Microsoft Entra Connessione: quando si dispone di un tenant esistente
La maggior parte degli argomenti su come usare Microsoft Entra Connessione presuppone che si inizi con un nuovo tenant di Microsoft Entra e che non ci siano utenti o altri oggetti. Tuttavia, se si è iniziato con un tenant di Microsoft Entra, è stato popolato con utenti e altri oggetti e ora si vuole usare Connessione, questo argomento è per voi.
Nozioni di base
Un oggetto in Microsoft Entra ID viene gestito nel cloud o in locale. Per un singolo oggetto, non è possibile gestire alcuni attributi in locale e altri attributi in Microsoft Entra ID. Ogni oggetto ha un flag che indica dove viene gestito l'oggetto.
È possibile gestire alcuni utenti in locale e altri nel cloud. Uno scenario comune per questa configurazione è un'azienda con una combinazione di contabili e addetti alla vendita. I ruoli di lavoro contabili hanno un account AD locale, ma gli addetti alle vendite non hanno un account in Microsoft Entra ID. Si gestirebbero alcuni utenti in locale e alcuni in Microsoft Entra ID.
Ci sono alcuni problemi aggiuntivi da considerare quando si è iniziato a gestire gli utenti in Microsoft Entra ID, che sono presenti anche in locale e in un secondo momento si vuole usare Microsoft Entra Connessione.
Sincronizzare con gli utenti esistenti in Microsoft Entra ID
Quando si avvia la sincronizzazione con Microsoft Entra Connessione, l'API del servizio Microsoft Entra controlla ogni nuovo oggetto in ingresso e tenta di trovare un oggetto esistente in modo che corrisponda. Vengono usati tre attributi per questo processo: userPrincipalName, proxyAddresses e sourceAnchor/immutableID. Una corrispondenza in userPrincipalName o proxyAddresses è nota come "soft-match". Una corrispondenza in sourceAnchor è nota come "hard=match". Per l'attributo proxyAddresses viene usato solo il valore con SMTP:, ovvero l'indirizzo di posta elettronica primario, per la valutazione.
La corrispondenza viene valutata solo per i nuovi oggetti provenienti da Connect. Se si modifica un oggetto esistente in modo che corrisponda a uno di questi attributi, viene visualizzato un errore.
Se Microsoft Entra ID trova un oggetto in cui i valori dell'attributo corrispondono al nuovo oggetto in ingresso da Microsoft Entra Connessione, acquisisce l'oggetto in Microsoft Entra ID e l'oggetto gestito dal cloud in precedenza viene convertito in gestito in locale. Tutti gli attributi in Microsoft Entra ID con un valore in AD locale vengono sovrascritti con il rispettivo valore locale.
Avviso
Poiché tutti gli attributi in Microsoft Entra ID verranno sovrascritti dal valore locale, assicurarsi di disporre di dati validi in locale. Ad esempio, se si ha solo l'indirizzo di posta elettronica gestito in Microsoft 365 e non è stato aggiornato in Active Directory Domain Services locale, si perdono valori in Microsoft Entra ID / Microsoft 365 non presenti in Servizi di dominio Active Directory.
Importante
Se si usa la sincronizzazione password, che viene sempre usata dalle impostazioni rapide, la password in Microsoft Entra ID viene sovrascritta con la password in AD locale. Se gli utenti vengono usati per gestire password diverse, è necessario informarli che devono usare la password locale quando è stato installato Connessione.
È necessario prendere in considerazione le indicazioni della sezione precedente nella pianificazione. Se sono state apportate molte modifiche in Microsoft Entra ID che non sono state riflesse in Servizi di dominio Active Directory locali, per evitare la perdita di dati, è necessario pianificare come popolare Active Directory Domain Services con i valori aggiornati da Microsoft Entra ID, prima di sincronizzare gli oggetti con Microsoft Entra Connessione.
Se hai associato gli oggetti con una corrispondenza temporanea, l'elemento sourceAnchor viene aggiunto all'oggetto in Microsoft Entra ID in modo che una corrispondenza difficile possa essere usata in un secondo momento.
Importante
Microsoft consiglia vivamente di sincronizzare gli account locali con account amministrativi preesistenti in Microsoft Entra ID.
