Microsoft Entra Připojení: Pokud máte existujícího tenanta
Většina témat, jak používat Microsoft Entra Připojení předpokládá, že začínáte s novým tenantem Microsoft Entra a že tam nejsou žádní uživatelé ani jiné objekty. Pokud jste ale začali s tenantem Microsoft Entra, naplnili ho uživateli a dalšími objekty a teď chcete použít Připojení, je toto téma pro vás.
Základy
Objekt v ID Microsoft Entra se spravuje buď v cloudu, nebo místně. U jednoho objektu nemůžete spravovat některé atributy místně a některé další atributy v Microsoft Entra ID. Každý objekt má příznak označující, kde se objekt spravuje.
Některé uživatele můžete spravovat místně a jiné v cloudu. Běžným scénářem této konfigurace je organizace s kombinací pracovních pracovníků v účetnictví a prodejních pracovníků. Účetní pracovníci mají místní účet AD, ale prodejní pracovníci ne, ale oba mají účet v Microsoft Entra ID. Některé uživatele můžete spravovat místně a některé v Microsoft Entra ID.
Při zahájení správy uživatelů v Microsoft Entra ID, které jsou přítomné také místně, a později je potřeba zvážit některé další aspekty, které chcete použít Připojení Microsoft Entra.
Synchronizace se stávajícími uživateli v Microsoft Entra ID
Když začnete synchronizovat s Microsoft Entra Připojení, rozhraní API služby Microsoft Entra zkontroluje všechny nové příchozí objekty a pokusí se najít existující objekt, který se má shodovat. Pro tento proces se používají tři atributy: userPrincipalName, proxyAddresses a sourceAnchor/immutableID. Shoda u userPrincipalName nebo proxyAddresses se označuje jako "soft-match". Shoda u sourceAnchoru se označuje jako "hard=match". Pro atribut proxyAddresses se pro vyhodnocení používá pouze hodnota smtp :, tj. primární e-mailová adresa.
Shoda se vyhodnotí pouze pro nové objekty přicházející z Připojení. Pokud změníte existující objekt tak, aby odpovídal některému z těchto atributů, zobrazí se místo toho chyba.
Pokud Microsoft Entra ID najde objekt, ve kterém jsou hodnoty atributů stejné jako nový příchozí objekt z Microsoft Entra Připojení, pak převezme objekt v Microsoft Entra ID a dříve cloudově spravovaný objekt se převede na místní správu. Všechny atributy v Microsoft Entra ID s hodnotou v místní službě AD se přepíšou odpovídající místní hodnotou.
Upozorňující
Vzhledem k tomu, že všechny atributy v MICROSOFT Entra ID budou přepsány místní hodnotou, ujistěte se, že máte místně dobrá data. Pokud máte například spravovanou e-mailovou adresu jenom v Microsoftu 365 a neuchováváte ji v místní službě AD DS, ztratíte všechny hodnoty v Microsoft Entra ID / Microsoft 365, které nejsou přítomné ve službě AD DS.
Důležité
Pokud používáte synchronizaci hesel, která se vždy používá expresním nastavením, heslo v Microsoft Entra ID se přepíše heslem v místní službě AD. Pokud se uživatelé používají ke správě různých hesel, musíte je informovat, že by měli používat místní heslo, když jste nainstalovali Připojení.
Předchozí část a upozornění se musí při plánování zvážit. Pokud jste provedli mnoho změn v ID Microsoft Entra, které se neprojevily v místní službě AD DS, je potřeba před synchronizací objektů s Microsoft Entra Připojení naplánovat, jak naplnit službu AD DS aktualizovanými hodnotami z ID Microsoft Entra.
Pokud jste objekty spárovali s soft-match, zdrojAnchor se přidá k objektu v Microsoft Entra ID, aby bylo možné později použít pevnou shodu.
Důležité
Microsoft důrazně doporučuje synchronizovat místní účty s předem existujícími účty pro správu v Microsoft Entra ID.
