Microsoft Entra Connect Sync: Principy výchozí konfigurace

Tento článek vysvětluje výchozí pravidla konfigurace. Dokumentuje pravidla a vliv těchto pravidel na konfiguraci. Provede vás také výchozí konfigurací Microsoft Entra Connect Sync. Cílem je, aby čtenář rozuměl tomu, jak konfigurační model s názvem deklarativní zřizování pracuje v skutečném příkladu. Tento článek předpokládá, že jste nainstalovali a nakonfigurovali synchronizaci microsoft Entra Connect pomocí průvodce instalací.

Pokud chcete porozumět podrobnostem konfiguračního modelu, přečtěte si Vysvětlení deklarativního zřizování.

Výchozí pravidla z místního prostředí do Microsoft Entra ID

Následující výrazy najdete v předem dostupné konfiguraci.

Standardní pravidla uživatele

Tato pravidla platí také pro typ objektu iNetOrgPerson.

Aby bylo možné synchronizovat objekt uživatele, musí splňovat následující podmínky:

• Musí mít sourceAnchor.
• Po vytvoření objektu v Microsoft Entra ID pak sourceAnchor nemůže změnit. Pokud se hodnota změní místně, objekt se přestane synchronizovat, dokud se zdrojAnchor nezmění zpět na předchozí hodnotu.
• Musí mít vyplněný atribut accountEnabled (userAccountControl). U místní služby Active Directory je tento atribut vždy přítomný a naplněný.

Následující uživatelské objekty nejsou synchronizovány s ID Microsoft Entra:

• IsPresent([isCriticalSystemObject]). Ujistěte se, že se mnoho předdefinovaných objektů ve službě Active Directory, jako je vestavěný účet správce, nesynchronizuje.
• IsPresent([sAMAccountName]) = False. Ujistěte se, že uživatelské objekty bez atributu sAMAccountName nejsou synchronizované. K tomuto případu může dojít pouze v doméně upgradované z NT4.
• Left([sAMAccountName], 4) = "AAD_", Left([sAMAccountName], 5) = "MSOL_". Nesynchronizujte účet služby používaný nástrojem Microsoft Entra Connect Sync a jeho staršími verzemi.
• Nesynchronizovat účty Exchange, které by v Exchangi Online nefungovaly.
  • [sAMAccountName] = "SUPPORT_388945a0"
  • Left([mailNickname], 14) = "SystemMailbox{"
  • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))
  • (Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
• Nesynchronizovat objekty, které by v Exchangi Online nefungovaly. CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
  Tato bitová maska (&H21C07000) by vyfiltrovala následující objekty:
  • Veřejná složka s povolenou poštou (ve verzi Preview ve verzi 1.1.524.0)
  • Systémová poštovní schránka
  • Databáze poštovních schránek (Systémová poštovní schránka)
  • Univerzální skupina zabezpečení (neplatí pro uživatele, ale je k dispozici z historických důvodů)
  • Neuniverzální skupina (nepoužila by se pro uživatele, ale je k dispozici z historických důvodů)
  • Plán poštovní schránky
  • Průzkumná poštovní schránka
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Nesynchronizovat žádné objekty oběti replikace.

Platí následující pravidla atributů:

• sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). Atribut sourceAnchor není přispíván z propojené poštovní schránky. Předpokládá se, že pokud se najde propojená poštovní schránka, skutečný účet se připojí později.
• Atributy související s Exchangem se synchronizují pouze v případě, že atribut mailNickName má hodnotu.
• Pokud existuje více lesů, atributy se spotřebovávají v následujícím pořadí:
  1. Atributy související s přihlášením (například userPrincipalName) se přispívají z doménové struktury s povoleným účtem.
  2. Atributy, které lze najít v globálním adresáři Exchange (globální adresář), se přispívají z doménové struktury s poštovní schránkou Exchange.
  3. Pokud se žádná poštovní schránka nenajde, mohou tyto atributy pocházet z libovolného doménového lesa.
  4. Atributy související s exchangem (technické atributy, které nejsou v globálním adresáři viditelné) se přispívají z doménové struktury, kde mailNickname ISNOTNULL.
  5. Pokud existuje více doménových struktur, které by splňovaly jedno z těchto pravidel, použije se pořadí vytvoření (datum a čas) konektorů (doménových struktur) k určení, která doménová struktura přispívá k atributům. První propojený les je první les, který se synchronizuje.

