Microsoft Entra Connect: Designbegrepp

  • Artikel

Syftet med det här dokumentet är att beskriva områden som måste beaktas när du konfigurerar Microsoft Entra Anslut. Det här dokumentet är en djupdykning på vissa områden och dessa begrepp beskrivs kortfattat även i andra dokument.

sourceAnchor

Attributet sourceAnchor definieras som ett attribut som inte kan ändras under ett objekts livslängd. Det identifierar unikt ett objekt som samma objekt lokalt och i Microsoft Entra-ID. Attributet kallas också oföränderligtId och de två namnen används omväxlande.

Ordet oföränderlig, som är "kan inte ändras", är viktigt för det här dokumentet. Eftersom det här attributets värde inte kan ändras när det har angetts är det viktigt att välja en design som stöder ditt scenario.

Attributet används för följande scenarier:

  • När en ny synkroniseringsmotorserver skapas eller återskapas efter ett haveriberedskapsscenario länkar det här attributet befintliga objekt i Microsoft Entra-ID med objekt lokalt.
  • Om du flyttar från en molnbaserad identitet till en synkroniserad identitetsmodell tillåter det här attributet objekt att "hårdmatcha" befintliga objekt i Microsoft Entra-ID med lokala objekt.
  • Om du använder federation används det här attributet tillsammans med userPrincipalName i anspråket för att unikt identifiera en användare.

Det här avsnittet handlar bara om sourceAnchor när det gäller användare. Samma regler gäller för alla objekttyper, men det är bara för användare som det här problemet vanligtvis är ett problem.

Välja ett bra sourceAnchor-attribut

Attributvärdet måste följa följande regler:

  • Färre än 60 tecken långa
    • Tecken som inte är a-z, A-Z eller 0-9 kodas och räknas som 3 tecken
  • Innehåller inte ett specialtecken: \ ! # $ % & * + / = ? ^ ' { } | ~ <> ( ) ' ; : , [ ] " @ _
  • Måste vara globalt unikt
  • Måste vara antingen en sträng, ett heltal eller en binär
  • Bör inte baseras på användarens namn eftersom dessa kan ändras
  • Bör inte vara skiftlägeskänslig och undvika värden som kan variera beroende på skiftläge
  • Ska tilldelas när objektet skapas

Om den valda sourceAnchor inte är av typen sträng, sedan Microsoft Entra Anslut Base64Encode attributvärdet för att säkerställa att inga specialtecken visas. Om du använder en annan federationsserver än ADFS kontrollerar du att servern även kan Base64Encode-attributet.

Attributet sourceAnchor är skiftlägeskänsligt. Värdet "JohnDoe" är inte detsamma som "johndoe". Men du bör inte ha två olika objekt med bara en skillnad i fall.

Om du har en enda skog lokalt är attributet som du bör använda objectGUID. Detta är också det attribut som används när du använder expressinställningar i Microsoft Entra Anslut och även attributet som används av DirSync.

Om du har flera skogar och inte flyttar användare mellan skogar och domäner är objectGUID ett bra attribut att använda även i det här fallet.

Om du flyttar användare mellan skogar och domäner måste du hitta ett attribut som inte ändras eller som kan flyttas med användarna under flytten. En rekommenderad metod är att introducera ett syntetiskt attribut. Ett attribut som kan innehålla något som ser ut som ett GUID skulle vara lämpligt. När objektet skapas skapas och stämplas ett nytt GUID på användaren. En anpassad synkroniseringsregel kan skapas på synkroniseringsmotorservern för att skapa det här värdet baserat på objectGUID och uppdatera det valda attributet i AD DS. När du flyttar objektet måste du även kopiera innehållet i det här värdet.

En annan lösning är att välja ett befintligt attribut som du vet inte ändras. Vanliga attribut är employeeID. Om du överväger ett attribut som innehåller bokstäver kontrollerar du att det inte finns någon chans att skiftläget (versaler kontra gemener) kan ändras för attributets värde. Dåliga attribut som inte ska användas inkluderar dessa attribut med användarens namn. I ett äktenskap eller en skilsmässa förväntas namnet ändras, vilket inte är tillåtet för det här attributet. Det här är också en anledning till varför attribut som userPrincipalName, e-post och targetAddress inte ens går att välja i installationsguiden för Microsoft Entra Anslut. Dessa attribut innehåller också tecknet "@", som inte tillåts i sourceAnchor.

Ändra attributet sourceAnchor

Attributet sourceAnchor kan inte ändras när objektet har skapats i Microsoft Entra-ID och identiteten har synkroniserats.

