A Microsoft Entra Csatlakozás teljesítményét befolyásoló tényezők

  • Cikk

A Microsoft Entra Csatlakozás szinkronizálja az Active Directoryt a Microsoft Entra-azonosítóval. Ez a kiszolgáló kritikus fontosságú eleme a felhasználói identitások felhőbe való áthelyezésének. A Microsoft Entra Csatlakozás teljesítményét befolyásoló elsődleges tényezők a következők:

Tervezési tényező Definition
Topológia A Microsoft Entra Csatlakozás végpontjainak és összetevőinek eloszlását a hálózaton kell kezelni.
Scale A Microsoft Entra Csatlakozás által felügyelni kívánt objektumok, például a felhasználók, csoportok és szervezeti egységek száma.
Hardware A Microsoft Entra hardvere (fizikai vagy virtuális) Csatlakozás és az egyes hardverösszetevők függő teljesítménykapacitása, beleértve a processzor, a memória, a hálózat és a merevlemez konfigurációját.
Konfiguráció Hogyan dolgozza fel a Microsoft Entra Csatlakozás a könyvtárakat és az információkat.
Betöltés Az objektumváltozások gyakorisága. A terhelések egy óra, nap vagy hét alatt változhatnak. Az összetevőtől függően előfordulhat, hogy csúcsterhelést vagy átlagos terhelést kell terveznie.

A dokumentum célja a Microsoft Entra Csatlakozás kiépítési motor teljesítményét befolyásoló tényezők ismertetése. A nagy vagy összetett szervezetek (amelyek több mint 100 000 objektumot építenek ki) a Javaslatok segítségével optimalizálhatják a Microsoft Entra Csatlakozás implementációját, ha az itt ismertetett teljesítményproblémákat tapasztalnak. A Microsoft Entra Csatlakozás többi összetevőjére, például a Microsoft Entra Csatlakozás Healthre és az ügynökökre nem vonatkozik.

Fontos

A Microsoft nem támogatja a Microsoft Entra Csatlakozás formálisan dokumentált műveleteken kívüli módosítását vagy üzemeltetését. Ezen műveletek bármelyike a Microsoft Entra Csatlakozás Sync inkonzisztens vagy nem támogatott állapotát eredményezheti. Ennek eredményeképpen a Microsoft nem tud technikai támogatást nyújtani az ilyen üzemelő példányokhoz.

Microsoft Entra Csatlakozás összetevő tényezői

Az alábbi ábrán az egy erdőhöz csatlakozó kiépítési motor magas szintű architektúrája látható, bár több erdő is támogatott. Ez az architektúra bemutatja, hogyan működnek együtt a különböző összetevők.

Diagram shows how the Connected Directories and Microsoft Entra Connect provisioning engine interact, including Connector Space and Metaverse components in an SQL Database.

A kiépítési motor minden Active Directory-erdőhöz és a Microsoft Entra-azonosítóhoz csatlakozik. Az egyes címtárak információinak olvasási folyamatát importálásnak nevezzük. Az exportálás a címtárak kiépítési motorról való frissítésére vonatkozik. A Sync kiértékeli az objektumok kiépítési motoron belüli áramlásának szabályait. Részletesebben a Microsoft Entra Csatlakozás Sync: Az architektúra ismertetése című témakörben olvashat.

A Microsoft Entra Csatlakozás a következő átmeneti területeket, szabályokat és folyamatokat használja az Active Directoryból a Microsoft Entra-azonosítóba való szinkronizálás engedélyezéséhez:

  • Csatlakozás or Space (CS) – Az egyes csatlakoztatott címtárak (CD) objektumai, a tényleges könyvtárak, itt vannak először rendezve, mielőtt a kiépítési motor feldolgozhatja őket. A Microsoft Entra ID-nek saját CS-je van, és minden egyes erdő, amelyhez csatlakozik, saját CS-jával rendelkezik.
  • Metaverse (MV) – A szinkronizálandó objektumok a szinkronizálási szabályok alapján jönnek létre. Az objektumoknak létezniük kell az MV-ben, mielőtt feltölthetik az objektumokat és attribútumokat a többi csatlakoztatott könyvtárba. Csak egy MV van.
  • Szinkronizálási szabályok – Eldöntik, hogy mely objektumok jönnek létre (vetítve) vagy csatlakoznak (csatlakoznak) az MV objektumaihoz. A szinkronizálási szabályok azt is eldöntik, hogy mely attribútumértékeket másolja át vagy alakítsa át a címtárakból.
  • Profilok futtatása – Az objektumok és attribútumértékek másolásának folyamatlépéseit köti össze az előkészítési területek és a csatlakoztatott könyvtárak közötti szinkronizálási szabályok szerint.