Využití výchozích pravidel

Objekt kontaktu musí splňovat následující položky, které se mají synchronizovat:

• Musí mít hodnotu atributu e-mailu.
• Kontakt musí být e-mailově aktivovaný. Ověřuje se pomocí následujících pravidel:
  • IsPresent([proxyAddresses]) = True). Musí být vyplněn atribut proxyAddresses.
  • Primární e-mailovou adresu najdete buď v atributu proxyAddresses, nebo atributu pošty. Přítomnost @ slouží k ověření, že obsah je e-mailová adresa. Jedna z těchto dvou pravidel musí být vyhodnocena jako Pravda.
    • (Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). Je v řetězci položka s textem SMTP:" a pokud existuje, může se v řetězci najít znak @?
    • (IsPresent([mail]) = True && (InStr([mail], "@") > 0). Je atribut pošty naplněný a pokud ano, může být v řetězci nalezen znak @?

Následující objekty kontaktu nejsou synchronizovány s Microsoft Entra ID:

• IsPresent([isCriticalSystemObject]). Ujistěte se, že nejsou synchronizované žádné objekty kontaktu označené jako kritické. Neměla by být žádná s výchozí konfigurací.
• ((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).
• (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). Tyto objekty by v Exchangi Online nefungily.
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Nesynchronizovat žádné objekty oběti replikace.

Seskupte předdefinovaná pravidla

Aby bylo možné synchronizovat objekt skupiny, musí splňovat následující podmínky:

• Musí mít méně než 250 000 členů. Tento počet je počet členů v lokální skupině.
  • Pokud má před prvním spuštěním synchronizace více členů, skupina se nesynchronuje.
  • Pokud počet členů roste od počátečního vytvoření, přestane se synchronizovat, jakmile dosáhne 250 000 členů, dokud počet členství nebude nižší než 250 000.
  • Poznámka: Microsoft Entra ID vynucuje maximální počet 250 000 členství. Nemůžete synchronizovat skupiny s více členy, i když toto pravidlo upravíte nebo odeberete.
• Pokud je skupina distribuční skupina, musí být povolena také pošta. V rámci tohoto pravidla si prosím přečtěte pravidla pro kontaktování mimo rámec standardního nastavení .

Následující objekty skupiny nejsou synchronizovány s Microsoft Entra ID:

• IsPresent([isCriticalSystemObject]). Ujistěte se, že mnoho předdefinovaných objektů ve službě Active Directory, například vestavěná skupina správců, není synchronizováno.
• [sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Starší skupina používaná nástrojem DirSync
• BitAnd([msExchRecipientTypeDetails],&H40000000). Skupina rolí.
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Nesynchronizovat žádné objekty oběti replikace.

Pravidla ForeignSecurityPrincipal out-of-box

FsPs jsou připojeny k objektu any (*) v metaverse. Ve skutečnosti k tomuto připojení dochází jenom pro uživatele a skupiny zabezpečení. Tato konfigurace zajišťuje, že členství mezi více lesy je správně vyřešeno a reprezentováno ve službě Microsoft Entra ID.

Výchozí pravidla pro počítače

Aby bylo možné synchronizovat objekt počítače, musí splňovat následující podmínky:

• userCertificate ISNOTNULL. Tento atribut naplní pouze počítače s Windows 10. Všechny počítačové objekty s hodnotou v tomto atributu jsou synchronizovány.

Pochopení scénáře výchozích pravidel

V tomto příkladu používáme nasazení s jednou doménovou strukturou účtů (A), jednou doménovou strukturou prostředků (R) a jedním adresářem Microsoft Entra.

V této konfiguraci se předpokládá, že v doménové struktuře účtů je povolený účet a v doménové struktuře zdrojů je zakázaný účet s propojenou poštovní schránkou.

Naším cílem s výchozí konfigurací je:

• Atributy související s přihlášením se synchronizují z doménové struktury s povoleným účtem.
• Atributy, které lze najít v globálním adresáři (globální adresář), se synchronizují z doménové struktury s poštovní schránkou. Pokud se žádná poštovní schránka nenajde, použije se jakýkoli jiný les.
• Pokud se najde propojená poštovní schránka, musí být nalezen propojený povolený účet, aby se objekt exportoval do Microsoft Entra ID.

Editor synchronizačních pravidel

Konfiguraci lze zobrazit a změnit pomocí editoru pravidel synchronizace nástrojů (SRE) a zástupce k ní najdete v nabídce Start.