Differenza tra corrispondenza rigida e corrispondenza flessibile
Per impostazione predefinita, il valore SourceAnchor "abcdefghijklmnopqrstuv==" viene calcolato da Microsoft Entra Connessione usando l'attributo MsDs-ConsistencyGUID (o ObjectGUID a seconda della configurazione) da Active Directory locale. Questo valore dell'attributo è il corrispondente ImmutableId in Microsoft Entra ID. Quando Microsoft Entra Connessione (motore di sincronizzazione) aggiunge o aggiorna oggetti, Microsoft Entra ID corrisponde all'oggetto in ingresso utilizzando il valore sourceAnchor corrispondente all'attributo ImmutableId dell'oggetto esistente in Microsoft Entra ID. Se c'è una corrispondenza, Microsoft Entra Connessione assumere tale oggetto e lo aggiorna con le proprietà dell'oggetto Active Directory locale in ingresso in quello che è noto come "hard-match". Quando Microsoft Entra ID non riesce a trovare alcun oggetto con un ImmutableId che corrisponde al valore SouceAnchor, tenta di usare userPrincipalName dell'oggetto in ingresso o proxyAddress primario per trovare una corrispondenza in quello che è noto come *"soft-match". La corrispondenza temporanea tenta di associare gli oggetti già presenti e gestiti in Microsoft Entra ID con i nuovi oggetti in ingresso aggiunti o aggiornati che rappresentano la stessa entità locale. Se Microsoft Entra ID non riesce a trovare una corrispondenza difficile o una corrispondenza temporanea per l'oggetto in ingresso, effettua il provisioning di un nuovo oggetto nella directory Microsoft Entra ID. È stata aggiunta un'opzione di configurazione per disabilitare la funzionalità di corrispondenza rigida in Microsoft Entra ID. È consigliabile che i clienti disabilitino la corrispondenza rigida, a meno che non ne abbiano bisogno per assumere gli account solo cloud.
Per disabilitare la corrispondenza hard matching, usare il cmdlet Update-MgDirectoryOnPremiseSynchronization di Microsoft Graph PowerShell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Analogamente, è stata aggiunta un'opzione di configurazione per disabilitare l'opzione di corrispondenza temporanea in Microsoft Entra ID. È consigliabile che i clienti disabilitino la corrispondenza temporanea, a meno che non ne abbiano bisogno per assumere gli account solo cloud.
Per disabilitare la corrispondenza temporanea, usare il cmdlet di PowerShell Update-MgDirectoryOnPremiseSynchronization di Microsoft Graph:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Nota
BlockCloudObjectTakeoverThroughHardMatchEnabled e BlockSoftMatchEnabled vengono usati per bloccare la corrispondenza per tutti gli oggetti se abilitati per il tenant. I clienti sono invitati a disabilitare queste funzionalità solo durante il periodo in cui è necessaria una procedura di corrispondenza per la tenancy. Questo flag deve essere impostato di nuovo su True dopo il completamento di qualsiasi corrispondenza e non è più necessario.
Oggetti diversi dagli utenti
Per i gruppi e i contatti abilitati alla posta elettronica, è possibile trovare una corrispondenza flessibile in base a proxyAddresses. La corrispondenza rigida non è applicabile perché è possibile aggiornare solo sourceAnchor/immutableID (usando PowerShell) solo negli utenti. Per i gruppi che non sono abilitati per la posta elettronica, non è attualmente disponibile alcun supporto per la corrispondenza flessibile o la corrispondenza rigida.
considerazioni sui ruoli di Amministrazione
Per proteggere gli utenti locali non attendibili, Microsoft Entra ID non corrisponde agli utenti locali con gli utenti cloud che hanno un ruolo di amministratore. Questo comportamento è per impostazione predefinita. Per risolvere questo problema, è possibile eseguire la procedura seguente:
- Rimuovere i ruoli della directory dall'oggetto utente solo cloud.
- Eliminare definitivamente l'oggetto in quarantena nel cloud.
- Attivare una sincronizzazione.
- Facoltativamente, aggiungere nuovamente i ruoli della directory all'oggetto utente nel cloud al termine della corrispondenza.
Creare un nuovo Active Directory locale dai dati in Microsoft Entra ID
Alcuni clienti iniziano con una soluzione solo cloud con MICROSOFT Entra ID e non hanno un'istanza di AD locale. Successivamente vogliono usare le risorse locali e vogliono creare un'istanza di Ad locale basata sui dati di Microsoft Entra. Microsoft Entra Connessione non può essere utile per questo scenario. Non crea utenti in locale e non ha la possibilità di impostare la password in locale sullo stesso id di Microsoft Entra.
Se l'unico motivo per cui si prevede di aggiungere AD locale consiste nel supportare i LOB (app line-of-business), è consigliabile usare invece Microsoft Entra Domain Services .
Passaggi successivi
Altre informazioni sull'integrazione delle identità locali con Microsoft Entra ID.