Därför gäller följande begränsningar för Microsoft Entra Anslut:

  • Attributet sourceAnchor kan bara anges under den första installationen. Om du kör installationsguiden igen är det här alternativet skrivskyddat. Om du behöver ändra den här inställningen måste du avinstallera och installera om.
  • Om du installerar en annan Microsoft Entra-Anslut-server måste du välja samma sourceAnchor-attribut som tidigare använts. Om du tidigare har använt DirSync och flyttat till Microsoft Entra Anslut måste du använda objectGUID eftersom det är det attribut som används av DirSync.
  • Om värdet för sourceAnchor ändras efter att objektet har exporterats till Microsoft Entra-ID genererar Microsoft Entra Anslut Sync ett fel och tillåter inte fler ändringar i objektet innan problemet har åtgärdats och sourceAnchor ändras tillbaka i källkatalogen.

Använda ms-DS-ConsistencyGuid som sourceAnchor

Som standard använder Microsoft Entra Anslut (version 1.1.486.0 och senare) objectGUID som sourceAnchor-attribut. ObjectGUID är systemgenererad. Du kan inte ange dess värde när du skapar lokala AD-objekt. Som beskrivs i avsnittet sourceAnchor finns det scenarier där du behöver ange värdet sourceAnchor. Om scenarierna är tillämpliga för dig måste du använda ett konfigurerbart AD-attribut (till exempel ms-DS-ConsistencyGuid) som sourceAnchor-attribut.

Microsoft Entra Anslut (version 1.1.524.0 och senare) underlättar nu användningen av ms-DS-ConsistencyGuid som sourceAnchor-attribut. När du använder den här funktionen konfigurerar Microsoft Entra Anslut automatiskt synkroniseringsreglerna för att:

  1. Använd ms-DS-ConsistencyGuid som sourceAnchor-attribut för användarobjekt. ObjectGUID används för andra objekttyper.

  2. För ett visst lokalt AD-användarobjekt vars ms-DS-ConsistencyGuid-attribut inte är ifyllt skriver Microsoft Entra Anslut sitt objectGUID-värde tillbaka till attributet ms-DS-ConsistencyGuid i lokal Active Directory. När attributet ms-DS-ConsistencyGuid har fyllts i exporterar Microsoft Entra Anslut sedan objektet till Microsoft Entra-ID.

Kommentar

När ett lokalt AD-objekt har importerats till Microsoft Entra Anslut (dvs. importerat till AD-Anslut ellerutrymmet och projicerats i Metaversum) kan du inte längre ändra dess sourceAnchor-värde. Om du vill ange sourceAnchor-värdet för ett visst lokalt AD-objekt konfigurerar du attributet ms-DS-ConsistencyGuid innan det importeras till Microsoft Entra Anslut.

Behörighet krävs

För att den här funktionen ska fungera måste AD DS-kontot som används för att synkronisera med lokal Active Directory beviljas skrivbehörighet till attributet ms-DS-ConsistencyGuid i lokal Active Directory.

Så här aktiverar du funktionen ConsistencyGuid – Ny installation

Du kan aktivera användningen av ConsistencyGuid som sourceAnchor under den nya installationen. Det här avsnittet beskriver både Express- och Custom-installationen i information.

Kommentar

Endast nyare versioner av Microsoft Entra Anslut (1.1.524.0 och senare) stöder användning av ConsistencyGuid som sourceAnchor under den nya installationen.

Så här aktiverar du funktionen ConsistencyGuid

Express-installation

När du installerar Microsoft Entra Anslut med Express-läge avgör Microsoft Entra Anslut-guiden automatiskt det lämpligaste AD-attributet som ska användas som sourceAnchor-attribut med hjälp av följande logik:

  • Först frågar Microsoft Entra Anslut-guiden din Microsoft Entra-klient för att hämta AD-attributet som används som sourceAnchor-attribut i föregående Microsoft Entra-Anslut installation (om någon). Om den här informationen är tillgänglig använder Microsoft Entra Anslut samma AD-attribut.

    Kommentar

    Endast nyare versioner av Microsoft Entra Anslut (1.1.524.0 och senare) lagrar information i din Microsoft Entra-klientorganisation om attributet sourceAnchor som användes under installationen. Äldre versioner av Microsoft Entra Anslut inte.

