Microsoft Entra Connect: принципы проектирования

Цель этого документа — описать области, которые необходимо учитывать при настройке Microsoft Entra Подключение. Здесь подробно рассмотрены некоторые области, и часть из них вкратце рассмотрена в других документах.

sourceAnchor

Атрибут sourceAnchor определяется как атрибут, который остается неизменным на протяжении всего времени существования объекта. Он однозначно идентифицирует объект как один и тот же объект в локальной среде и в идентификаторе Microsoft Entra. Этот атрибут также называется immutableId. Оба этих имени взаимозаменяемы.

Слово неизменяемое, то есть "не может быть изменено", важно для этого документа. Так как значение этого атрибута не может быть изменено после его установки, важно выбрать дизайн, поддерживающий ваш сценарий.

Данный атрибут используется в следующих случаях.

• При создании нового сервера подсистемы синхронизации или перестроении после сценария аварийного восстановления этот атрибут связывает существующие объекты в идентификаторе Microsoft Entra с локальными объектами.
• При переходе из облачного удостоверения в синхронизированную модель удостоверений этот атрибут позволяет объектам "жестко сопоставлять" существующие объекты в идентификаторе Microsoft Entra с локальными объектами.
• При использовании федерации: в этом случае данный атрибут в сочетании с userPrincipalName используется в утверждении для уникальной идентификации пользователя.

В этой статье речь идет только об атрибуте sourceAnchor в контексте его значения для пользователей. Одни и те же правила применяются ко всем типам объектов, но это касается только пользователей этой проблемы.

Выбор значений атрибута sourceAnchor.

Значение атрибута должно соответствовать следующим правилам:

• Длина менее 60 символов
  • Символы, отличные от a–z, A–Z или 0–9, кодируются, и каждый из них считается как три символа.
• Оно не должно содержать специальные символы: \ ! # $ % & * + / = ? ^ ' { } | ~ <> ( ) ' ; : , [ ] " @ _
• (оно должно быть глобально уникальным)
• Значение должно относиться к строковому, целочисленному или двоичному типу.
• Не следует основываться на имени пользователя, так как они могут измениться
• Для значения не должен учитываться регистр, и оно не должно содержать символов, которые изменяются в зависимости от регистра.
• Значение должно присваиваться при создании объекта.

Если выбранный sourceAnchor не имеет строки типа, Microsoft Entra Подключение Base64Encode значение атрибута, чтобы не отображались специальные символы. Если вы используете сервер федерации, отличный от ADFS, убедитесь, что сервер также может кодировать атрибут в формате Base64.

Атрибут sourceAnchor чувствителен к регистру. Значение "JohnDoe" не совпадает с "johndoe". Но у вас не должно быть двух разных объектов с разницей в случае.

Если у вас есть один лес в локальной среде, то атрибут, который следует использовать, — objectGUID. Это также атрибут, используемый при использовании экспресс-параметров в Microsoft Entra Подключение, а также атрибут, используемый DirSync.

Если вы используете несколько лесов и не перемещаете пользователей между лесами и доменами, то objectGUID является хорошим атрибутом для использования даже в этом случае.

При перемещении пользователей между лесами и доменами необходимо найти атрибут, который не изменяет или может быть перемещен с пользователями во время перемещения. Рекомендуется использовать синтетический атрибут. Для этого подходит атрибут, который может содержать что-нибудь наподобие идентификатора GUID. При создании объекта создается новый идентификатор GUID, который присваивается пользователю. Настраиваемое правило синхронизации можно создать на сервере подсистемы синхронизации, чтобы создать это значение на основе objectGUID и обновить выбранный атрибут в AD DS. При перемещении объекта убедитесь, что это значение также копируется.

Другой вариант — выбрать существующий атрибут, который наверняка никогда не изменяется. Зачастую можно использовать атрибут employeeID. Если значение атрибута содержит буквы, исключите вероятность изменения регистра (верхний или нижний) в значении этого атрибута. Не используйте атрибуты, содержащие имя пользователя. В браке или разводе имя, как ожидается, изменится, что не допускается для этого атрибута. Это также одна из причин, почему такие атрибуты, как userPrincipalName, mail и targetAddress, даже невозможно выбрать в мастере установки Microsoft Entra Подключение. Эти атрибуты также содержат символ "@", который не допускается в sourceAnchor.

Изменение атрибута sourceAnchor.

Значение атрибута sourceAnchor нельзя изменить после создания объекта в идентификаторе Microsoft Entra и синхронизации удостоверения.

