Microsoft Entra Connect: concetti di progettazione
Lo scopo di questo documento è descrivere le aree da considerare durante la configurazione di Microsoft Entra Connect. Si tratta di un'analisi approfondita di determinate aree e questi concetti vengono illustrati brevemente anche in altri documenti.
sourceAnchor
L'attributo sourceAnchor viene definito come un attributo immutabile durante il ciclo di vita di un oggetto. Identifica in modo univoco un oggetto come lo stesso oggetto in locale e in Microsoft Entra ID. L'attributo è detto anche immutableId e i due nomi vengono usati in modo intercambiabile.
La parola non modificabile, ovvero "non può essere modificata", è importante per questo documento. Poiché il valore di questo attributo non può essere modificato dopo che è stato impostato, è importante selezionare una progettazione che supporti lo scenario.
L'attributo viene usato per gli scenari seguenti:
- Quando viene compilato o ricompilato un nuovo server del motore di sincronizzazione dopo uno scenario di ripristino di emergenza, questo attributo collega gli oggetti esistenti in Microsoft Entra ID con oggetti locali.
- Se si passa da un'identità solo cloud a un modello di identità sincronizzato, tale attributo consente agli oggetti di "trovare la perfetta corrispondenza" tra gli oggetti esistenti in Microsoft Entra ID e oggetti locali.
- Se si usa la federazione, questo attributo viene usato insieme a userPrincipalName nell'attestazione per identificare in modo univoco un utente.
Questo argomento esamina sourceAnchor solo relativamente agli utenti. Le stesse regole si applicano a tutti i tipi di oggetto, ma solo per gli utenti questo problema è in genere un problema.
Selezione di un attributo sourceAnchor valido
Il valore dell'attributo deve rispettare le regole seguenti:
- Lunghezza inferiore a 60 caratteri
- I caratteri diversi da a-z, A-Z o 0-9 vengono codificati e conteggiati come 3 caratteri
- Non deve contenere un carattere speciale: \ ! # $ % & * + / = ? ^ ` { } | ~ <> ( ) ' ; : , [ ] " @ _
- Deve essere univoco a livello globale
- Deve essere una stringa, un valore intero o un numero binario
- Non deve essere basato sul nome dell'utente perché possono cambiare
- Non deve fare distinzione tra maiuscole e minuscole né contenere valori che possono variare in base alle maiuscole/minuscole
- Deve essere assegnato quando viene creato l'oggetto
Se sourceAnchor selezionato non è di tipo stringa, Microsoft Entra Connect Base64Encode il valore dell'attributo per assicurarsi che non vengano visualizzati caratteri speciali. Se si usa un altro server federativo, assicurarsi che il server sia in grado di applicare Base64Encode all'attributo.
L'attributo sourceAnchor rispetta la distinzione tra maiuscole e minuscole. Il valore "JohnDoe" non è uguale a "johndoe". Ma non dovresti avere due oggetti diversi con solo una differenza nel caso.
Se è presente una singola foresta locale, l'attributo da usare è objectGUID. Questo è anche l'attributo usato quando si usano le impostazioni rapide in Microsoft Entra Connect e anche l'attributo usato da DirSync.
Se sono presenti più foreste e non si spostano utenti tra foreste e domini, objectGUID è un buon attributo da usare anche in questo caso.
Se si spostano utenti tra foreste e domini, è necessario trovare un attributo che non cambia o può essere spostato con gli utenti durante lo spostamento. Un approccio consigliato consiste nell'introdurre un attributo sintetico. È possibile usare un attributo che include un elemento analogo a un GUID. Un nuovo GUID viene creato e assegnato all'utente durante la creazione di un oggetto. È possibile creare una regola di sincronizzazione personalizzata nel server del motore di sincronizzazione per creare questo valore in base all'oggettoGUID e aggiornare l'attributo selezionato in Servizi di dominio Active Directory. Quando si sposta l'oggetto, assicurarsi di copiare anche il contenuto di questo valore.
Un'altra soluzione consiste nello scegliere un attributo esistente che si sa che non cambierà. Uno degli attributi più comunemente usati è employeeID. Se si considera un attributo che contiene lettere, assicurarsi che non vi sia alcuna probabilità che la maiuscola o minuscola possa cambiare per il valore dell'attributo. Gli attributi non validi che non devono essere usati includono quelli con il nome dell'utente. In un matrimonio o divorzio, il nome dovrebbe cambiare, che non è consentito per questo attributo. Questo è anche un motivo per cui gli attributi come userPrincipalName, mail e targetAddress non sono nemmeno possibile selezionare nell'installazione guidata di Microsoft Entra Connect. Questi attributi contengono anche il carattere "@", che non è consentito in sourceAnchor.
