Fattori che influiscono sulle prestazioni di Microsoft Entra Connect
Microsoft Entra Connect sincronizza Active Directory in Microsoft Entra ID. Questo server è un componente fondamentale dello spostamento delle identità utente nel cloud. I fattori principali che influiscono sulle prestazioni di Microsoft Entra Connect sono:
| Fattore di progettazione | Definizione |
|---|---|
| Topologia | La distribuzione dei componenti e degli endpoint che devono essere gestiti da Microsoft Entra Connect nella rete. |
| Ridimensiona | Il numero di oggetti, ad esempio utenti, gruppi e unità organizzative, che devono essere gestiti da Microsoft Entra Connect. |
| Hardware | L'hardware (fisico o virtuale) per Microsoft Entra Connect e capacità di prestazioni dipendenti di ogni componente hardware, incluse CPU, memoria, rete e configurazione del disco rigido. |
| Impostazione | Come Microsoft Entra Connect elabora directory e informazioni. |
| Load | Frequenza delle modifiche degli oggetti. I carichi possono variare nell'arco di un'ora, un giorno o una settimana. A seconda del componente, potrebbe essere necessario eseguire la progettazione per un picco di carico o un carico medio. |
Questo documento descrive i fattori che influenzano le prestazioni del motore di provisioning di Microsoft Entra Connect. Le organizzazioni complesse o di grandi dimensioni (organizzazioni che effettuano il provisioning di più di 100.000 oggetti) possono usare gli elementi consigliati per ottimizzare l'implementazione di Microsoft Entra Connect, se si verificano i problemi relativi alle prestazioni indicati in questo documento. Gli altri componenti di Microsoft Entra Connect, ad esempio Microsoft Entra Connect Health e gli altri agenti non sono inclusi in questo documento.
Importante
Microsoft non supporta la modifica o l'uso del servizio di sincronizzazione di Microsoft Entra Connect ad eccezione delle azioni formalmente documentate. Ognuna di queste azioni potrebbe provocare uno stato incoerente o non supportato del servizio di sincronizzazione di Microsoft Entra Connect. Microsoft pertanto non offre il supporto tecnico per distribuzioni di questo tipo.
Fattori del componente Microsoft Entra Connect
Il diagramma seguente mostra un'architettura generale del motore di provisioning che si connette a una singola foresta, anche se sono supportate più foreste. Questa architettura illustra l'interazione tra i vari componenti.
Il motore di provisioning si connette a ogni foresta di Active Directory e a Microsoft Entra ID. Il processo di lettura delle informazioni da ogni directory viene chiamato importazione. L'esportazione è invece l'aggiornamento delle directory dal motore di provisioning. La sincronizzazione valuta le regole relative a come gli oggetti si sposteranno all'interno del motore di provisioning. Per un approfondimento, è possibile vedere Servizio di sincronizzazione Microsoft Entra Connect: informazioni sull'architettura.
Microsoft Entra Connect usa le aree di gestione temporanea, le regole e i processi seguenti per consentire la sincronizzazione da Active Directory a Microsoft Entra ID:
- Spazio connettore: gli oggetti di ogni directory connessa, ovvero le directory effettive, vengono inseriti temporaneamente qui prima di poter essere elaborati dal motore di provisioning. Microsoft Entra ID ha il proprio spazio connettore e ogni foresta a cui ci si connette ha il proprio spazio connettore.
- Metaverse: gli oggetti da sincronizzare vengono creati qui in base alle regole di sincronizzazione. Gli oggetti devono esistere nel metaverse prima di poter popolare gli oggetti e gli attributi per le altre directory connesse. Esiste un solo metaverse.
- Regole di sincronizzazione: determinano quali oggetti verranno creati (proiettati) o connessi (aggiunti) negli oggetti del metaverse. Le regole di sincronizzazione determinano anche quali valori degli attributi verranno copiati o trasformati in e dalle directory.
- Profili di esecuzione: aggregano i passaggi del processo di copia degli oggetti e dei valori degli attributi in base alle regole di sincronizzazione tra le aree di staging e le directory connesse.
