Synchronizacja programu Microsoft Entra Connect Sync: opis użytkowników, grup i kontaktów

Istnieje kilka różnych powodów, dla których istnieje wiele lasów usługi Active Directory i istnieje kilka różnych topologii wdrażania. Typowe modele obejmują wdrożenie zasobów konta i lasy synchronizacji GAL po fuzji i przejęciu. Ale nawet jeśli istnieją czyste modele, modele hybrydowe są również wspólne. Domyślna konfiguracja w usłudze Microsoft Entra Połączenie Sync nie zakłada żadnego konkretnego modelu, ale w zależności od sposobu wyboru dopasowania użytkownika w przewodniku instalacji można zaobserwować różne zachowania.

W tym temacie omówimy zachowanie konfiguracji domyślnej w niektórych topologiach. Przechodzimy przez konfigurację, a Edytor reguł synchronizacji może służyć do przyjrzenia się konfiguracji.

Istnieje kilka ogólnych reguł, które zakłada konfiguracja:

• Niezależnie od tego, która kolejność importujemy ze źródłowych katalogów aktywnych, wynik końcowy powinien być zawsze taki sam.
• Aktywne konto zawsze będzie współtworzyć informacje logowania, w tym userPrincipalName i sourceAnchor.
• Wyłączone konto współtworzy element userPrincipalName i sourceAnchor, chyba że jest to połączona skrzynka pocztowa, jeśli nie ma aktywnego konta do znalezienia.
• Konto z połączoną skrzynką pocztową nigdy nie będzie używane dla userPrincipalName i sourceAnchor. Zakłada się, że aktywne konto zostanie znalezione później.
• Obiekt kontaktu może być aprowizowany w usłudze Microsoft Entra ID jako kontakt lub jako użytkownik. Nie wiesz, dopóki wszystkie źródłowe lasy usługi Active Directory nie zostaną przetworzone.

Grupy

Uwaga

Należy pamiętać, że po dodaniu użytkownika z innego lasu do grupy istnieje kotwica utworzona w usłudze Active Directory, w której grupy istnieją wewnątrz określonej jednostki organizacyjnej. Ta kotwica jest podmiotem zabezpieczeń zagranicznych i jest przechowywana wewnątrz jednostki organizacyjnej "ForeignSecurityPrincipals". Jeśli nie zsynchronizuj tej jednostki organizacyjnej, użytkownicy usunięci z członkostwa w grupie.

Ważne kwestie, o których należy pamiętać podczas synchronizowania grup z usługi Active Directory do identyfikatora Entra firmy Microsoft:

• Program Microsoft Entra Connect wyklucza wbudowane grupy zabezpieczeń z synchronizacji katalogów.

• Firma Microsoft Entra Połączenie nie obsługuje synchronizowania członkostwa w grupach podstawowych z identyfikatorem Entra firmy Microsoft.

• Firma Microsoft Entra Połączenie nie obsługuje synchronizowania członkostw w dynamicznych grupach dystrybucyjnych z identyfikatorem Entra firmy Microsoft.

• Aby zsynchronizować grupę usługi Active Directory z identyfikatorem Entra firmy Microsoft jako grupą z włączoną obsługą poczty:

  • Jeśli atrybut proxyAddress grupy jest pusty, jego atrybut poczty musi mieć wartość

  • Jeśli atrybut proxyAddress grupy jest niepusty , musi zawierać co najmniej jedną wartość adresu serwera proxy SMTP. Oto kilka przykładów:

    • Grupa usługi Active Directory, której atrybut proxyAddress ma wartość {"X500:/0=contoso.com/ou=users/cn=testgroup"} nie będzie włączona w identyfikatorze Entra firmy Microsoft. Nie ma on adresu SMTP.

    • Grupa usługi Active Directory, której atrybut proxyAddress ma wartości {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} będzie włączona w identyfikatorze Entra firmy Microsoft.

    • Grupa usługi Active Directory, której atrybut proxyAddress ma wartości {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} również będzie włączona w identyfikatorze Entra firmy Microsoft.

Kontakty

Kontakty reprezentujące użytkownika w innym lesie są wspólne po połączeniu i przejęciu, w którym rozwiązanie GALSync łączy co najmniej dwa lasy programu Exchange. Obiekt kontaktu zawsze łączy się z obszaru łącznika do magazynu metaverse przy użyciu atrybutu poczty e-mail. Jeśli istnieje już obiekt kontaktu lub obiekt użytkownika o tym samym adresie e-mail, obiekty są łączone razem. Jest to skonfigurowane w regule Z usługi AD — połączenie kontaktu. Istnieje również reguła o nazwie In from AD — Contact Common with an attribute flow to the metaverse attribute sourceObjectType with the constant Contact (Kontakt wspólny z przepływem atrybutu metaverse sourceObjectType z stałym kontaktem). Ta reguła ma niski priorytet, więc jeśli dowolny obiekt użytkownika jest przyłączony do tego samego obiektu metaverse, reguła In from AD — User Common będzie współtworzyć wartość Użytkownik do tego atrybutu. W przypadku tej reguły ten atrybut ma wartość Kontakt, jeśli żaden użytkownik nie został przyłączony i wartość Użytkownik, jeśli co najmniej jeden użytkownik został znaleziony.

