Freigeben über

Microsoft Entra Connect Sync: Grundlegendes zur Standardkonfiguration

  • Artikel

In diesem Artikel werden die standardmäßigen Konfigurationsregeln erläutert. Sie dokumentiert die Regeln und wie sich diese Regeln auf die Konfiguration auswirken. Es führt Sie auch durch die Standardkonfiguration von Microsoft Entra Connect Sync. Das Ziel ist, dass der Leser versteht, wie das Konfigurationsmodell, das als deklarative Bereitstellung bezeichnet wird, in einem realen Beispiel funktioniert. In diesem Artikel wird davon ausgegangen, dass Sie die Microsoft Entra Connect-Synchronisierung mithilfe des Installations-Assistenten installiert und konfiguriert haben.

Um die Details des Konfigurationsmodells zu verstehen, lesen Sie Einführung in die deklarative Bereitstellung.

Standardmäßige Regeln für den Übergang von der lokalen Umgebung zu Microsoft Entra-ID

Die Standardkonfiguration kann folgende Ausdrücke enthalten.

Standardregeln für Benutzer*innen

Diese Regeln gelten auch für den iNetOrgPerson-Objekttyp.

Ein Benutzerobjekt muss folgendes erfüllen, um synchronisiert zu werden:

  • Muss über ein sourceAnchor-Element verfügen.
  • Nachdem das Objekt in der Microsoft Entra-ID erstellt wurde, kann sourceAnchor nicht mehr geändert werden. Wenn der Wert lokal geändert wird, wird die Synchronisierung des Objekts beendet, bis der sourceAnchor wieder zu seinem vorherigen Wert geändert wird.
  • Das accountEnabled-Attribut (userAccountControl) muss aufgefüllt sein. Bei einem lokalen Active Directory ist dieses Attribut immer vorhanden und aufgefüllt.

Die folgenden Benutzerobjekte werden nicht mit der Microsoft Entra-ID synchronisiert:

  • IsPresent([isCriticalSystemObject]). Sorgt dafür, dass viele Standardobjekte in Active Directory (wie etwa das integrierte Administratorkonto) nicht synchronisiert werden.
  • IsPresent([sAMAccountName]) = False. Stellen Sie sicher, dass Benutzerobjekte ohne sAMAccountName-Attribut nicht synchronisiert werden. Dieser Fall würde nur in einer Domäne auftreten, die von NT4 aktualisiert wurde.
  • Left([sAMAccountName], 4) = "AAD_", Left([sAMAccountName], 5) = "MSOL_". Synchronisieren Sie nicht das Dienstkonto, das von Microsoft Entra Connect Sync und früheren Versionen verwendet wird.
  • Synchronisieren Sie keine Exchange-Konten, die in Exchange Online nicht funktionieren würden.
    • [sAMAccountName] = "SUPPORT_388945a0"
    • Left([mailNickname], 14) = "SystemMailbox{"
    • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))
    • (Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
  • Synchronisieren Sie keine Objekte, die in Exchange Online nicht funktionieren würden. CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
    Diese Bitmaske (&H21C07000) würde die folgenden Objekte herausfiltern:
    • E-Mail-aktivierter öffentlicher Ordner (ab Version 1.1.524.0 als Vorschauversion)
    • Systembetreuer-Postfach
    • Postfachdatenbankpostfach (Systempostfach)
    • Universelle Sicherheitsgruppe (gilt nicht für Benutzer*innen; nur aus Legacygründen vorhanden)
    • Nicht universelle Gruppe (gilt nicht für einen Benutzer, ist aber aus älteren Gründen vorhanden)
    • Postfachplan
    • Discoverypostfach
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Synchronisieren Sie keine Replikationsopferobjekte.

