Delen via

Microsoft Entra Connect Sync: informatie over de standaardconfiguratie

  • Artikel

In dit artikel worden de out-of-box-configuratieregels uitgelegd. De regels worden beschreven en hoe deze regels van invloed zijn op de configuratie. U wordt ook begeleid bij de standaardconfiguratie van Microsoft Entra Connect Sync. Het doel is dat de lezer begrijpt hoe het configuratiemodel, genaamd declaratieve inrichting, in een praktijkvoorbeeld werkt. In dit artikel wordt ervan uitgegaan dat u Microsoft Entra Connect-synchronisatie hebt geïnstalleerd en geconfigureerd met behulp van de installatiewizard.

Lees Understanding Declarative Provisioningvoor meer informatie over de details van het configuratiemodel.

Kant-en-klare regels van on-premises naar Microsoft Entra-id

De volgende expressies vindt u in de out-of-box-configuratie.

Out-of-box-regels voor gebruikers

Deze regels zijn ook van toepassing op het objecttype iNetOrgPerson.

Een gebruikersobject moet voldoen aan het volgende dat moet worden gesynchroniseerd:

  • Moet een sourceAnchor hebben.
  • Nadat het object is gemaakt in Microsoft Entra-id, kan sourceAnchor niet meer worden gewijzigd. Als de waarde on-premises wordt gewijzigd, wordt het object niet meer gesynchroniseerd totdat de sourceAnchor weer wordt gewijzigd in de vorige waarde.
  • Het kenmerk accountEnabled (userAccountControl) moet zijn ingevuld. Met een on-premises Active Directory is dit kenmerk altijd aanwezig en ingevuld.

De volgende gebruikersobjecten zijn niet gesynchroniseerd met Microsoft Entra ID:

  • IsPresent([isCriticalSystemObject]). Zorg ervoor dat veel out-of-box-objecten in Active Directory, zoals het ingebouwde beheerdersaccount, niet worden gesynchroniseerd.
  • IsPresent([sAMAccountName]) = False. Zorg ervoor dat gebruikersobjecten zonder kenmerk sAMAccountName niet worden gesynchroniseerd. Dit geval zou alleen praktisch gebeuren in een domein dat is geüpgraded van NT4.
  • Left([sAMAccountName], 4) = "AAD_", Left([sAMAccountName], 5) = "MSOL_". Synchroniseer het serviceaccount dat wordt gebruikt door Microsoft Entra Connect Sync en de eerdere versies niet.
  • Synchroniseer geen Exchange-accounts die niet werken in Exchange Online.
    • [sAMAccountName] = "SUPPORT_388945a0"
    • Left([mailNickname], 14) = "SystemMailbox{"
    • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))
    • (Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
  • Synchroniseer geen objecten die niet werken in Exchange Online. CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
    Met dit bitmasker (&H21C07000) worden de volgende objecten uitgefilterd:
    • Openbare map met e-mail (in preview vanaf versie 1.1.524.0)
    • Systembeheerderpostvak
    • Postvakdatabase Postvak (Systeempostvak)
    • Universele beveiligingsgroep (zou niet van toepassing zijn op een gebruiker, maar is aanwezig om verouderde redenen)
    • Niet-universele groep (zou niet van toepassing zijn op een gebruiker, maar is aanwezig om verouderde redenen)
    • Postvakplan
    • Detectiepostvak
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Synchroniseer geen replicatie-slachtofferobjecten.

De volgende kenmerkregels zijn van toepassing:

  • sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). Het kenmerk sourceAnchor wordt niet bijgedragen vanuit een gekoppeld postvak. Als er een gekoppeld postvak wordt gevonden, wordt ervan uitgegaan dat het werkelijke account later wordt toegevoegd.
  • Exchange-gerelateerde kenmerken worden alleen gesynchroniseerd als het kenmerk mailNickName een waarde heeft.
  • Wanneer er meerdere forests zijn, worden kenmerken in de volgende volgorde gebruikt:
    1. Kenmerken met betrekking tot aanmelden (bijvoorbeeld userPrincipalName) worden bijgedragen vanuit het forest met een ingeschakeld account.
    2. Kenmerken die kunnen worden gevonden in een Exchange GAL (algemene adreslijst) worden bijgedragen vanuit het forest met een Exchange-postvak.
    3. Als er geen postvak kan worden gevonden, kunnen deze kenmerken afkomstig zijn uit elk forest.
    4. Exchange-gerelateerde kenmerken (technische kenmerken die niet zichtbaar zijn in de GAL) worden bijgedragen vanuit het forest waar mailNickname ISNOTNULL.
    5. Als er meerdere forests zijn die aan een van deze regels voldoen, wordt de aanmaakvolgorde (datum/tijd) van de connectors (forests) gebruikt om te bepalen welk forest de kenmerken bijdraagt. Het eerste forest dat is verbonden, is ook het eerste dat synchroniseert.

