Faktory ovlivňující výkon microsoft entra Připojení

Microsoft Entra Připojení synchronizuje vaši službu Active Directory s ID Microsoft Entra. Tento server je důležitou součástí přesunu identit uživatelů do cloudu. Hlavními faktory, které ovlivňují výkon Připojení Microsoft Entra, jsou:

Faktor návrhu	Definice
Topologie	Distribuce koncových bodů a komponent microsoft Entra Připojení musí spravovat v síti.
Měřítko	Počet objektů, jako jsou uživatelé, skupiny a organizační jednotky, které se mají spravovat společností Microsoft Entra Připojení.
Hardware	Hardware (fyzický nebo virtuální) pro microsoft Entra Připojení a závislá výkonová kapacita každé hardwarové komponenty, včetně procesoru, paměti, sítě a konfigurace pevného disku.
Konfigurace	Jak Microsoft Entra Připojení zpracovává adresáře a informace.
Načítání	Frekvence změn objektů Zatížení se může lišit v průběhu hodiny, dne nebo týdne. V závislosti na komponentě možná budete muset navrhnout zatížení ve špičce nebo průměrné zatížení.

Účelem tohoto dokumentu je popsat faktory ovlivňující výkon modulu zřizování Microsoft Entra Připojení. Velké nebo složité organizace (organizace zřizují více než 100 000 objektů) můžou využít doporučení k optimalizaci implementace Microsoft Entra Připojení, pokud se zde zobrazí nějaké problémy s výkonem. Ostatní komponenty microsoft Entra Připojení, jako je Microsoft Entra Připojení Health a agenti, nejsou zde popsány.

Důležité

Microsoft nepodporuje úpravy ani provoz microsoft Entra Připojení mimo akce, které jsou formálně zdokumentované. Jakákoli z těchto akcí může vést k nekonzistentnímu nebo nepodporovanému stavu microsoft Entra Připojení Sync. Microsoft proto nemůže poskytnout technickou podporu pro taková nasazení.

Faktory komponent Microsoft Entra Připojení

Následující diagram znázorňuje základní architekturu modulu zřizování, která se připojuje k jedné doménové struktuře, i když se podporuje více doménových struktur. Tato architektura ukazuje, jak různé komponenty vzájemně spolupracují.

Modul zřizování se připojí ke každé doménové struktuře služby Active Directory a k ID Microsoft Entra. Proces čtení informací z každého adresáře se nazývá Import. Export odkazuje na aktualizaci adresářů z modulu zřizování. Synchronizace vyhodnocuje pravidla, jak budou objekty proudit uvnitř zřizovacího modulu. Podrobnější informace najdete v tématu Microsoft Entra Připojení Sync: Principy architektury.

Microsoft Entra Připojení používá následující pracovní oblasti, pravidla a procesy, které umožňují synchronizaci ze služby Active Directory do Microsoft Entra ID:

• Připojení or space (CS) – objekty z každého připojeného adresáře (CD), skutečné adresáře jsou zde připraveny nejprve předtím, než je modul zřizování zpracuje. Microsoft Entra ID má vlastní CS a každá doménová struktura, ke které se připojujete, má vlastní CS.
• Metaverse (MV) – Objekty, které je potřeba synchronizovat, se tady vytvářejí na základě pravidel synchronizace. Objekty musí existovat v MV, aby mohly naplnit objekty a atributy ostatních připojených adresářů. Je tu jen jeden MV.
• Pravidla synchronizace – rozhodnou, které objekty se vytvoří (promítnou) nebo připojí (připojí) k objektům v MV. Pravidla synchronizace také rozhodují o tom, které hodnoty atributů se zkopírují nebo transformují do adresářů a z adresářů.
• Profily spuštění – zkompiluje kroky procesu kopírování objektů a jejich hodnot atributů podle pravidel synchronizace mezi pracovními oblastmi a připojenými adresáři.