Die folgenden Attributregeln gelten:

  • sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). Das sourceAnchor-Attribut wird nicht aus einem verbundenen Postfach bereitgestellt. Es wird angenommen, dass, wenn ein verknüpftes Postfach gefunden wird, das tatsächliche Konto später verbunden wird.
  • Exchange-verwandte Attribute werden nur synchronisiert, wenn das Attribut mailNickName- einen Wert aufweist.
  • Sollten mehrere Gesamtstrukturen vorhanden sein, werden die Attribute in der folgenden Reihenfolge verwendet:
    1. Anmeldungsbezogene Attribute (z. B. „userPrincipalName“) werden aus der Gesamtstruktur mit einem aktivierten Konto bereitgestellt.
    2. Attribute aus einer Exchange-GAL (gobale Adressliste) werden aus der Gesamtstruktur mit einem Exchange-Postfach bereitgestellt.
    3. Wird kein Postfach gefunden, können diese Attribute aus einer beliebigen Gesamtstruktur stammen.
    4. Exchange-bezogene Attribute (in der GAL nicht sichtbare technische Attribute) werden aus der Gesamtstruktur bereitgestellt, für die Folgendes gilt: mailNickname ISNOTNULL.
    5. Sollte eine dieser Regeln von mehreren Gesamtstrukturen erfüllt werden, ist die Erstellungsreihenfolge (Datum/Uhrzeit) der Connectors (Gesamtstrukturen) ausschlaggebend. Der erste verbundene Gesamtstruktur ist die erste zu synchronisierende Gesamtstruktur.

Standardregeln für Kontakte

Ein Kontaktobjekt muss folgendes erfüllen, um synchronisiert zu werden:

  • Muss einen E-Mail-Attributwert aufweisen.
  • Der Kontakt muss E-Mail-aktiviert sein. Es wird mittels folgender Regeln überprüft:
    • IsPresent([proxyAddresses]) = True). Das "proxyAddresses"-Attribut muss aufgefüllt werden.
    • Eine primäre E-Mail-Adresse kann entweder im ProxyAddresses-Attribut oder im Mail-Attribut gefunden werden. Das Vorhandensein eines @-Elements wird verwendet, um zu überprüfen, ob der Inhalt eine E-Mail-Adresse ist. Eine der beiden Regeln muss „Wahr“ ergeben.
      • (Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). Gibt es einen Eintrag mit "SMTP:" und wenn vorhanden, kann ein @in der Zeichenfolge gefunden werden?
      • (IsPresent([mail]) = True && (InStr([mail], "@") > 0). Ist das E-Mail-Attribut aufgefüllt, und wenn ja, kann ein @in der Zeichenfolge gefunden werden?

Die folgenden Kontaktobjekte werden nicht mit Microsoft Entra ID synchronisiert:

  • IsPresent([isCriticalSystemObject]). Stellen Sie sicher, dass keine als kritisch gekennzeichneten Kontaktobjekte synchronisiert werden. Bei einer Standardkonfiguration sind für gewöhnlich keine solchen Objekte vorhanden.
  • ((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).
  • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). Diese Objekte funktionieren in Exchange Online nicht.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Synchronisieren Sie keine Replikationsopferobjekte.

Standardregeln für Gruppen

Ein Gruppenobjekt muss folgendes erfüllen, um synchronisiert zu werden:

  • Muss weniger als 250.000 Mitglieder haben. Hierbei handelt es sich um die Mitgliederanzahl der lokalen Gruppe.
    • Wenn mehr Mitglieder vorhanden sind, bevor die Synchronisierung zum ersten Mal gestartet wird, wird die Gruppe nicht synchronisiert.
    • Wenn die Anzahl der Mitglieder seit der ursprünglichen Erstellung wächst, wird die Synchronisierung beendet, sobald sie 250.000 Mitglieder erreicht, bis die Mitgliederzahl wieder unter 250.000 liegt.
    • Hinweis: Microsoft Entra ID erzwingt eine Mitgliedschaftsgrenze von 250 000. Sie können Gruppen nicht mit weiteren Mitgliedern synchronisieren, auch wenn Sie diese Regel ändern oder entfernen.
  • Wenn es sich bei der Gruppe um eine Verteilergruppehandelt, muss sie auch für E-Mails aktiviert sein. Informationen zur Erzwingung dieser Regel finden Sie unter Standardregeln für Kontakte .

