」後,確認同步結果如預期後再啟用。
一次性立即同步
立即執行使用者資訊的同步 (新增、刪除、更新)。
※ 執行 [一次性立即同步] 時,會立即執行使用者資訊的同步 (新增、刪除、更新),並更新 HENNGE Access Control 的使用者。
請確認同步測試結果如預期後再執行。
關於同步 (新增、刪除、更新)
- 新增 : 當使用者僅存在於同步來源服務中,但不存在於同步目的地服務中時,將使用者新增到同步目的地服務。
- 刪除 : 當使用者不存在於同步來源服務中,但存在於同步目的地服務中時,將刪除同步目的地服務的使用者。
- 更新 : 當同步來源和同步目的地服務中存在相同的使用者,但姓名、顯示名稱等項目有差異時,將同步目的地服務的值更新為同步來源的值。
15. 點擊 [確認同步記錄],確認同步結果。
※ 如果選擇 [定期同步設定],在啟用定期同步的階段不會執行同步處理,因此不會立即顯示在同步記錄中。
啟用定期同步後,每小時執行一次使用者資訊的定期同步,並輸出同步記錄。
有關確認同步記錄的方法詳細資訊,請參考以下文章。
確認同步記錄 (新式介面)
16. 在 Access Control 端為每個使用者設定初始密碼。
通過使用者同步在 Access Control 中創建的使用者,其 Microsoft Entra ID 端的密碼不會同步。
因此,同步完成後,管理員需要在 Access Control 上設定初始密碼。
※ 未設定密碼,使用者將無法登入 Access Control。
有關密碼的設定方法,請參考以下文章。
Access Control 使用者資訊的編輯
Access Control 使用者批次更新