По этой причине следующие ограничения применяются к Microsoft Entra Подключение:

• Атрибут sourceAnchor можно задать только при первоначальной установке. При повторном запуске мастера установки этот параметр доступен только для чтения. Для изменения этого параметра потребуется удалить и повторно установить программу.
• При установке другого сервера Microsoft Entra Подключение необходимо выбрать тот же атрибут sourceAnchor, что и ранее. Если вы ранее использовали DirSync и перейдите в Microsoft Entra Подключение, то необходимо использовать objectGUID, так как это атрибут, используемый DirSync.
• Если значение sourceAnchor изменяется после экспорта объекта в идентификатор Microsoft Entra, microsoft Entra Подключение Sync выдает ошибку и не разрешает больше изменений в этом объекте до устранения проблемы, а исходныйAnchor изменяется обратно в исходном каталоге.

Использование ms-DS-ConsistencyGuid в качестве sourceAnchor

По умолчанию Microsoft Entra Подключение (версия 1.1.486.0 и более ранняя версия) использует objectGUID в качестве атрибута sourceAnchor. ObjectGUID создается системой. Нельзя указать его значение при создании локальных объектов AD. Как описано в разделе sourceAnchor, в некоторых сценариях необходимо указать значение sourceAnchor. Если эти сценарии применимы по отношению к вам, то в качестве атрибута sourceAnchor необходимо использовать настраиваемый атрибут AD (например, msDS-ConsistencyGuid).

Microsoft Entra Подключение (версия 1.1.524.0 и после) теперь упрощает использование ms-DS-ConsistencyGuid в качестве атрибута sourceAnchor. При использовании этой функции Microsoft Entra Подключение автоматически настраивает правила синхронизации следующим образом:

1. Использование ms-DS-ConsistencyGuid в качестве атрибута sourceAnchor для объектов User Для других типов объектов используется ObjectGUID.

2. Для любого заданного локального объекта AD User, атрибут ms-DS-ConsistencyGuid не заполнен, Microsoft Entra Подключение записывает значение objectGUID обратно в атрибут ms-DS-ConsistencyGuid в локальная служба Active Directory. После заполнения атрибута ms-DS-ConsistencyGuid microsoft Entra Подключение затем экспортирует объект в идентификатор Microsoft Entra.

Примечание.

После импорта локального объекта AD в Microsoft Entra Подключение (т. е. импортируется в пространство AD Подключение or Space и проецируется в Метавселенную), его исходное значениеAnchor больше не изменится. Чтобы указать значение sourceAnchor для заданного локального объекта AD, настройте его атрибут ms-DS-ConsistencyGuid перед импортом в Microsoft Entra Подключение.

Требования к разрешениям

Для работы этой функции необходимо предоставить учетной записи AD DS, используемой для синхронизации с локальным каталогом Active Directory, разрешение на запись атрибута ms-DS-ConsistencyGuid в локальном каталоге Active Directory.

Включение функции ConsistencyGuid — новая установка

Вы можете включить использование ConsistencyGuid в качестве sourceAnchor во время новой установки. В этом разделе подробно описывается экспресс- и пользовательская установка.

Примечание.

Только более новые версии Microsoft Entra Подключение (1.1.524.0 и после) поддерживают использование ConsistencyGuid в качестве sourceAnchor во время новой установки.

Включение функции ConsistencyGuid

Приступая к работе с Azure AD Connect с использованием стандартных параметров

При установке Microsoft Entra Подключение в режиме Express мастер microsoft Entra Подключение автоматически определяет наиболее подходящий атрибут AD для использования в качестве атрибута sourceAnchor с помощью следующей логики:

• Сначала мастер Microsoft Entra Подключение запрашивает клиент Microsoft Entra, чтобы получить атрибут AD, используемый в качестве атрибута sourceAnchor в предыдущей установке Microsoft Entra Подключение (если таковые есть). Если эта информация доступна, Microsoft Entra Подключение использует тот же атрибут AD.

  Примечание.

  Только новые версии Microsoft Entra Подключение (1.1.524.0 и после) хранят сведения в клиенте Microsoft Entra о атрибуте sourceAnchor, используемом во время установки. Старые версии Microsoft Entra Подключение не.