Die folgenden Gruppenobjekte werden nicht mit Microsoft Entra ID synchronisiert:

  • IsPresent([isCriticalSystemObject]). Sorgt dafür, dass viele Standardobjekte in Active Directory (wie etwa die integrierte Administratorgruppe) nicht synchronisiert werden.
  • [sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Von DirSync verwendete Legacygruppe.
  • BitAnd([msExchRecipientTypeDetails],&amp;H40000000). Rollengruppe.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Synchronisieren Sie keine Replikationsopferobjekte.

Standardregeln für „ForeignSecurityPrincipal“

FSPs werden im Metaverse zu einem any-Objekt (*) verknüpft. Tatsächlich geschieht dieser Beitritt nur für Benutzer und Sicherheitsgruppen. Mit dieser Konfiguration wird sichergestellt, dass gesamtstrukturübergreifende Mitgliedschaften richtig aufgelöst und korrekt in Microsoft Entra ID dargestellt werden.

Standardregeln für Computer

Ein Computerobjekt muss folgendes erfüllen, um synchronisiert zu werden:

  • userCertificate ISNOTNULL. Dieses Attribut wird nur auf Windows 10-Computern aufgefüllt. Alle Computerobjekte mit einem Wert in diesem Attribut werden synchronisiert.

Grundlegendes zum Standardregelszenario

In diesem Beispiel wird eine Bereitstellung mit einer Kontogesamtstruktur (A), einer Ressourcengesamtstruktur (R) und einem Microsoft Entra-Verzeichnis verwendet.

Bild mit Szenariobeschreibung

Bei dieser Konfiguration wird vorausgesetzt, dass die Kontogesamtstruktur ein aktiviertes Konto und die Ressourcengesamtstruktur ein deaktiviertes Konto mit einem verknüpften Postfach enthält.

Unser Ziel mit der Standardkonfiguration ist:

  • Auf die Anmeldung bezogene Attribute werden von der Gesamtstruktur aus mit dem aktivierten Konto synchronisiert.
  • Attribute, die in der GAL (Globale Adressliste) gefunden werden können, werden von der Gesamtstruktur aus mit dem Postfach synchronisiert. Wenn kein Postfach gefunden werden kann, wird jede beliebige andere Gesamtstruktur verwendet.
  • Wenn ein verknüpftes Postfach gefunden wird, muss das verknüpfte aktivierte Konto gefunden werden, damit das Objekt zu Microsoft Entra ID exportiert werden kann.

Synchronisierungsregel-Editor

Die Konfiguration kann mit dem Tool Synchronisierungsregeln-Editor (SRE) angezeigt und geändert werden, und eine Verknüpfung dazu finden Sie im Startmenü.

Symbol Symbol für Synchronisierungsregel-Editor

Das SRE ist ein Ressourcenkit-Tool und wird mit Microsoft Entra Connect Sync installiert. Damit es gestartet werden kann, müssen Sie Mitglied der ADSyncAdmins-Gruppe sein. Beim Start sollte Folgendes angezeigt werden:

Synchronisierungsregeln für eingehenden Datenverkehr

In diesem Bereich werden alle Synchronisierungsregeln angezeigt, die für Ihre Konfiguration erstellt wurden. Jede Zeile in der Tabelle ist eine Synchronisierungsregel. Auf der linken Seite sind unter „Regeltypen“ die beiden verschiedenen Arten aufgeführt: eingehend und ausgehend. Eingehend und ausgehend bedeutet aus Sicht vom Metaverse. In dieser Übersicht geht es vor allem um die Regeln für eingehenden Datenverkehr. Die tatsächliche Liste der Synchronisierungsregeln hängt vom erkannten Schema in AD ab. Die Kontogesamtstruktur (fabrikamonline.com) in der obigen Abbildung weist keine Dienste wie Exchange und Lync auf, und es wurden keine Synchronisierungsregeln für diese Dienste erstellt. In der Ressourcengesamtstruktur (res.fabrikamonline.com) sind aber Synchronisierungsregeln für diese Dienste vorhanden. Der Inhalt der Regeln unterscheidet sich je nach erkannter Version. In einer Bereitstellung mit Exchange 2013 sind beispielsweise mehr Attributflüsse konfiguriert als in Exchange 2010/2007.