  • Om information om sourceAnchor-attributet som används inte är tillgänglig kontrollerar guiden tillståndet för attributet ms-DS-ConsistencyGuid i din lokal Active Directory. Om attributet inte har konfigurerats för något objekt i katalogen använder guiden ms-DS-ConsistencyGuid som sourceAnchor-attribut. Om attributet har konfigurerats för ett eller flera objekt i katalogen drar guiden slutsatsen att attributet används av andra program och inte är lämpligt som sourceAnchor-attribut...

  • I så fall återgår guiden till att använda objectGUID som sourceAnchor-attribut.

  • När attributet sourceAnchor har bestämts lagrar guiden informationen i din Microsoft Entra-klientorganisation. Informationen kommer att användas vid framtida installation av Microsoft Entra Anslut.

När Express-installationen är klar informerar guiden dig om vilket attribut som har valts som källankareattribut.

Wizard informs AD attribute picked for sourceAnchor

Anpassad installation

När du installerar Microsoft Entra Anslut med anpassat läge innehåller microsoft Entra Anslut-guiden två alternativ när du konfigurerar attributet sourceAnchor:

Custom installation - sourceAnchor configuration

Inställning beskrivning
Låt Microsoft Entra ID hantera källankaret åt mig Välj det här alternativet om du vill att Microsoft Entra-ID ska välja attributet åt dig. Om du väljer det här alternativet använder Microsoft Entra Anslut-guiden samma källattributvalslogik som användes under Express-installationen. I likhet med Express-installationen informerar guiden dig om vilket attribut som har valts som källankareattribut när den anpassade installationen har slutförts.
Ett specifikt attribut Välj det här alternativet om du vill ange ett befintligt AD-attribut som sourceAnchor-attribut.

Så här aktiverar du funktionen ConsistencyGuid – befintlig distribution

Om du har en befintlig Microsoft Entra-Anslut distribution som använder objectGUID som source anchor-attribut kan du växla till att använda ConsistencyGuid i stället.

Kommentar

Endast nyare versioner av Microsoft Entra Anslut (1.1.552.0 och senare) stöder växling från ObjectGuid till ConsistencyGuid som källankareattribut.

Så här växlar du från objectGUID till ConsistencyGuid som källankareattribut:

  1. Starta guiden Microsoft Entra Anslut och klicka på Konfigurera för att gå till skärmen Uppgifter.

  2. Välj alternativet Konfigurera källankare och klicka på Nästa.

    Enable ConsistencyGuid for existing deployment - step 2

  3. Ange autentiseringsuppgifterna för Microsoft Entra-administratören och klicka på Nästa.

  4. Microsoft Entra Anslut-guiden analyserar tillståndet för attributet ms-DS-ConsistencyGuid i din lokal Active Directory. Om attributet inte har konfigurerats för något objekt i katalogen drar Microsoft Entra Anslut slutsatsen att inget annat program använder attributet för närvarande och att det är säkert att använda det som källankareattribut. Klicka på Nästa för att fortsätta.

    Enable ConsistencyGuid for existing deployment - step 4

  5. På skärmen Redo att konfigurera klickar du på Konfigurera för att göra konfigurationsändringen.

    Enable ConsistencyGuid for existing deployment - step 5

  6. När konfigurationen är klar anger guiden att ms-DS-ConsistencyGuid nu används som källankareattribut.

    Enable ConsistencyGuid for existing deployment - step 6

Om attributet har konfigurerats för ett eller flera objekt i katalogen under analysen (steg 4) drar guiden slutsatsen att attributet används av ett annat program och returnerar ett fel som visas i diagrammet nedan. Det här felet kan också inträffa om du tidigare har aktiverat funktionen ConsistencyGuid på din primära Microsoft Entra-Anslut-server och du försöker göra samma sak på mellanlagringsservern.

Enable ConsistencyGuid for existing deployment - error

Om du är säker på att attributet inte används av andra befintliga program kan du ignorera felet genom att starta om Microsoft Entra Anslut-guiden med växeln /SkipLdapSearch angiven. Det gör du genom att köra följande kommando i kommandotolken:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Påverkan på AD FS eller federationskonfiguration från tredje part

Om du använder Microsoft Entra Anslut för att hantera lokal AD FS-distribution uppdaterar Microsoft Entra Anslut automatiskt anspråksreglerna för att använda samma AD-attribut som sourceAnchor. Detta säkerställer att ImmutableID-anspråket som genereras av ADFS överensstämmer med de sourceAnchor-värden som exporteras till Microsoft Entra-ID.

