Servizio di sincronizzazione Azure AD Connect: Informazioni su utenti, gruppi e contattiAzure AD Connect sync: Understanding Users, Groups, and Contacts

I motivi per cui possono essere presenti più foreste Active Directory e sono disponibili più topologie di distribuzione sono diversi.There are several different reasons why you would have multiple Active Directory forests and there are several different deployment topologies. I modelli comuni prevedono una distribuzione account-risorse e foreste sincronizzate tramite Elenco indirizzi globale dopo operazioni di fusione e acquisizione.Common models include an account-resource deployment and GAL sync’ed forests after a merger & acquisition. Anche se esistono modelli puri, sono molto diffusi anche i modelli ibridi.But even if there are pure models, hybrid models are common as well. La configurazione predefinita nel servizio di sincronizzazione Azure AD Connect non presuppone alcun modello specifico, ma è possibile osservare diversi comportamenti in base all'opzione di corrispondenza utenti selezionata nella guida all'installazione.The default configuration in Azure AD Connect sync does not assume any particular model but depending on how user matching was selected in the installation guide, different behaviors can be observed.

Questo argomento illustra il comportamento della configurazione predefinita in determinate topologie.In this topic, we will go through how the default configuration behaves in certain topologies. Sarà anche possibile esaminare la configurazione tramite l'editor delle regole di sincronizzazione.We will go through the configuration and the Synchronization Rules Editor can be used to look at the configuration.

La configurazione presuppone le regole generali seguenti:There are a few general rules the configuration assumes:

  • Indipendentemente dall'ordine di importazione dalle directory di Active Directory di origine, il risultato finale sarà sempre lo stesso.Regardless of which order we import from the source Active Directories, the end result should always be the same.
  • Un account attivo fornirà sempre le informazioni di accesso, inclusi gli attributi userPrincipalName e sourceAnchor.An active account will always contribute sign-in information, including userPrincipalName and sourceAnchor.
  • Un account disabilitato fornirà gli attributi userPrincipalName e sourceAnchor, a meno che non si tratti di una cassetta postale collegata, se non è presente alcun account attivo da trovare.A disabled account will contribute userPrincipalName and sourceAnchor, unless it is a linked mailbox, if there is no active account to be found.
  • Un account con una cassetta postale collegata non verrà usato per gli attributi userPrincipalName e sourceAnchor.An account with a linked mailbox will never be used for userPrincipalName and sourceAnchor. Si presuppone che un account attivo venga trovato in seguito.It is assumed that an active account will be found later.
  • È possibile eseguire il provisioning di un oggetto contatto in Azure AD come contatto o come utente.A contact object might be provisioned to Azure AD as a contact or as a user. Questa informazione non è nota finché tutte le foreste Active Directory di origine non sono state elaborate.You don’t really know until all source Active Directory forests have been processed.

GruppiGroups

Aspetti importanti da tenere presenti durante la sincronizzazione dei gruppi di Active Directory con Azure AD:Important points to be aware of when synchronizing groups from Active Directory to Azure AD:

  • Azure AD Connect esclude i gruppi di sicurezza predefiniti dalla sincronizzazione delle directory.Azure AD Connect excludes built-in security groups from directory synchronization.

  • Azure AD Connect non supporta la sincronizzazione delle appartenenze ai gruppi primari con Azure AD.Azure AD Connect does not support synchronizing Primary Group memberships to Azure AD.

  • Azure AD Connect non supporta la sincronizzazione delle appartenenze ai gruppi di distribuzione dinamici con Azure AD.Azure AD Connect does not support synchronizing Dynamic Distribution Group memberships to Azure AD.