Synchronisierungsregel

Eine Synchronisierungsregel ist ein Konfigurationsobjekt mit einer Reihe von Attributen, die fließen, wenn eine Bedingung erfüllt ist. Damit wird auch beschrieben, welche Beziehung ein Objekt in einem Connectorbereich zu einem Objekt im Metaverse hat. Dies wird als Verknüpfung oder Übereinstimmung bezeichnet. Die Synchronisierungsregeln haben einen Vorrangwert, der angibt, wie sie miteinander zusammenhängen. Eine Synchronisierungsregel mit einem niedrigeren numerischen Wert hat eine höhere Priorität, und bei einem Attributflusskonflikt gewinnt die höhere Priorität die Konfliktlösung.

Ein Beispiel ist die Synchronisierungsregel Eingehend aus AD – Benutzerkonto aktiviert. Markieren Sie diese Zeile im SRE, und wählen Sie Bearbeiten aus.

Da es sich hierbei um eine Standardregel handelt, erhalten Sie eine Warnung, wenn Sie die Regel öffnen. Standardregeln sollten nicht geändert werden. Daher werden Sie nach Ihren Absichten gefragt. In diesem Fall möchten Sie die Regel nur anzeigen. Wählen Sie Neinaus.

Warnung Synchronisierungsregeln – Warnung

Eine Synchronisierungsregel verfügt über vier Konfigurationsabschnitte: Beschreibung, Bereichsdefinitionsfilter, Verknüpfungsregeln und Transformationen.

Beschreibung

Der erste Abschnitt enthält grundlegende Informationen wie einen Namen und eine Beschreibung.

Im Synchronisierungsregel-Editor, die Registerkarte Registerkarte „Beschreibung“ im Synchronisierungsregel-Editorenthält die Beschreibung.

Außerdem finden Sie Informationen darüber, mit welchem verbundenen System diese Regel verknüpft ist, mit welchem Objekttyp im verbundenen System sie angewendet wird, und dem Metaverse-Objekttyp. Der Metaverse-Objekttyp ist immer Person, unabhängig davon, ob der Quellobjekttyp ein Benutzer, iNetOrgPerson oder Kontakt ist. Der Metaverse-Objekttyp sollte sich nie ändern, sodass er als generischer Typ erstellt wird. Für die Verknüpfungsart kann „Join“, „StickyJoin“ oder „Bereitstellung“ festgelegt werden. Diese Einstellung arbeitet mit dem Bereich der Verknüpfungsregeln zusammen. Dies wird später behandelt.

Sie können auch sehen, dass diese Synchronisierungsregel für die Kennwortsynchronisierung verwendet wird. Wenn ein Benutzer den Gültigkeitsbereich für diese Synchronisierungsregel hat, wird das Kennwort von lokal mit der Cloud synchronisiert (vorausgesetzt, Sie haben die Kennwortsynchronisierungsfunktion aktiviert).

Bereichsfilter

Der Abschnitt "Bereichsfilter" wird verwendet, um zu konfigurieren, wann eine Synchronisierungsregel angewendet werden soll. Da der Name der Synchronisierungsregel, die Sie betrachten, angibt, dass sie nur für aktivierte Benutzer angewendet werden sollte, wird der Bereich so konfiguriert, dass das AD-Attribut userAccountControl nicht über den Bit 2-Satz verfügen darf. Wenn das Synchronisierungsmodul einen Benutzer in AD findet, wendet es diese Synchronisierungsregel an, wenn userAccountControl- auf den Dezimalwert 512 (aktivierter normaler Benutzer) festgelegt ist. Die Regel wird nicht angewendet, wenn der Benutzer userAccountControl auf 514 (deaktivierter normaler Benutzer) festgelegt hat.

