Fattori che influenzano le prestazioni di Microsoft Entra Connessione
Microsoft Entra Connessione sincronizza Active Directory con Microsoft Entra ID. Questo server è un componente fondamentale dello spostamento delle identità utente nel cloud. I fattori principali che influiscono sulle prestazioni di un Connessione Microsoft Entra sono:
| Fattore di progettazione | Definizione |
|---|---|
| Topologia | La distribuzione degli endpoint e dei componenti di Microsoft Entra Connessione deve essere gestita in rete. |
| Ridimensiona | Numero di oggetti come gli utenti, i gruppi e le unità organizzative da gestire da Microsoft Entra Connessione. |
| Hardware | Hardware (fisico o virtuale) per microsoft Entra Connessione e capacità di prestazioni dipendenti di ogni componente hardware, tra cui CPU, memoria, rete e configurazione del disco rigido. |
| Configurazione | Come Microsoft Entra Connessione elabora le directory e le informazioni. |
| Load | Frequenza delle modifiche degli oggetti. I carichi possono variare nell'arco di un'ora, un giorno o una settimana. A seconda del componente, potrebbe essere necessario eseguire la progettazione per un picco di carico o un carico medio. |
Lo scopo di questo documento è descrivere i fattori che influenzano le prestazioni del motore di provisioning di Microsoft Entra Connessione. Le organizzazioni di grandi dimensioni o complesse (le organizzazioni che eseguono il provisioning di più di 100.000 oggetti) possono usare le raccomandazioni per ottimizzare l'implementazione di Microsoft Entra Connessione, se riscontrano problemi di prestazioni descritti qui. Gli altri componenti di Microsoft Entra Connessione, ad esempio Microsoft Entra Connessione Health e gli agenti non sono coperti qui.
Importante
Microsoft non supporta la modifica o il funzionamento di Microsoft Entra Connessione al di fuori delle azioni documentate formalmente. Una di queste azioni potrebbe causare uno stato incoerente o non supportato di Microsoft Entra Connessione Sync. Di conseguenza, Microsoft non può fornire supporto tecnico per tali distribuzioni.
Fattori del componente Microsoft Entra Connect
Il diagramma seguente mostra un'architettura generale del motore di provisioning che si connette a una singola foresta, anche se sono supportate più foreste. Questa architettura illustra l'interazione tra i vari componenti.
Il motore di provisioning si connette a ogni foresta di Active Directory e a Microsoft Entra ID. Il processo di lettura delle informazioni da ogni directory viene chiamato importazione. L'esportazione è invece l'aggiornamento delle directory dal motore di provisioning. La sincronizzazione valuta le regole relative a come gli oggetti si sposteranno all'interno del motore di provisioning. Per un approfondimento, è possibile fare riferimento a Microsoft Entra Connessione Sync: Understanding the architecture (Sincronizzazione di Microsoft Entra Connessione: Informazioni sull'architettura).
Microsoft Entra Connect usa le aree di gestione temporanea, le regole e i processi seguenti per consentire la sincronizzazione da Active Directory a Microsoft Entra ID:
- Spazio connettore: gli oggetti di ogni directory connessa, ovvero le directory effettive, vengono inseriti temporaneamente qui prima di poter essere elaborati dal motore di provisioning. Microsoft Entra ID ha il proprio CS e ogni foresta a cui ci si connette ha il proprio CS.
- Metaverse: gli oggetti da sincronizzare vengono creati qui in base alle regole di sincronizzazione. Gli oggetti devono esistere nel metaverse prima di poter popolare gli oggetti e gli attributi per le altre directory connesse. Esiste un solo metaverse.
- Regole di sincronizzazione: determinano quali oggetti verranno creati (proiettati) o connessi (aggiunti) negli oggetti del metaverse. Le regole di sincronizzazione determinano anche quali valori degli attributi verranno copiati o trasformati in e dalle directory.
- Profili di esecuzione: aggregano i passaggi del processo di copia degli oggetti e dei valori degli attributi in base alle regole di sincronizzazione tra le aree di staging e le directory connesse.
