在为此环境添加目录时，请选择“Active Directory (集成 Windows 身份验证)”选项。确保在目录中的域和 VMware Identity Manager Connector 连接到的域之间设置直接（非传递）双向信任。

有关详细信息，请参阅：

• 管理从 Active Directory 同步的用户属性
• 配置 Active Directory 与服务的连接

选择全局目录选项具有以下几条限制：

• 复制到全局目录中的 Active Directory 对象属性在 Active Directory 架构中被标识为局部属性集 (PAS)。服务仅可使用这些属性进行属性映射。如有必要，可编辑架构以添加或移除在全局目录中存储的属性。
• 全局目录可存储唯一通用组的组成员身份（成员属性）。只有通用组会同步到服务。如有必要，可将组的范围从本地域或全局域更改为通用域。
• 在服务中配置目录时定义的绑定 DN 帐户必须有权读取 Token-Groups-Global-And-Universal (TGGAU) 属性。
• 如果将 Workspace ONE UEM 与 VMware Identity Manager 相集成并且配置了多个 Workspace ONE UEM 组织组，则将无法使用“Active Directory 全局目录”选项。

Active Directory 使用端口 389 和 636 进行标准 LDAP 查询。对于全局目录查询，则使用端口 3268 和 3269。

在为全局目录环境添加目录时，请在配置过程中指定以下信息。

• 选择“通过 LDAP 访问的 Active Directory”选项。
• 取消选中此目录支持 DNS 服务位置选项的复选框。
• 选择此目录具有全局目录选项。选择此选项后，服务器端口号会自动更改为 3268。此外，由于配置全局目录选项时不需要基本 DN，因此“基本 DN”文本框不会显示。
• 添加 Active Directory 服务器主机名。
• 如果您的 Active Directory 要求通过 SSL 访问，请选择此目录要求所有连接都使用 SSL 选项并将证书粘贴到提供的文本框中。选择此选项后，服务器端口号会自动更改为 3269。