A kiépítési motor teljesítményének optimalizálásához különböző futtatási profilok léteznek. A legtöbb szervezet az alapértelmezett ütemezéseket és profilokat fogja használni a normál műveletekhez, de előfordulhat, hogy egyes szervezeteknek módosítaniuk kell az ütemezést , vagy más futtatási profilokat kell aktiválnia, hogy kielégítse a nem gyakori eseteket. A következő futtatási profilok érhetők el:

Kezdeti szinkronizálási profil

A kezdeti szinkronizálási profil a csatlakoztatott könyvtárak, például egy Active Directory-erdő első olvasásának folyamata. Ezután elvégzi a szinkronizálási motor adatbázisának összes bejegyzésének elemzését. A kezdeti ciklus új objektumokat hoz létre a Microsoft Entra-azonosítóban, és további időt vesz igénybe, ha az Active Directory-erdők nagyok. A kezdeti szinkronizálás a következő lépéseket tartalmazza:

  1. Teljes importálás az összes összekötőn
  2. Teljes szinkronizálás az összes összekötőn
  3. Exportálás az összes összekötőn

Delta-szinkronizálási profil

A szinkronizálási folyamat optimalizálásához ez a futtatási profil csak a csatlakoztatott könyvtárak objektumainak módosításait (létrehozásait, törlését és frissítéseit) dolgozza fel az utolsó szinkronizálási folyamat óta. A deltaszinkronizálási profil alapértelmezés szerint 30 percenként fut. A szervezeteknek törekednie kell arra, hogy 30 perc alatt tartsák az időt, hogy a Microsoft Entra-azonosító naprakész legyen. A Microsoft Entra Csatlakozás állapotának figyeléséhez használja az állapotfigyelő ügynököt a folyamattal kapcsolatos problémák megtekintéséhez. A deltaszinkronizálási profil a következő lépéseket tartalmazza:

  1. Változásimportálás az összes összekötőn
  2. Delta-szinkronizálás az összes összekötőn
  3. Exportálás az összes összekötőn

Egy tipikus vállalati szervezeti változásszinkronizálási forgatókönyv a következő:

  • Az objektumok ~1%-a törlődik
  • Az objektumok ~1%-a jön létre
  • Az objektumok ~5%-a módosul

A változás sebessége attól függően változhat, hogy milyen gyakran frissíti a szervezet a felhasználókat az Active Directoryban. Például a munkaerő-felvétel szezonalitásával és a munkaerő csökkentésével magasabb változások fordulhatnak elő.

Teljes szinkronizálási profil

Teljes szinkronizálási ciklusra van szükség, ha a következő konfigurációs módosításokat hajtotta végre:

  • Növelte a csatlakoztatott könyvtárakból importálandó objektumok vagy attribútumok hatókörét. Ha például tartományt vagy szervezeti egységet ad hozzá az importálási hatókörhöz.
  • Módosította a szinkronizálási szabályokat. Ha például létrehoz egy új szabályt, amely feltölti egy felhasználó címét a Microsoft Entra-azonosítóban az Active Directory extension_attribute3. Ehhez a frissítéshez a kiépítési motornak újra meg kell vizsgálnia az összes meglévő felhasználót, hogy frissítse a címeket, hogy alkalmazza a módosítást.

A teljes szinkronizálási ciklus a következő műveleteket tartalmazza:

  1. Teljes importálás az összes összekötőn
  2. Teljes/Delta-szinkronizálás az összes összekötőn
  3. Exportálás az összes összekötőn

Megjegyzés:

Gondos tervezésre van szükség az Active Directory vagy a Microsoft Entra ID számos objektumának tömeges frissítésekor. A tömeges frissítések miatt a változásszinkronizálási folyamat importáláskor tovább tart, mivel sok objektum megváltozott. Hosszú importálás akkor is előfordulhat, ha a tömeges frissítés nem befolyásolja a szinkronizálási folyamatot. Ha például a Microsoft Entra ID-ban sok felhasználóhoz rendel licenceket, az hosszú importálási ciklust fog eredményezni a Microsoft Entra ID-ból, de nem eredményez attribútummódosításokat az Active Directoryban.

