Azure AD Connect выполняет следующие функции: Принципы проектированияAzure AD Connect: Design concepts

В этом документе приведено описание факторов, которые должны учитываться при проектировании реализации Azure AD Connect.The purpose of this document is to describe areas that must be thought through during the implementation design of Azure AD Connect. Здесь подробно рассмотрены некоторые области, и часть из них вкратце рассмотрена в других документах.This document is a deep dive on certain areas and these concepts are briefly described in other documents as well.

sourceAnchorsourceAnchor

Атрибут sourceAnchor определяется как атрибут, который остается неизменным на протяжении всего времени существования объекта.The sourceAnchor attribute is defined as an attribute immutable during the lifetime of an object. Он однозначно определяет объект независимо от того, является ли он локальным или находится в Azure AD.It uniquely identifies an object as being the same object on-premises and in Azure AD. Этот атрибут также называется immutableId. Оба этих имени взаимозаменяемы.The attribute is also called immutableId and the two names are used interchangeable.

Слово "неизменяемый" является в этом документе ключевым. Оно означает, что значение атрибута не может быть изменено.The word immutable, that is "cannot be changed", is important to this document. Так как значение этого атрибута, если оно уже задано, нельзя изменить, важно выбрать такой подход к проектированию, который подойдет для вашей ситуации.Since this attribute’s value cannot be changed after it has been set, it is important to pick a design that supports your scenario.

Данный атрибут используется в следующих случаях.The attribute is used for the following scenarios:

  • При создании нового сервера синхронизации или его пересоздании после аварийного восстановления: в таком случае этот атрибут связывает существующие объекты в Azure AD с локальными объектами.When a new sync engine server is built, or rebuilt after a disaster recovery scenario, this attribute links existing objects in Azure AD with objects on-premises.
  • При смене модели, в которой используются только облачные удостоверения, на модель, в которой используются синхронизированные удостоверения: в таком случае этот атрибут позволяет жестко связывать существующие объекты в Azure AD с локальными объектами.If you move from a cloud-only identity to a synchronized identity model, then this attribute allows objects to "hard match" existing objects in Azure AD with on-premises objects.
  • При использовании федерации: в этом случае данный атрибут в сочетании с userPrincipalName используется в утверждении для уникальной идентификации пользователя.If you use federation, then this attribute together with the userPrincipalName is used in the claim to uniquely identify a user.

В этой статье речь идет только об атрибуте sourceAnchor в контексте его значения для пользователей.This topic only talks about sourceAnchor as it relates to users. Аналогичные правила действуют для всех типов объектов, но проблемы обычно возникают именно у пользователей.The same rules apply to all object types, but it is only for users this problem usually is a concern.

Выбор значений атрибута sourceAnchor.Selecting a good sourceAnchor attribute

Значение атрибута должно соответствовать следующим правилам:The attribute value must follow the following rules:

  • Его длина должна быть меньше 60 знаков.Fewer than 60 characters in length
    • Символы, отличные от a–z, A–Z или 0–9, кодируются, и каждый из них считается как три символа.Characters not being a-z, A-Z, or 0-9 are encoded and counted as 3 characters
  • Оно не должно содержать специальные символы: \ !Not contain a special character: \ ! # $ % & * + / = ?# $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _
  • Оно должно быть глобально уникальным.Must be globally unique
  • Значение должно относиться к строковому, целочисленному или двоичному типу.Must be either a string, integer, or binary
  • Значение не должно быть основано на имени пользователя, так оно не является неизменным.Should not be based on user's name because these can change
  • Значение не должно быть с учетом регистра и содержать значения, которые изменяются в зависимости от регистра.Should not be case-sensitive and avoid values that may vary by case
  • Значение должно присваиваться при создании объекта.Should be assigned when the object is created

Если значение sourceAnchor не является строковым, служба Azure AD Connect шифрует его в формате Base64, чтобы исключить появление специальных символов.If the selected sourceAnchor is not of type string, then Azure AD Connect Base64Encode the attribute value to ensure no special characters appear. Если вы используете сервер федерации, отличный от ADFS, убедитесь, что сервер также может кодировать атрибут в формате Base64.If you use another federation server than ADFS, make sure your server can also Base64Encode the attribute.

