Synchronizace služby Microsoft Entra Connect: Principy uživatelů, skupin a kontaktů
Existuje několik různých důvodů, proč byste měli více doménových struktur služby Active Directory a existuje několik různých topologií nasazení. Mezi běžné modely patří nasazení prostředků účtů a synchronizované doménové struktury globálního adresáře po sloučení a akvizici. I když existují čisté modely, jsou hybridní modely také běžné. Výchozí konfigurace v Microsoft Entra Connect Sync nepředpokládá žádný konkrétní model. V závislosti na tom, jak bylo v průvodci instalací vybráno porovnávání uživatelů, je však možné pozorovat různá chování.
V tomto článku si projdeme, jak se výchozí konfigurace chová v určitých topologiích. Projdeme konfiguraci a editor synchronizačních pravidel se dá použít k pohledu na konfiguraci.
Konfigurace předpokládá několik obecných pravidel:
- Bez ohledu na to, které pořadí importujeme ze zdrojových adresářů Active Directory, by konečný výsledek měl být vždy stejný.
- Aktivní účet obsahuje přihlašovací informace, včetně userPrincipalName a sourceAnchor.
- Zakázaný účet přispívá userPrincipalName a sourceAnchor, pokud se nejedná o propojenou poštovní schránku, pokud se nenajde žádný aktivní účet.
- Účet s propojenou poštovní schránkou se nikdy nepoužívá pro userPrincipalName a sourceAnchor. Předpokládá se, že se později najde aktivní účet.
- Objekt kontaktu může být zřízený pro MICROSOFT Entra ID jako kontakt nebo jako uživatel. Opravdu nevíte, dokud se nezpracují všechny zdrojové doménové struktury služby Active Directory.
Skupiny
Poznámka:
Mějte na paměti, že když do skupiny přidáte uživatele z jiné doménové struktury, vytvoří se ve službě Active Directory ukotvení, ve kterém skupiny existují uvnitř konkrétní organizační jednotky. Toto ukotvení je objekt zabezpečení cizího zabezpečení a je uložený uvnitř organizační jednotky ForeignSecurityPrincipals. Pokud tuto organizační OU nesynchronizujete, odeberou se uživatelé z členství ve skupině.
Důležité body, o které je potřeba vědět při synchronizaci skupin ze služby Active Directory do Microsoft Entra ID:
Microsoft Entra Connect vyloučí ze synchronizace adresářů předdefinované skupiny zabezpečení.
Microsoft Entra Connect nepodporuje synchronizaci členství v primární skupině s ID Microsoft Entra.
Microsoft Entra Connect nepodporuje synchronizaci členství v dynamických distribučních skupinách s ID Microsoft Entra.
Synchronizace skupiny Active Directory s ID Microsoft Entra jako poštovní skupiny:
Pokud je atribut proxyAddress skupiny prázdný, musí mít atribut pošty hodnotu.
Pokud je atribut proxyAddress skupiny neprázdný, musí obsahovat alespoň jednu hodnotu adresy proxy serveru SMTP. Několik příkladů:
Skupina služby Active Directory, jejíž atribut proxyAddress má hodnotu {"X500:/0=contoso.com/ou=users/cn=testgroup"} , nebude v MICROSOFT Entra ID povolena pošta. Nemá adresu SMTP.
Skupina služby Active Directory, jejíž atribut proxyAddress má hodnoty {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} bude v ID Microsoft Entra povolena pošta.
Skupina služby Active Directory, jejíž atribut proxyAddress má hodnoty {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} bude také povolena pošta v Microsoft Entra ID.
Kontakty
Kontakty představující uživatele v jiné doménové struktuře jsou společné po sloučení a akvizici, kde řešení GALSync přemostění dvou nebo více doménových struktur Exchange. Objekt kontaktu se vždy připojuje z prostoru konektoru k úložišti metaverse pomocí atributu Mail. Pokud objekt kontaktu nebo objekt uživatele se stejnou e-mailovou adresou už existuje, objekty se spojí dohromady. To je nakonfigurované v pravidle In from AD – Contact Join. Existuje také pravidlo s názvem In z AD – Kontakt common s tokem atributu do atributu metaverse sourceObjectType s konstantou Contact. Toto pravidlo má nízkou prioritu, takže pokud je jakýkoli objekt uživatele připojený ke stejnému objektu metaverse, pak pravidlo z AD – User Common přispívá hodnotu Uživatel k tomuto atributu. S tímto pravidlem má tento atribut hodnotu Kontakt, pokud není připojen žádný uživatel, a hodnota Uživatel, pokud se najde alespoň jeden uživatel.
Pro zřízení objektu pro Microsoft Entra ID, odchozí pravidlo Out to Microsoft Entra ID – Contact Join vytvoří objekt kontaktu, pokud je atribut metaverse sourceObjectType nastaven na Kontakt. Pokud je tento atribut nastaven na User, pak pravidlo Out to Microsoft Entra ID – User Join vytvoří místo toho objekt uživatele. Je možné, že se objekt povýší z kontaktu na uživatele, když se naimportují a synchronizují další zdrojové adresáře služby Active Directory.
Například v topologii GALSync při importu první doménové struktury najdeme kontaktní objekty pro všechny v druhé doménové struktuře. Tato fáze vytvoří nové kontaktní objekty v konektoru Microsoft Entra. Při pozdějším importu a synchronizaci druhé doménové struktury najdeme skutečné uživatele a připojíme je k existujícím objektům metaverse. Potom odstraníme objekt kontaktu v Microsoft Entra ID a místo toho vytvoříme nový objekt uživatele.
Pokud máte topologii, kde jsou uživatelé reprezentováni jako kontakty, ujistěte se, že jste v průvodci instalací vybrali odpovídající uživatele s atributem Mail. Pokud vyberete jinou možnost, máte konfiguraci závislá na objednávce. Kontaktní objekty se vždy připojují k atributu pošty, ale objekty uživatelů se připojují pouze k atributu pošty, pokud byla tato možnost vybrána v průvodci instalací. Pokud byl objekt kontaktu importován před objektem uživatele, v úložišti metaverse pak můžete mít dva různé objekty se stejným atributem Mail. Během exportu do MICROSOFT Entra ID se zobrazí chyba. Toto chování je záměrně a značí chybná data nebo že topologie nebyla během instalace správně identifikována.
Zakázané účty
Zakázané účty se synchronizují i s ID Microsoft Entra. Zakázané účty představují prostředky v Exchangi, například konferenční místnosti. Výjimkou jsou uživatelé s propojenou poštovní schránkou; jak jsme už zmínili, nikdy nezřizují účet pro ID Microsoft Entra.
Předpokladem je, že pokud se najde zakázaný uživatelský účet, pak později nenajdeme jiný aktivní účet. Objekt je zřízen pro Microsoft Entra ID s nalezenými userPrincipalName a sourceAnchor. V případě, že se jiný aktivní účet připojí ke stejnému objektu metaverse, použije se jeho userPrincipalName a sourceAnchor.
Změna zdrojeAnchor
Když je objekt exportován do Microsoft Entra ID, pak už není povoleno změnit sourceAnchor. Při exportu objektu je atribut metaverse cloudSourceAnchor nastaven na hodnotu sourceAnchor přijatou Microsoft Entra ID. Pokud se sourceAnchor změní a neshoduje se s cloudSourceAnchor, pravidlo Out to Microsoft Entra ID – User Join vykáže chybu atribut sourceAnchor se změnil. V tomto případě musí být konfigurace nebo data opravena, takže stejný sourceAnchor je opět k dispozici v metaverse, aby bylo možné objekt znovu synchronizovat.