Screenshot: Abschnitt „Bereichsfilter“ des Fensters „Eingehende Synchronisierungsregel bearbeiten“.

Der Bereichsfilter verfügt über Gruppen und Klauseln, die geschachtelt werden können. Alle Klauseln innerhalb einer Gruppe müssen erfüllt sein, damit eine Synchronisierungsregel angewendet werden kann. Wenn mehrere Gruppen definiert sind, muss mindestens eine Gruppe erfüllt sein, damit die Regel angewendet werden kann. Dies bedeutet, dass zwischen Gruppen ein logisches ODER und innerhalb einer Gruppe ein logisches UND ausgewertet wird. Ein Beispiel für diese Konfiguration befindet sich in der ausgehenden Synchronisierungsregel Ausgehend an Microsoft Entra ID – Gruppenverknüpfung. Es gibt mehrere Synchronisierungsfiltergruppen, z. B. eine für Sicherheitsgruppen (securityEnabled EQUAL True) und eine für Verteilergruppen (securityEnabled EQUAL False).

Registerkarte „Bereichsdefinition“ im Synchronisierungsregel-Editor

Diese Regel wird verwendet, um zu definieren, welche Gruppen für Microsoft Entra ID bereitgestellt werden sollen. Verteilergruppen müssen E-Mail-fähig sein, um mit Microsoft Entra ID synchronisiert zu werden, aber für Sicherheitsgruppen ist keine E-Mail erforderlich.

Verknüpfungsregeln

Der dritte Abschnitt wird verwendet, um zu konfigurieren, wie Objekte im Verbinderbereich mit Objekten im Metaverse zusammenhängen. Die Regel, die Sie zuvor betrachtet haben, hat keine Konfiguration für Verknüpfungsregeln. Stattdessen sehen Sie sich Eingehend aus AD – Benutzerverknüpfung an.

Registerkarte „Verknüpfungsregeln“ im Synchronisierungsregel-Editor

Der Inhalt der Verknüpfungsregeln hängt von der entsprechenden Option ab, die im Installations-Assistenten ausgewählt ist. Für eine Regel für eingehenden Datenverkehr beginnt die Auswertung mit einem Objekt im Quellconnectorbereich, und jede Gruppe in den Verknüpfungsregeln wird nacheinander ausgewertet. Wenn ein Quellobjekt ausgewertet wird, um genau ein Objekt in der Metaverse mithilfe einer der Verknüpfungsregeln abzugleichen, werden die Objekte verknüpft. Wenn alle Regeln ausgewertet wurden und keine Übereinstimmung vorhanden ist, wird die Verknüpfungsart auf der Beschreibungsseite verwendet. Wenn diese Konfiguration auf Bereitstellung festgelegt ist, wird im Ziel ein neues Objekt erstellt, das Metaverse, wenn mindestens ein Attribut in den Verknüpfungskriterien vorhanden ist (einen Wert hat). Die Bereitstellung eines neuen Objekts im Metaverse wird auch als das Projizieren eines Objekts zum Metaverse bezeichnet.

Die Verknüpfungsregeln werden nur einmal ausgewertet. Wenn ein Verbinderbereichsobjekt und ein Metaverse-Objekt verknüpft sind, bleiben sie verknüpft, solange der Geltungsbereich der Synchronisierungsregel noch erfüllt ist.