Contact opnemen met standaardregels

Een contactobject moet aan de volgende voorwaarden voldoen om te worden gesynchroniseerd:

  • Moet een waarde voor het e-mailkenmerk hebben.
  • De contactpersoon moet zijn ingeschakeld voor e-mail. Dit wordt gecontroleerd met de volgende regels:
    • IsPresent([proxyAddresses]) = True). Het kenmerk proxyAddresses moet worden ingevuld.
    • Een primair e-mailadres vindt u in het kenmerk proxyAddresses of het e-mailkenmerk. De aanwezigheid van een @ wordt gebruikt om te controleren of de inhoud een e-mailadres is. Een van deze twee regels moet als Waar worden getoetst.
      • (Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). Is er een vermelding met SMTP:en als dat zo is, kan er een @ worden gevonden in de tekenreeks?
      • (IsPresent([mail]) = True && (InStr([mail], "@") > 0). Is het e-mailkenmerk ingevuld en kan er een @ worden gevonden in de tekenreeks?

De volgende contactobjecten worden niet gesynchroniseerd met Microsoft Entra ID:

  • IsPresent([isCriticalSystemObject]). Zorg ervoor dat er geen contactobjecten zijn gesynchroniseerd die als kritiek zijn gemarkeerd. Er mogen geen problemen zijn met een standaardconfiguratie.
  • ((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).
  • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). Deze objecten werken niet in Exchange Online.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Synchroniseer geen replicatie-slachtofferobjecten.

Out-of-box-regels groeperen

Een groepsobject moet aan de volgende voorwaarden voldoen om gesynchroniseerd te worden.

  • Moet minder dan 250.000 leden hebben. Dit getal is het aantal leden in de on-premises groep.
    • Als er meer leden zijn voordat de synchronisatie de eerste keer wordt gestart, wordt de groep niet gesynchroniseerd.
    • Als het aantal leden toeneemt vanaf het moment dat het oorspronkelijk is gemaakt, wordt de synchronisatie gestopt zodra het 250.000 leden bereikt totdat het aantal leden weer lager is dan 250.000.
    • Opmerking: Microsoft Entra ID dwingt het aantal lidmaatschappen van 250.000 af. U kunt groepen niet synchroniseren met meer leden, zelfs niet als u deze regel wijzigt of verwijdert.
  • Als de groep een distributiegroepis, moet deze ook e-mail zijn ingeschakeld. Zie neem contact op met de standaardregels om deze regel af te dwingen.

De volgende groepsobjecten worden niet gesynchroniseerd met Microsoft Entra ID:

  • IsPresent([isCriticalSystemObject]). Zorg ervoor dat veel out-of-box-objecten in Active Directory, zoals de ingebouwde beheerdersgroep, niet worden gesynchroniseerd.
  • [sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Verouderde groep die wordt gebruikt door DirSync.
  • BitAnd([msExchRecipientTypeDetails],&amp;H40000000). Rolgroep.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Synchroniseer geen replicatie-slachtofferobjecten.

Out-of-box-regels voor ForeignSecurityPrincipal

FSP's worden toegevoegd aan 'any' (*) object in de metaverse. In werkelijkheid gebeurt deze join alleen voor gebruikers en beveiligingsgroepen. Deze configuratie zorgt ervoor dat lidmaatschappen over verschillende forests worden omgezet en correct worden weergegeven in Microsoft Entra ID.

Standaardregels voor computers

Een computerobject moet voldoen aan de volgende criteria om gesynchroniseerd te worden:

  • userCertificate ISNOTNULL. Alleen Windows 10-computers vullen dit kenmerk. Alle computerobjecten met een waarde in dit kenmerk worden gesynchroniseerd.

Begrip van het kant-en-klare regelsetscenario

In dit voorbeeld gebruiken we een implementatie met één accountforest (A), één resourceforest (R) en één Microsoft Entra-map.

afbeelding met scenariobeschrijving

In deze configuratie wordt ervan uitgegaan dat er een ingeschakeld account is in het accountforest en een uitgeschakeld account in het resourceforest met een gekoppeld postvak.