Атрибут sourceAnchor чувствителен к регистру.The sourceAnchor attribute is case-sensitive. JohnDoe и johndoe — это разные значения.A value of “JohnDoe” is not the same as “johndoe”. При этом не стоит создавать два объекта, имена которых отличаются только регистром.But you should not have two different objects with only a difference in case.

При наличии одного локального леса следует использовать атрибут objectGUID.If you have a single forest on-premises, then the attribute you should use is objectGUID. Этот атрибут используется, если вы применяете стандартные параметры Azure AD Connect. Он также используется в DirSync.This is also the attribute used when you use express settings in Azure AD Connect and also the attribute used by DirSync.

Если у вас есть несколько лесов и вы не перемещаете пользователей между ними или доменами, то и в этом случае мы рекомендуем использовать атрибут objectGUID .If you have multiple forests and do not move users between forests and domains, then objectGUID is a good attribute to use even in this case.

Если же вы перемещаете пользователей между лесами или доменами, вам необходимо найти такой атрибут, который либо никогда не изменяется, либо может перемещаться вместе с пользователями.If you move users between forests and domains, then you must find an attribute that does not change or can be moved with the users during the move. Рекомендуется использовать синтетический атрибут.A recommended approach is to introduce a synthetic attribute. Для этого подходит атрибут, который может содержать что-нибудь наподобие идентификатора GUID.An attribute that could hold something that looks like a GUID would be suitable. При создании объекта создается новый идентификатор GUID, который присваивается пользователю.During object creation, a new GUID is created and stamped on the user. На сервере подсистемы синхронизации можно создать настраиваемое правило синхронизации, которое будет создавать это значение на основе идентификатора objectGUID и обновлять выбранный атрибут в службе ADDS.A custom sync rule can be created in the sync engine server to create this value based on the objectGUID and update the selected attribute in ADDS. При перемещении объекта убедитесь, что это значение также копируется.When you move the object, make sure to also copy the content of this value.

Другой вариант — выбрать существующий атрибут, который никогда не изменяется.Another solution is to pick an existing attribute you know does not change. Зачастую можно использовать атрибут employeeID.Commonly used attributes include employeeID. Если значение атрибута содержит буквы, исключите вероятность изменения регистра (на верхний или нижний) в этом значении.If you consider an attribute that contains letters, make sure there is no chance the case (upper case vs. lower case) can change for the attribute's value. Не используйте атрибуты, содержащие имя пользователя.Bad attributes that should not be used include those attributes with the name of the user. В случае женитьбы, замужества или развода имя может измениться, что недопустимо для этого атрибута.In a marriage or divorce, the name is expected to change, which is not allowed for this attribute. Это одна из причин того, почему мастер установки Azure AD Connect не позволяет выбирать такие атрибуты, как userPrincipalName, mail и targetAddress.This is also one reason why attributes such as userPrincipalName, mail, and targetAddress are not even possible to select in the Azure AD Connect installation wizard. Эти атрибуты содержат также символ @, что недопустимо для sourceAnchor.Those attributes also contain the "@" character, which is not allowed in the sourceAnchor.

Изменение атрибута sourceAnchor.Changing the sourceAnchor attribute

Значение атрибута sourceAnchor нельзя изменить после создания объекта в Azure AD и синхронизации удостоверения.The sourceAnchor attribute value cannot be changed after the object has been created in Azure AD and the identity is synchronized.

По этой причине в Azure AD Connect действуют следующие ограничения.For this reason, the following restrictions apply to Azure AD Connect:

  • Атрибут sourceAnchor можно задать только при первоначальной установке.The sourceAnchor attribute can only be set during initial installation. При повторном запуске мастера установки этот параметр доступен только для чтения.If you rerun the installation wizard, this option is read-only. Для изменения этого параметра потребуется удалить и повторно установить программу.If you need to change this setting, then you must uninstall and reinstall.
  • При установке другого сервера Azure AD Connect необходимо выбрать уже используемый атрибут sourceAnchor.If you install another Azure AD Connect server, then you must select the same sourceAnchor attribute as previously used. Если вы ранее использовали DirSync и переходите на Azure AD Connect, вам потребуется использовать objectGUID , так как этот атрибут использовался в DirSync.If you have earlier been using DirSync and move to Azure AD Connect, then you must use objectGUID since that is the attribute used by DirSync.
  • Если после экспорта объекта в Azure AD значение sourceAnchor изменится, синхронизация Azure AD Connect выдаст ошибку и вы больше не сможете изменять этот объект, пока не устраните проблему, восстановив прежнюю версию sourceAnchor в исходном каталоге.If the value for sourceAnchor is changed after the object has been exported to Azure AD, then Azure AD Connect sync throws an error and does not allow any more changes on that object before the issue has been fixed and the sourceAnchor is changed back in the source directory.

