Microsoft Entra Connect-Synchronisierung: Grundlegendes zu Benutzern, Gruppen und Kontakten
Es gibt verschiedene Gründe, weshalb Sie möglicherweise über mehrere Active Directory-Gesamtstrukturen verfügen, und es gibt eine Reihe unterschiedlicher Bereitstellungstopologien. Häufige Modelle umfassen eine Kontoressourcenbereitstellung und per GAL synchronisierte Gesamtstrukturen nach einer Unternehmensfusion oder -übernahme. Es gibt zwar reine Modelle, Hybridmodelle sind jedoch ebenfalls häufig vorhanden. Die Standardkonfiguration der Microsoft Entra Connect-Synchronisierung geht von keinem bestimmten Modell aus. Es können jedoch auf Basis des im Installationshandbuch ausgewählten Benutzerabgleichs unterschiedliche Verhaltensweisen beobachtet werden.
In diesem Thema wird erläutert, wie sich die Standardkonfiguration in bestimmten Topologien verhält. Die Konfiguration wird durchlaufen, und der Synchronisierungsregel-Editor kann verwendet werden, um die Konfiguration anzuzeigen.
Die Konfiguration geht von einigen wenigen allgemeinen Regeln aus:
- Unabhängig davon, in welcher Reihenfolge die Active Directory-Quellen importiert werden, sollte das Endergebnis immer identisch sein.
- Ein aktives Konto trägt immer Anmeldeinformationen bei, einschließlich userPrincipalName und sourceAnchor.
- Ein deaktiviertes Konto trägt „userPrincipalName“ und „sourceAnchor“ bei (falls kein aktives Konto gefunden wurde), es sei denn, es handelt sich um ein verknüpftes Postfach.
- Ein Konto mit einem verknüpften Postfach wird niemals für "userPrincipalName" und "sourceAnchor" verwendet. Es wird angenommen, dass später ein aktives Konto gefunden wird.
- Ein Kontaktobjekt kann Microsoft Entra als Kontakt oder Benutzer bereitgestellt werden. Sie werden dies erst dann genau wissen, wenn alle Active Directory-Quellgesamtstrukturen verarbeitet wurden.
Gruppen
Hinweis
Beachten Sie, dass beim Hinzufügen eines Benutzers aus einer anderen Gesamtstruktur zur Gruppe ein Anker im Active Directory erstellt wird, in dem die Gruppen in einer bestimmten Organisationseinheit vorhanden sind. Dieser Anker ist ein Foreign Security-Prinzipal und wird in der OE "ForeignSecurityPrincipals" gespeichert. Wenn Sie diese Organisationseinheit nicht synchronisieren, werden die Benutzer aus der Gruppenmitgliedschaft entfernt.
Wichtige Punkte, die beim Synchronisieren von Gruppen in Active Directory mit Microsoft Entra beachtet werden sollten:
Microsoft Entra Connect schließt integrierte Sicherheitsgruppen von der Verzeichnissynchronisierung aus.
Microsoft Entra Connect unterstützt nicht die Synchronisierung von Primären Gruppenmitgliedschaften mit Microsoft Entra ID.
Microsoft Entra Connect unterstützt nicht die Synchronisierung von Dynamischen Verteilergruppenmitgliedschaften mit Microsoft Entra ID.
Stellen Sie Folgendes sicher, um eine Active Directory-Gruppe mit Microsoft Entra ID als E-Mail-aktivierte Gruppe synchronisieren können:
Wenn das proxyAddress-Attribut der Gruppe leer ist, muss das mail-Attribut einen Wert enthalten.
Wenn das proxyAddress-Attribut der Gruppe nicht leer ist, muss es mindestens einen SMTP-Proxyadresswert enthalten. Hier sehen Sie einige Beispiele:
Eine Active Directory-Gruppe, deren proxyAddress-Attribut den Wert {"X500:/0=contoso.com/ou=users/cn=testgroup"} hat, ist in Microsoft Entra ID nicht E-Mail-aktiviert. Es enthält keine SMTP-Adresse.
Eine Active Directory-Gruppe, deren proxyAddress-Attribut den Wert {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} hat, ist in Microsoft Entra ID E-Mail-aktiviert.
Auch eine Active Directory-Gruppe, deren proxyAddress-Attribut den Wert {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} hat, ist in Microsoft Entra ID E-Mail-aktiviert.