Ons doel met de standaardconfiguratie is:

  • Kenmerken met betrekking tot aanmelding worden vanuit het forest gesynchroniseerd met het ingeschakelde account.
  • Kenmerken die te vinden zijn in de GAL (Algemene adreslijst) worden gesynchroniseerd vanuit het forest met de mailbox. Als er geen postvak kan worden gevonden, wordt elk ander forest gebruikt.
  • Als er een gekoppeld postvak wordt gevonden, moet het gekoppelde ingeschakelde account worden gevonden om het object te exporteren naar Microsoft Entra-id.

Synchronisatieregeleditor

De configuratie kan worden bekeken en gewijzigd met de Editor voor synchronisatieregels voor hulpprogramma's (SRE) en een snelkoppeling naar de configuratie vindt u in het menu Start.

Synchronisatieregels Editor-pictogram

De SRE is een hulpprogramma voor resourcekits en is geïnstalleerd met Microsoft Entra Connect Sync. Als u deze wilt kunnen starten, moet u lid zijn van de groep ADSyncAdmins. Wanneer deze wordt gestart, ziet u ongeveer als volgt:

Inkomende synchronisatieregels

In dit deelvenster ziet u alle synchronisatieregels die voor uw configuratie zijn gemaakt. Elke regel in de tabel is één synchronisatieregel. Links onder Regeltypen worden de twee verschillende typen weergegeven: Inkomend en Uitgaand. Inkomend en uitgaand zijn vanuit het perspectief van de metaverse. In dit overzicht gaat u zich voornamelijk richten op de regels voor inkomend verkeer. De werkelijke lijst met synchronisatieregels is afhankelijk van het gedetecteerde schema in AD. In de bovenstaande afbeelding heeft het accountforest (fabrikamonline.com) geen services, zoals Exchange en Lync, en zijn er geen synchronisatieregels gemaakt voor deze services. In het resourceforest (res.fabrikamonline.com) vindt u echter synchronisatieregels voor deze services. De inhoud van de regels verschilt, afhankelijk van de gedetecteerde versie. In een implementatie met Exchange 2013 zijn er bijvoorbeeld meer kenmerkstromen geconfigureerd dan in Exchange 2010/2007.

Synchronisatieregel

Een synchronisatieregel is een configuratieobject met een set kenmerken die stromen wanneer aan een voorwaarde wordt voldaan. Het wordt ook gebruikt om te beschrijven hoe een object in een connectorruimte is gerelateerd aan een object in de metaverse, bekend als join of matchen met. De synchronisatieregels hebben een prioriteitswaarde die aangeeft hoe ze zich met elkaar verhouden. Een synchronisatieregel met een lagere numerieke waarde heeft een hogere prioriteit en in een kenmerkstroomconflict wint een hogere prioriteit de conflictoplossing.

Bekijk bijvoorbeeld de synchronisatieregel In vanuit AD : User AccountEnabled. Markeer deze regel in de SRE en selecteer Bewerken.

Omdat deze regel een out-of-box-regel is, ontvangt u een waarschuwing wanneer u de regel opent. U moet geen wijzigingen aanbrengen in out-of-box-regels, dus u wordt gevraagd wat uw bedoelingen zijn. In dit geval wilt u alleen de regel weergeven. Selecteer Geen.

waarschuwing voor synchronisatieregels

Een synchronisatieregel heeft vier configuratiesecties: Beschrijving, Bereikfilter, Regels samenvoegen en Transformaties.

Beschrijving

De eerste sectie bevat basisinformatie, zoals een naam en beschrijving.

tabblad Beschrijving in de synchronisatieregeleditor

U vindt ook informatie over het verbonden systeem waarop deze regel is gerelateerd, welk objecttype in het verbonden systeem waarop het van toepassing is en het objecttype metaverse. Het metaverse-objecttype is altijd persoon, ongeacht wanneer het bronobjecttype een gebruiker, iNetOrgPerson of contactpersoon is. Het objecttype metaverse mag nooit worden gewijzigd, zodat het wordt gemaakt als een algemeen type. Het koppelingstype kan worden ingesteld op Join, StickyJoin of Provision. Deze instelling werkt samen met de sectie Join Rules en wordt later behandeld.

U kunt ook zien dat deze synchronisatieregel wordt gebruikt voor wachtwoordsynchronisatie. Als een gebruiker binnen het bereik van deze synchronisatieregel valt, wordt het wachtwoord gesynchroniseerd van on-premises naar de cloud (ervan uitgaande dat u de functie voor wachtwoordsynchronisatie hebt ingeschakeld).