• Если сведения об используемом атрибуте sourceAnchor недоступны, мастер проверяет состояние атрибута ms-DS-ConsistencyGuid в локальном каталоге Active Directory. Если для какого-либо объекта в каталоге атрибут не настроен, то мастер использует ms-DS-ConsistencyGuid в качестве атрибута sourceAnchor. Если атрибут настроен для одного или нескольких объектов в каталоге, мастер завершает использование атрибута другими приложениями и не подходит в качестве атрибута sourceAnchor...

• В этом случае мастер снова начинает использовать objectGUID в качестве атрибута sourceAnchor.

• После решения атрибута sourceAnchor мастер сохраняет сведения в клиенте Microsoft Entra. Сведения будут использоваться в будущем установке Microsoft Entra Подключение.

По завершении экспресс-установки мастер сообщает, какой атрибут был выбран в качестве атрибута привязки к источнику.

Выборочная установка

При установке Microsoft Entra Подключение с пользовательским режимом мастер Microsoft Entra Подключение предоставляет два варианта при настройке атрибута sourceAnchor:

Параметр	Description
Разрешить идентификатору Microsoft Entra управлять исходной привязкой для меня	Выберите этот параметр, если требуется, чтобы идентификатор Microsoft Entra выбрал атрибут. Если выбрать этот параметр, мастер Microsoft Entra Подключение применяет ту же логику выбора атрибута sourceAnchor, которая используется во время установки Express. Как и при экспресс-установке, мастер сообщит, какой атрибут был выбран в качестве атрибута привязки к источнику после завершения выборочной установки.
Определенный атрибут	Выберите этот параметр, если вы хотите указать имеющийся атрибут AD в качестве атрибута sourceAnchor.

Включение функции ConsistencyGuid — существующее развертывание

Если у вас есть существующее развертывание Microsoft Entra Подключение, которое использует objectGUID в качестве атрибута привязки источника, его можно переключить на использование ConsistencyGuid.

Примечание.

Только более новые версии Microsoft Entra Подключение (1.1.552.0 и после) поддерживают переход с ObjectGuid на ConsistencyGuid в качестве атрибута исходной привязки.

Переключение с objectGUID на ConsistencyGuid в качестве атрибута привязки к источнику:

1. Запустите мастер Подключение Microsoft Entra и нажмите кнопку "Настроить", чтобы перейти на экран "Задачи".

2. Выберите параметр задачи Настроить привязку к источнику и нажмите кнопку Далее.

   

3. Введите учетные данные microsoft Entra Администратор istrator и нажмите кнопку "Далее".

4. Мастер microsoft Entra Подключение анализирует состояние атрибута ms-DS-ConsistencyGuid в локальная служба Active Directory. Если атрибут не настроен для любого объекта в каталоге, Microsoft Entra Подключение заключает, что ни одно другое приложение в настоящее время не использует атрибут и безопасно использовать его в качестве атрибута исходной привязки. Нажмите кнопку Next (Далее), чтобы продолжить.

   

5. На экране Готовность к настройке щелкните Настроить, чтобы внести изменения в конфигурацию.

   

6. По завершении конфигурации мастер указывает, что ms-DS-ConsistencyGuid сейчас используется как атрибут привязки к источнику.

   

Во время анализа (шаг 4), если атрибут настроен в одном объекте в каталоге или нескольких, то мастер делает вывод, что он используется другими приложениями и возвращает ошибку, как показано на снимке экрана ниже. Эта ошибка также может возникнуть, если вы ранее включили функцию ConsistencyGuid на основном сервере Microsoft Entra Подключение, и вы пытаетесь сделать то же самое на промежуточном сервере.

Если вы уверены, что атрибут не используется другими существующими приложениями, можно отключить ошибку, перезапустите мастер Microsoft Entra Подключение с указанным параметром /SkipLdapSearch. Выполните следующую команду в командной строке:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Влияние на конфигурацию AD FS или федерацию сторонних поставщиков

Если вы используете Microsoft Entra Подключение для управления локальным развертыванием AD FS, Microsoft Entra Подключение автоматически обновляет правила утверждений, чтобы использовать тот же атрибут AD, что и sourceAnchor. Это гарантирует, что утверждение ImmutableID, созданное ADFS, соответствует значениям sourceAnchor, экспортируемым в идентификатор Microsoft Entra.