Modifica dell'attributo sourceAnchor
Il valore dell'attributo sourceAnchor non può essere modificato dopo che l'oggetto è stato creato in Microsoft Entra ID e l'identità viene sincronizzata.
Per questo motivo, le restrizioni seguenti si applicano a Microsoft Entra Connect:
- L'attributo sourceAnchor può essere configurato solo durante l'installazione iniziale. Se si esegue di nuovo l'installazione guidata, questa opzione sarà di sola lettura. Per modificare questa impostazione, è necessario eseguire la disinstallazione e la reinstallazione.
- Se si installa un altro server Microsoft Entra Connect, è necessario selezionare lo stesso attributo sourceAnchor usato in precedenza. Se in precedenza si usa DirSync e si passa a Microsoft Entra Connect, è necessario usare objectGUID poiché questo è l'attributo usato da DirSync.
- Se il valore di sourceAnchor viene modificato dopo l'esportazione dell'oggetto nell'ID Microsoft Entra, Microsoft Entra Connect Sync genera un errore e non consente altre modifiche sull'oggetto prima che il problema sia stato risolto e sourceAnchor viene nuovamente modificato nella directory di origine.
Uso di ms-DS-ConsistencyGuid come sourceAnchor
Per impostazione predefinita, Microsoft Entra Connect (versione 1.1.486.0 e versioni precedenti) usa objectGUID come attributo sourceAnchor. ObjectGUID è generato dal sistema. Non è possibile specificarne il valore durante la creazione di oggetti AD locali. Come illustrato nella sezione sourceAnchor, in alcuni scenari è necessario specificare il valore di sourceAnchor. Se gli scenari sono applicabili all'utente, è necessario usare un attributo AD configurabile, ad esempio ms-DS-ConsistencyGuid, come attributo sourceAnchor.
Microsoft Entra Connect (versione 1.1.524.0 e successive) ora facilita l'uso dell'attributo ms-DS-ConsistencyGuid come attributo sourceAnchor. Quando si usa questa funzionalità, Microsoft Entra Connect configura automaticamente le regole di sincronizzazione per:
Usare ms-DS-ConsistencyGuid come attributo sourceAnchor per gli oggetti User. ObjectGUID è usato per altri tipi di oggetto.
Per qualsiasi oggetto utente di Active Directory locale il cui attributo ms-DS-ConsistencyGuid non è popolato, Microsoft Entra Connect scrive il valore objectGUID nell'attributo ms-DS-ConsistencyGuid in Active Directory locale. Dopo aver popolato l'attributo ms-DS-ConsistencyGuid, Microsoft Entra Connect esporta quindi l'oggetto in Microsoft Entra ID.
Nota
Dopo l'importazione di un oggetto AD locale in Microsoft Entra Connect (ovvero importato nello spazio connettore di AD e proiettato nel Metaverse), non è più possibile modificare il valore sourceAnchor. Per specificare il valore sourceAnchor per un determinato oggetto AD locale, configurare il relativo attributo ms-DS-ConsistencyGuid prima dell'importazione in Microsoft Entra Connect.
È necessaria l'autorizzazione
Per questa funzionalità, l'account Active Directory Domain Services usato per la sincronizzazione con Active Directory locale deve disporre dell'autorizzazione di scrittura per l'attributo ms-DS-ConsistencyGuid in Active Directory locale.
Come abilitare la funzionalità ConsistencyGuid: nuova installazione
È possibile abilitare l'uso di ConsistencyGuid come sourceAnchor durante una nuova installazione. Questa sezione descrive dettagliatamente sia l'installazione rapida che quella personalizzata.
Nota
Solo le versioni più recenti di Microsoft Entra Connect (1.1.524.0 e successive) supportano l'uso di ConsistencyGuid come sourceAnchor durante la nuova installazione.
Come abilitare la funzionalità ConsistencyGuid
Installazione rapida
Quando si installa Microsoft Entra Connect con la modalità Express, la procedura guidata di Microsoft Entra Connect determina automaticamente l'attributo AD più appropriato da usare come attributo sourceAnchor usando la logica seguente:
Prima di tutto, la procedura guidata di Microsoft Entra Connect esegue una query sul tenant di Microsoft Entra per recuperare l'attributo AD usato come attributo sourceAnchor nell'installazione precedente di Microsoft Entra Connect (se presente). Se queste informazioni sono disponibili, Microsoft Entra Connect usa lo stesso attributo di AD.
Nota
Solo le versioni più recenti di Microsoft Entra Connect (1.1.524.0 e successive) archiviano informazioni nel tenant di Microsoft Entra sull'attributo sourceAnchor usato durante l'installazione. Le versioni precedenti di Microsoft Entra Connect non sono disponibili.
