Microsoft Entra Connect: Koncepty návrhu

Účelem tohoto dokumentu je popsat oblasti, které je potřeba zvážit při konfiguraci Připojení Microsoft Entra. Tento dokument podrobně popisuje určité oblasti a tyto koncepty jsou stručně popsány i v dalších dokumentech.

SourceAnchor (Zdrojové ukotvení)

Atribut sourceAnchor je definován jako atribut neměnný během životnosti objektu. Jednoznačně identifikuje objekt jako stejný objekt v místním prostředí a v ID Microsoft Entra. Atribut se také nazývá immutableId a dva názvy se používají zaměnitelně.

Pro tento dokument je důležité slovo neměnné, tedy "nelze změnit". Vzhledem k tomu, že hodnotu tohoto atributu nelze po nastavení změnit, je důležité vybrat návrh, který podporuje váš scénář.

Atribut se používá pro následující scénáře:

  • Pokud je vytvořen nový server synchronizačního stroje nebo znovu sestaven po scénáři zotavení po havárii, tento atribut propojuje existující objekty v Microsoft Entra ID s místními objekty.
  • Pokud se přesunete z cloudové identity na model synchronizované identity, pak tento atribut umožňuje objektům "pevně spárovat" existující objekty v Microsoft Entra ID s místními objekty.
  • Pokud používáte federaci, použije se tento atribut společně s userPrincipalName v deklaraci identity k jednoznačné identifikaci uživatele.

Toto téma se týká pouze sourceAnchoru, protože souvisí s uživateli. Stejná pravidla platí pro všechny typy objektů, ale tento problém je obvykle jen pro uživatele.

Výběr vhodného atributu sourceAnchor

Hodnota atributu musí dodržovat následující pravidla:

  • Délka kratší než 60 znaků
    • Znaky, které nejsou a-z, A-Z nebo 0-9, jsou kódovány a počítány jako 3 znaky.
  • Neobsahuje speciální znak: \ ! # $ % & * + / = ? ^ ' { } | ~ <> ( ) ' ; : , [ ] " @ _
  • Musí být globálně jedinečný.
  • Musí to být řetězec, celé číslo nebo binární.
  • Nemělo by být založeno na uživatelském jménu, protože se můžou změnit.
  • Nemělo by se rozlišovat malá a velká písmena a vyhnout se hodnotám, které se můžou lišit v jednotlivých případech.
  • Při vytváření objektu by se mělo přiřazovat.

Pokud vybraný sourceAnchor není typu řetězec, pak Microsoft Entra Připojení Base64Encode hodnotu atributu, aby se zajistilo, že se nezobrazí žádné speciální znaky. Pokud používáte jiný federační server než ADFS, ujistěte se, že váš server může atribut také Base64Encode.

Atribut sourceAnchor rozlišují malá a velká písmena. Hodnota "JohnDoe" není stejná jako "johndoe". Neměli byste ale mít dva různé objekty, pouze s rozdílem v případě.

Pokud máte místní doménovou strukturu, pak atribut, který byste měli použít, je objectGUID. Toto je také atribut používaný při použití expresního nastavení v Microsoft Entra Připojení a také atribut používaný nástrojem DirSync.

Pokud máte více doménových struktur a nepřesunujete uživatele mezi doménovými strukturami a doménami, je objektGUID dobrým atributem, který můžete použít i v tomto případě.

Pokud přesunete uživatele mezi doménovými strukturami a doménami, musíte najít atribut, který se nezmění nebo se dá během přesunu přesunout s uživateli. Doporučeným přístupem je zavedení syntetického atributu. Atribut, který by mohl obsahovat něco, co vypadá jako identifikátor GUID, by byl vhodný. Během vytváření objektu se vytvoří nový identifikátor GUID a označí se na uživatele. Na serveru synchronizačního stroje lze vytvořit vlastní pravidlo synchronizace, které vytvoří tuto hodnotu na základě objectGUID a aktualizuje vybraný atribut ve službě AD DS. Při přesunutí objektu nezapomeňte také zkopírovat obsah této hodnoty.