Kontakte
Nach einer Unternehmensfusion oder -übernahme kommt es häufig vor, dass Kontakte einen Benutzer in einer anderen Gesamtstruktur darstellen und eine GALSynch-Lösung zwei oder mehr Exchange-Gesamtstrukturen verbindet. Das Kontaktobjekt wird immer mithilfe des Attributs "mail" vom Connectorbereich mit dem Metaverse verknüpft. Wenn bereits ein Kontakt- oder Benutzerobjekt mit derselben E-Mail-Adresse vorhanden ist, werden die Objekte miteinander verknüpft. Dies wird in der Regel In from AD – Contact Join konfiguriert. Es steht auch die Regel In from AD – Contact Common mit einem Attributfluss zum Metaverse-Attribut sourceObjectType mit der Konstante Contact zur Verfügung. Diese Regel hat eine niedrige Rangfolge. Wenn daher ein Benutzerobjekt mit demselben Metaverseobjekt verknüpft ist, trägt die Regel In from AD – User Common den Wert „User“ zu diesem Attribut bei. Bei dieser Regel weist dieses Attribut den Wert "Contact" auf, wenn kein Benutzer verknüpft wurde, und den Wert "User", wenn mindestens ein Benutzer gefunden wurde.
Für die Bereitstellung eines Objekts für Microsoft Entra ID erstellt die ausgehende Regel Out to Microsoft Entra ID – Contact Join ein Kontaktobjekt, wenn das Metaverse-Attribut sourceObjectType auf Contact festgelegt ist. Wenn dieses Attribut auf User festgelegt ist, erstellt die Regel Out to Microsoft Entra ID – User Join stattdessen ein Benutzerobjekt. Es ist möglich, dass ein Objekt von "Contact" zu "User" aufsteigt, wenn weitere Active Directory-Quellen importiert und synchronisiert werden.
In einer GALSync-Topologie finden sich beispielsweise Kontaktobjekte für alle Benutzer in der zweiten Gesamtstruktur, wenn die erste Gesamtstruktur importiert wird. Dadurch werden neue Kontaktobjekte im Microsoft Entra Connector inszeniert. Wenn die zweite Gesamtstruktur später importiert und synchronisiert wird, werden die wirklichen Benutzer gefunden und mit den vorhandenen Metaverseobjekten verbunden. Anschließend wird das Kontaktobjekt in Microsoft Entra ID gelöscht und stattdessen ein neues Benutzerobjekt erstellt.
Wenn Sie über eine Topologie verfügen, in der Benutzer als Kontakte dargestellt werden, stellen Sie sicher, dass Sie im Installationshandbuch die Option zum Abgleich der Benutzer mit dem mail-Attribut auswählen. Wenn Sie eine andere Option auswählen, erhalten Sie eine Konfiguration, die von der Reihenfolge abhängig ist. Kontaktobjekte werden immer mit dem mail-Attribut verknüpft. Benutzerobjekte werden nur dann mit dem mail-Attribut verknüpft, wenn diese Option im Installationshandbuch ausgewählt wurde. Dies könnte zwei unterschiedliche Objekte im Metaverse mit demselben mail-Attribut zur Folge haben, wenn das Kontaktobjekt vor dem Benutzerobjekt importiert wurde. Beim Export nach Microsoft Entra ID wird ein Fehler angezeigt. Dieses Verhalten ist beabsichtigt und weist auf ungültige Daten hin oder darauf, dass die Topologie während der Installation nicht richtig ermittelt wurde.
Deaktivierte Konten
Deaktivierte Konten werden ebenfalls mit Microsoft Entra ID synchronisiert. Deaktivierte Konten werden häufig zum Darstellen von Ressourcen in Exchange verwendet, beispielsweise von Konferenzräumen. Die Ausnahme bilden Benutzer mit einem verknüpften Postfach. Diese stellen, wie bereits erwähnt, niemals ein Konto für Microsoft Entra ID bereit.
Folgende Annahme gilt: Wenn ein deaktiviertes Benutzerkonto gefunden wird, wird später kein anderes aktives Konto gefunden, und das Objekt wird in Microsoft Entra ID mit den gefundenen Werten für userPrincipalName und sourceAnchor bereitgestellt. Sollte ein anderes aktives Konto eine Verknüpfung mit demselben Metaverseobjekt herstellen, werden "userPrincipalName" und "sourceAnchor" dieses Kontos verwendet.
Ändern von "sourceAnchor"
Nachdem ein Objekt nach Microsoft Entra ID exportiert wurde, kann der Wert für sourceAnchor nicht mehr geändert werden. Wenn das Objekt exportiert wurde, wird das Metaverseattribut cloudSourceAnchor mit dem sourceAnchor-Wert festgelegt, der von Microsoft Entra ID akzeptiert wird. Wenn sourceAnchor geändert wird und nicht mit cloudSourceAnchor übereinstimmt, löst die Regel Out to Microsoft Entra ID – User Join die Fehlermeldung aus, dass das sourceAnchor-Attribut geändert wurde. In diesem Fall müssen Konfiguration oder Daten korrigiert werden, sodass derselbe sourceAnchor-Wert wieder im Metaverse vorhanden ist, bevor das Objekt erneut synchronisiert werden kann.