Synchronization

A szinkronizálási folyamat futtatókörnyezete a következő teljesítményjellemzőkkel rendelkezik:

  • A szinkronizálás egyszálas, ami azt jelenti, hogy a kiépítési motor nem végez párhuzamos feldolgozást a csatlakoztatott könyvtárak, objektumok vagy attribútumok futtatási profiljaival.
  • Az importálási idő lineárisan növekszik a szinkronizált objektumok számával. Ha például 10 000 objektum importálása 10 percet vesz igénybe, akkor 20 000 objektum körülbelül 20 percet vesz igénybe ugyanazon a kiszolgálón.
  • Az exportálás lineáris is.
  • A szinkronizálás exponenciálisan nő a más objektumokra mutató hivatkozásokkal rendelkező objektumok száma alapján. A csoporttagságoknak és a beágyazott csoportoknak van a fő teljesítményhatásuk, mivel a tagjaik felhasználói objektumokra vagy más csoportokra hivatkoznak. Ezeket a hivatkozásokat a szinkronizálási ciklus befejezéséhez meg kell találni, és hivatkozni kell az MV tényleges objektumaira.
  • A csoporttagok módosítása az összes csoporttag újraértékeléséhez vezet. Ha például egy 50K-tagú csoporttal rendelkezik, és csak 1 tagot frissít, ez az összes 50K-tag szinkronizálását aktiválja.

Szűrés

Az importálni kívánt Active Directory-topológia mérete az első számú tényező, amely befolyásolja a teljesítményt és a kiépítési motor belső összetevőinek teljes idejét.

Szűrést kell használni az objektumok szinkronizálásra való csökkentéséhez. Ez megakadályozza a szükségtelen objektumok feldolgozását és a Microsoft Entra-azonosítóba való exportálását. Előnyben részesítés céljából a következő szűrési technikák érhetők el:

  • Tartományalapú szűrés – ezzel a beállítással kiválaszthat bizonyos tartományokat a Microsoft Entra-azonosítóval való szinkronizáláshoz. Ha a Microsoft Entra Csatlakozás Sync telepítése után módosítja a helyszíni infrastruktúrát, tartományokat kell hozzáadnia és eltávolítania a szinkronizálási motor konfigurációjából.
  • Szervezeti egység (szervezeti egység) szűrése – A szervezeti egységek használatával az Active Directory-tartományok adott objektumait célozza meg a Microsoft Entra-azonosítóra való kiépítéshez. A szervezeti egység szűrése a második ajánlott szűrési mechanizmus, mivel egyszerű LDAP-hatókör-lekérdezésekkel importálja az objektumok egy kisebb részét az Active Directoryból.
  • Objektumonkénti attribútumszűrés – az objektumok attribútumértékeivel dönti el, hogy az Active Directory adott objektuma ki van-e építve a Microsoft Entra-azonosítóban. Az attribútumszűrés kiválóan alkalmas a szűrők finomhangolására, ha a tartomány- és szervezeti egység szűrése nem felel meg az adott szűrési követelményeknek. Az attribútumszűrés nem csökkenti az importálási időt, de csökkentheti a szinkronizálási és exportálási időt.
  • Csoportalapú szűrés – csoporttagság használatával dönti el, hogy ki kell-e helyezni az objektumokat a Microsoft Entra-azonosítóban. A csoportalapú szűrés csak tesztelési helyzetekre alkalmas, éles környezetben nem ajánlott, mivel a szinkronizálási ciklus során a csoporttagság ellenőrzéséhez szükséges többletterhelés miatt nem ajánlott.

Az Active Directory CS számos állandó leválasztó objektuma hosszabb szinkronizálási időt okozhat, mivel a kiépítési motornak újra kell értékelnie az egyes leválasztó objektumokat a szinkronizálási ciklus lehetséges kapcsolatához. A probléma megoldásához fontolja meg az alábbi javaslatok egyikét:

  • Helyezze a leválasztó objektumokat a tartomány vagy szervezeti egység szűrésével történő importálás hatókörén kívülre.
  • Projektelje/csatlakoztassa az objektumokat az MV-hez, és állítsa be a CloudFiltered attribútumot True értékre, hogy megakadályozza ezeknek az objektumoknak a kiépítését a Microsoft Entra CS-ben.