Esistono profili di esecuzione diversi per ottimizzare le prestazioni del motore di provisioning. La maggior parte delle organizzazioni userà le pianificazioni e i profili di esecuzione predefiniti per le normali operazioni, ma per alcune organizzazioni potrebbe essere necessario modificare la pianificazione o attivare altri profili di esecuzione per gestire situazioni non comuni. Sono disponibili i seguenti profili di esecuzione:
Profilo di sincronizzazione iniziale
Il profilo di sincronizzazione iniziale è il processo di lettura delle directory connesse, ad esempio una foresta di Active Directory, per la prima volta. Esegue quindi un'analisi su tutte le voci nel database del motore di sincronizzazione. Il ciclo iniziale creerà nuovi oggetti in Microsoft Entra ID e il completamento richiederà più tempo se le foreste di Active Directory sono di grandi dimensioni. La sincronizzazione iniziale include i passaggi seguenti:
- Importazione completa su tutti i connettori
- Sincronizzazione completa su tutti i connettori
- Esportazione su tutti i connettori
Profilo di sincronizzazione delta
Per ottimizzare il processo di sincronizzazione, questo profilo di esecuzione elabora solo le modifiche (creazione, eliminazione e aggiornamento) degli oggetti nelle directory connesse, dall'ultimo processo di sincronizzazione. Per impostazione predefinita, il profilo di sincronizzazione delta viene eseguito ogni 30 minuti. Le organizzazioni devono cercare di mantenere questo intervallo di tempo al di sotto dei 30 minuti, per assicurarsi che Microsoft Entra ID sia aggiornato. Per monitorare l'integrità di Microsoft Entra Connect, usare l'agente di monitoraggio dello stato per visualizzare eventuali problemi relativi al processo. Il ciclo di sincronizzazione delta include i passaggi seguenti:
- Importazione differenziale su tutti i connettori
- Sincronizzazione delta su tutti i connettori
- Esportazione su tutti i connettori
Uno scenario di sincronizzazione delta di un'organizzazione aziendale tipico è il seguente:
- ~1% degli oggetti viene eliminato
- ~1% degli oggetti viene creato
- ~5% degli oggetti viene modificato
La frequenza di modifica può variare a seconda di quanto spesso l'organizzazione aggiorna gli utenti in Active Directory. Ad esempio, frequenze di modifica più elevate possono essere determinate dalle assunzioni e dalle riduzioni stagionali della forza lavoro.
Profilo di sincronizzazione completa
Un ciclo di sincronizzazione completa è necessario se è stata apportata una delle modifiche seguenti alla configurazione:
- È stato esteso l'ambito degli oggetti o degli attributi da importare dalle directory connesse, come quando si aggiunge un dominio o un'unità organizzativa all'ambito di importazione.
- Sono state apportate modifiche alle regole di sincronizzazione, Come quando si crea una nuova regola per popolare il titolo di un utente in Microsoft Entra ID da extension_attribute3 in Active Directory. Questo aggiornamento richiede che il motore di provisioning riesamini tutti gli utenti esistenti per aggiornare le relative posizioni e poter applicare la modifica in futuro.
In un ciclo di sincronizzazione completa sono incluse le operazioni seguenti:
- Importazione completa su tutti i connettori
- Sincronizzazione completa/delta su tutti i connettori
- Esportazione su tutti i connettori
Nota
È necessaria un'attenta pianificazione quando si eseguono aggiornamenti in blocco di molti oggetti in Active Directory o in Microsoft Entra ID. Con gli aggiornamenti in blocco, il processo di sincronizzazione delta richiederà più tempo per l'importazione, perché vengono modificati molti oggetti. Le importazioni possono richiedere molto tempo anche se l'aggiornamento in blocco non influisce sul processo di sincronizzazione. Ad esempio, l'assegnazione di licenze a molti utenti in Microsoft Entra ID determinerà un ciclo di importazione lungo da Microsoft Entra ID, ma non comporterà modifiche agli attributi in Active Directory.
Sincronizzazione
Il runtime del processo di sincronizzazione ha le caratteristiche di prestazioni seguenti:
- La sincronizzazione è a thread singolo, vale a dire che il motore di provisioning non esegue elaborazioni parallele dei profili di esecuzione delle directory connesse, degli oggetti o degli attributi.
- La durata dell'importazione cresce in modo lineare con il numero di oggetti da sincronizzare. Se ad esempio l'importazione di 10.000 oggetti richiede 10 minuti, quella di 20.000 oggetti richiederà circa 20 minuti sullo stesso server.
- Anche l'esportazione è lineare.
- La sincronizzazione aumenterà in modo esponenziale in base al numero di oggetti con riferimenti ad altri oggetti. Le appartenenze ai gruppi e i gruppi annidati hanno l'impatto maggiore sulle prestazioni, perché i membri fanno riferimento agli oggetti utente o ad altri gruppi. Questi riferimenti devono trovarsi e fare riferimento agli oggetti effettivi nel metaverse per completare il ciclo di sincronizzazione.
- La modifica di un membro del gruppo comporterà una rivalutazione di tutti i membri del gruppo. Ad esempio, se si dispone di un gruppo con membri da 50.000 e si aggiorna solo 1 membro, verrà attivata una sincronizzazione di tutti i 50.000 membri.
Filtri
Le dimensioni della topologia di Active Directory da importare è il fattore principale che influenza le prestazioni e il tempo complessivo richiesto dai componenti interni del motore di provisioning.