Existují různé profily spuštění pro optimalizaci výkonu zřizovacího modulu. Většina organizací použije výchozí plány a profily spuštění pro normální provoz, ale některé organizace můžou muset změnit plán nebo aktivovat jiné profily spuštění, aby vyhovovaly neobvyklým situacím. K dispozici jsou následující profily spuštění:

Profil počáteční synchronizace

Počáteční synchronizační profil je proces čtení připojených adresářů, jako je doménová struktura služby Active Directory, poprvé. Pak provede analýzu všech položek v databázi synchronizačního stroje. Počáteční cyklus vytvoří nové objekty v MICROSOFT Entra ID a bude trvat delší dobu, než se dokončí, pokud jsou vaše doménové struktury služby Active Directory velké. Počáteční synchronizace zahrnuje následující kroky:

1. Úplný import pro všechny konektory
2. Úplná synchronizace u všech konektorů
3. Export u všech konektorů

Rozdílový synchronizační profil

Pokud chcete optimalizovat proces synchronizace, tento profil spuštění zpracuje změny (vytvoří, odstraní a aktualizuje) objektů v připojených adresářích od posledního procesu synchronizace. Ve výchozím nastavení se profil rozdílové synchronizace spouští každých 30 minut. Organizace by se měly snažit udržet dobu potřebnou k dosažení nižší než 30 minut, aby se zajistilo, že ID Microsoft Entra je aktuální. Pokud chcete monitorovat stav microsoft Entra Připojení, pomocí agenta monitorování stavu můžete zobrazit všechny problémy s procesem. Profil rozdílové synchronizace zahrnuje následující kroky:

1. Rozdílový import u všech konektorů
2. Rozdílová synchronizace u všech konektorů
3. Export u všech konektorů

Typický scénář rozdílové synchronizace podnikové organizace je:

• Přibližně 1 % objektů se odstraní.
• Vytvoří se ~1 % objektů.
• ~5 % objektů je změněno.

Četnost změn se může lišit v závislosti na tom, jak často vaše organizace aktualizuje uživatele ve službě Active Directory. Například vyšší míra změn může nastat se sezónností náboru a snížením pracovní síly.

Úplný profil synchronizace

Pokud jste provedli některou z následujících změn konfigurace, vyžaduje se úplný cyklus synchronizace:

• Zvýšil se rozsah objektů nebo atributů, které se mají importovat z připojených adresářů. Například když do oboru importu přidáte doménu nebo organizační jednotky.
• Provedli jsme změny pravidel synchronizace. Když například vytvoříte nové pravidlo pro naplnění názvu uživatele v ID Microsoft Entra z extension_attribute3 ve službě Active Directory. Tato aktualizace vyžaduje, aby modul zřizování znovu prozkoumal všechny stávající uživatele, aby aktualizovali své názvy, aby tuto změnu použili v budoucnu.

Do úplného cyklu synchronizace jsou zahrnuty následující operace:

1. Úplný import pro všechny konektory
2. Úplná synchronizace nebo rozdílová synchronizace u všech konektorů
3. Export u všech konektorů

Poznámka:

Při hromadné aktualizaci mnoha objektů ve službě Active Directory nebo ID Microsoft Entra se vyžaduje pečlivé plánování. Hromadné aktualizace způsobí, že proces rozdílové synchronizace bude při importu trvat déle, protože se změnilo hodně objektů. K dlouhému importu může dojít i v případě, že hromadná aktualizace nemá vliv na proces synchronizace. Například přiřazení licencí mnoha uživatelům v ID Microsoft Entra způsobí dlouhý cyklus importu z ID Microsoft Entra, ale nebude mít za následek žádné změny atributů ve službě Active Directory.

Synchronizace

Modul runtime procesu synchronizace má následující charakteristiky výkonu:

• Synchronizace je jednovláknová, což znamená, že modul zřizování neprovádí paralelní zpracování profilů spuštění připojených adresářů, objektů nebo atributů.
• Doba importu roste lineárně s počtem synchronizovaných objektů. Pokud import 10 000 objektů trvá například 10 minut, bude na stejném serveru trvat přibližně 20 000 objektů.
• Export je také lineární.
• Synchronizace se exponenciálně zvýší na základě počtu objektů s odkazy na jiné objekty. Členství ve skupinách a vnořené skupiny mají hlavní dopad na výkon, protože jejich členové odkazují na objekty uživatelů nebo jiné skupiny. Tyto odkazy musí být nalezeny a odkazovány na skutečné objekty v MV, aby bylo možné dokončit cyklus synchronizace.
• Změna člena skupiny povede k opětovnému vyhodnocení všech členů skupiny. Pokud máte například skupinu s 50 tisíci členy a aktualizujete jenom 1 člena, aktivuje se synchronizace všech 50 tisíc členů.

Filtrování

Velikost topologie služby Active Directory, kterou chcete importovat, je faktorem, který ovlivňuje výkon a celkový čas interních komponent modulu zřizování.

