Microsoft Entra Connect szinkronizálás: A felhasználók, csoportok és kapcsolattartók ismertetése

Több különböző oka is van annak, hogy több Active Directory-erdőt használna, és számos különböző üzembe helyezési topológia létezik. A gyakori modellek közé tartozik a fiók-erőforrás üzembe helyezése és a GAL szinkronizált erdők összevonás és felvásárlás után. De még ha vannak is tiszta modellek, a hibrid modellek is gyakoriak. A Microsoft Entra Csatlakozás Sync alapértelmezett konfigurációja nem feltételez egy adott modellt, de attól függően, hogy a telepítési útmutató hogyan választotta ki a felhasználóegyezést, különböző viselkedés figyelhető meg.

Ebben a témakörben áttekintjük, hogyan működik az alapértelmezett konfiguráció bizonyos topológiákban. Áttekintjük a konfigurációt, és a Szinkronizálási szabályok szerkesztője használható a konfiguráció megtekintéséhez.

A konfiguráció néhány általános szabályt feltételez:

• Függetlenül attól, hogy a forrás aktív könyvtárakból milyen sorrendet importálunk, a végeredménynek mindig ugyanaznak kell lennie.
• Az aktív fiók mindig hozzájárul a bejelentkezési adatokhoz, beleértve a userPrincipalName és a sourceAnchor adatokat.
• Egy letiltott fiók a userPrincipalName és a sourceAnchor függvényt adja hozzá, kivéve, ha csatolt postaláda, ha nincs aktív fiók.
• A csatolt postaládával rendelkező fiókok soha nem lesznek használva a userPrincipalName és a sourceAnchor fiókhoz. Feltételezzük, hogy egy aktív fiók később lesz megtalálható.
• Előfordulhat, hogy partnerként vagy felhasználóként kiépít egy partnerobjektumot a Microsoft Entra-azonosítóba. Nem igazán tudhatja, amíg az összes forrás Active Directory-erdőt fel nem dolgozták.

Groups

Megjegyzés:

Ne feledje, hogy amikor egy másik erdőből származó felhasználót ad hozzá a csoporthoz, létrejön egy horgony az Active Directoryban, ahol a csoportok egy adott szervezeti egységen belül találhatók. Ez a horgony egy külföldi biztonsági tag, és a "ForeignSecurityPrincipals" szervezeti egységben van tárolva. Ha nem szinkronizálja ezt a szervezeti egységet, a csoporttagságból eltávolított felhasználók.

Fontos tudnivalók arról, hogy mikor szinkronizálja a csoportokat az Active Directoryból a Microsoft Entra-azonosítóba:

• Microsoft Entra Connect excludes built-in security groups from directory synchronization.

• A Microsoft Entra Csatlakozás nem támogatja az elsődleges csoporttagságok Microsoft Entra-azonosítóval való szinkronizálását.

• A Microsoft Entra Csatlakozás nem támogatja a dinamikus terjesztési csoporttagságok Microsoft Entra-azonosítóval való szinkronizálását.

• Active Directory-csoport szinkronizálása a Microsoft Entra-azonosítóval levelezési csoportként:

  • Ha a csoport proxyAddress attribútuma üres, a levelezési attribútumnak értékkel kell rendelkeznie

  • Ha a csoport proxyAddress attribútuma nem üres, legalább egy SMTP-proxycímértéket kell tartalmaznia. Íme néhány példa:

    • Egy olyan Active Directory-csoport, amelynek proxyAddress attribútuma {"X500:/0=contoso.com/ou=users/cn=testgroup"} értékkel rendelkezik, a Microsoft Entra-azonosító nem lesz levelezési engedélyezve. Nem rendelkezik SMTP-címmel.

    • Egy Olyan Active Directory-csoport, amelynek proxyAddress attribútuma {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} értékekkel rendelkezik, a Microsoft Entra-azonosítóban e-mailben engedélyezve lesz.

    • Egy Olyan Active Directory-csoport, amelynek proxyAddress attribútuma {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} értékekkel rendelkezik, a Microsoft Entra ID-ban is engedélyezve lesz.