Esistono profili di esecuzione diversi per ottimizzare le prestazioni del motore di provisioning. La maggior parte delle organizzazioni userà le pianificazioni e i profili di esecuzione predefiniti per le normali operazioni, ma per alcune organizzazioni potrebbe essere necessario modificare la pianificazione o attivare altri profili di esecuzione per gestire situazioni non comuni. Sono disponibili i seguenti profili di esecuzione:
Profilo di sincronizzazione iniziale
Il profilo di sincronizzazione iniziale è il processo di lettura delle directory connesse, ad esempio una foresta di Active Directory, per la prima volta. Esegue quindi un'analisi su tutte le voci nel database del motore di sincronizzazione. Il ciclo iniziale creerà nuovi oggetti in Microsoft Entra ID e richiederà tempo aggiuntivo per completare se le foreste di Active Directory sono di grandi dimensioni. La sincronizzazione iniziale include i passaggi seguenti:
- Importazione completa su tutti i connettori
- Sincronizzazione completa su tutti i connettori
- Esportazione su tutti i connettori
Profilo di sincronizzazione delta
Per ottimizzare il processo di sincronizzazione, questo profilo di esecuzione elabora solo le modifiche (creazione, eliminazione e aggiornamento) degli oggetti nelle directory connesse, dall'ultimo processo di sincronizzazione. Per impostazione predefinita, il profilo di sincronizzazione delta viene eseguito ogni 30 minuti. Le organizzazioni devono cercare di mantenere il tempo necessario a un massimo di 30 minuti, per assicurarsi che l'ID Entra di Microsoft sia aggiornato. Per monitorare l'integrità di Microsoft Entra Connessione, usare l'agente di monitoraggio dell'integrità per visualizzare eventuali problemi con il processo. Il ciclo di sincronizzazione delta include i passaggi seguenti:
- Importazione differenziale su tutti i connettori
- Sincronizzazione delta su tutti i connettori
- Esportazione su tutti i connettori
Uno scenario di sincronizzazione delta di un'organizzazione aziendale tipico è il seguente:
- ~1% degli oggetti viene eliminato
- ~1% degli oggetti viene creato
- ~5% degli oggetti viene modificato
La frequenza di modifica può variare a seconda di quanto spesso l'organizzazione aggiorna gli utenti in Active Directory. Ad esempio, frequenze di modifica più elevate possono essere determinate dalle assunzioni e dalle riduzioni stagionali della forza lavoro.
Profilo di sincronizzazione completa
Un ciclo di sincronizzazione completa è necessario se è stata apportata una delle modifiche seguenti alla configurazione:
- È stato esteso l'ambito degli oggetti o degli attributi da importare dalle directory connesse, come quando si aggiunge un dominio o un'unità organizzativa all'ambito di importazione.
- Sono state apportate modifiche alle regole di sincronizzazione, Ad esempio, quando si crea una nuova regola per popolare il titolo di un utente in Microsoft Entra ID da extension_attribute3 in Active Directory. Questo aggiornamento richiede che il motore di provisioning riesamini tutti gli utenti esistenti per aggiornare le relative posizioni e poter applicare la modifica in futuro.
In un ciclo di sincronizzazione completa sono incluse le operazioni seguenti:
- Importazione completa su tutti i connettori
- Sincronizzazione completa/delta su tutti i connettori
- Esportazione su tutti i connettori
Nota
Quando si eseguono aggiornamenti in blocco a molti oggetti in Active Directory o microsoft Entra ID, è necessaria un'attenta pianificazione. Con gli aggiornamenti in blocco, il processo di sincronizzazione delta richiederà più tempo per l'importazione, perché vengono modificati molti oggetti. Le importazioni possono richiedere molto tempo anche se l'aggiornamento in blocco non influisce sul processo di sincronizzazione. Ad esempio, l'assegnazione di licenze a molti utenti in Microsoft Entra ID causerà un lungo ciclo di importazione da Microsoft Entra ID, ma non comporterà alcuna modifica dell'attributo in Active Directory.
Sincronizzazione
Il runtime del processo di sincronizzazione ha le caratteristiche di prestazioni seguenti:
- La sincronizzazione è a thread singolo, vale a dire che il motore di provisioning non esegue elaborazioni parallele dei profili di esecuzione delle directory connesse, degli oggetti o degli attributi.
- La durata dell'importazione cresce in modo lineare con il numero di oggetti da sincronizzare. Se ad esempio l'importazione di 10.000 oggetti richiede 10 minuti, quella di 20.000 oggetti richiederà circa 20 minuti sullo stesso server.
- Anche l'esportazione è lineare.
- La sincronizzazione aumenterà in modo esponenziale in base al numero di oggetti con riferimenti ad altri oggetti. Le appartenenze ai gruppi e i gruppi annidati hanno l'impatto maggiore sulle prestazioni, perché i membri fanno riferimento agli oggetti utente o ad altri gruppi. Questi riferimenti devono trovarsi e fare riferimento agli oggetti effettivi nel metaverse per completare il ciclo di sincronizzazione.
- La modifica di un membro del gruppo comporterà una rivalutazione di tutti i membri del gruppo. Ad esempio, se si dispone di un gruppo con membri da 50.000 e si aggiorna solo 1 membro, verrà attivata una sincronizzazione di tutti i 50.000 membri.
Filtro
Le dimensioni della topologia di Active Directory da importare è il fattore principale che influenza le prestazioni e il tempo complessivo richiesto dai componenti interni del motore di provisioning.
