Sdílet prostřednictvím

Microsoft Entra Connect: Pokud máte existujícího tenanta

  • Článek

Většina témat pro použití microsoft Entra Connect předpokládá, že začínáte s novým tenantem Microsoft Entra a že tam nejsou žádní uživatelé ani jiné objekty. Pokud jste ale začali s tenantem Microsoft Entra, naplnili ho uživateli a dalšími objekty a teď chcete použít connect, je toto téma pro vás.

Základy

Objekt v ID Microsoft Entra se spravuje buď v cloudu, nebo místně. U jednoho objektu nemůžete spravovat některé atributy místně a některé další atributy v Microsoft Entra ID. Každý objekt má příznak označující, kde se objekt spravuje.

Některé uživatele můžete spravovat místně a jiné v cloudu. Běžným scénářem této konfigurace je organizace s kombinací pracovních pracovníků v účetnictví a prodejních pracovníků. Účetní pracovníci mají místní účet AD, ale prodejní pracovníci ne, ale oba mají účet v Microsoft Entra ID. Některé uživatele můžete spravovat místně a některé v Microsoft Entra ID.

Při zahájení správy uživatelů v MICROSOFT Entra ID, které se nacházejí v místním prostředí, je potřeba zvážit některé další obavy a později použít Microsoft Entra Connect.

Synchronizace se stávajícími uživateli v Microsoft Entra ID

Když začnete synchronizovat s Microsoft Entra Connect, rozhraní API služby Microsoft Entra zkontroluje každý nový příchozí objekt a pokusí se najít existující objekt, který se má shodovat. Pro tento proces se používají tři atributy: userPrincipalName, proxyAddressesa sourceAnchor/immutableID. Shoda userPrincipalName nebo proxyAddresses se označuje jako "soft-match." Shoda sourceAnchor se označuje jako "hard-match." Pro atribut proxyAddresses se pro vyhodnocení používá pouze hodnota s SMTP:, což je primární e-mailová adresa.

Shoda se vyhodnocuje pouze pro nové objekty přicházející z místní služby AD. Pokud změníte existující objekt tak, aby odpovídal některému z těchto atributů, zobrazí se místo toho chyba.

Pokud Microsoft Entra ID najde objekt, ve kterém jsou hodnoty atributů stejné jako nový příchozí objekt z Microsoft Entra Connect, převezme objekt v Microsoft Entra ID a dříve spravovaný objekt se převede na místní správu. Všechny atributy v Microsoft Entra ID s hodnotou v místním Active Directory se přepíšou příslušnou místní hodnotou.

Varování

Vzhledem k tomu, že všechny atributy v Microsoft Entra ID budou přepsány hodnotou z místního prostředí, ujistěte se, že máte kvalitní data na místním serveru. Pokud máte například spravovanou e-mailovou adresu jenom v Microsoftu 365 a neuchováváte ji v místní službě AD DS, ztratíte všechny hodnoty v Microsoft Entra ID / Microsoft 365, které nejsou přítomné ve službě AD DS.

Důležitý

Pokud používáte synchronizaci hodnot hash hesel, která je vždy povolená při expresní instalaci, přepíše se hodnota hash hesla v Microsoft Entra ID na hodnotu hash hesla z místního AD. Pokud jsou uživatelé zvyklí spravovat různá hesla, musíte je informovat, že by měli používat heslo pro místní AD.

Předchozí část a upozornění se musí při plánování zvážit. Pokud jste provedli mnoho změn v ID Microsoft Entra, které se neprojevily v místní službě AD DS, musíte před synchronizací objektů se službou Microsoft Entra Connect naplánovat, jak naplnit službu AD DS aktualizovanými hodnotami z Microsoft Entra ID.

Pokud jste objekty spárovali s měkkou shodou, atribut sourceAnchor se přidá k objektu v Microsoft Entra ID, aby bylo možné později použít pevnou shodu.

Důležitý

Microsoft důrazně nedoporučuje synchronizovat místní účty s předem existujícími účty pro správu v Microsoft Entra ID.

Přesná shoda vs. volná shoda

Ve výchozím nastavení je hodnota SourceAnchor objektu, například "abcdefghijklmnopqrstuv==", řetězcovou reprezentaci mS-Ds-ConsistencyGUID atributu (nebo ObjectGUID v závislosti na konfiguraci) z místního objektu Active Directory. Tato hodnota je nastavena jako odpovídající ImmutableId v Microsoft Entra ID.

Když Microsoft Entra Connect nebo Cloud Sync přidá nové objekty, služba Microsoft Entra ID se pokusí spárovat příchozí objekt pomocí hodnoty sourceAnchor odpovídající atributu ImmutableId stávajících objektů v Microsoft Entra ID. Pokud dojde k shodě, Microsoft Entra Connect převezme zdroj nebo autoritu (SoA) tohoto objektu a aktualizuje ho vlastnostmi příchozího místního objektu Active Directory v tom, co se označuje jako "hard-match". Pokud ID Microsoft Entra nemůže najít žádný objekt s ImmutableId, který odpovídá hodnotě SourceAnchor, pokusí se použít userPrincipalName nebo primární adresu SMTP příchozího objektu k vyhledání shody v tom, co se označuje jako "soft-match."

Jak hard-match, tak soft-match se snaží spárovat objekty, které jsou již přítomné a spravované v Microsoft Entra ID, s novými příchozími objekty, které představují stejnou místní entitu. Pokud Microsoft Entra ID nemůže najít pevný nebo soft-match příchozího objektu, zřídí nový objekt v adresáři Microsoft Entra ID.