Kapcsolattartók

Ha egy másik erdőben lévő felhasználót egy GALSync-megoldás két vagy több Exchange-erdőt áthidaló összeolvadás és felvásárlás után egy másik erdőben lévő felhasználót jelöl. The contact object is always joining from the connector space to the metaverse using the mail attribute. If there's already a contact object or user object with the same mail address, the objects are joined together. This is configured in the rule In from AD – Contact Join. Van egy In nevű szabály is az AD-ből – Contact Common nevű szabály, amely a sourceObjectType metaverzumattribútumhoz tartozó attribútumfolyammal és a kapcsolattartó állandóval rendelkezik. Ez a szabály alacsony elsőbbséget élvez, ezért ha bármely felhasználói objektum ugyanahhoz a metaverzum-objektumhoz csatlakozik, akkor az AD - User Common szabály hozzá fogja adni a Felhasználó értéket ehhez az attribútumhoz. Ezzel a szabálysal ez az attribútum a Kapcsolattartó értéket tartalmazza, ha nem csatlakozott felhasználóhoz, és a Felhasználó értéket, ha legalább egy felhasználót talált.

Ha objektumot szeretne kiépíteni a Microsoft Entra-azonosítóba, a kimenő szabály a Microsoft Entra-azonosítóra van állítva – A Kapcsolatfelvétel kapcsolat létrehozása kapcsolati objektumot hoz létre, ha a sourceObjectType metaverzumattribútuma Contact (Kapcsolat) értékre van állítva. Ha ez az attribútum Felhasználó értékre van állítva, akkor a Microsoft Entra-azonosítóra vonatkozó kivétel – A felhasználói csatlakozás ehelyett létrehoz egy felhasználói objektumot. Lehetséges, hogy a rendszer előléptet egy objektumot a Partnerről a Felhasználóra, ha több forrás aktív címtárat importál és szinkronizál.

Egy GALSync-topológiában például az első erdő importálásakor a második erdő minden felhasználójának megtalálja a névjegyobjektumokat. Ez az új partnerobjektumokat a Microsoft Entra Csatlakozás orban szakaszozza. Amikor később importáljuk és szinkronizáljuk a második erdőt, megtaláljuk a valódi felhasználókat, és összekapcsoljuk őket a meglévő metaverzumobjektumokkal. Ezután töröljük a partnerobjektumot a Microsoft Entra-azonosítóban, és helyette létrehozunk egy új felhasználói objektumot.

If you have a topology where users are represented as contacts, make sure you select to match users on the mail attribute in the installation guide. Ha másik lehetőséget választ, akkor van egy megrendeléstől függő konfigurációja. Contact objects will always join on the mail attribute, but user objects will only join on the mail attribute if this option was selected in the installation guide. You could then end up with two different objects in the metaverse with the same mail attribute if the contact object was imported before the user object. A Microsoft Entra-azonosítóba való exportálás során hiba jelenik meg. This behavior is by design and would indicate bad data or that the topology was not correctly identified during the installation.

Letiltott fiókok

A letiltott fiókok szinkronizálva vannak a Microsoft Entra-azonosítóval is. A letiltott fiókok gyakran az Exchange-erőforrásokat jelölik, például konferenciatermeket. Kivételt képeznek a csatolt postaládával rendelkező felhasználók; ahogy korábban említettük, ezek soha nem építenek ki fiókot a Microsoft Entra-azonosítóhoz.

A feltételezés az, hogy ha egy letiltott felhasználói fiók található, akkor később nem találunk egy másik aktív fiókot, és az objektum ki van építve a Microsoft Entra-azonosítóhoz a userPrincipalName és a sourceAnchor azonosítóval. Ha egy másik aktív fiók csatlakozik ugyanahhoz a metaverzumobjektumhoz, akkor a userPrincipalName és a sourceAnchor lesz használva.

A sourceAnchor módosítása

Ha egy objektumot exportáltak a Microsoft Entra-azonosítóba, akkor a sourceAnchor már nem módosítható. Az objektum exportálása után a cloudSourceAnchor metaverse attribútum a Microsoft Entra ID által elfogadott sourceAnchor értékkel van beállítva. Ha a sourceAnchor módosul, és nem egyezik a cloudSourceAnchor-tal, akkor a Microsoft Entra-azonosítóra vonatkozó kivétel – A felhasználói csatlakozás a sourceAnchor attribútumot módosítja. Ebben az esetben a konfigurációt vagy az adatokat ki kell javítani, hogy ugyanaz a forrásAnchor jelen legyen a metaversen, mielőtt az objektum ismét szinkronizálható lenne.

További források

• Microsoft Entra Csatlakozás Szinkronizálás: Szinkronizálási beállítások testreszabása
• Helyszíni identitások integrálása a Microsoft Entra-azonosítóval