Bei der Auswertung von Synchronisierungsregeln muss sich nur eine Synchronisierungsregel mit definierten Verknüpfungsregeln im Gültigkeitsbereich befinden. Wenn mehrere Synchronisierungsregeln mit Verknüpfungsregeln für ein Objekt gefunden werden, wird ein Fehler ausgelöst. Aus diesem Grund empfiehlt es sich, nur eine Synchronisierungsregel mit Verknüpfung zu definieren, wenn mehrere Synchronisierungsregeln für ein Objekt gelten. In der Standardkonfiguration für die Microsoft Entra Connect-Synchronisierung finden Sie diese Regeln, indem Sie sich den Namen ansehen und die mit dem Wort Join am Ende des Namens finden. Eine Synchronisierungsregel ohne definierte Verknüpfungsregeln wendet die Attributflüsse an, wenn eine andere Synchronisierungsregel die Objekte miteinander verknüpft oder ein neues Objekt im Ziel bereitgestellt hat.

Wenn Sie die obige Abbildung betrachten, sehen Sie, dass die Regel versucht, objectSID mit msExchMasterAccountSid (Exchange) und msRTCSIP-OriginatorSid (Lync) zu verknüpfen, was in einer Kontoressourcengesamtstruktur-Topologie zu erwarten ist. Man findet dieselbe Regel in allen Wäldern. Die Annahme ist, dass jede Gesamtstruktur entweder eine Konto- oder eine Ressourcengesamtstruktur sein könnte. Diese Konfiguration funktioniert auch, wenn Sie über Konten verfügen, die in einer einzelnen Gesamtstruktur vorhanden sind und nicht verknüpft werden müssen.

Verwandlungen

Im Abschnitt "Transformation" werden alle Attributflüsse definiert, die für das Zielobjekt gelten, wenn die Objekte verknüpft sind und der Bereichsfilter erfüllt ist. Wenn Sie zur Synchronisierungsregel Eingehend aus AD – Benutzerkonto aktiviert zurückkehren, sind die folgenden Transformationen vorhanden:

Registerkarte Registerkarte „Transformationen“ im Synchronisierungsregel-Editor

Zur Orientierung in Bezug auf diese Konfiguration: In einer Kontoressourcen-Gesamtstrukturbereitstellung wird erwartet, dass ein aktiviertes Konto in der Kontogesamtstruktur und ein deaktiviertes Konto in der Ressourcengesamtstruktur mit Exchange- und Lync-Einstellungen vorgefunden werden. Die betrachtete Synchronisierungsregel enthält die für die Anmeldung erforderlichen Attribute, und diese sollen von der Gesamtstruktur übermittelt werden, in der ein aktiviertes Konto enthalten ist. Alle diese Attributflüsse werden in einer Synchronisierungsregel zusammengefasst.

Eine Transformation kann unterschiedliche Typen aufweisen: „Konstant“, „Direkt“ und „Ausdruck“.

  • Ein konstanter Datenstrom überträgt immer einen hartcodierten Wert. Im obigen Fall wird immer der Wert Wahr im Metaverseattribut accountEnabled festgelegt.
  • Bei einem direkten Fluss wird der Wert des Attributs der Quelle immer unverändert an das Zielattribut übermittelt.
  • Der dritte Flusstyp ist „Ausdruck“ und gestattet fortgeschrittenere Konfigurationen.

Die Ausdruckssprache ist VBA (Visual Basic for Applications), sodass Benutzer mit Erfahrung mit Microsoft Office oder VBScript das Format erkennen. Attribute werden in eckige Klammern eingeschlossen, [attributName]. Bei Attributnamen und Funktionsnamen wird die Groß-/Kleinschreibung berücksichtigt, aber der Synchronisierungsregel-Editor wertet die Ausdrücke aus und zeigt eine Warnung an, wenn der Ausdruck nicht zulässig ist. Alle Ausdrücke werden in einer einzelnen Zeile mit geschachtelten Funktionen ausgedrückt. Zur Veranschaulichung der Leistung der Konfigurationssprache folgt hier der Fluss für „pwdLastSet“, jedoch mit zusätzlich eingefügten Kommentaren:

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .NET datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

Weitere Informationen zur Ausdruckssprache für Attributflüsse finden Sie unter Grundlegendes zu Ausdrücken für die deklarative Bereitstellung .