Pokud je Microsoft Entra ID schopen "soft-match" nový příchozí objekt založený na primární adrese SMTP s existujícím objektem spravovaným v Microsoft Entra ID, ale tento nový objekt má jinou hodnotu sourceAnchor, dochází k pokusu o zřízení nového objektu, což obvykle vede ke konfliktu, kdy Microsoft Entra ID nemůže vytvořit nový objekt. K tomuto konfliktu dochází v situacích, jako jsou:

  • V atributu mS-Ds-ConsistencyGuid byla nastavena jiná hodnota sourceAnchor u původního místního uživatele AD, který byl již synchronizován s ID Entra.

  • Nový lokální uživatel služby AD byl vytvořen se stejným hlavním názvem uživatele (UPN) a primární adresou SMTP, ale má jiný sourceAnchor a SID.

V takových případech se v Microsoft Entra Connect nebo Cloudové synchronizaci vyvolá chyba AttributeValueMustBeUnique exportu. V závislosti na příchozích vlastnostech uživatele může tato chyba odkazovat na jeden z následujících konfliktů atributů:

  • AttributeConflictName = OnPremiseSecurityIdentifier: nový objekt, který přichází, má jiný sourceAnchor, ale stejný OnPremiseSecurityIdentifier (SID) a primární adresu SMTP jako existující uživatel v adresáři Entra ID.

  • AttributeConflictName = ProxyAddresses: nový příchozí objekt má jiný sourceAnchor a SID, ale má stejnou primární adresu SMTP jako existující uživatel v adresáři Entra ID.

Poznámka

V některých vzácných situacích dojde ke konfliktu identifikovanému jako OnPremiseSecurityIdentifier kvůli problému s místním fondem RID služby Active Directory (AD), například pokud byl řadič domény obnoven ze zálohy, což může vést k vytvoření nového uživatele se stejným identifikátorem SID. V takových případech se při pokusu o provedení zřízení uživatele vyvolá chyba AttributeValueMustBeUnique, a to ne kvůli pokusům osoft-match, ale protože OnPremiseSecurityIdentifier musí být v adresáři Entra ID jedinečný.

Tyto scénáře obvykle znamenají, že se pokoušíte znovu vytvořit stejného uživatele. Pokud chcete konflikt vyřešit, měli byste aktualizovat atribut mS-Ds-ConsistencyGuid místního uživatele tak, aby odpovídal stejné hodnotě jako id ImmutableID existujícího cloudového uživatele. Tato změna umožňuje, aby Microsoft Entra ID provedl správnou "tvrdou shodu".

Blokování pevné shody v ID Microsoft Entra

Přidali jsme možnost konfigurace, která zakáže funkci pevné shody v ID Microsoft Entra. Zákazníkům doporučujeme zakázat pevné párování, pokud je nepotřebují využít k převzetí účtů, které jsou pouze v cloudu.

Pokud chcete zakázat pevné párování, použijte rutinu Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShellu:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Blokovat soft-match v Microsoft Entra ID

Podobně jsme přidali možnost konfigurace, která zakáže možnost měkkého párování v Microsoft Entra ID. Zákazníkům doporučujeme zakázat soft matching, pokud ho nepotřebují k převzetí účtů pouze v cloudu.

Chcete-li zakázat soft matching, použijte rutinu Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Poznámka

BlockCloudObjectTakeoverThroughHardMatchEnabled a BlockSoftMatchEnabled se používají k zamezení shody všech objektů, pokud je to pro nájemce povoleno. Zákazníkům se doporučuje zakázat tyto funkce pouze v období, kdy je pro jejich nájemní vztah vyžadován konkrétní postup. Tento příznak by měl být znovu nastaven na True po dokončení shody a už není potřeba.

Jiné objekty než uživatelé

U skupin a kontaktů s podporou pošty můžete na základě proxyAddresses použít soft-match. Neplatí pevná shoda, protože zdrojAnchor/immutableID můžete aktualizovat pomocí PowerShellu pouze u uživatelů. U skupin, které nemají povolené e-mailové funkce, se v současné době nepodporují ani měkké přizpůsobení (soft-match) ani tvrdé přizpůsobení (hard-match).

Úvahy o rolích správce

Aby se chránilo před nedůvěryhodnými místními uživateli, Microsoft Entra ID nebude párovat místní uživatele s cloudovými uživateli, kteří mají roli správce. Toto chování je ve výchozím nastavení. Pokud chcete tento problém obejít, můžete provést následující kroky:

  1. Odeberte role adresáře z uživatelského objektu existujícího pouze v cloudu.

  2. Odstranění nového objektu v karanténě vytvořeného v cloudu

  3. Aktivují nový cyklus synchronizace.

  4. Volitelně můžete po dokončení shody přidat role adresáře zpět do objektu uživatele v cloudu.

Vytvoření nové místní služby Active Directory z dat v MICROSOFT Entra ID

Někteří zákazníci začínají cloudovým řešením s ID Microsoft Entra a nemají místní AD. Později chtějí využívat místní prostředky a chtějí vytvořit místní službu AD založenou na datech Microsoft Entra. Microsoft Entra Connect vám v tomto scénáři nepomůže. Nevytváří uživatele místně a nemá žádnou možnost nastavit heslo místně na stejné jako v Microsoft Entra ID.

Pokud je jediným důvodem pro přidání místní služby AD podpora LOB aplikací (line-of-business aplikace), měli byste místo toho zvážit použití Microsoft Entra Domain Services.

Další kroky

Přečtěte si více o integraci vašich místních identit s Microsoft Entra ID .