Dalším řešením je vybrat existující atribut, který víte, že se nezmění. Mezi běžně používané atributy patří EMPLOYEEID. Pokud uvažujete o atributu, který obsahuje písmena, ujistěte se, že není možné změnit velikost písmen (velká a malá písmena) pro hodnotu atributu. Mezi chybné atributy, které by se neměly používat, patří tyto atributy se jménem uživatele. V manželství nebo rozvodu se očekává, že se jméno změní, což není pro tento atribut povoleno. To je také jedním z důvodů, proč atributy, jako je userPrincipalName, mail a targetAddress, nejsou dokonce možné vybrat v průvodci instalací Microsoft Entra Připojení. Tyto atributy obsahují také znak @, který není v objektu sourceAnchor povolený.

Změna atributu sourceAnchor

Hodnotu atributu sourceAnchor nelze po vytvoření objektu v Microsoft Entra ID změnit a identita se synchronizuje.

Z tohoto důvodu platí následující omezení pro microsoft Entra Připojení:

  • Atribut sourceAnchor lze nastavit pouze během počáteční instalace. Pokud znovu spustíte průvodce instalací, tato možnost je jen pro čtení. Pokud potřebujete toto nastavení změnit, musíte ho odinstalovat a přeinstalovat.
  • Pokud nainstalujete jiný server Microsoft Entra Připojení, musíte vybrat stejný atribut sourceAnchor jako dříve použitý. Pokud jste dříve používali nástroj DirSync a přešli na microsoft Entra Připojení, musíte použít objectGUID, protože se jedná o atribut používaný nástrojem DirSync.
  • Pokud je hodnota sourceAnchor změněna po exportu objektu do Microsoft Entra ID, Microsoft Entra Připojení Sync vyvolá chybu a neumožňuje žádné další změny tohoto objektu předtím, než bude problém opraven a sourceAnchor se změní zpět ve zdrojovém adresáři.

Použití ms-DS-ConsistencyGuid jako sourceAnchor

Ve výchozím nastavení používá Microsoft Entra Připojení (verze 1.1.486.0 a starší) objectGUID jako atribut sourceAnchor. ObjectGUID je systémem generovaný. Při vytváření místních objektů AD nemůžete zadat její hodnotu. Jak je vysvětleno v části sourceAnchor, existují scénáře, ve kterých potřebujete zadat hodnotu sourceAnchor. Pokud jsou scénáře použitelné pro vás, musíte jako atribut sourceAnchor použít konfigurovatelný atribut AD (například ms-DS-ConsistencyGuid).

Microsoft Entra Připojení (verze 1.1.524.0 a novější) nyní usnadňuje použití ms-DS-ConsistencyGuid jako atribut sourceAnchor. Při použití této funkce Microsoft Entra Připojení automaticky nakonfiguruje synchronizační pravidla tak, aby:

  1. Jako atribut sourceAnchor pro objekty User použijte ms-DS-ConsistencyGuid. ObjectGUID se používá pro jiné typy objektů.

  2. U každého daného místního objektu uživatele SLUŽBY AD, jehož atribut ms-DS-ConsistencyGuid není naplněný, Microsoft Entra Připojení zapíše hodnotu objectGUID zpět do atributu ms-DS-ConsistencyGuid v místní Active Directory. Jakmile se naplní atribut ms-DS-ConsistencyGuid, Microsoft Entra Připojení pak exportuje objekt do Microsoft Entra ID.

Poznámka:

Po importu místního objektu AD do Připojení Microsoft Entra (tj. importu do prostoru Připojení oru AD a promítaného do metaverse) už nemůžete změnit jeho hodnotu sourceAnchor. Chcete-li zadat hodnotu sourceAnchor pro daný místní objekt AD, nakonfigurujte jeho atribut ms-DS-ConsistencyGuid před importem do microsoft Entra Připojení.