È consigliabile usare i filtri per ridurre gli oggetti a quelli da sincronizzare, Impedisce l'elaborazione e l'esportazione di oggetti non necessari in Microsoft Entra ID. Sono disponibili le seguenti tecniche di filtro, in ordine di preferenza:
- Filtro basato su dominio: usare questa opzione per selezionare domini specifici da sincronizzare con Microsoft Entra ID. È necessario aggiungere e rimuovere domini dalla configurazione del motore di sincronizzazione quando si apportano modifiche all'infrastruttura locale dopo aver installato Microsoft Entra Connessione Sync.
- Filtro unità organizzativa : usa le unità organizzative per specificare oggetti specifici nei domini di Active Directory per il provisioning in Microsoft Entra ID. Il filtro di unità organizzative è il secondo meccanismo di filtro consigliato perché usa semplici query con ambito LDAP per importare un subset ridotto di oggetti da Active Directory.
- Filtro degli attributi per oggetto : usa i valori degli attributi per gli oggetti per decidere se viene effettuato il provisioning di un oggetto specifico in Active Directory in Microsoft Entra ID. Il filtro degli attributi è ideale per ottimizzare i filtri, quando il filtro dei domini e delle unità organizzative non soddisfa i requisiti specifici dei filtri. Il filtro degli attributi non riduce il tempo di importazione, ma può ridurre i tempi di sincronizzazione ed esportazione.
- Filtro basato su gruppo: usa l'appartenenza al gruppo per decidere se è necessario effettuare il provisioning degli oggetti in Microsoft Entra ID. Il filtro basato su gruppo è adatto solo a situazioni di test e non è consigliato per l'ambiente di produzione, a causa dell'ulteriore overhead necessario per controllare l'appartenenza ai gruppi durante il ciclo di sincronizzazione.
Molti oggetti sezionatore persistenti nello spazio connettore di Active Directory possono prolungare i tempi di sincronizzazione, perché il motore di provisioning deve rivalutare la possibile connessione di ogni oggetto sezionatore nel ciclo di sincronizzazione. Per ovviare a questo problema, prendere in considerazione una delle indicazioni seguenti:
- Inserire gli oggetti sezionatore al di fuori dell'ambito di importazione usando il filtro del dominio o dell'unità organizzativa.
- Proiettare/unire gli oggetti alla MV e impostare l'attributo cloudFiltered uguale a True, per impedire il provisioning di questi oggetti in Microsoft Entra CS.
Nota
L'applicazione di filtri a un numero eccessivo di oggetti può confondere gli utenti o creare problemi relativi alle autorizzazioni dell'applicazione. In un'implementazione online di Exchange ibrida, ad esempio, gli utenti con cassette postali locali visualizzeranno più utenti nell'elenco indirizzi globale degli utenti con cassette postali in Exchange online. In altri casi, un utente può decidere di concedere l'accesso in un'app cloud a un altro utente che non fa parte dell'ambito del set di oggetti filtrati.
Flussi di attributi
I flussi di attributi sono i processi di copia o trasformazione dei valori degli attributi degli oggetti da una directory connessa a un'altra directory connessa. Vengono definiti come parte delle regole di sincronizzazione. Ad esempio, quando il numero di telefono di un utente viene modificato in Active Directory, il numero di telefono in Microsoft Entra ID verrà aggiornato. Le organizzazioni possono modificare i flussi di attributi in base ai vari requisiti. È consigliabile copiare i flussi di attributi esistenti prima di modificarli.
I semplici reindirizzamenti, ad esempio il trasferimento di un valore di attributo a un attributo diverso, non hanno un impatto sostanziale sulle prestazioni. Un esempio di reindirizzamento è il flusso di un numero di cellulare in Active Directory al numero di telefono dell'ufficio in Microsoft Entra ID.
La trasformazione dei valori degli attributi può influire sulle prestazioni del processo di sincronizzazione. La trasformazione dei valori degli attributi include la modifica, la riformattazione, la concatenazione o la sottrazione dei valori degli attributi.
Le organizzazioni possono impedire il flusso di determinati attributi all'ID Microsoft Entra, ma non influisce sulle prestazioni del motore di provisioning.
Nota
Non eliminare i flussi di attributi indesiderati nelle regole di sincronizzazione. È consigliabile disabilitarli, perché le regole eliminate vengono ricreate durante gli aggiornamenti di Microsoft Entra Connessione.
Fattori di dipendenza di Microsoft Entra Connessione
Le prestazioni di Microsoft Entra Connessione dipendono dalle prestazioni delle directory connesse in cui importa ed esporta. Ad esempio, le dimensioni di Active Directory necessarie per importare o la latenza di rete nel servizio Microsoft Entra. Il database SQL usato dal motore di provisioning influisce anche sulle prestazioni complessive del ciclo di sincronizzazione.