Использование ms-DS-ConsistencyGuid в качестве sourceAnchorUsing ms-DS-ConsistencyGuid as sourceAnchor

По умолчанию Azure AD Connect (версии 1.1.486.0 и более ранних версий) в качестве атрибута sourceAnchor использует идентификатор objectGUID.By default, Azure AD Connect (version 1.1.486.0 and older) uses objectGUID as the sourceAnchor attribute. ObjectGUID создается системой.ObjectGUID is system-generated. Его значение не указывается при создании локальных объектов AD.You cannot specify its value when creating on-premises AD objects. Как описано в разделе sourceAnchor, в некоторых сценариях необходимо указать значение sourceAnchor.As explained in section sourceAnchor, there are scenarios where you need to specify the sourceAnchor value. Если эти сценарии применимы по отношению к вам, то в качестве атрибута sourceAnchor необходимо использовать настраиваемый атрибут AD (например, msDS-ConsistencyGuid).If the scenarios are applicable to you, you must use a configurable AD attribute (for example, ms-DS-ConsistencyGuid) as the sourceAnchor attribute.

Azure AD Connect (версии 1.1.524.0 и более поздних версий) упрощает использование ms-DS-ConsistencyGuid в качестве атрибута sourceAnchor.Azure AD Connect (version 1.1.524.0 and after) now facilitates the use of ms-DS-ConsistencyGuid as sourceAnchor attribute. При использовании этой функции Azure AD Connect автоматически настраивает правила синхронизации для выполнения следующих действий:When using this feature, Azure AD Connect automatically configures the synchronization rules to:

  1. Использование ms-DS-ConsistencyGuid в качестве атрибута sourceAnchor для объектов UserUse ms-DS-ConsistencyGuid as the sourceAnchor attribute for User objects. Для других типов объектов используется ObjectGUID.ObjectGUID is used for other object types.

  2. Если для локального объекта User в AD не заполнен атрибут ms-DS-ConsistencyGuid, то Azure AD Connect записывает значение objectGUID обратно в атрибут ms-DS-ConsistencyGuid в локальном каталоге Active Directory.For any given on-premises AD User object whose ms-DS-ConsistencyGuid attribute isn't populated, Azure AD Connect writes its objectGUID value back to the ms-DS-ConsistencyGuid attribute in on-premises Active Directory. После заполнения атрибута ms-DS-ConsistencyGuid Azure AD Connect экспортирует объект в Azure AD.After the ms-DS-ConsistencyGuid attribute is populated, Azure AD Connect then exports the object to Azure AD.

Примечание

После того, как локальный объект AD импортируется в Azure AD Connect (то есть импортируется в пространство соединителя AD и проецируется в метавселенную), его значение sourceAnchor больше невозможно изменить.Once an on-premises AD object is imported into Azure AD Connect (that is, imported into the AD Connector Space and projected into the Metaverse), you cannot change its sourceAnchor value anymore. Чтобы указать значение sourceAnchor для определенного локального объекта AD, настройте его атрибут ms-DS-ConsistencyGuid, прежде чем импортировать его в Azure AD Connect.To specify the sourceAnchor value for a given on-premises AD object, configure its ms-DS-ConsistencyGuid attribute before it is imported into Azure AD Connect.

Требования к разрешениямPermission required

Для работы этой функции необходимо предоставить учетной записи AD DS, используемой для синхронизации с локальным каталогом Active Directory, разрешение на запись атрибута ms-DS-ConsistencyGuid в локальном каталоге Active Directory.For this feature to work, the AD DS account used to synchronize with on-premises Active Directory must be granted write permission to the ms-DS-ConsistencyGuid attribute in on-premises Active Directory.