Ikona editoru pravidel synchronizace

SRE je nástroj sady prostředků a je nainstalovaný se službou Microsoft Entra Connect Sync. Abyste ho mohli spustit, musíte být členem skupiny ADSyncAdmins. Po spuštění se zobrazí něco podobného:

Příchozí pravidla synchronizace

V tomto podokně se zobrazí všechna pravidla synchronizace vytvořená pro vaši konfiguraci. Každý řádek v tabulce je jedním synchronizačním pravidlem. Nalevo pod typy pravidel jsou uvedené dva různé typy: příchozí a odchozí. Příchozí a odchozí je z pohledu metaverza. V tomto přehledu se zaměříte hlavně na příchozí pravidla. Skutečný seznam synchronizačních pravidel závisí na zjištěném schématu v AD. Na obrázku výše uživatelský účet (fabrikamonline.com) nemá žádné služby, jako je Exchange a Lync, a nebyla vytvořena žádná pravidla synchronizace pro tyto služby. Ve struktuře prostředků (res.fabrikamonline.com) však najdete Pravidla synchronizace pro tyto služby. Obsah pravidel se liší v závislosti na zjištěné verzi. Například v nasazení s Exchangem 2013 je nakonfigurovaných více toků atributů než v Exchangi 2010/2007.

Synchronizační pravidlo

Synchronizační pravidlo je objekt konfigurace se sadou atributů, které proudí, když je podmínka splněna. Používá se také k popisu, jak objekt v prostoru spojnice souvisí s objektem v metaverse, označovaný jako spojení nebo shoda. Synchronizační pravidla mají přednostní hodnotu označující, jak spolu vzájemně souvisí. Pravidlo synchronizace s nižší číselnou hodnotou má vyšší prioritu a v případě konfliktu při toku atributů vyhraje řešení konfliktu vyšší preference.

Podívejte se například na pravidlo synchronizace In z AD – uživatelský účet povoleno. Označte tento řádek v SRE a zvolte Upravit.

Vzhledem k tomu, že toto pravidlo je výchozí pravidlo, obdržíte při jeho otevření upozornění. Neměli byste provádět žádné změny v předdefinovaných pravidlech, proto budete dotázáni na vaše záměry. V takovém případě chcete pravidlo jenom zobrazit. Vyberte Bez.

upozornění pravidel synchronizace

Synchronizační pravidlo má čtyři části konfigurace: popis, filtr oborů, pravidla spojení a transformace.

Popis

První část obsahuje základní informace, jako je název a popis.

karta Popis

Najdete také informace o tom, k jakému připojenému systému se toto pravidlo vztahuje, o typu objektu v tomto připojeném systému, na který se vztahuje, a o typu objektu v metaverzu. Typ objektu metaverse je vždy osoba bez ohledu na to, kdy typ zdrojového objektu je uživatel, iNetOrgPerson nebo kontakt. Typ objektu metaverse by se nikdy neměl měnit, aby byl vytvořen jako obecný typ. Typ odkazu lze nastavit na Join (Připojit), StickyJoin (StickyJoin) nebo Provision (Zřídit). Toto nastavení funguje ve spojení s částí Pravidla spojení, která je podrobněji popsána později.

Uvidíte také, že se toto pravidlo synchronizace používá pro synchronizaci hesel. Pokud je uživatel v oboru pro toto pravidlo synchronizace, heslo se synchronizuje z místního prostředí do cloudu (za předpokladu, že jste povolili funkci synchronizace hesel).

Rozsahový filtr

Oddíl Filtr rozsahu se používá ke konfiguraci, kdy má být použito pravidlo synchronizace. Vzhledem k tomu, že název synchronizačního pravidla, na které se díváte, označuje, že by se měl použít pouze pro povolené uživatele, je obor nakonfigurovaný tak, aby atribut AD userAccountControl nesmí mít bit 2 nastavenou. Když synchronizační modul najde uživatele v AD, použije toto pravidlo synchronizace, když userAccountControl je nastavena na desetinnou hodnotu 512 (povoleno normální uživatel). Pravidlo se nepoužije, pokud má uživatel userAccountControl nastaven na hodnotu 514 (zakázáno normálního uživatele).

Filtr rozsahu obsahuje skupiny a klauzule, které je možné vnořit. Všechny klauzule uvnitř skupiny musí být splněné, aby bylo možné použít synchronizační pravidlo. Pokud je definováno více skupin, musí být splněna alespoň jedna skupina, aby pravidlo platilo. To znamená, že se mezi skupinami vyhodnocuje logický operátor OR a logický operátor AND se vyhodnocuje uvnitř skupiny. Příklad této konfigurace najdete v odchozím synchronizačním pravidlu Out do Microsoft Entra ID – připojení ke skupině. Existuje několik skupin filtrů synchronizace, například pro skupiny zabezpečení (securityEnabled EQUAL True) a jednu pro distribuční skupiny (securityEnabled EQUAL False).

záložka

Toto pravidlo slouží k definování, které Skupiny by měly být zřízeny v Microsoft Entra ID. Distribuční skupiny musí být povolené pro synchronizaci pošty s ID Microsoft Entra, ale pro skupiny zabezpečení není potřeba e-mail.