Megjegyzés:

A felhasználók összezavarodhatnak, vagy az alkalmazásengedélyekkel kapcsolatos problémák akkor fordulhatnak elő, ha túl sok objektum van szűrve. Egy hibrid Exchange online implementációban például a helyszíni postaládákkal rendelkező felhasználók több felhasználót fognak látni a globális címlistán, mint az Exchange Online-ban postaládával rendelkező felhasználókat. Más esetekben előfordulhat, hogy a felhasználó hozzáférést szeretne adni egy felhőalkalmazásban egy másik felhasználónak, amely nem része a szűrt objektumhalmaz hatókörének.

Attribútumfolyamatok

Az attribútumfolyamatok az objektumok attribútumértékeinek másolására vagy átalakítására szolgáló folyamat egy csatlakoztatott könyvtárból egy másik csatlakoztatott könyvtárba. Ezek a szinkronizálási szabályok részeként vannak definiálva. Ha például egy felhasználó telefonszáma megváltozik az Active Directoryban, a Microsoft Entra-azonosítóban lévő telefonszám frissül. A szervezetek módosíthatják az attribútumfolyamatokat , hogy különböző követelményeket tudjanak kielégíteni. Javasoljuk, hogy a módosítás előtt másolja ki a meglévő attribútumfolyamatokat.

Az egyszerű átirányításoknak, például az attribútumértékek másik attribútumba való áramlásának nincs jelentős teljesítménybeli hatása. Egy átirányításra példa, ha egy mobilszámot az Active Directoryban a Microsoft Entra ID-ban lévő irodai telefonszámra továbbít.

Az attribútumértékek átalakítása hatással lehet a szinkronizálási folyamat teljesítményére. Az attribútumértékek átalakítása magában foglalja az attribútumok értékeinek módosítását, újraformázását, összefűzését vagy kivonását.

A szervezetek megakadályozhatják, hogy bizonyos attribútumok a Microsoft Entra-azonosítóba áramoljanak, de ez nem befolyásolja a kiépítési motor teljesítményét.

Megjegyzés:

Ne törölje a nem kívánt attribútumfolyamatokat a szinkronizálási szabályokban. Javasoljuk, hogy inkább tiltsa le őket, mert a törölt szabályok újra létrejönnek a Microsoft Entra Csatlakozás frissítések során.

A Microsoft Entra Csatlakozás függőségi tényezői

A Microsoft Entra Csatlakozás teljesítménye az általa importált és exportált csatlakoztatott könyvtárak teljesítményétől függ. Például az importálandó Active Directory mérete vagy a Microsoft Entra szolgáltatás hálózati késése. A kiépítési motor által használt SQL-adatbázis a szinkronizálási ciklus általános teljesítményét is befolyásolja.

Active Directory-tényezők

Ahogy korábban említettük, az importálandó objektumok száma jelentősen befolyásolja a teljesítményt. A Microsoft Entra hardverei és előfeltételei Csatlakozás konkrét hardverszinteket vázolnak fel az üzembe helyezés méretétől függően. A Microsoft Entra Csatlakozás csak a Microsoft Entra Csatlakozás topológiáiban ismertetett specifikus topológiákat támogatja. A nem támogatott topológiákhoz nincsenek teljesítményoptimalizálások és javaslatok.

Győződjön meg arról, hogy a Microsoft Entra Csatlakozás-kiszolgáló megfelel az importálni kívánt Active Directory-méretnek megfelelő hardverkövetelményeknek. A Microsoft Entra Csatlakozás kiszolgáló és az Active Directory-tartományvezérlők közötti rossz vagy lassú hálózati kapcsolat lelassíthatja az importálást.

