本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 可設定的 AD 同步如何運作
<a name="how-it-works-configurable-ADsync"></a>

IAM Identity Center 使用以下程序重新整理身分存放區中的 AD 型身分資料。若要進一步了解先決條件，請參閱 [先決條件和考量事項](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)。

## 建立
<a name="how-it-works-creation-configurable-ADsync"></a>

將 Active Directory 中的自我管理目錄或 AWS Managed Microsoft AD 管理的目錄連接到 IAM Identity Center Directory Service 之後，您可以明確設定要同步到 IAM Identity Center 身分存放區的 Active Directory 使用者和群組。您選擇的身分將每三小時同步到 IAM Identity Center 身分存放區。根據您的目錄大小，同步程序可能需要更長的時間。

屬於其他群組 （稱為*巢狀群組*或*子群組*) 的群組也會寫入身分存放區。

您只能在新使用者或群組同步到 IAM Identity Center 身分存放區之後，將存取權指派給新使用者或群組。

## 更新
<a name="how-it-works-update-configurable-ADsync"></a>

IAM Identity Center 身分存放區中的身分資料會定期從 Active Directory 中的來源目錄中讀取資料，以保持最新狀態。根據預設，IAM Identity Center 會在同步週期中每小時從您的 Active Directory 同步資料。根據 Active Directory 的大小，資料可能需要 30 分鐘到 2 小時才能同步到 IAM Identity Center。

在同步範圍內的使用者和群組物件及其成員資格會在 IAM Identity Center 中建立或更新，以對應至 Active Directory 中來源目錄中的對應物件。對於使用者屬性，IAM Identity Center 主控台**的存取控制屬性**區段中列出的屬性子集只會在 IAM Identity Center 中更新。您在 Active Directory 中進行的任何屬性更新可能需要一個同步週期，才能反映在 IAM Identity Center 中。

您也可以更新同步到 IAM Identity Center 身分存放區中的使用者和群組子集。您可以選擇將新使用者或群組新增至此子集，或將其移除。您新增的任何身分都會在下一次排定的同步時同步。您從子集移除的身分將停止在 IAM Identity Center 身分存放區中更新。任何未同步超過 28 天的使用者都會在 IAM Identity Center 身分存放區中停用。在下一個同步週期中，IAM Identity Center 身分存放區中會自動停用對應的使用者物件，除非它們仍屬於同步範圍的其他群組。

## 刪除
<a name="how-it-works-deletion-configurable-ADsync"></a>

從 Active Directory 的來源目錄中刪除對應的使用者或群組物件時，會從 IAM Identity Center 身分存放區刪除使用者和群組。或者，您可以使用 IAM Identity Center 主控台，從 IAM Identity Center 身分存放區明確刪除使用者物件。如果您使用 IAM Identity Center 主控台，您還必須從同步範圍中移除使用者，以確保他們不會在下一個同步週期中重新同步回 IAM Identity Center。

您也可以隨時暫停和重新啟動同步。如果您暫停同步超過 28 天，則會停用所有使用者。