Hard-match vs Soft-match
Ve výchozím nastavení se hodnota SourceAnchor "abcdefghijklmnopqrstuv==" vypočítá pomocí microsoft Entra Připojení pomocí atributu MsDs-ConsistencyGUID (nebo ObjectGUID v závislosti na konfiguraci) z místní Active Directory. Tato hodnota atributu je odpovídající ImmutableId v Microsoft Entra ID. Když Microsoft Entra Připojení (synchronizační modul) přidá nebo aktualizuje objekty, Microsoft Entra ID odpovídá příchozímu objektu pomocí hodnoty sourceAnchor odpovídající atributu ImmutableId existujícího objektu v Microsoft Entra ID. Pokud existuje shoda, Microsoft Entra Připojení převzít tento objekt a aktualizovat ho vlastnostmi příchozího místní Active Directory objektu v tom, co se označuje jako "pevná shoda". Když Microsoft Entra ID nemůže najít žádný objekt s ImmutableId, který odpovídá hodnotě SouceAnchor, pokusí se použít userPrincipalName příchozího objektu nebo primární ProxyAddress najít shodu v tom, co se označuje jako *"soft-match". Soft match se pokusí spárovat objekty, které jsou již přítomné a spravované v Microsoft Entra ID s novými příchozími objekty, které se přidávají nebo aktualizují, které představují stejnou entitu místně. Pokud Microsoft Entra ID nemůže najít pevně shodný nebo soft-match pro příchozí objekt, zřídí nový objekt v adresáři Microsoft Entra ID. Přidali jsme možnost konfigurace, která zakáže funkci pevné shody v ID Microsoft Entra. Zákazníkům doporučujeme zakázat pevné párování, pokud ho nepotřebují k převzetí účtů pouze v cloudu.
Pokud chcete zakázat pevné porovnávání, použijte rutinu Microsoft Graph PowerShellu Update-MgDirectoryOnPremiseSynchronization :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Podobně jsme přidali možnost konfigurace, která zakáže možnost obnovitelného párování v MICROSOFT Entra ID. Zákazníkům doporučujeme zakázat obnovitelné párování, pokud je nepotřebují k převzetí účtů pouze v cloudu.
Pokud chcete zakázat obnovitelné párování, použijte rutinu Prostředí PowerShell Update-MgDirectoryOnPremiseSynchronization v Microsoft Graphu:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Poznámka:
BlockCloudObjectTakeoverThroughHardMatchEnabled a BlockSoftMatchEnabled se používají k blokování shody pro všechny objekty, pokud je pro tenanta povoleno. Zákazníkům se doporučuje zakázat tyto funkce pouze během období, kdy je pro tenanty vyžadován odpovídající postup. Tento příznak by měl být znovu nastaven na True po dokončení jakékoli shody a už není potřeba.
Jiné objekty než uživatelé
U skupin a kontaktů s podporou pošty můžete na základě proxyAddresses použít soft match. Pevná shoda se nedá použít, protože zdrojAnchor/immutableID (pomocí PowerShellu) můžete aktualizovat pouze u uživatelů. U skupin, které nejsou povolené e-mailem, se v současné době nepodporuje soft match ani hard match.
důležité informace o rolích Správa
Pokud chcete chránit před nedůvěryhodnými místními uživateli, Microsoft Entra ID nebude odpovídat místním uživatelům s cloudovými uživateli, kteří mají roli správce. Toto chování je ve výchozím nastavení. Pokud chcete tento problém obejít, můžete provést následující kroky:
- Odeberte role adresáře z objektu uživatele pouze v cloudu.
- Pevně odstraňte objekt v karanténě v cloudu.
- Aktivace synchronizace
- Volitelně můžete po dokončení shody přidat role adresáře zpět do objektu uživatele v cloudu.
Vytvoření nového místní Active Directory z dat v Microsoft Entra ID
Někteří zákazníci začínají cloudovým řešením s ID Microsoft Entra a nemají místní AD. Později chtějí využívat místní prostředky a chtějí vytvořit místní službu AD založenou na datech Microsoft Entra. Microsoft Entra Připojení vám v tomto scénáři nepomůže. Nevytváří uživatele místně a nemá žádnou možnost nastavit heslo místně na stejné jako v Microsoft Entra ID.
Pokud je jediným důvodem, proč plánujete přidat místní službu AD, je podpora lob (obchodních aplikací), možná byste měli zvážit použití služby Microsoft Entra Domain Services .
Další kroky
Přečtěte si další informace o integraci místních identit s ID Microsoft Entra.