Filtrování by se mělo použít ke snížení počtu objektů na synchronizované objekty. Zabrání zpracování a exportu nepotřebných objektů do MICROSOFT Entra ID. V pořadí podle preferencí jsou k dispozici následující techniky filtrování:

• Filtrování na základě domény – tuto možnost použijte k výběru konkrétních domén, které se mají synchronizovat s ID Microsoft Entra. Když po instalaci nástroje Microsoft Entra Připojení Sync provedete změny místní infrastruktury, musíte do konfigurace synchronizačního modulu přidat a odebrat domény.
• Filtrování organizačních jednotek (OU) – pomocí organizačních jednotek cílí na konkrétní objekty v doménách služby Active Directory pro zřizování pro ID Microsoft Entra. Filtrování organizačních jednotek je druhým doporučeným mechanismem filtrování, protože k importu menší podmnožin objektů ze služby Active Directory používá jednoduché dotazy oboru LDAP.
• Filtrování atributů na objekt – používá hodnoty atributů u objektů k rozhodnutí, zda je konkrétní objekt ve službě Active Directory zřízen v Microsoft Entra ID. Filtrování atributů je skvělé pro vyladění filtrů, pokud filtrování domén a organizačních jednotek nesplňuje konkrétní požadavky na filtrování. Filtrování atributů nezkrátí čas importu, ale může zkrátit dobu synchronizace a exportu.
• Filtrování založené na skupinách – používá členství ve skupině k rozhodnutí, jestli se mají objekty zřídit v ID Microsoft Entra. Filtrování založené na skupinách je vhodné jenom pro testovací situace a nedoporučuje se pro produkční prostředí, a to kvůli nadbytečné režii potřebné ke kontrole členství ve skupině během synchronizačního cyklu.

Mnoho trvalých objektů odpojení ve službě Active Directory CS může způsobit delší dobu synchronizace, protože modul zřizování musí znovu vyhodnotit každý objekt odpojení pro možné připojení v cyklu synchronizace. Pokud chcete tento problém překonat, zvažte jedno z následujících doporučení:

• Objekty odpojování umístěte mimo rozsah pro import pomocí filtrování domény nebo organizační jednotky.
• Project/join the objects to the MV and set the cloudFiltered attribute equal to True, to prevent provisioning of these objects in the Microsoft Entra CS.

Poznámka:

Uživatelé můžou být zmatení nebo může dojít k problémům s oprávněními aplikace, pokud je filtrováno příliš mnoho objektů. Například v hybridní implementaci Exchange Online uvidí uživatelé s místními poštovními schránkami více uživatelů v globálním adresáři než uživatelé s poštovními schránkami v Exchangi Online. V jiných případech může uživatel chtít udělit přístup v cloudové aplikaci jinému uživateli, který není součástí oboru filtrované sady objektů.

Toky atributů

Toky atributů jsou proces kopírování nebo transformace hodnot atributů objektů z jednoho připojeného adresáře do jiného připojeného adresáře. Jsou definovány jako součást pravidel synchronizace. Například při změně telefonního čísla uživatele ve službě Active Directory se telefonní číslo v Microsoft Entra ID aktualizuje. Organizace můžou toky atributů upravit tak, aby nasály různé požadavky. Před změnou atributů doporučujeme zkopírovat existující toky atributů.

Jednoduché přesměrování, například tok hodnoty atributu do jiného atributu, nemá vliv na výkon materiálu. Příkladem přesměrování je tok mobilního čísla ve službě Active Directory na telefonní číslo kanceláře v Microsoft Entra ID.

Transformace hodnot atributů může mít vliv na výkon procesu synchronizace. Transformace hodnot atributů zahrnuje úpravy, přeformátování, zřetězení nebo odečtení hodnot atributů.

Organizace můžou zabránit tomu, aby určité atributy proudily do MICROSOFT Entra ID, ale neovlivní výkon zřizovacího modulu.

Poznámka:

Neodstraňovat nežádoucí toky atributů v pravidlech synchronizace. Doporučujeme je raději zakázat, protože odstraněná pravidla se znovu vytvoří během upgradu microsoft Entra Připojení.

Faktory závislostí microsoft Entra Připojení

Výkon služby Microsoft Entra Připojení závisí na výkonu připojených adresářů, do které importuje a exportuje. Například velikost služby Active Directory, kterou potřebuje importovat, nebo latenci sítě do služby Microsoft Entra. Databáze SQL, kterou modul zřizování používá, má vliv také na celkový výkon cyklu synchronizace.