Požadováno oprávnění

Aby tato funkce fungovala, musí mít účet služby AD DS používaný k synchronizaci s místní Active Directory udělené oprávnění k zápisu atributu ms-DS-ConsistencyGuid v místní Active Directory.

Povolení funkce ConsistencyGuid – nová instalace

Během nové instalace můžete povolit použití ConsistencyGuid jako sourceAnchor. Tato část obsahuje podrobné informace o expresní i vlastní instalaci.

Poznámka:

Pouze novější verze Microsoft Entra Připojení (1.1.524.0 a novější) podporují použití ConsistencyGuid jako sourceAnchor během nové instalace.

Povolení funkce ConsistencyGuid

Expresní instalace

Při instalaci microsoft Entra Připojení s režimem Express průvodce Microsoft Entra Připojení automaticky určí nejvhodnější atribut AD, který se má použít jako atribut sourceAnchor, pomocí následující logiky:

  • Nejprve průvodce Microsoft Entra Připojení dotazuje vašeho tenanta Microsoft Entra, aby načetl atribut AD použitý jako atribut sourceAnchor v předchozí instalaci Microsoft Entra Připojení (pokud existuje). Pokud jsou tyto informace k dispozici, microsoft Entra Připojení používá stejný atribut AD.

    Poznámka:

    Informace o atributu sourceAnchor používaném během instalace ukládají pouze novější verze Microsoft Entra Připojení (1.1.524.0 a novější). Starší verze Microsoft Entra Připojení ne.

  • Pokud nejsou dostupné informace o použitém atributu sourceAnchor, průvodce zkontroluje stav atributu ms-DS-ConsistencyGuid ve vašem místní Active Directory. Pokud atribut není nakonfigurován pro žádný objekt v adresáři, průvodce použije ms-DS-ConsistencyGuid jako atribut sourceAnchor. Pokud je atribut nakonfigurován pro jeden nebo více objektů v adresáři, průvodce dospěl k závěru, že atribut používá jiné aplikace a není vhodný jako atribut sourceAnchor...

  • V takovém případě se průvodce vrátí zpět k použití objectGUID jako atribut sourceAnchor.

  • Jakmile se rozhodne atribut sourceAnchor, průvodce uloží informace ve vašem tenantovi Microsoft Entra. Informace budou použity budoucí instalací microsoft Entra Připojení.

Jakmile se expresní instalace dokončí, průvodce vás informuje, který atribut byl vybrán jako atribut Zdrojové ukotvení.

Wizard informs AD attribute picked for sourceAnchor

Vlastní instalace

Při instalaci Připojení Microsoft Entra s vlastním režimem poskytuje průvodce Microsoft Entra Připojení dvě možnosti při konfiguraci atributu sourceAnchor:

Custom installation - sourceAnchor configuration

Nastavení Popis
Umožnit Microsoft Entra ID spravovat zdrojové ukotvení pro mě Tuto možnost vyberte, pokud chcete, aby ID Microsoft Entra vybral atribut za vás. Pokud vyberete tuto možnost, průvodce Microsoft Entra Připojení použije stejnou logiku výběru atributu sourceAnchor použitou při instalaci Expressu. Podobně jako instalace Express vás průvodce informuje, který atribut byl vybrán jako atribut Zdrojové ukotvení po dokončení vlastní instalace.
Konkrétní atribut Tuto možnost vyberte, pokud chcete jako atribut sourceAnchor zadat existující atribut AD.

Povolení funkce ConsistencyGuid – Existující nasazení

Pokud máte existující nasazení Microsoft Entra Připojení, které jako atribut zdrojové ukotvení používá objectGUID, můžete ho místo toho přepnout na použití ConsistencyGuid.

Poznámka:

Pouze novější verze Microsoft Entra Připojení (1.1.552.0 a novější) podporují přepínání z ObjectGuid na ConsistencyGuid jako atribut Zdrojové ukotvení.