Vorrang

Sie haben nun einige einzelne Synchronisierungsregeln betrachtet, aber die Regeln arbeiten innerhalb der gesamten Konfiguration zusammen. In einigen Fällen tragen mehrere Synchronisierungsregeln einen Attributwert zum gleichen Zielattribut bei. In diesem Fall wird die Attributrangfolge verwendet, um zu bestimmen, welches Attribut gewinnt. Als Beispiel werfen wir einen Blick auf das sourceAnchor-Attribut. Dieses Attribut ist ein wichtiges Attribut, um sich bei der Microsoft Entra-ID anmelden zu können. Zwei verschiedene Synchronisierungsregeln enthalten einen Attributfluss für dieses Attribut: Eingehend aus AD – Benutzerkonto aktiviert und Eingehend aus AD – Benutzer allgemein. Aufgrund des Synchronisierungsregelvorrangs trägt die Gesamtstruktur das sourceAnchor-Attribut mit einem aktivierten Konto erst dann bei, wenn mehrere Objekte mit dem Metaverse-Objekt verknüpft sind. Wenn keine aktivierten Konten vorhanden sind, verwendet das Synchronisierungsmodul die allgemeine Synchronisierungsregel Eingehend aus AD – Benutzer allgemein. Diese Konfiguration stellt sicher, dass auch bei deaktivierten Konten immer noch ein sourceAnchor vorhanden ist.

Synchronisierungsregeln für eingehenden Datenverkehr

Die Rangfolge für Synchronisierungsregeln wird vom Installations-Assistenten in Gruppen festgelegt. Alle Regeln in einer Gruppe haben denselben Namen, aber sie sind mit verschiedenen verbundenen Verzeichnissen verbunden. Der Installations-Assistent räumt der Regel Eingehend aus AD – Benutzerverknüpfung die höchste Rangfolgenposition ein und führt dafür eine Iteration über alle verbundenen AD-Verzeichnisse aus. Anschließend werden die folgenden Regelgruppen in einer vordefinierten Reihenfolge abgehandelt. Innerhalb einer Gruppe werden die Regeln in der Reihenfolge hinzugefügt, in der die Connectors dem Assistenten hinzugefügt wurden. Wenn ein weiterer Connector durch den Assistenten hinzugefügt wird, werden die Synchronisierungsregeln neu geordnet, und die Regeln für den neuen Connector werden zuletzt in jede Gruppe eingefügt.

Zusammenfügen des Gesamtbilds

Wir wissen jetzt genug über Synchronisierungsregeln, um zu verstehen, wie die Konfiguration mit den verschiedenen Synchronisierungsregeln funktioniert. Wenn Sie einen Benutzer und die Attribute betrachten, die zur Metaverse beigetragen haben, werden die Regeln in der folgenden Reihenfolge angewendet:

Name Kommentar
Eingehend aus AD – Benutzerverknüpfung Regel für die Verknüpfung von Connectorbereichobjekten mit Metaverse.
Eingehend aus AD – Benutzerkonto aktiviert Attribute, die für die Anmeldung bei Microsoft Entra ID und Microsoft 365 erforderlich sind. Wir möchten diese Attribute aus dem aktivierten Konto.
Eingehend aus AD – Benutzer allgemein aus Exchange In der globalen Adressliste gefundene Attribute. Wir gehen davon aus, dass die Datenqualität im Wald am besten ist, in dem wir das Postfach des Benutzers gefunden haben.
Eingehend aus AD – Benutzer allgemein In der globalen Adressliste gefundene Attribute. Falls wir kein Postfach gefunden haben, kann jedes andere verknüpfte Objekt den Attributwert beitragen.
Eingehend aus AD – Benutzer Exchange Ist nur vorhanden, wenn Exchange erkannt wurde. Fluss aller Exchange-Attribute der Infrastruktur wird ausgeführt.
Eingehend aus AD – Benutzer Lync Ist nur vorhanden, wenn Lync erkannt wurde. Fluss aller Lync-Attribute der Infrastruktur wird ausgeführt.

Nächste Schritte

Übersichtsthemen