Fattori di Active Directory
Come accennato in precedenza, il numero di oggetti da importare influenza notevolmente le prestazioni. L'hardware e i prerequisiti per Microsoft Entra Connessione delineare livelli hardware specifici in base alle dimensioni della distribuzione. Microsoft Entra Connessione supporta solo topologie specifiche, come descritto in Topologie per Microsoft Entra Connessione. Non sono disponibili consigli e ottimizzazioni relativi alle prestazioni per le topologie non supportate.
Assicurarsi che il server Microsoft Entra Connessione soddisfi i requisiti hardware in base alle dimensioni di Active Directory da importare. La connettività di rete non valida o lenta tra il server Microsoft Entra Connessione e i controller di dominio Active Directory può rallentare l'importazione.
Fattori id Di Microsoft Entra
Microsoft Entra ID usa la limitazione per proteggere il servizio cloud da attacchi Denial of Service (DoS). Attualmente Microsoft Entra ID ha un limite di 7.000 scritture per 5 minuti (84.000 all'ora). È ad esempio possibile limitare le operazioni seguenti:
- Microsoft Entra Connessione esportare in Microsoft Entra ID.
- Script o applicazioni di PowerShell che aggiornano direttamente l'ID Di Microsoft Entra direttamente in background, ad esempio appartenenze a gruppi dinamici.
- Utenti che aggiornano i record di identità, ad esempio quando eseguono la registrazione per MFA o la reimpostazione password self-service.
- Operazioni nell'interfaccia utente grafica.
Pianificare le attività di distribuzione e manutenzione per assicurarsi che il ciclo di sincronizzazione di Microsoft Entra Connessione non sia interessato dai limiti di limitazione. Un numero elevato di assunzioni e la conseguente creazione di migliaia di identità utente, ad esempio, può causare aggiornamenti delle appartenenze a gruppi dinamiche, delle assegnazioni di licenze e delle registrazioni di reimpostazione della password self-service. Si consiglia di distribuire queste operazioni di scrittura su più ore o alcuni giorni.
Fattori del database SQL
Le dimensioni della topologia di Active Directory di origine influiranno sulle prestazioni del database SQL. Seguire i requisiti hardware per il database di SQL Server e tenere presente quanto segue:
- Le organizzazioni con più di 100.000 utenti possono ridurre le latenze di rete usando lo stesso server come posizione condivisa per il database SQL e il motore di provisioning.
- Il protocollo SQL Named Pipes non è supportato perché introduce ritardi significativi nel ciclo di sincronizzazione e deve essere disabilitato nella Gestione configurazione SQL Server in SQL Native Clients e nella rete SQL Server. Si noti che la modifica della configurazione di Named Pipes ha effetto solo dopo il riavvio del database e dei servizi ADSync.
- A causa dei requisiti di input e output (I/O) elevati su disco del processo di sincronizzazione, usare unità SSD per il database SQL del motore di provisioning per ottenere risultati ottimali. Se non è possibile, prendere in considerazione le configurazioni RAID 0 o RAID 1.
- Non eseguire una sincronizzazione completa in modo preemptive; causa una varianza non necessaria e tempi di risposta più lenti.
Conclusione
Per ottimizzare le prestazioni dell'implementazione di Microsoft Entra Connessione, prendere in considerazione i consigli seguenti:
- Usare la configurazione hardware consigliata in base alle dimensioni di implementazione per il server Microsoft Entra Connessione.
- Quando si aggiorna Microsoft Entra Connessione in distribuzioni su larga scala, è consigliabile usare il metodo di migrazione swing per assicurarsi di avere il minor tempo di inattività e la migliore affidabilità.
- Usare un'unità SSD per il database SQL per ottenere prestazioni di scrittura ottimali.
- Filtrare l'ambito di Active Directory in modo da includere solo gli oggetti di cui è necessario eseguire il provisioning in Microsoft Entra ID, usando il filtro di domini, unità organizzative o attributi.
- Se è necessario modificare le regole del flusso di attributi predefinite, copiare prima una regola, quindi modificare la copia e disabilitare la regola originale. Ricordare di eseguire di nuovo una sincronizzazione completa.
- Pianificare il tempo sufficiente per il profilo di esecuzione della sincronizzazione completa iniziale.
- Cercare di completare il ciclo di sincronizzazione delta in 30 minuti. Se il profilo di sincronizzazione delta non viene completato in 30 minuti, modificare la frequenza di sincronizzazione predefinita per poter includere un ciclo di sincronizzazione delta completo.
- Monitorare l'integrità di Microsoft Entra Connessione Sync in Microsoft Entra ID.
Passaggi successivi
Altre informazioni sull'integrazione delle identità locali con Microsoft Entra ID.