Faktory služby Active Directory

Jak už bylo zmíněno dříve, počet objektů, které se mají importovat, má významný vliv na výkon. Hardware a požadavky pro Microsoft Entra Připojení popisují konkrétní hardwarové úrovně na základě velikosti vašeho nasazení. Microsoft Entra Připojení podporuje pouze konkrétní topologie uvedené v topologiích pro Microsoft Entra Připojení. Neexistují žádné optimalizace výkonu a doporučení pro nepodporované topologie.

Ujistěte se, že váš server Microsoft Entra Připojení splňuje hardwarové požadavky na základě velikosti služby Active Directory, kterou chcete importovat. Chybné nebo pomalé síťové připojení mezi serverem Microsoft Entra Připojení a řadiči domény služby Active Directory může zpomalit import.

Faktory ID Microsoft Entra

Microsoft Entra ID používá omezení k ochraně cloudové služby před útoky doS (DoS). V současné době má ID Microsoft Entra limit 7 000 zápisů za 5 minut (84 000 za hodinu). Můžete například omezovat následující operace:

• Microsoft Entra Připojení export do Microsoft Entra ID.
• Skripty PowerShellu nebo aplikace aktualizují ID Microsoft Entra přímo i na pozadí, například dynamické členství ve skupinách.
• Uživatelé aktualizují vlastní záznamy identit, jako je registrace vícefaktorového ověřování nebo samoobslužného resetování hesla.
• Operace v grafickém uživatelském rozhraní

Naplánujte úlohy nasazení a údržby, abyste měli jistotu, že cyklus synchronizace Microsoft Entra Připojení nemá vliv na limity omezování. Pokud máte například velkou náborovou vlnu, ve které vytváříte tisíce identit uživatelů, může to způsobit aktualizace dynamických členství ve skupinách, přiřazení licencí a samoobslužné registrace resetování hesla. Je lepší tyto zápisy rozložit na několik hodin nebo několik dní.

Faktory databáze SQL

Velikost zdrojové topologie služby Active Directory ovlivní výkon databáze SQL. Postupujte podle požadavků na hardware pro databázi SQL Serveru a zvažte následující doporučení:

• Organizace s více než 100 000 uživateli můžou snížit latenci sítě díky společnému přidělení databáze SQL a modulu zřizování na stejném serveru.
• Protokol SQL Pojmenované kanály není podporován, protože představuje významná zpoždění v cyklu synchronizace a měl by být zakázán v nástroji SQL Server Configuration Manager v rámci nativních klientů SQL a sítě SQL Serveru. Mějte na paměti, že změna konfigurace pojmenovaných kanálů se projeví pouze po restartování databáze a služeb ADSync.
• Vzhledem k vysokým požadavkům na vstup a výstup disku procesu synchronizace použijte diskové jednotky SSD (Solid State Drive) pro databázi SQL zřizovacího modulu pro optimální výsledky, pokud není to možné, zvažte konfiguraci RAID 0 nebo RAID 1.
• Neprodávejte úplnou synchronizaci předem; způsobuje zbytečnou četnost změn a pomalejší dobu odezvy.

Závěr

Pokud chcete optimalizovat výkon implementace Microsoft Entra Připojení, zvažte následující doporučení:

• Použijte doporučenou konfiguraci hardwaru na základě vaší velikosti implementace pro server Microsoft Entra Připojení.
• Při upgradu Microsoft Entra Připojení ve velkých nasazeních zvažte použití metody migrace swing, abyste měli jistotu, že máte nejmenší výpadek a nejlepší spolehlivost.
• Pro zajištění nejlepšího výkonu zápisu použijte SSD pro databázi SQL.
• Vyfiltrujte obor služby Active Directory tak, aby zahrnoval pouze objekty, které je potřeba zřídit v MICROSOFT Entra ID, pomocí domény, organizační jednotky nebo filtrování atributů.
• Pokud potřebujete změnit výchozí pravidla toku atributů, nejprve pravidlo zkopírujte, pak změňte kopii a zakažte původní pravidlo. Nezapomeňte znovu spustit úplnou synchronizaci.
• Naplánujte odpovídající čas pro počáteční úplný profil spuštění synchronizace.
• Snažte se dokončit rozdílový cyklus synchronizace za 30 minut. Pokud se rozdílový synchronizační profil nedokončí za 30 minut, upravte výchozí frekvenci synchronizace tak, aby zahrnovala úplný rozdílový cyklus synchronizace.
• Monitorujte stav služby Microsoft Entra Připojení Sync v ID Microsoft Entra.

Další kroky

Přečtěte si další informace o integraci místních identit s ID Microsoft Entra.