Přepnutí z objectGUID na ConsistencyGuid jako atribut Zdrojové ukotvení:

  1. Spusťte průvodce Microsoft Entra Připojení a kliknutím na Tlačítko Konfigurovat přejděte na obrazovku Úkoly.

  2. Vyberte možnost Konfigurovat zdrojová ukotvení a klepněte na tlačítko Další.

    Enable ConsistencyGuid for existing deployment - step 2

  3. Zadejte své přihlašovací údaje Microsoft Entra Správa istrator a klikněte na Tlačítko Další.

  4. Průvodce Microsoft Entra Připojení analyzuje stav atributu ms-DS-ConsistencyGuid ve vašem místní Active Directory. Pokud atribut není nakonfigurovaný u žádného objektu v adresáři, Microsoft Entra Připojení dospěl k závěru, že atribut aktuálně nepoužívá žádná jiná aplikace a je bezpečné ho používat jako atribut Zdrojové ukotvení. Pokračujte výběrem tlačítka Další.

    Enable ConsistencyGuid for existing deployment - step 4

  5. Na obrazovce Připraveno ke konfiguraci klikněte na Konfigurovat a proveďte změnu konfigurace.

    Enable ConsistencyGuid for existing deployment - step 5

  6. Po dokončení konfigurace průvodce indikuje, že ms-DS-ConsistencyGuid se teď používá jako atribut Zdrojové ukotvení.

    Enable ConsistencyGuid for existing deployment - step 6

Pokud je atribut nakonfigurovaný u jednoho nebo více objektů v adresáři, průvodce během analýzy (krok 4) dospěl k závěru, že atribut používá jiná aplikace a vrátí chybu, jak je znázorněno v následujícím diagramu. K této chybě může dojít také v případě, že jste na primárním serveru Microsoft Entra Připojení povolili funkci ConsistencyGuid a pokoušíte se provést totéž na přípravném serveru.

Enable ConsistencyGuid for existing deployment - error

Pokud jste si jisti, že atribut nepoužívá jiné existující aplikace, můžete potlačit chybu restartováním průvodce Microsoft Entra Připojení pomocí zadaného přepínače /SkipLdapSearch. Uděláte to tak, že na příkazovém řádku spustíte následující příkaz:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Dopad na konfiguraci federace služby AD FS nebo třetí strany

Pokud ke správě místního nasazení služby AD FS používáte Microsoft Entra Připojení, Microsoft Entra Připojení automaticky aktualizuje pravidla deklarací identity tak, aby používala stejný atribut AD jako sourceAnchor. Tím se zajistí, že deklarace identity ImmutableID vygenerovaná službou ADFS je konzistentní s hodnotami sourceAnchor exportovanými do Microsoft Entra ID.

Pokud spravujete službu AD FS mimo Microsoft Entra Připojení nebo k ověřování používáte federační servery třetích stran, musíte pravidla deklarací identity ImmutableID ručně aktualizovat, aby byla konzistentní s hodnotami sourceAnchor exportovanými do ID Microsoft Entra, jak je popsáno v části Úprava pravidel deklarací identity ad FS. Po dokončení instalace průvodce vrátí následující upozornění:

Third-party federation configuration

Přidání nových adresářů do existujícího nasazení

Předpokládejme, že jste nasadili Microsoft Entra Připojení s povolenou funkcí ConsistencyGuid a teď chcete do nasazení přidat další adresář. Při pokusu o přidání adresáře průvodce Microsoft Entra Připojení zkontroluje stav atributu ms-DS-ConsistencyGuid v adresáři. Pokud je atribut nakonfigurovaný na jednom nebo více objektech v adresáři, průvodce ukončí použití atributu jinými aplikacemi a vrátí chybu, jak je znázorněno v následujícím diagramu. Pokud jste si jisti, že atribut nepoužívá stávající aplikace, můžete potlačit chybu restartováním průvodce Microsoft Entra Připojení přepínačem /SkipLdapSearch, jak je popsáno výše, nebo potřebujete kontaktovat podporu s dalšími informacemi.