Se le informazioni sull'attributo sourceAnchor usato non sono disponibili, la procedura guidata controlla lo stato dell'attributo ms-DS-ConsistencyGuid in Active Directory locale. Se l'attributo non è configurato in un qualsiasi oggetto nella directory, la procedura usa l'attributo ms-DS-ConsistencyGuid come attributo sourceAnchor. Se l'attributo è configurato su uno o più oggetti nella directory, la procedura guidata conclude che l'attributo viene usato da altre applicazioni e non è adatto come attributo sourceAnchor...
In questo caso, la procedura guidata esegue il fallback usando objectGUID come attributo sourceAnchor.
Dopo aver deciso l'attributo sourceAnchor, la procedura guidata archivia le informazioni nel tenant di Microsoft Entra. Le informazioni verranno usate dall'installazione futura di Microsoft Entra Connect.
Dopo aver completato l'installazione rapida, la procedura guidata informa l'utente dell'attributo selezionato come attributo sourceAnchor.
Installazione personalizzata
Quando si installa Microsoft Entra Connect con modalità personalizzata, la procedura guidata Microsoft Entra Connect offre due opzioni durante la configurazione dell'attributo sourceAnchor:
Impostazione | Descrizione |
---|---|
Consenti a Microsoft Entra ID di gestire l'ancoraggio di origine per me | Selezionare questa opzione se si desidera che Microsoft Entra ID selezioni automaticamente l'attributo. Se si seleziona questa opzione, la procedura guidata di Microsoft Entra Connect applica la stessa logica di selezione dell'attributo sourceAnchor usata durante l'installazione rapida. Alla stregua dell'installazione rapida, la procedura guidata informa l'utente sull'attributo selezionato come attributo sourceAnchor al termine dell'installazione personalizzata. |
Attributo specifico | Selezionare questa opzione se si vuole specificare un attributo di AD esistente come attributo sourceAnchor. |
Come abilitare la funzionalità ConsistencyGuid: distribuzione esistente
Se si dispone di una distribuzione di Microsoft Entra Connect esistente che usa objectGUID come attributo di ancoraggio di origine, è possibile passare all'uso di ConsistencyGuid.
Nota
Solo le versioni più recenti di Microsoft Entra Connect (1.1.552.0 e successive) supportano il passaggio da ObjectGuid a ConsistencyGuid come attributo di ancoraggio di origine.
Per passare da objectGUID a ConsistencyGuid come attributo dell'ancoraggio di origine:
Avviare la procedura guidata Microsoft Entra Connect e fare clic su Configura per passare alla schermata Attività.
Selezionare l'opzione attività Configura ancoraggio di origine e fare clic su Avanti.
Immettere le credenziali di amministratore di Microsoft Entra e fare clic su Avanti.
La procedura guidata microsoft Entra Connect analizza lo stato dell'attributo ms-DS-ConsistencyGuid nel Active Directory locale. Se l'attributo non è configurato in alcun oggetto nella directory, Microsoft Entra Connect conclude che nessun'altra applicazione usa attualmente l'attributo ed è sicuro usarlo come attributo di ancoraggio di origine. Fare clic su Avanti per continuare.
Nella schermata Pronto per la configurazione fare clic su Configurazione per modificare la configurazione.
Una volta completata la configurazione, la procedura guidata indica che ora viene usato ms-DS-ConsistencyGuid come attributo sourceAnchor.
Durante l'analisi, al passaggio 4, se l'attributo è configurato su uno o più oggetti nella directory, la procedura conclude che l'attributo è usato da un'altra applicazione e restituisce un errore, come illustrato nel diagramma di seguito. Questo errore può verificarsi anche se in precedenza è stata abilitata la funzionalità ConsistencyGuid nel server Microsoft Entra Connect primario e si sta provando a eseguire la stessa operazione nel server di staging.
Se si è certi che l'attributo non viene usato da altre applicazioni esistenti, è possibile eliminare l'errore riavviando la procedura guidata di Microsoft Entra Connect con l'opzione /SkipLdapSearch specificata. A tale scopo, al prompt dei comandi eseguire questo comando:
"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch
Impatto su AD FS o configurazione della federazione di terze parti
Se si usa Microsoft Entra Connect per gestire la distribuzione di AD FS locale, Microsoft Entra Connect aggiorna automaticamente le regole attestazioni per usare lo stesso attributo di AD di sourceAnchor. Ciò garantisce che l'attestazione ImmutableID generata da ADFS sia coerente con i valori sourceAnchor esportati nell'ID Microsoft Entra.