Aby aprowizować obiekt do identyfikatora Entra firmy Microsoft, reguła ruchu wychodzącego do identyfikatora entra firmy Microsoft — dołączenie do kontaktu spowoduje utworzenie obiektu kontaktu, jeśli atrybut metaverse sourceObjectType jest ustawiony na Kontakt. Jeśli ten atrybut ma wartość User (Użytkownik), wówczas reguła to Microsoft Entra ID — User Join utworzy zamiast tego obiekt użytkownika. Istnieje możliwość, że obiekt jest promowany z kontaktu do użytkownika, gdy więcej źródłowych katalogów aktywnych jest importowanych i synchronizowanych.

Na przykład w topologii GALSync można znaleźć obiekty kontaktowe dla wszystkich w drugim lesie podczas importowania pierwszego lasu. To etapy nowych obiektów kontaktów w usłudze Microsoft Entra Połączenie or. Po późniejszym zaimportowaniu i zsynchronizowaniu drugiego lasu znajdziemy prawdziwych użytkowników i połączymy ich z istniejącymi obiektami metaverse. Następnie usuniemy obiekt kontaktowy w identyfikatorze Entra firmy Microsoft i utworzymy nowy obiekt użytkownika.

W przypadku topologii, w której użytkownicy są reprezentowani jako kontakty, należy pamiętać, aby wybrać dopasowywanie użytkowników po atrybucie poczty w przewodniku instalacji. Jeśli wybierzesz inną opcję, masz konfigurację zależną od zamówienia. Obiekty kontaktu będą zawsze łączone po atrybucie poczty, ale obiekty użytkownika będą łączone po atrybucie poczty, tylko jeśli ta opcja została wybrana w przewodniku instalacji. Może się zatem zdarzyć, że pojawią się dwa różne obiekty w magazynie metaverse z tym samym atrybutem poczty, jeśli obiekt kontaktu zostanie zaimportowany przed obiektem użytkownika. Podczas eksportowania do identyfikatora Entra firmy Microsoft jest wyświetlany błąd. Takie zachowanie jest zamierzone i wskazuje na złe dane lub że topologia nie została prawidłowo zidentyfikowana podczas instalacji.

Wyłączone konta

Wyłączone konta są również synchronizowane z identyfikatorem Entra firmy Microsoft. Konta wyłączone są wspólne do reprezentowania zasobów w programie Exchange, na przykład w salach konferencyjnych. Wyjątkiem są użytkownicy z połączoną skrzynką pocztową; jak wspomniano wcześniej, nigdy nie będą one aprowizować konta w usłudze Microsoft Entra ID.

Założeniem jest to, że jeśli zostanie znalezione wyłączone konto użytkownika, nie znajdziemy później innego aktywnego konta, a obiekt jest aprowizowany do identyfikatora Entra firmy Microsoft z znaleziono atrybutem userPrincipalName i sourceAnchor. W przypadku, gdy inne aktywne konto przyłącza się do tego samego obiektu metaverse, zostanie użyte jego userPrincipalName i sourceAnchor.

Zmienianie źródłaAnchor

Po wyeksportowaniu obiektu do identyfikatora Entra firmy Microsoft nie można już zmienić obiektu sourceAnchor. Po wyeksportowaniu obiektu atrybut metaverse cloudSourceAnchor jest ustawiany z wartością sourceAnchor zaakceptowaną przez identyfikator Microsoft Entra. Jeśli element sourceAnchor zostanie zmieniony i nie jest zgodny z parametrem cloudSourceAnchor, reguła wykluczona z identyfikatorem Entra ID firmy Microsoft — dołączenie użytkownika spowoduje zmianę atrybutu sourceAnchor. W takim przypadku konfiguracja lub dane muszą zostać poprawione, aby ten sam element sourceAnchor był ponownie obecny w metaverse, zanim obiekt będzie można ponownie zsynchronizować.

Dodatkowe zasoby

• Microsoft Entra Połączenie Sync: Dostosowywanie opcji synchronizacji
• Integrowanie tożsamości lokalnych z identyfikatorem Entra firmy Microsoft