Adding new directories to existing deployment

Přihlášení k Microsoft Entra

Při integraci místního adresáře s Microsoft Entra ID je důležité pochopit, jak můžou nastavení synchronizace ovlivnit způsob ověřování uživatelů. Microsoft Entra ID používá userPrincipalName (UPN) k ověření uživatele. Při synchronizaci uživatelů však musíte zvolit atribut, který se má použít pro hodnotu userPrincipalName pečlivě.

Volba atributu userPrincipalName

Při výběru atributu pro poskytnutí hodnoty hlavního názvu uživatele (UPN), které se má použít v ID Microsoft Entra, by mělo být zajištěno.

  • Hodnoty atributů odpovídají syntaxi hlavního názvu uživatele (RFC 822), měla by být ve formátu username@domain
  • Přípona v hodnotách odpovídá jedné z ověřených vlastních domén v Microsoft Entra ID.

V expresním nastavení je předpokládaná volba atributu userPrincipalName. Pokud atribut userPrincipalName neobsahuje hodnotu, kterou chcete, aby se vaši uživatelé přihlásili k ID Microsoft Entra, musíte zvolit vlastní instalaci.

Poznámka:

Doporučuje se jako osvědčený postup, aby předpona hlavního názvu uživatele (UPN) obsahovala více znaků.

Vlastní stav domény a hlavní název uživatele (UPN)

Je důležité zajistit, aby pro příponu hlavního názvu uživatele (UPN) byla ověřená doména.

Jan je uživatel v contoso.com. Po synchronizaci uživatelů s adresářem Microsoft Entra do adresáře Microsoft Entra chcete, aby se pomocí místního hlavního názvu uživatele přihlásil k vašemu místnímu upN john@contoso.com contoso.onmicrosoft.com. Abyste to mohli udělat, musíte před zahájením synchronizace uživatelů přidat a ověřit contoso.com jako vlastní doménu v ID Microsoft Entra. Pokud přípona hlavního názvu uživatele (UPN) například contoso.com neodpovídá ověřené doméně v MICROSOFT Entra ID, nahradí microsoft Entra ID příponu UPN contoso.onmicrosoft.com.

Nesměrovatelné místní domény a hlavní názvu uživatele (UPN) pro ID Microsoft Entra

Některé organizace mají nesměrovatelné domény, například contoso.local, nebo jednoduché domény s jedním popiskem, jako je contoso. Nemůžete ověřit nesměrovatelnou doménu v ID Microsoft Entra. Microsoft Entra Připojení může synchronizovat pouze s ověřenou doménou v Microsoft Entra ID. Když vytvoříte adresář Microsoft Entra, vytvoří směrovatelnou doménu, která se stane výchozí doménou vašeho ID Microsoft Entra, například contoso.onmicrosoft.com. Proto je nutné ověřit jakoukoli jinou směrovatelnou doménu v takovém scénáři, pokud nechcete synchronizovat s výchozí onmicrosoft.com doménou.

Další informace o přidávání a ověřování domén najdete v článku Přidání vlastního názvu domény do MICROSOFT Entra ID .

Microsoft Entra Připojení zjistí, jestli běžíte v nesměrovatelném doménovém prostředí a odpovídajícím způsobem vás upozorní, abyste se vypracováli s expresním nastavením. Pokud pracujete v nesměrovatelné doméně, je pravděpodobné, že hlavní název uživatele (UPN) uživatelů má také nesměrovatelné přípony. Pokud například používáte pod contoso.local, Microsoft Entra Připojení vám navrhne, abyste místo expresního nastavení používali vlastní nastavení. Pomocí vlastních nastavení můžete zadat atribut, který se má použít jako hlavní název uživatele (UPN) pro přihlášení k ID Microsoft Entra po synchronizaci uživatelů s ID Microsoft Entra.

Další kroky

Přečtěte si další informace o integraci místních identit s ID Microsoft Entra.