Включение функции ConsistencyGuid — новая установкаHow to enable the ConsistencyGuid feature - New installation

Вы можете включить использование ConsistencyGuid в качестве sourceAnchor во время новой установки.You can enable the use of ConsistencyGuid as sourceAnchor during new installation. В этом разделе подробно описывается экспресс- и пользовательская установка.This section covers both Express and Custom installation in details.

Примечание

Только более поздние версии Azure AD Connect (1.1.524.0 и выше) поддерживают использование ConsistencyGuid в качестве sourceAnchor во время новой установки.Only newer versions of Azure AD Connect (1.1.524.0 and after) support the use of ConsistencyGuid as sourceAnchor during new installation.

Включение функции ConsistencyGuidHow to enable the ConsistencyGuid feature

В настоящее время эту функцию можно включить только при новой установке Azure AD Connect.Currently, the feature can only be enabled during new Azure AD Connect installation only.

Экспресс-установкаExpress Installation

При установке Azure AD Connect в экспресс-режиме мастер Azure AD Connect автоматически определяет наиболее подходящий атрибут AD для использования в качестве атрибута sourceAnchor. При этом применяется следующая логика:When installing Azure AD Connect with Express mode, the Azure AD Connect wizard automatically determines the most appropriate AD attribute to use as the sourceAnchor attribute using the following logic:

  • Во-первых, мастер Azure AD Connect запрашивает у клиента Azure AD получение атрибута AD, который использовался в качестве атрибута sourceAnchor при предыдущей установке Azure AD Connect (если использовался).First, the Azure AD Connect wizard queries your Azure AD tenant to retrieve the AD attribute used as the sourceAnchor attribute in the previous Azure AD Connect installation (if any). Если эти сведения доступны, то Azure AD Connect использует тот же атрибут AD.If this information is available, Azure AD Connect uses the same AD attribute.

    Примечание

    Только более поздние версии Azure AD Connect (1.1.524.0 и выше) хранят в клиенте Azure AD сведения об используемом во время установки атрибуте sourceAnchor.Only newer versions of Azure AD Connect (1.1.524.0 and after) store information in your Azure AD tenant about the sourceAnchor attribute used during installation. Более ранние версии Azure AD Connect этого не делают.Older versions of Azure AD Connect do not.

  • Если сведения об используемом атрибуте sourceAnchor недоступны, мастер проверяет состояние атрибута ms-DS-ConsistencyGuid в локальном каталоге Active Directory.If information about the sourceAnchor attribute used isn't available, the wizard checks the state of the ms-DS-ConsistencyGuid attribute in your on-premises Active Directory. Если для какого-либо объекта в каталоге атрибут не настроен, то мастер использует ms-DS-ConsistencyGuid в качестве атрибута sourceAnchor.If the attribute isn't configured on any object in the directory, the wizard uses the ms-DS-ConsistencyGuid as the sourceAnchor attribute. Если атрибут настроен в одном или нескольких объектах в каталоге, то мастер делает вывод, что он используется другими приложениями и не подходит в качестве атрибута sourceAnchor...If the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by other applications and is not suitable as sourceAnchor attribute...

  • В этом случае мастер снова начинает использовать objectGUID в качестве атрибута sourceAnchor.In which case, the wizard falls back to using objectGUID as the sourceAnchor attribute.

  • Когда атрибут sourceAnchor определен, мастер сохраняет сведения в клиенте Azure AD.Once the sourceAnchor attribute is decided, the wizard stores the information in your Azure AD tenant. Эти сведения будут использоваться при следующей установке Azure AD Connect.The information will be used by future installation of Azure AD Connect.

По завершении экспресс-установки мастер сообщает, какой атрибут был выбран в качестве атрибута привязки к источнику.Once Express installation completes, the wizard informs you which attribute has been picked as the Source Anchor attribute.

Мастер сообщает атрибут AD, выбранный для sourceAnchor

Выборочная установкаCustom installation

При выборочной установке Azure AD Connect мастер Azure AD Connect предоставляет два варианта настройки атрибута sourceAnchor:When installing Azure AD Connect with Custom mode, the Azure AD Connect wizard provides two options when configuring sourceAnchor attribute:

Выборочная установка: настройка sourceAnchor

ПараметрSetting ОписаниеDescription
Параметр "Azure управляет привязкой к источнику"Let Azure manage the source anchor for me Выберите этот параметр, если вы хотите, чтобы среда Azure AD выбирала этот атрибут автоматически.Select this option if you want Azure AD to pick the attribute for you. Если выбрать этот параметр, то мастер Azure AD Connect применит логику выбора атрибута sourceAnchor, использованную при экспресс-установке.If you select this option, Azure AD Connect wizard applies the same sourceAnchor attribute selection logic used during Express installation. Как и при экспресс-установке, мастер сообщит, какой атрибут был выбран в качестве атрибута привязки к источнику после завершения выборочной установки.Similar to Express installation, the wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
Определенный атрибутA specific attribute Выберите этот параметр, если вы хотите указать имеющийся атрибут AD в качестве атрибута sourceAnchor.Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

Включение функции ConsistencyGuid — существующее развертываниеHow to enable the ConsistencyGuid feature - Existing deployment

Если у вас есть развертывание Azure AD Connect, которое использует objectGUID как атрибут привязки к источнику, вы можете переключиться на использование ConsistencyGuid.If you have an existing Azure AD Connect deployment which is using objectGUID as the Source Anchor attribute, you can switch it to using ConsistencyGuid instead.

Примечание

Только более поздние версии Azure AD Connect (1.1.552.0 и выше) поддерживают переключение с ObjectGuid на ConsistencyGuid в качестве атрибута привязки к источнику.Only newer versions of Azure AD Connect (1.1.552.0 and after) support switching from ObjectGuid to ConsistencyGuid as the Source Anchor attribute.

Переключение с objectGUID на ConsistencyGuid в качестве атрибута привязки к источнику:To switch from objectGUID to ConsistencyGuid as the Source Anchor attribute:

  1. Запустите мастер Azure AD Connect и щелкните Настроить, чтобы перейти на экран задач.Start the Azure AD Connect wizard and click Configure to go to the Tasks screen.

  2. Выберите параметр задачи Настроить привязку к источнику и нажмите кнопку Далее.Select the Configure Source Anchor task option and click Next.

    Включение ConsistencyGuid для существующего развертывания — шаг 2

  3. Введите учетные данные администратора Azure AD и нажмите кнопку Далее.Enter your Azure AD Administrator credentials and click Next.

  4. Мастер Azure AD Connect анализирует состояние атрибута ms-DS-ConsistencyGuid в локальном каталоге Active Directory.Azure AD Connect wizard analyzes the state of the ms-DS-ConsistencyGuid attribute in your on-premises Active Directory. Если атрибут не настроен в каком-либо объекте в каталоге, Azure AD Connect считает, что никакие другие приложения сейчас его не используют и что его можно безопасно использовать как атрибут привязки к источнику.If the attribute isn't configured on any object in the directory, Azure AD Connect concludes that no other application is currently using the attribute and is safe to use it as the Source Anchor attribute. Нажмите кнопку Next (Далее), чтобы продолжить.Click Next to continue.

    Включение ConsistencyGuid для существующего развертывания — шаг 4

  5. На экране Готовность к настройке щелкните Настроить, чтобы внести изменения в конфигурацию.In the Ready to Configure screen, click Configure to make the configuration change.

    Включение ConsistencyGuid для существующего развертывания — шаг 5

  6. По завершении конфигурации мастер указывает, что ms-DS-ConsistencyGuid сейчас используется как атрибут привязки к источнику.Once the configuration completes, the wizard indicates that ms-DS-ConsistencyGuid is now being used as the Source Anchor attribute.

    Включение ConsistencyGuid для существующего развертывания — шаг 6

Во время анализа (шаг 4), если атрибут настроен в одном объекте в каталоге или нескольких, то мастер делает вывод, что он используется другими приложениями и возвращает ошибку, как показано на снимке экрана ниже.During the analysis (step 4), if the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by another application and returns an error as illustrated in the diagram below. Кроме того, эта ошибка может произойти, если вы ранее включили функцию ConsistencyGuid на сервере-источнике Azure AD Connect и пытаетесь сделать то же самое на промежуточном сервере.This error can also occur if you have previously enabled the ConsistencyGuid feature on your primary Azure AD Connect server and you are trying to do the same on your staging server.