A Microsoft Entra azonosító tényezői

A Microsoft Entra ID szabályozással védi a felhőszolgáltatást a szolgáltatásmegtagadási (DoS-) támadásoktól. A Microsoft Entra-azonosító jelenleg 7000 írási korláttal rendelkezik 5 percenként (óránként 84 000). Például a következő műveletek szabályozhatók:

  • A Microsoft Entra Csatlakozás exportálása a Microsoft Entra-azonosítóba.
  • A Microsoft Entra-azonosítót közvetlenül a háttérben frissítő PowerShell-szkriptek vagy alkalmazások, például dinamikus csoporttagságok.
  • A felhasználók frissítik a saját identitásrekordjaikat, például regisztrálnak az MFA-ra vagy az SSPR-re (önkiszolgáló jelszó-visszaállítás).
  • Műveletek a grafikus felhasználói felületen.

Tervezze meg az üzembe helyezési és karbantartási feladatokat, hogy a Microsoft Entra Csatlakozás szinkronizálási ciklusát ne befolyásolják a szabályozás korlátai. Ha például nagy bérleti hulláma van, ahol több ezer felhasználói identitást hoz létre, az a dinamikus csoporttagságok, a licencelési hozzárendelések és az önkiszolgáló jelszó-visszaállítási regisztrációk frissítését okozhatja. Jobb, ha ezeket az írásokat több órán vagy néhány napon keresztül terjeszti.

SQL Database-tényezők

A forrás Active Directory-topológia mérete befolyásolja az SQL-adatbázis teljesítményét. Kövesse az SQL Server-adatbázis hardverkövetelményeit , és vegye figyelembe az alábbi javaslatokat:

  • A több mint 100 000 felhasználóval rendelkező szervezetek csökkenthetik a hálózati késéseket azáltal, hogy az SQL-adatbázist és a kiépítési motort ugyanazon a kiszolgálón helyezik el.
  • Az SQL Named Pipes protokoll nem támogatott, mivel jelentős késéseket okoz a szinkronizálási ciklusban, és le kell tiltani a SQL Server Konfigurációkezelő a natív SQL-ügyfelek és az SQL Server Network esetében. Vegye figyelembe, hogy a nevesített csövek konfigurációjának módosítása csak az adatbázis és az ADSync-szolgáltatások újraindítása után lép érvénybe.
  • A szinkronizálási folyamat magas lemezbemeneti és kimeneti (I/O) követelményei miatt használja az SSD-t a kiépítési motor SQL-adatbázisához az optimális eredmény érdekében, ha nem lehetséges, fontolja meg a RAID 0 vagy a RAID 1 konfigurációját.
  • Ne végezze el a teljes szinkronizálást megelőző módon; ez szükségtelen adatváltozást és lassabb válaszidőt okoz.

Összefoglalás

A Microsoft Entra Csatlakozás implementáció teljesítményének optimalizálásához vegye figyelembe az alábbi javaslatokat:

  • Használja az ajánlott hardverkonfigurációt a Microsoft Entra Csatlakozás-kiszolgáló implementálási méretétől függően.
  • A Microsoft Entra Csatlakozás nagy léptékű üzemelő példányok esetében történő frissítésekor fontolja meg a swing migrálási módszer használatát, hogy biztos legyen abban, hogy a lehető legkevesebb állásidővel és a legjobb megbízhatóságtal rendelkezik.
  • A legjobb írási teljesítmény érdekében használja az SSD-t az SQL-adatbázishoz.
  • Szűrje az Active Directory-hatókört úgy, hogy csak olyan objektumokat tartalmazzon, amelyeket ki kell helyezni a Microsoft Entra-azonosítóban tartomány, szervezeti egység vagy attribútumszűrés használatával.
  • Ha módosítania kell az alapértelmezett attribútumfolyamat-szabályokat, először másolja ki a szabályt, majd módosítsa a másolatot, és tiltsa le az eredeti szabályt. Ne felejtse el újra futtatni a teljes szinkronizálást.
  • Tervezze meg a megfelelő időt a kezdeti teljes szinkronizálási futtatási profilhoz.
  • Törekedjen arra, hogy 30 perc alatt befejezze a változásszinkronizálási ciklust. Ha a változásszinkronizálási profil 30 percen belül nem fejeződik be, módosítsa az alapértelmezett szinkronizálási gyakoriságot úgy, hogy teljes változásszinkronizálási ciklust tartalmazzon.
  • A Microsoft Entra Csatlakozás Szinkronizálás állapotának figyelése a Microsoft Entra-azonosítóban.

További lépések

További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.