Pravidla připojení

Třetí část slouží ke konfiguraci vztahu objektů v prostoru spojnice k objektům v metaverse. Pravidlo, na které jste se podívali dříve, nemá žádnou konfiguraci pro pravidla spojení, takže místo toho se podíváte na Příchozí z AD – Připojení uživatele.

karta Pravidla připojení

Obsah pravidla spojení závisí na odpovídající možnosti vybrané v průvodci instalací. U příchozího pravidla začíná vyhodnocení objektem ve zdrojovém prostoru konektoru a každá skupina v pravidlech spojení se vyhodnocuje postupně. Pokud je zdrojový objekt vyhodnocen tak, aby odpovídal přesně jednomu objektu v metaverze pomocí jednoho z pravidel spojení, objekty jsou spojené. Pokud byla vyhodnocena všechna pravidla a neexistuje žádná shoda, použije se typ odkazu na stránce popisu. Pokud je tato konfigurace nastavena na Zřízení, pak se v cíli vytvoří nový objekt, metaverse, pokud existuje alespoň jeden atribut v kritériích spojení (má hodnotu). Pokud chcete zřídit nový objekt pro metaverse, označuje se také jako projektu objektu metaverse.

Pravidla spojení se vyhodnocují pouze jednou. Při spojení objektu prostoru spojnice a objektu metaverse zůstanou připojené, pokud je stále splněn rozsah synchronizačního pravidla.

Při vyhodnocování pravidel synchronizace musí být v oboru pouze jedno synchronizační pravidlo s definovanými pravidly spojení. Pokud se pro jeden objekt najde více synchronizačních pravidel s pravidly spojení, vyvolá se chyba. Z tohoto důvodu je osvědčeným postupem mít pouze jedno synchronizační pravidlo s definovaným spojením, pokud je pro objekt v oboru více pravidel synchronizace. V předem připravené konfiguraci pro Microsoft Entra Connect Sync najdete tato pravidla tak, že se podíváte na název a vyhledejte ty, které mají na konci názvu slovo Join. Synchronizační pravidlo bez jakýchkoli definovaných pravidel spojení použije toky atributů, pokud jiné synchronizační pravidlo spojilo objekty dohromady nebo zřídilo nový objekt v cíli.

Pokud se podíváte na výše uvedený obrázek, uvidíte, že se pravidlo pokouší spojit objectSID s msExchMasterAccountSid (Exchange) a msRTCSIP-OriginatorSid (Lync), což očekáváme v topologii lesu účtů a zdrojů. Ve všech lesích najdete stejné pravidlo. Předpokladem je, že každý les může být buď lesem účtů, nebo lesem prostředků. Tato konfigurace funguje také v případě, že máte účty, které existují v jedné doménové struktuře a nemusí se připojovat.

Transformace

Oddíl transformace definuje všechny toky atributů, které se vztahují na cílový objekt, když jsou objekty spojené a filtr oboru je splněn. Když se vrátíte do z AD – pravidlo synchronizace uživatelských účtů, najdete následující transformace:

Karta Transformace

Pro zasazení této konfigurace do kontextu se v nasazení doménové struktury Account-Resource očekává nalezení aktivního účtu v doménové struktuře účtu a deaktivovaného účtu v doménové struktuře prostředků s nastavením Exchange a Lyncu. Pravidlo synchronizace, na které se díváte, obsahuje atributy vyžadované pro přihlášení a tyto atributy by měly proudit z doménové struktury, kde je povolený účet. Všechny tyto toky atributů jsou spojeny do jednoho synchronizačního pravidla.

Transformace může mít různé typy: Konstanta, Přímá a Výraz.

• Konstantní tok vždy nese pevně zakódovanou hodnotu. V předchozím případě vždy nastaví hodnotu True v atributu metaverse s názvem accountEnabled.
• Přímý tok vždy přenáší hodnotu atributu ze zdroje do cílového atributu as-is.
• Třetí typ toku je Expression a umožňuje pokročilejší konfigurace.