  • Per sincronizzare un gruppo di Active Directory con Azure AD come gruppo abilitato alla posta elettronica:To synchronize an Active Directory group to Azure AD as a mail-enabled group:

    • Se l'attributo proxyAddress del gruppo è vuoto, il relativo attributo mail deve avere un valoreIf the group's proxyAddress attribute is empty, its mail attribute must have a value

    • Se l'attributo proxyAddress del gruppo non è vuoto, deve contenere almeno un valore dell'indirizzo proxy SMTP.If the group's proxyAddress attribute is non-empty, it must contain at least one SMTP proxy address value. Di seguito sono riportati alcuni esempi:Here are some examples:

      • Un gruppo di Active Directory il cui attributo proxyAddress ha il valore {"X500:/0=contoso.com/ou=users/cn=testgroup"} non sarà abilitato per la posta elettronica in Azure AD.An Active Directory group whose proxyAddress attribute has value {"X500:/0=contoso.com/ou=users/cn=testgroup"} will not be mail-enabled in Azure AD. Non dispone di un indirizzo SMTP.It does not have an SMTP address.

      • Un gruppo di Active Directory il cui attributo proxyAddress ha valori {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} sarà abilitato per la posta elettronica in Azure AD.An Active Directory group whose proxyAddress attribute has values {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} will be mail-enabled in Azure AD.

      • Anche un gruppo di Active Directory il cui attributo proxyAddress ha valori {"X500:/0=contoso.com/ou=users/cn=testgroup","smtp:johndoe@contoso.com"} sarà abilitato per la posta elettronica in Azure AD.An Active Directory group whose proxyAddress attribute has values {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} will also be mail-enabled in Azure AD.

ContattiContacts

I contatti che rappresentano un utente in una foresta diversa costituiscono una situazione comune dopo un'operazione di acquisizione o fusione in cui la soluzione GALSync collega due o più foreste di Exchange.Having contacts representing a user in a different forest is common after a merger & acquisition where a GALSync solution is bridging two or more Exchange forests. L'oggetto contatto viene sempre aggiunto dallo spazio connettore allo spazio metaverse usando l'attributo mail.The contact object is always joining from the connector space to the metaverse using the mail attribute. Se è già presente un oggetto contatto o un oggetto utente con lo stesso indirizzo di posta elettronica, gli oggetti vengono uniti.If there is already a contact object or user object with the same mail address, the objects are joined together. Questo comportamento è configurato nella regola In ingresso da Active Directory - Aggiunta contatto.This is configured in the rule In from AD – Contact Join. Esiste anche una regola denominata In ingresso da Active Directory - Contatto comune con un flusso dell'attributo all'attributo metaverse sourceObjectType con la costante Contact.There is also a rule named In from AD – Contact Common with an attribute flow to the metaverse attribute sourceObjectType with the constant Contact. Questa regola presenta una precedenza molto bassa, quindi se un oggetto utente viene aggiunto allo stesso oggetto metaverse, la regola In ingresso da Active Directory - Utente comune fornirà il valore Utente a questo attributo.This rule has very low precedence so if any user object is joined to the same metaverse object, then the rule In from AD – User Common will contribute the value User to this attribute. Con questa regola l'attributo avrà il valore Contact solo se non sono stati aggiunti utenti e il valore User se è stato trovato almeno un utente.With this rule, this attribute will have the value Contact if no user has been joined and the value User if at least one user has been found.

Per eseguire il provisioning di un oggetto in Azure AD, la regola in uscita In uscita ad Azure AD - Unione contatto creerà un oggetto contatto se l'attributo metaverse sourceObjectType è impostato su Contatto.For provisioning an object to Azure AD, the outbound rule Out to AAD – Contact Join will create a contact object if the metaverse attribute sourceObjectType is set to Contact. Se questo attributo è impostato su Utente, la regola In uscita ad Azure AD - Unione utente creerà un oggetto utente.If this attribute is set to User, then the rule Out to AAD – User Join will create a user object instead. È possibile che un oggetto venga innalzato di livello da Contact a User quando vengono importate e sincronizzate più directory di Active Directory di origine.It is possible that an object is promoted from Contact to User when more source Active Directories are imported and synchronized.

Ad esempio, in una topologia GALSync saranno presenti oggetti contatto per tutti gli oggetti della seconda foresta quando si importa la prima.For example, in a GALSync topology we will find contact objects for everyone in the second forest when we import the first forest. Verranno quindi inseriti nuovi oggetti contatto nel connettore AAD.This will stage new contact objects in the AAD Connector. Quando in seguito si importa e si sincronizza la seconda foresta, saranno presenti gli utenti effettivi che verranno aggiunti agli oggetti metaverse esistenti.When we later import and synchronize the second forest, we will find the real users and join them to the existing metaverse objects. Si procederà quindi all'eliminazione dell'oggetto contatto in Azure AD e verrà creato un nuovo oggetto utente.We will then delete the contact object in AAD and create a new user object instead.