È consigliabile usare i filtri per ridurre gli oggetti a quelli da sincronizzare, Eviterà così di elaborare ed esportare oggetti non necessari a Microsoft Entra ID. Sono disponibili le seguenti tecniche di filtro, in ordine di preferenza:
- Filtro basato su dominio - usare questa opzione per selezionare domini specifici da sincronizzare con Microsoft Entra ID. È anche possibile aggiungere e rimuovere domini dalla configurazione del motore di sincronizzazione quando si apportano modifiche all'infrastruttura locale dopo aver installato il servizio di sincronizzazione di Microsoft Entra Connect.
- Filtro di unità organizzativa (UO) - usa le unità organizzative per indirizzare come destinazione determinati oggetti nei domini di Active Directory per il provisioning a Microsoft Entra ID. Il filtro di unità organizzative è il secondo meccanismo di filtro consigliato perché usa semplici query con ambito LDAP per importare un subset ridotto di oggetti da Active Directory.
- Filtro di attributi per oggetto - usa i valori degli attributi sugli oggetti per determinare se un oggetto specifico in Active Directory ha effettuato il provisioning in Microsoft Entra ID. Il filtro degli attributi è ideale per ottimizzare i filtri, quando il filtro dei domini e delle unità organizzative non soddisfa i requisiti specifici dei filtri. Il filtro degli attributi non riduce il tempo di importazione, ma può ridurre i tempi di sincronizzazione ed esportazione.
- Filtro basato su gruppo - usa l'appartenenza ai gruppi per determinare se effettuare il provisioning degli oggetti in Microsoft Entra ID. Il filtro basato su gruppo è adatto solo a situazioni di test e non è consigliato per l'ambiente di produzione, a causa dell'ulteriore overhead necessario per controllare l'appartenenza ai gruppi durante il ciclo di sincronizzazione.
Molti oggetti sezionatore persistenti nello spazio connettore di Active Directory possono prolungare i tempi di sincronizzazione, perché il motore di provisioning deve rivalutare la possibile connessione di ogni oggetto sezionatore nel ciclo di sincronizzazione. Per ovviare a questo problema, prendere in considerazione una delle indicazioni seguenti:
- Inserire gli oggetti sezionatore al di fuori dell'ambito di importazione usando il filtro del dominio o dell'unità organizzativa.
- Proiettare/Aggiungere gli oggetti nel MV e impostare l'attributo cloudFiltered su Vero, per impedire il provisioning di questi oggetti in Microsoft Entra CS.
Nota
L'applicazione di filtri a un numero eccessivo di oggetti può confondere gli utenti o creare problemi relativi alle autorizzazioni dell'applicazione. In un'implementazione online di Exchange ibrida, ad esempio, gli utenti con cassette postali locali visualizzeranno più utenti nell'elenco indirizzi globale degli utenti con cassette postali in Exchange online. In altri casi, un utente può decidere di concedere l'accesso in un'app cloud a un altro utente che non fa parte dell'ambito del set di oggetti filtrati.
Flussi di attributi
I flussi di attributi sono i processi di copia o trasformazione dei valori degli attributi degli oggetti da una directory connessa a un'altra directory connessa. Vengono definiti come parte delle regole di sincronizzazione. Quando ad esempio il numero di telefono di un utente viene modificato in Active Directory, verrà aggiornato anche in Microsoft Entra ID. Le organizzazioni possono modificare i flussi di attributi in base ai vari requisiti. È consigliabile copiare i flussi di attributi esistenti prima di modificarli.
I semplici reindirizzamenti, ad esempio il trasferimento di un valore di attributo a un attributo diverso, non hanno un impatto sostanziale sulle prestazioni. Un esempio di un reindirizzamento è il flusso di un numero di cellulare in Active Directory al numero di telefono dell'ufficio in Microsoft Entra ID.
La trasformazione dei valori degli attributi può influire sulle prestazioni del processo di sincronizzazione. La trasformazione dei valori degli attributi include la modifica, la riformattazione, la concatenazione o la sottrazione dei valori degli attributi.
Le organizzazioni possono impedire il flusso di determinati attributi in Microsoft Entra ID, ma ciò non influirà sulle prestazioni del motore di provisioning.
Nota
Non eliminare i flussi di attributi indesiderati nelle regole di sincronizzazione. È più consigliabile disabilitarli, perché le regole eliminate vengono ricreate durante gli aggiornamenti di Microsoft Entra Connect.
Fattori di dipendenza di Microsoft Entra Connect
Le prestazioni di Microsoft Entra Connect dipendono dalle prestazioni delle directory connesse in cui vengono eseguite le importazioni e le esportazioni. Ad esempio, la dimensione di Active Directory che deve importare o dalla latenza di rete per il servizio Microsoft Entra. Il database SQL usato dal motore di provisioning influisce anche sulle prestazioni complessive del ciclo di sincronizzazione.
