Azure AD Connect-Synchronisierung: Grundlegendes zu Benutzern, Gruppen und KontaktenAzure AD Connect sync: Understanding Users, Groups, and Contacts

Es gibt verschiedene Gründe, weshalb Sie möglicherweise über mehrere Active Directory-Gesamtstrukturen verfügen, und es gibt eine Reihe unterschiedlicher Bereitstellungstopologien.There are several different reasons why you would have multiple Active Directory forests and there are several different deployment topologies. Häufige Modelle umfassen eine Kontoressourcenbereitstellung und per GAL synchronisierte Gesamtstrukturen nach einer Unternehmensfusion oder -übernahme.Common models include an account-resource deployment and GAL sync’ed forests after a merger & acquisition. Es gibt zwar reine Modelle, Hybridmodelle sind jedoch ebenfalls häufig vorhanden.But even if there are pure models, hybrid models are common as well. Die Standardkonfiguration der Azure AD Connect-Synchronisierung geht von keinem bestimmten Modell aus. Es können jedoch auf Basis des im Installationshandbuch ausgewählten Benutzerabgleichs unterschiedliche Verhaltensweisen beobachtet werden.The default configuration in Azure AD Connect sync does not assume any particular model but depending on how user matching was selected in the installation guide, different behaviors can be observed.

In diesem Thema wird erläutert, wie sich die Standardkonfiguration in bestimmten Topologien verhält.In this topic, we will go through how the default configuration behaves in certain topologies. Die Konfiguration wird durchlaufen, und der Synchronisierungsregel-Editor kann verwendet werden, um die Konfiguration anzuzeigen.We will go through the configuration and the Synchronization Rules Editor can be used to look at the configuration.

Die Konfiguration geht von einigen wenigen allgemeinen Regeln aus:There are a few general rules the configuration assumes:

  • Unabhängig davon, in welcher Reihenfolge die Active Directory-Quellen importiert werden, sollte das Endergebnis immer identisch sein.Regardless of which order we import from the source Active Directories, the end result should always be the same.
  • Ein aktives Konto trägt immer Anmeldeinformationen bei, einschließlich userPrincipalName und sourceAnchor.An active account will always contribute sign-in information, including userPrincipalName and sourceAnchor.
  • Ein deaktiviertes Konto trägt "userPrincipalName" und "sourceAnchor" bei (falls kein aktives Konto gefunden wurde), es sei denn, es handelt sich um ein verknüpftes Postfach.A disabled account will contribute userPrincipalName and sourceAnchor, unless it is a linked mailbox, if there is no active account to be found.
  • Ein Konto mit einem verknüpften Postfach wird niemals für "userPrincipalName" und "sourceAnchor" verwendet.An account with a linked mailbox will never be used for userPrincipalName and sourceAnchor. Es wird angenommen, dass später ein aktives Konto gefunden wird.It is assumed that an active account will be found later.
  • Ein Kontaktobjekt wird Azure AD möglicherweise als Kontakt oder Benutzer bereitgestellt.A contact object might be provisioned to Azure AD as a contact or as a user. Sie werden dies erst dann genau wissen, wenn alle Active Directory-Quellgesamtstrukturen verarbeitet wurden.You don’t really know until all source Active Directory forests have been processed.

GruppenGroups

Wichtige Punkte, die beim Synchronisieren von Gruppen in Active Directory mit Azure AD beachtet werden sollten:Important points to be aware of when synchronizing groups from Active Directory to Azure AD:

  • Azure AD Connect schließt integrierte Sicherheitsgruppen von der Verzeichnissynchronisierung aus.Azure AD Connect excludes built-in security groups from directory synchronization.

  • Azure AD Connect unterstützt nicht die Synchronisierung von Mitgliedschaften in primären Gruppen mit Azure AD.Azure AD Connect does not support synchronizing Primary Group memberships to Azure AD.

  • Azure AD Connect unterstützt nicht die Synchronisierung von Mitgliedschaften in dynamischen Verteilergruppen mit Azure AD.Azure AD Connect does not support synchronizing Dynamic Distribution Group memberships to Azure AD.