Включение ConsistencyGuid для существующего развертывания — ошибка

Если вы уверены, что атрибут не используется другими приложениями, можно подавлять ошибки, перезапустив мастер Azure AD Connect с /SkipLdapSearch указанный ключ.If you are certain that the attribute isn't used by other existing applications, you can suppress the error by restarting the Azure AD Connect wizard with the /SkipLdapSearch switch specified. Выполните следующую команду в командной строке:To do so, run the following command in command prompt:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Влияние на конфигурацию AD FS или федерацию сторонних поставщиковImpact on AD FS or third-party federation configuration

Если вы используете Azure AD Connect для управления локальным развертыванием AD FS, то Azure AD Connect автоматически обновляет правила утверждений для использования в качестве sourceAnchor того же атрибута AD.If you are using Azure AD Connect to manage on-premises AD FS deployment, the Azure AD Connect automatically updates the claim rules to use the same AD attribute as sourceAnchor. Это гарантирует, что утверждение ImmutableID, созданное ADFS, будет согласовано со значениями sourceAnchor, экспортированными в Azure AD.This ensures that the ImmutableID claim generated by ADFS is consistent with the sourceAnchor values exported to Azure AD.

Если вы управляете AD FS не из Azure AD Connect или используете для аутентификации сторонние серверы федерации, то необходимо вручную обновить правила утверждений, чтобы утверждение ImmutableID было согласовано со значениями, экспортированными в Azure AD, как описано в разделе Изменение правил утверждений служб федерации Active Directory.If you are managing AD FS outside of Azure AD Connect or you are using third-party federation servers for authentication, you must manually update the claim rules for ImmutableID claim to be consistent with the sourceAnchor values exported to Azure AD as described in article section Modify AD FS claim rules. По завершении установки мастер возвращает следующее предупреждение:The wizard returns the following warning after installation completes:

Настройка сторонней федерации

Добавление новых каталогов в существующее развертываниеAdding new directories to existing deployment

Предположим, что вы развернули Azure AD Connect с включенной функцией ConsistencyGuid и теперь хотите добавить в развертывание другой каталог.Suppose you have deployed Azure AD Connect with the ConsistencyGuid feature enabled, and now you would like to add another directory to the deployment. При попытке добавить каталог мастер Azure AD Connect проверяет состояние атрибута ms-DS-ConsistencyGuid в каталоге.When you try to add the directory, Azure AD Connect wizard checks the state of the ms-DS-ConsistencyGuid attribute in the directory. Если атрибут настроен в одном или нескольких объектах в каталоге, то мастер делает вывод, что он используется другими приложениями и возвращает ошибку, как показано на снимке экрана ниже.If the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by other applications and returns an error as illustrated in the diagram below. Если вы уверены, что атрибут не используется другими приложениями, можно подавлять ошибки, перезапустив мастер Azure AD Connect с /SkipLdapSearch коммутатора указано, как описано выше, или если необходимо обратитесь в службу Поддержка дополнительных сведений.If you are certain that the attribute isn't used by existing applications, you can suppress the error by restarting the Azure AD Connect wizard with the /SkipLdapSearch switch specified as described above or you need to contact Support for more information.

Добавление новых каталогов в существующее развертывание

Вход в Azure ADAzure AD sign-in

При интеграции локального каталога с Azure AD важно понять, как параметры синхронизации могут повлиять на способ проверки подлинности, используемый пользователем.While integrating your on-premises directory with Azure AD, it is important to understand how the synchronization settings can affect the way user authenticates. Для аутентификации пользователя служба Azure AD использует имя участника-пользователя (userPrincipalName).Azure AD uses userPrincipalName (UPN) to authenticate the user. Однако при синхронизации пользователей необходимо тщательно выбирать атрибут, который будет использоваться в качестве значения userPrincipalName.However, when you synchronize your users, you must choose the attribute to be used for value of userPrincipalName carefully.

Выбор атрибута для userPrincipalNameChoosing the attribute for userPrincipalName

При выборе атрибута, который будет использоваться в Azure в качестве значения UPN (имени участника-пользователя), следует убедиться в следующем.When you are selecting the attribute for providing the value of UPN to be used in Azure one should ensure

  • Значения атрибута соответствуют синтаксису имени участника-пользователя (RFC 822), т. е. формат должен быть таким: имя_пользователя@домен.The attribute values conform to the UPN syntax (RFC 822), that is it should be of the format username@domain
  • Суффикс в значениях соответствует одному из подтвержденных пользовательских доменов в Azure AD.The suffix in the values matches to one of the verified custom domains in Azure AD

В стандартных параметрах предполагается, что для атрибута выбрано значение userPrincipalName.In express settings, the assumed choice for the attribute is userPrincipalName. Если атрибут userPrincipalName не содержит значение, с помощью которого пользователи должны входить в Azure, выбирайте выборочную установку.If the userPrincipalName attribute does not contain the value you want your users to sign in to Azure, then you must choose Custom Installation.