Jazyk výrazu je jazyk VBA (Visual Basic for Applications), takže lidé, kteří mají zkušenosti s Microsoft Office nebo VBScript, rozpozná formát. Atributy jsou uzavřené v hranatých závorkách [attributeName]. V názvech atributů a názvech funkcí se rozlišují malá a velká písmena, ale Editor synchronizačních pravidel výrazy vyhodnotí a zobrazí upozornění, pokud výraz není platný. Všechny výrazy jsou vyjádřeny na jednom řádku s vnořenými funkcemi. Pokud chcete zobrazit schopnosti konfiguračního jazyka, tady je tok pro pwdLastSet, ale s vloženými dalšími komentáři:

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .NET datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

Další informace o expresním jazyce pro toky atributů najdete v části Porozumění deklarativním zřizovacím výrazům.

Priorita

Teď jste se podívali na některá jednotlivá synchronizační pravidla, ale pravidla fungují společně v konfiguraci. V některých případech je hodnota atributu přispívána z více synchronizačních pravidel do stejného cílového atributu. V tomto případě se priorita atributu používá k určení, který atribut vyhraje. Podívejte se například na atribut sourceAnchor. Tento atribut je důležitým atributem, který umožňuje přihlásit se k ID Microsoft Entra. Tok atributů pro tento atribut najdete ve dvou různých pravidlech synchronizace: Z AD – User AccountEnabled a Z AD – User Common. Kvůli prioritě synchronizačního pravidla se atribut sourceAnchor přispívá z doménové struktury s povoleným účtem nejprve, když je k objektu metaverse připojeno několik objektů. Pokud neexistují žádné povolené účty, synchronizační modul použije pravidlo synchronizace catch-all In z AD – User Common. Tato konfigurace zajišťuje, že i pro účty, které jsou zakázané, stále existuje sourceAnchor.

Pravidla synchronizace pro příchozí

Priorita synchronizačních pravidel je nastavena ve skupinách průvodcem instalací. Všechna pravidla ve skupině mají stejný název, ale jsou připojená k různým připojeným adresářům. Průvodce instalací dává pravidlu In z AD – Zápis uživatele nejvyšší prioritu a prochází všechny připojené adresáře AD. Potom pokračuje s dalšími skupinami pravidel v předdefinovaném pořadí. Uvnitř skupiny se pravidla přidají v pořadí, v jakém byly konektory přidány v průvodci. Pokud je jiný konektor přidán prostřednictvím průvodce, pravidla synchronizace se přeuspořádají a nová pravidla konektoru jsou přidána jako poslední v rámci každé skupiny.

Dát vše dohromady

O synchronizačních pravidlech teď víme dostatek informací, abychom dokázali pochopit, jak konfigurace funguje s různými pravidly synchronizace. Pokud se podíváte na uživatele a atributy, které přispěly k metaverse, pravidla se použijí v následujícím pořadí:

Jméno	Komentář
Vstup z AD – Připojení uživatele	Pravidlo pro spojování objektů prostoru spojnic s metaverse
Příchozí z AD – Uživatelský účet je povolen	Atributy vyžadované pro přihlášení k Microsoft Entra ID a Microsoftu 365. Chceme tyto atributy z povoleného účtu.
Příchod z AD – Uživatelský společný z Exchange	Atributy nalezené v globálním adresáři Předpokládáme, že kvalita dat je nejlepší v lese, kde jsme našli poštovní schránku uživatele.
Z AD – Společné pro uživatele	Atributy nalezené v globálním adresáři V případě, že jsme nenašli poštovní schránku, může k hodnotě atributu přispět jakýkoli jiný připojený objekt.
V AD – výměna uživatelů	Existuje pouze v případě, že byl zjištěn Exchange. Provádí tok všech atributů infrastruktury Exchange.
Příchozí z AD – Uživatel Lync	Existuje jenom v případě, že byl Lync zjištěn. Zpracovává všechny atributy infrastruktury Lync.

Další kroky

• Přečtěte si další informace o konfiguračním modelu v Principy deklarativního zřizování.
• Přečtěte si další informace o jazyce výrazů v Principy deklarativních zřizovacích výrazů.
• Pokračujte ve čtení, jak funguje přednastavená konfigurace v Pochopení uživatelů a kontaktů
• Podívejte se, jak provést praktickou změnu deklarativním zřizováním v rámci Jak provést změnu ve výchozím nastavení konfigurace.

Přehledová témata

• Microsoft Entra Connect Sync: Pochopit a přizpůsobit synchronizaci
• Integrace vašich místních identit s Microsoft Entra ID