  • So synchronisieren Sie eine Active Directory-Gruppe mit Azure AD als E-Mail-aktivierte Gruppe:To synchronize an Active Directory group to Azure AD as a mail-enabled group:

    • Wenn das proxyAddress-Attribut der Gruppe leer ist, muss das mail-Attribut einen Wert enthalten.If the group's proxyAddress attribute is empty, its mail attribute must have a value

    • Wenn das proxyAddress-Attribut der Gruppe nicht leer ist, muss es mindestens einen SMTP-Proxyadresswert enthalten.If the group's proxyAddress attribute is non-empty, it must contain at least one SMTP proxy address value. Im Folgenden finden Sie einige Beispiele:Here are some examples:

      • Eine Active Directory-Gruppe, deren proxyAddress-Attribut den Wert {"X500:/0=contoso.com/ou=users/cn=testgroup"} hat, ist in Azure AD nicht E-Mail-aktiviert.An Active Directory group whose proxyAddress attribute has value {"X500:/0=contoso.com/ou=users/cn=testgroup"} will not be mail-enabled in Azure AD. Es enthält keine SMTP-Adresse.It does not have an SMTP address.

      • Eine Active Directory-Gruppe, deren proxyAddress-Attribut die Werte {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} aufweist, ist in Azure AD E-Mail-aktiviert.An Active Directory group whose proxyAddress attribute has values {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} will be mail-enabled in Azure AD.

      • Eine Active Directory-Gruppe, deren proxyAddress-Attribut die Werte {"X500:/0=contoso.com/ou=users/cn=testgroup","smtp:johndoe@contoso.com"} aufweist, ist in Azure AD ebenfalls E-Mail-aktiviert.An Active Directory group whose proxyAddress attribute has values {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} will also be mail-enabled in Azure AD.

KontakteContacts

Nach einer Unternehmensfusion oder -übernahme kommt es häufig vor, dass Kontakte einen Benutzer in einer anderen Gesamtstruktur darstellen und eine GALSynch-Lösung zwei oder mehr Exchange-Gesamtstrukturen verbindet.Having contacts representing a user in a different forest is common after a merger & acquisition where a GALSync solution is bridging two or more Exchange forests. Das Kontaktobjekt wird immer mithilfe des Attributs "mail" vom Connectorbereich mit dem Metaverse verknüpft.The contact object is always joining from the connector space to the metaverse using the mail attribute. Wenn bereits ein Kontakt- oder Benutzerobjekt mit derselben E-Mail-Adresse vorhanden ist, werden die Objekte miteinander verknüpft.If there is already a contact object or user object with the same mail address, the objects are joined together. Dies wird in der Regel In from AD – Contact Join konfiguriert.This is configured in the rule In from AD – Contact Join. Es gibt auch eine Regel namens In from AD – Contact Common mit einem Attributfluss zum Metaverseattribut sourceObjectType mit der Konstante Contact.There is also a rule named In from AD – Contact Common with an attribute flow to the metaverse attribute sourceObjectType with the constant Contact. Diese Regel hat eine sehr niedrige Rangfolge. Wenn daher ein Benutzerobjekt mit demselben Metaverseobjekt verknüpft ist, trägt die Regel In from AD – User Common den Wert „User“ zu diesem Attribut bei.This rule has very low precedence so if any user object is joined to the same metaverse object, then the rule In from AD – User Common will contribute the value User to this attribute. Bei dieser Regel weist dieses Attribut den Wert "Contact" auf, wenn kein Benutzer verknüpft wurde, und den Wert "User", wenn mindestens ein Benutzer gefunden wurde.With this rule, this attribute will have the value Contact if no user has been joined and the value User if at least one user has been found.

Für die Bereitstellung eines Objekts für Azure AD erstellt die ausgehende Regel Out to AAD – Contact Join ein Kontaktobjekt, wenn das Metaverseattribut sourceObjectType auf Contact festgelegt ist.For provisioning an object to Azure AD, the outbound rule Out to AAD – Contact Join will create a contact object if the metaverse attribute sourceObjectType is set to Contact. Wenn dieses Attribut auf User festgelegt ist, erstellt die Regel Out to AAD – User Join stattdessen ein Benutzerobjekt.If this attribute is set to User, then the rule Out to AAD – User Join will create a user object instead. Es ist möglich, dass ein Objekt von "Contact" zu "User" aufsteigt, wenn weitere Active Directory-Quellen importiert und synchronisiert werden.It is possible that an object is promoted from Contact to User when more source Active Directories are imported and synchronized.

In einer GALSync-Topologie finden sich beispielsweise Kontaktobjekte für alle Benutzer in der zweiten Gesamtstruktur, wenn die erste Gesamtstruktur importiert wird.For example, in a GALSync topology we will find contact objects for everyone in the second forest when we import the first forest. Dadurch werden neue Kontaktobjekte im Azure AD-Connector bereitgestellt.This will stage new contact objects in the AAD Connector. Wenn die zweite Gesamtstruktur später importiert und synchronisiert wird, werden die wirklichen Benutzer gefunden und mit den vorhandenen Metaverseobjekten verbunden.When we later import and synchronize the second forest, we will find the real users and join them to the existing metaverse objects. Anschließend wird das Kontaktobjekt in Azure AD gelöscht und stattdessen ein neuer Benutzer erstellt.We will then delete the contact object in AAD and create a new user object instead.