Если вы управляете AD FS за пределами Microsoft Entra Подключение или используете сторонние серверы федерации для проверки подлинности, необходимо вручную обновить правила утверждений для утверждения ImmutableID, чтобы они соответствовали значениям sourceAnchor, экспортируемым в идентификатор Microsoft Entra, как описано в разделе "Изменение правил утверждений AD FS". По завершении установки мастер возвращает следующее предупреждение:

Добавление новых каталогов в существующее развертывание

Предположим, что вы развернули microsoft Entra Подключение с включенной функцией ConsistencyGuid, и теперь вы хотите добавить другой каталог в развертывание. При попытке добавить каталог мастер Microsoft Entra Подключение проверка состояние атрибута ms-DS-ConsistencyGuid в каталоге. Если атрибут настроен в одном или нескольких объектах в каталоге, то мастер делает вывод, что он используется другими приложениями и возвращает ошибку, как показано на снимке экрана ниже. Если вы уверены, что атрибут не используется существующими приложениями, можно отключить ошибку, перезапустив мастер Microsoft Entra Подключение с помощью переключателя /SkipLdapSearch, указанного выше, или обратитесь в службу поддержки для получения дополнительных сведений.

Вход Microsoft Entra

Интеграция локального каталога с идентификатором Microsoft Entra важно понимать, как параметры синхронизации могут повлиять на способ проверки подлинности пользователей. Идентификатор Microsoft Entra использует userPrincipalName (UPN) для проверки подлинности пользователя. Однако при синхронизации пользователей необходимо тщательно выбирать атрибут, который будет использоваться в качестве значения userPrincipalName.

Выбор атрибута для userPrincipalName

При выборе атрибута для предоставления значения имени участника-пользователя, используемого в идентификаторе Microsoft Entra ID, необходимо убедиться, что

• Значения атрибутов соответствуют синтаксису UPN (RFC 822), он должен быть в формате username@domain
• Суффикс в значениях соответствует одному из проверенных пользовательских доменов в идентификаторе Microsoft Entra

В стандартных параметрах предполагается, что для атрибута выбрано значение userPrincipalName. Если атрибут userPrincipalName не содержит значения, которое пользователи должны войти в идентификатор Microsoft Entra, необходимо выбрать пользовательскую установку.

Примечание.

Рекомендуется, чтобы префикс имени субъекта-пользователя содержал несколько символов.

Состояние и имя участника-пользователя пользовательского домена

Важно убедиться, что есть проверенный домен для суффикса имени участника-участника.

Джон (John) является пользователем в contoso.com. Вы хотите, чтобы Джон использовал локальную имя john@contoso.com участника-пользователя для входа в идентификатор Microsoft Entra после синхронизации пользователей с каталогом Microsoft Entra contoso.onmicrosoft.com. Для этого необходимо добавить и проверить contoso.com в качестве личного домена в идентификаторе Microsoft Entra, прежде чем начать синхронизацию пользователей. Если суффикс имени участника-пользователя, например contoso.com, не соответствует проверенном домену в идентификаторе Microsoft Entra ID, то идентификатор Microsoft Entra заменяет суффикс имени участника-пользователя на contoso.onmicrosoft.com.

Неизменяемые локальные домены и имя участника-пользователя для идентификатора Microsoft Entra

В некоторых организациях используются домены, не поддерживающие маршрутизацию, например contoso.local, или простые одноуровневые домены наподобие contoso. Вы не можете проверить неизменяемый домен в идентификаторе Microsoft Entra. Microsoft Entra Подключение может синхронизироваться только с проверенным доменом в идентификаторе Microsoft Entra. При создании каталога Microsoft Entra создается маршрутизируемый домен, который становится доменом по умолчанию для идентификатора Microsoft Entra, например contoso.onmicrosoft.com. Поэтому в данной ситуации возникает необходимость подтвердить любой другой маршрутизируемый домен, на случай если вы не хотите синхронизироваться с доменом onmicrosoft.com по умолчанию.

Дополнительные сведения о добавлении и проверке доменов см. в идентификатор Microsoft Entra.

Microsoft Entra Подключение обнаруживает, работает ли вы в среде домена, отличной от routable, и будете соответствующим образом предупреждать вас о том, что вы будете работать с экспресс-параметрами. Если вы работаете в неизменяемом домене, скорее всего, имя участника-пользователя имеет неизменяемые суффиксы. Например, если вы работаете в contoso.local, Microsoft Entra Подключение предлагает использовать пользовательские параметры, а не использовать экспресс-параметры. С помощью пользовательских параметров можно указать атрибут, который должен использоваться в качестве имени участника-пользователя для входа в идентификатор Microsoft Entra после синхронизации пользователей с идентификатором Microsoft Entra.

Следующие шаги

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.