Состояние и имя участника-пользователя пользовательского доменаCustom domain state and UPN

Важно убедиться, что для суффикса имени участника-пользователя используется подтвержденный домен.It is important to ensure that there is a verified domain for the UPN suffix.

Джон (John) является пользователем в contoso.com.John is a user in contoso.com. Вам нужно, чтобы после синхронизации пользователей с каталогом Azure AD azurecontoso.onmicrosoft.com Джон входил в Azure с помощью локального имени участника-пользователя john@contoso.com.You want John to use the on-premises UPN john@contoso.com to sign in to Azure after you have synced users to your Azure AD directory contoso.onmicrosoft.com. Для этого вам нужно сначала добавить и подтвердить contoso.com как личный домен в службе Azure AD. Только после этого вы сможете синхронизировать пользователей.To do so, you need to add and verify contoso.com as a custom domain in Azure AD before you can start syncing the users. Если суффикс имени участника-пользователя Джона (contoso.com) не соответствует подтвержденному домену в службе Azure AD, то Azure AD заменяет такой суффикс на contoso.onmicrosoft.com.If the UPN suffix of John, for example contoso.com, does not match a verified domain in Azure AD, then Azure AD replaces the UPN suffix with contoso.onmicrosoft.com.

Не поддерживающие маршрутизацию локальные домены и имена участников-пользователей для Azure ADNon-routable on-premises domains and UPN for Azure AD

В некоторых организациях используются домены, не поддерживающие маршрутизацию, например contoso.local, или простые одноуровневые домены наподобие contoso.Some organizations have non-routable domains, like contoso.local, or simple single label domains like contoso. В службе Azure AD нельзя подтвердить не поддерживающий маршрутизацию домен.You are not able to verify a non-routable domain in Azure AD. Служба Azure AD Connect может синхронизироваться только с подтвержденным доменом в Azure AD.Azure AD Connect can sync to only a verified domain in Azure AD. При создании каталога Azure AD служба создает маршрутизируемый домен (например, contoso.onmicrosoft.com), который становится для Azure AD доменом по умолчанию.When you create an Azure AD directory, it creates a routable domain that becomes default domain for your Azure AD for example, contoso.onmicrosoft.com. Поэтому в данной ситуации возникает необходимость подтвердить любой другой маршрутизируемый домен, на случай если вы не хотите синхронизироваться с доменом onmicrosoft.com по умолчанию.Therefore, it becomes necessary to verify any other routable domain in such a scenario in case you don't want to sync to the default onmicrosoft.com domain.

Дополнительные сведения о добавлении и подтверждении доменов см. в статье Добавление имени личного домена в Azure Active Directory.Read Add your custom domain name to Azure Active Directory for more info on adding and verifying domains.

Azure AD Connect определяет, когда используется не поддерживающая маршрутизацию доменная среда и соответствующим образом предупреждает, чтобы вы не продолжали, не изменив стандартные параметры.Azure AD Connect detects if you are running in a non-routable domain environment and would appropriately warn you from going ahead with express settings. Если вы работаете в домене, который не поддерживает маршрутизацию, имена участников-пользователей, скорее всего, тоже имеют не поддерживающий маршрутизацию суффикс.If you are operating in a non-routable domain, then it is likely that the UPN, of the users, have non-routable suffixes too. Например, если вы работаете в домене contoso.local, служба Azure AD Connect предлагает вместо стандартных параметров использовать настраиваемые.For example, if you are running under contoso.local, Azure AD Connect suggests you to use custom settings rather than using express settings. С помощью настраиваемых параметров можно указать атрибут, который следует использовать в качестве имени участника-пользователя для входа в Azure после синхронизации пользователей с Azure AD.Using custom settings, you are able to specify the attribute that should be used as UPN to sign in to Azure after the users are synced to Azure AD.

Дальнейшие действияNext steps

Узнайте больше об интеграции локальных удостоверений с Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.