Wenn Sie über eine Topologie verfügen, in der Benutzer als Kontakte dargestellt werden, stellen Sie sicher, dass Sie im Installationshandbuch die Option zum Abgleich der Benutzer mit dem mail-Attribut auswählen.If you have a topology where users are represented as contacts, make sure you select to match users on the mail attribute in the installation guide. Wenn Sie eine andere Option auswählen, haben Sie eine Konfiguration, die von der Reihenfolge abhängig ist.If you select another option, then you will have an order-dependent configuration. Kontaktobjekte werden immer mit dem mail-Attribut verknüpft. Benutzerobjekte werden nur dann mit dem mail-Attribut verknüpft, wenn diese Option im Installationshandbuch ausgewählt wurde.Contact objects will always join on the mail attribute, but user objects will only join on the mail attribute if this option was selected in the installation guide. Dies könnte zwei unterschiedliche Objekte im Metaverse mit demselben mail-Attribut zur Folge haben, wenn das Kontaktobjekt vor dem Benutzerobjekt importiert wurde.You could then end up with two different objects in the metaverse with the same mail attribute if the contact object was imported before the user object. Während des Exports nach Azure AD wird ein Fehler ausgegeben.During export to Azure AD, an error will be thrown. Dieses Verhalten ist beabsichtigt und weist auf ungültige Daten hin oder darauf, dass die Topologie während der Installation nicht richtig ermittelt wurde.This behavior is by design and would indicate bad data or that the topology was not correctly identified during the installation.

Deaktivierte KontenDisabled accounts

Deaktivierte Konten werden auch mit Azure AD synchronisiert.Disabled accounts are synchronized as well to Azure AD. Deaktivierte Konten werden häufig zum Darstellen von Ressourcen in Exchange verwendet, beispielsweise von Konferenzräumen.Disabled accounts are common to represent resources in Exchange, for example conference rooms. Die Ausnahme bilden Benutzer mit einem verknüpften Postfach. Diese stellen, wie dies bereits zuvor erwähnt wurde, niemals ein Konto für Azure AD bereit.The exception is users with a linked mailbox; as previously mentioned, these will never provision an account to Azure AD.

Folgende Annahme gilt: Wenn ein deaktiviertes Benutzerkonto gefunden wird, wird später kein anderes aktives Konto gefunden, und das Objekt wird Azure AD mit den gefundenen Werten für "userPrincipalName" und "sourceAnchor" bereitgestellt.The assumption is that if a disabled user account is found, then we will not find another active account later and the object is provisioned to Azure AD with the userPrincipalName and sourceAnchor found. Sollte ein anderes aktives Konto eine Verknüpfung mit demselben Metaverseobjekt herstellen, werden "userPrincipalName" und "sourceAnchor" dieses Kontos verwendet.In case another active account will join to the same metaverse object, then its userPrincipalName and sourceAnchor will be used.

Ändern von "sourceAnchor"Changing sourceAnchor

Nachdem ein Objekt nach Azure AD exportiert wurde, kann der Wert für "sourceAnchor" nicht mehr geändert werden.When an object has been exported to Azure AD then it is not allowed to change the sourceAnchor anymore. Wenn das Objekt exportiert wurde, wird das Metaverseattribut cloudSourceAnchor mit dem sourceAnchor-Wert festgelegt, der von Azure AD akzeptiert wird.When the object has been exported the metaverse attribute cloudSourceAnchor is set with the sourceAnchor value accepted by Azure AD. Wenn sourceAnchor geändert wird und nicht mit cloudSourceAnchor übereinstimmt, löst die Regel Out to AAD – User Join den Fehler aus, dass das sourceAnchor-Attribut geändert wurde: sourceAnchor attribute has changed.If sourceAnchor is changed and not match cloudSourceAnchor, the rule Out to AAD – User Join will throw the error sourceAnchor attribute has changed. In diesem Fall müssen Konfiguration oder Daten korrigiert werden, sodass derselbe sourceAnchor-Wert wieder im Metaverse vorhanden ist, bevor das Objekt erneut synchronisiert werden kann.In this case, the configuration or data must be corrected so the same sourceAnchor is present in the metaverse again before the object can be synchronized again.

Weitere RessourcenAdditional Resources