Fattori di Active Directory
Come accennato in precedenza, il numero di oggetti da importare influenza notevolmente le prestazioni. L'hardware e i prerequisiti per Microsoft Entra Connect determinano livelli di hardware specifici in base alle dimensioni della distribuzione. Microsoft Entra Connect supporta solo topologie specifiche, come illustrato in Topologie per Microsoft Entra Connect. Non sono disponibili consigli e ottimizzazioni relativi alle prestazioni per le topologie non supportate.
Assicurarsi che il server di Microsoft Entra Connect soddisfi i requisiti hardware in base alle dimensioni di Active Directory da importare. Una connettività di rete lenta o non efficiente tra il server di Microsoft Entra Connect e i controller di dominio di Active Directory può rallentare l'importazione.
Fattori di Microsoft Entra ID
Microsoft Entra ID usa la limitazione delle richieste per proteggere il servizio cloud da attacchi denial of service (DoS). Microsoft Entra ID ha attualmente un limite massimo di 7.000 operazioni di scrittura ogni 5 minuti (84.000 all'ora). È ad esempio possibile limitare le operazioni seguenti:
- Esportazione di Microsoft Entra Connect in Microsoft Entra ID.
- Applicazioni o script di PowerShell che aggiornano Microsoft Entra ID direttamente, anche in background, come ad esempio i gruppi di appartenenza dinamica.
- Utenti che aggiornano i record di identità, ad esempio quando eseguono la registrazione per MFA o la reimpostazione password self-service.
- Operazioni nell'interfaccia utente grafica.
Pianificare le attività di distribuzione e manutenzione, per assicurarsi che il ciclo di sincronizzazione Microsoft Entra Connect non sia interessato dalla limitazione delle richieste. Un numero elevato di assunzioni e la conseguente creazione di migliaia di identità utente, ad esempio, può causare aggiornamenti dei gruppi di appartenenza dinamica, delle assegnazioni di licenze e delle registrazioni di reimpostazione della password self-service. Si consiglia di distribuire queste operazioni di scrittura su più ore o alcuni giorni.
Fattori del database SQL
Le dimensioni della topologia di Active Directory di origine influiranno sulle prestazioni del database SQL. Seguire i requisiti hardware per il database di SQL Server e tenere presente quanto segue:
- Le organizzazioni con più di 100.000 utenti possono ridurre le latenze di rete usando lo stesso server come posizione condivisa per il database SQL e il motore di provisioning.
- Il protocollo SQL Named Pipes non è supportato perché introduce ritardi significativi nel ciclo di sincronizzazione e deve essere disabilitato nella Gestione configurazione SQL Server nei client nativi SQL e nella rete SQL Server. Si noti che la modifica della configurazione di Named Pipes ha effetto solo dopo il riavvio del database e dei servizi ADSync.
- A causa dei requisiti di input e output (I/O) elevati su disco del processo di sincronizzazione, usare unità SSD per il database SQL del motore di provisioning per ottenere risultati ottimali. Se non è possibile, prendere in considerazione le configurazioni RAID 0 o RAID 1.
- Non eseguire preventivamente una sincronizzazione completa perché potrebbe causare un abbandono non necessario e rallentare i tempi di risposta.
Conclusione
Per ottimizzare le prestazioni dell'implementazione di Microsoft Entra Connect, tenere presente i seguenti consigli:
- Usare la configurazione hardware consigliata in base alle dimensioni dell'implementazione per il server di Microsoft Entra Connect.
- Quando si aggiorna Microsoft Entra Connect in distribuzioni su larga scala, valutare l'uso del metodo di migrazione swing, per assicurarsi che il tempo di inattività sia minimo e l'affidabilità sia ottimale.
- Usare un'unità SSD per il database SQL per ottenere prestazioni di scrittura ottimali.
- Non è consigliabile eseguire il backup del database ADSync usando un backup di Azure.
- Filtrare l'ambito di Active Directory per includere solo gli oggetti di cui serve effettuare il provisioning in Microsoft Entra, usando i filtri per dominio, unità organizzativa o attributo.
- Se è necessario modificare le regole del flusso di attributi predefinite, copiare prima una regola, quindi modificare la copia e disabilitare la regola originale. Ricordare di eseguire di nuovo una sincronizzazione completa.
- Pianificare il tempo sufficiente per il profilo di esecuzione della sincronizzazione completa iniziale.
- Cercare di completare il ciclo di sincronizzazione delta in 30 minuti. Se il profilo di sincronizzazione delta non viene completato in 30 minuti, modificare la frequenza di sincronizzazione predefinita per poter includere un ciclo di sincronizzazione delta completo.
- Monitorare l'integrità della sincronizzazione Microsoft Entra Connect in Microsoft Entra ID.
Passaggi successivi
Altre informazioni sull'integrazione di identità locali con Microsoft Entra ID.