In una topologia in cui gli utenti sono rappresentati come contatti, nella guida all'installazione assicurarsi di selezionare la corrispondenza degli utenti in base all'attributo Mail.If you have a topology where users are represented as contacts, make sure you select to match users on the mail attribute in the installation guide. Se si seleziona un'altra opzione, si otterrà una configurazione dipendente dall'ordine.If you select another option, then you will have an order-dependent configuration. L'aggiunta degli oggetti contatto verrà sempre eseguita in base all'attributo Mail, ma gli oggetti utente verranno aggiunti in base all'attributo Mail solo se questa opzione è stata selezionata nella guida all'installazione.Contact objects will always join on the mail attribute, but user objects will only join on the mail attribute if this option was selected in the installation guide. Se l'oggetto contatto viene importato prima dell'oggetto utente, nell'oggetto metaverse potrebbero essere presenti due oggetti diversi con lo stesso attributo Mail.You could then end up with two different objects in the metaverse with the same mail attribute if the contact object was imported before the user object. Durante l'esportazione in Azure AD, verrà generato un errore.During export to Azure AD, an error will be thrown. Si tratta di un comportamento da progettazione che indica che sono presenti dati non validi o che durante l'installazione la topologia non è stata identificata correttamente.This behavior is by design and would indicate bad data or that the topology was not correctly identified during the installation.

Account disabilitatiDisabled accounts

Anche gli account disabilitati vengono sincronizzati con Azure AD.Disabled accounts are synchronized as well to Azure AD. Gli account disabilitati in genere rappresentano le risorse in Exchange, ad esempio le sale riunioni.Disabled accounts are common to represent resources in Exchange, for example conference rooms. Fanno eccezione gli utenti con una cassetta postale collegata. Come indicato in precedenza, per questi non verrà mai eseguito il provisioning di un account in Azure AD.The exception is users with a linked mailbox; as previously mentioned, these will never provision an account to Azure AD.

Si presuppone che se viene trovato un account utente disabilitato, non verrà trovato un altro account attivo successivamente e verrà effettuato il provisioning dell'oggetto in Azure AD con gli attributi userPrincipalName e sourceAnchor trovati.The assumption is that if a disabled user account is found, then we will not find another active account later and the object is provisioned to Azure AD with the userPrincipalName and sourceAnchor found. Se un altro account attivo viene aggiunto allo stesso oggetto metaverse, verranno usati i relativi attributi userPrincipalName e sourceAnchor.In case another active account will join to the same metaverse object, then its userPrincipalName and sourceAnchor will be used.

Modifica dell'attributo sourceAnchorChanging sourceAnchor

Dopo che un oggetto è stato esportato in Azure AD, non è più possibile modificarne l'attributo sourceAnchor.When an object has been exported to Azure AD then it is not allowed to change the sourceAnchor anymore. Dopo che l'oggetto è stato esportato, l'attributo metaverse cloudSourceAnchor viene impostato sul valore sourceAnchor accettato da Azure AD.When the object has been exported the metaverse attribute cloudSourceAnchor is set with the sourceAnchor value accepted by Azure AD. Se sourceAnchor viene modificato e non corrisponde a cloudSourceAnchor, la regola In uscita ad Azure AD - Unisci utente genera un errore indicante che l'attributo sourceAnchor è stato modificato.If sourceAnchor is changed and not match cloudSourceAnchor, the rule Out to AAD – User Join will throw the error sourceAnchor attribute has changed. In questo caso, è necessario correggere la configurazione o i dati in modo che lo stesso attributo sourceAnchor sia di nuovo presente nell'oggetto metaverse prima che l'oggetto venga sincronizzato di nuovo.In this case, the configuration or data must be corrected so the same sourceAnchor is present in the metaverse again before the object can be synchronized again.

Risorse aggiuntiveAdditional Resources