Se si gestisce AD FS all'esterno di Microsoft Entra Connect o si usano server federativi di terze parti per l'autenticazione, è necessario aggiornare manualmente le regole attestazioni per l'attestazione ImmutableID in modo che siano coerenti con i valori sourceAnchor esportati in Microsoft Entra ID come descritto nell'articolo Modificare le regole attestazioni di AD FS. Al termine dell'installazione, viene visualizzato l'avviso seguente:
Aggiunta di nuove directory alla distribuzione esistente
Si supponga di aver distribuito Microsoft Entra Connect con la funzionalità ConsistencyGuid abilitata e ora si vuole aggiungere un'altra directory alla distribuzione. Quando si tenta di aggiungere la directory, la procedura guidata di Microsoft Entra Connect controlla lo stato dell'attributo ms-DS-ConsistencyGuid nella directory. Se l'attributo è configurato su uno o più oggetti nella directory, la procedura conclude che l'attributo è usato da altre applicazioni e restituisce un errore, come mostrato di seguito. Se si è certi che l'attributo non viene usato dalle applicazioni esistenti, è possibile eliminare l'errore riavviando la procedura guidata di Microsoft Entra Connect con l'opzione /SkipLdapSearch specificata come descritto in precedenza oppure è necessario contattare il supporto tecnico per ulteriori informazioni.
Accesso a Microsoft Entra
Durante l'integrazione della directory locale con Microsoft Entra ID, è importante comprendere in che modo le impostazioni di sincronizzazione possono influire sul modo in cui l'utente esegue l'autenticazione. Microsoft Entra ID usa userPrincipalName (UPN) per autenticare l'utente. Quando si sincronizzano gli utenti è tuttavia necessario scegliere con attenzione l'attributo da usare per userPrincipalName.
Scegliere l'attributo per userPrincipalName
Quando si seleziona l'attributo per fornire il valore di UPN da usare in Microsoft Entra ID, assicurarsi che
- I valori degli attributi sono conformi alla sintassi UPN (RFC 822), che deve essere nel formato di username@domain
- Il suffisso nei valori corrisponde a uno dei domini personalizzati verificati in Microsoft Entra ID
Nelle impostazioni rapide come attributo deve essere scelto userPrincipalName. Se l'attributo userPrincipalName non contiene il valore che si vuole che gli utenti accedono a Microsoft Entra ID, è necessario scegliere Installazione personalizzata.
Nota
È consigliabile usare la procedura consigliata per il prefisso UPN contenente più caratteri.
Stato del dominio personalizzato e UPN
È importante assicurarsi che sia presente un dominio verificato per il suffisso UPN.
John è un utente di contoso.com. Si vuole che John usi l'UPN john@contoso.com locale per accedere all'ID Microsoft Entra dopo aver sincronizzato gli utenti con la directory di Microsoft Entra contoso.onmicrosoft.com. A tale scopo, è necessario aggiungere e verificare contoso.com come dominio personalizzato in Microsoft Entra ID prima di iniziare a sincronizzare gli utenti. Se il suffisso UPN di John, ad esempio contoso.com, non corrisponde a un dominio verificato in Microsoft Entra ID, Microsoft Entra ID sostituisce il suffisso UPN con contoso.onmicrosoft.com.
Domini locali non instradabili e UPN per Microsoft Entra ID
Alcune organizzazioni usano domini non instradabili, ad esempio contoso.local, o domini semplici con etichetta singola come contoso. Non è possibile verificare un dominio non instradabile in Microsoft Entra ID. Microsoft Entra Connect può eseguire la sincronizzazione solo con un dominio verificato in Microsoft Entra ID. Quando si crea una directory Microsoft Entra, viene creato un dominio instradabile che diventa dominio predefinito per Microsoft Entra ID, ad esempio contoso.onmicrosoft.com. Si rende quindi necessario verificare eventuali altri domini instradabili nello stesso scenario, nel caso in cui non si voglia eseguire la sincronizzazione con il dominio .onmicrosoft.com predefinito.
Per altre informazioni sull'aggiunta e la verifica dei domini, vedere Aggiungere il nome di dominio personalizzato all'ID Microsoft Entra.
Microsoft EntraConnect rileva se l'esecuzione avviene in un ambiente di dominio non instradabile e avvisa che è opportuno non proseguire con le impostazioni rapide. Se si usa un dominio non instradabile, è probabile che anche l'UPN, degli utenti, abbia suffissi non instradabili. Ad esempio, se si esegue in contoso.local, Microsoft Entra Connect suggerisce di usare impostazioni personalizzate anziché usare le impostazioni rapide. Usando le impostazioni personalizzate, è possibile specificare l'attributo che deve essere usato come UPN per accedere a Microsoft Entra ID dopo che gli utenti sono sincronizzati con Microsoft Entra ID.
Passaggi successivi
Altre informazioni sull'integrazione di identità locali con Microsoft Entra ID.