Om du hanterar AD FS utanför Microsoft Entra Anslut eller om du använder federationsservrar från tredje part för autentisering, måste du manuellt uppdatera anspråksreglerna för ImmutableID-anspråk så att de överensstämmer med de sourceAnchor-värden som exporteras till Microsoft Entra-ID enligt beskrivningen i artikelavsnittet Ändra AD FS-anspråksregler. Guiden returnerar följande varning när installationen är klar:

Third-party federation configuration

Lägga till nya kataloger i befintlig distribution

Anta att du har distribuerat Microsoft Entra Anslut med funktionen ConsistencyGuid aktiverad, och nu vill du lägga till ytterligare en katalog i distributionen. När du försöker lägga till katalogen kontrollerar Microsoft Entra Anslut-guiden tillståndet för attributet ms-DS-ConsistencyGuid i katalogen. Om attributet har konfigurerats för ett eller flera objekt i katalogen drar guiden slutsatsen att attributet används av andra program och returnerar ett fel som visas i diagrammet nedan. Om du är säker på att attributet inte används av befintliga program kan du ignorera felet genom att starta om Microsoft Entra Anslut-guiden med växeln /SkipLdapSearch angiven enligt beskrivningen ovan eller kontakta supporten om du vill ha mer information.

Adding new directories to existing deployment

Microsoft Entra-inloggning

När du integrerar din lokala katalog med Microsoft Entra-ID är det viktigt att förstå hur synkroniseringsinställningarna kan påverka hur användaren autentiserar. Microsoft Entra ID använder userPrincipalName (UPN) för att autentisera användaren. Men när du synkroniserar dina användare måste du välja det attribut som ska användas för värdet för userPrincipalName noggrant.

Välja attributet för userPrincipalName

När du väljer attributet för att ange värdet för UPN som ska användas i Microsoft Entra-ID bör du se till att

  • Attributvärdena överensstämmer med UPN-syntaxen (RFC 822) och bör ha formatet username@domain
  • Suffixet i värdena matchar en av de verifierade anpassade domänerna i Microsoft Entra-ID

I expressinställningar är det antagna valet för attributet userPrincipalName. Om attributet userPrincipalName inte innehåller det värde som du vill att användarna ska logga in på Microsoft Entra ID måste du välja Anpassad installation.

Kommentar

Vi rekommenderar att UPN-prefixet innehåller mer än ett tecken.

Anpassat domäntillstånd och UPN

Det är viktigt att se till att det finns en verifierad domän för UPN-suffixet.

John är en användare i contoso.com. Du vill att John ska använda det lokala UPN john@contoso.com :t för att logga in på Microsoft Entra-ID när du har synkroniserat användare till din Microsoft Entra-katalog contoso.onmicrosoft.com. För att göra det måste du lägga till och verifiera contoso.com som en anpassad domän i Microsoft Entra-ID innan du kan börja synkronisera användarna. Om UPN-suffixet john, till exempel contoso.com, inte matchar en verifierad domän i Microsoft Entra-ID ersätter Microsoft Entra ID UPN-suffixet med contoso.onmicrosoft.com.

Icke-dirigerbara lokala domäner och UPN för Microsoft Entra-ID

Vissa organisationer har icke-dirigerbara domäner, till exempel contoso.local eller enkla enkeletikettdomäner som contoso. Du kan inte verifiera en icke-dirigerbar domän i Microsoft Entra-ID. Microsoft Entra Anslut kan endast synkronisera till en verifierad domän i Microsoft Entra-ID. När du skapar en Microsoft Entra-katalog skapas en dirigerbar domän som blir standarddomän för ditt Microsoft Entra-ID, till exempel contoso.onmicrosoft.com. Därför blir det nödvändigt att verifiera andra routningsbara domäner i ett sådant scenario om du inte vill synkronisera till standarddomänen onmicrosoft.com.

Läs Lägg till ditt anpassade domännamn i Microsoft Entra-ID för mer information om hur du lägger till och verifierar domäner.

Microsoft Entra-Anslut identifierar om du kör i en icke-dirigerbar domänmiljö och varnar dig på lämpligt sätt från att gå vidare med expressinställningar. Om du arbetar i en icke-dirigerbar domän är det troligt att UPN för användarna också har icke-dirigerbara suffix. Om du till exempel kör under contoso.local föreslår Microsoft Entra Anslut att du använder anpassade inställningar i stället för att använda expressinställningar. Med anpassade inställningar kan du ange det attribut som ska användas som UPN för att logga in på Microsoft Entra-ID när användarna har synkroniserats med Microsoft Entra-ID.

Nästa steg

Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.