Bereikfilter

De sectie Bereikfilter wordt gebruikt om te configureren wanneer een synchronisatieregel moet worden toegepast. Omdat de naam van de synchronisatieregel die u bekijkt, aangeeft dat deze alleen moet worden toegepast op ingeschakelde gebruikers, is het bereik zo geconfigureerd dat het AD-kenmerk userAccountControl- de bit 2 niet mag hebben ingesteld. Wanneer de synchronisatie-engine een gebruiker in AD vindt, wordt deze synchronisatieregel toegepast wanneer userAccountControl- is ingesteld op de decimale waarde 512 (normale gebruiker ingeschakeld). De regel wordt niet toegepast wanneer de gebruiker userAccountControl heeft ingesteld op 514 (uitgeschakelde normale gebruiker).

Schermopname van de sectie Scopingfilter van het venster Regel voor binnenkomende synchronisatie bewerken.

Het bereikfilter bevat groepen en clausules die kunnen worden genest. Aan alle componenten in een groep moet worden voldaan om een synchronisatieregel toe te passen. Wanneer meerdere groepen zijn gedefinieerd, moet aan ten minste één groep worden voldaan om de regel toe te passen. Dat wil gezegd: een logische OR wordt geëvalueerd tussen groepen en een logische AND wordt binnen een groep geëvalueerd. Een voorbeeld van deze configuratie is te vinden in de regel voor uitgaande synchronisatie Uitgaan naar Microsoft Entra-id : Groep toevoegen. Er zijn verschillende synchronisatiefiltergroepen, bijvoorbeeld een voor beveiligingsgroepen (securityEnabled EQUAL True) en een voor distributiegroepen (securityEnabled EQUAL False).

Tabblad Bereik in de synchronisatieregeleditor

Deze regel wordt gebruikt om te definiëren welke groepen moeten worden ingericht voor Microsoft Entra-id. Distributiegroepen moeten e-mail zijn ingeschakeld om te worden gesynchroniseerd met Microsoft Entra-id, maar voor beveiligingsgroepen is een e-mail niet vereist.

Regels voor samenvoegen

De derde sectie wordt gebruikt om te configureren hoe objecten in de verbindingsruimte zich verhouden tot objecten in de metaverse. De regel die u eerder hebt bekeken, heeft geen configuratie voor deelname regels, dus in plaats daarvan gaat u kijken naar In voor AD – Gebruikersdeelname.

tabblad Regels toevoegen in de editor voor synchronisatieregels

De inhoud van de joinregel is afhankelijk van de overeenkomende optie die is geselecteerd in de installatiewizard. Voor een binnenkomende regel begint de evaluatie met een object in de ruimte van de bronconnector en wordt elke groep in de joinregels op volgorde geëvalueerd. Als een bronobject exact overeenkomt met precies één object in de metaverse met behulp van een van de joinregels, worden de objecten samengevoegd. Als alle regels zijn geëvalueerd en er geen overeenkomst is, wordt het koppelingstype op de beschrijvingspagina gebruikt. Als deze configuratie is ingesteld op Inrichten, wordt er een nieuw object gemaakt in het doel, de metaverse, als ten minste één kenmerk in de joincriteria aanwezig is (heeft een waarde). Een nieuw object aan de metaverse toevoegen staat ook bekend als project een object op de metaverse.

De joinregels worden slechts eenmaal geëvalueerd. Wanneer een connectorruimteobject en een metaverse-object verbonden zijn, blijven ze verbonden zolang de reikwijdte van de synchronisatieregel nog steeds wordt voldaan.

Bij het evalueren van synchronisatieregels mag slechts één synchronisatieregel met gedefinieerde joinregels van toepassing zijn. Als er meerdere synchronisatieregels met joinregels voor één object worden gevonden, wordt er een fout gegenereerd. Daarom is het raadzaam om slechts één synchronisatieregel met join te definiëren wanneer meerdere synchronisatieregels binnen het bereik van een object vallen. In de kant-en-klare configuratie voor Microsoft Entra Connect Sync kunt u deze regels vinden door de naam te bekijken en deze te vinden met het woord Join aan het einde van de naam. Een synchronisatieregel zonder gedefinieerde joinregels past de kenmerkstromen toe wanneer een andere synchronisatieregel de objecten heeft samengevoegd of een nieuw object in het doel heeft ingericht.

Als u de bovenstaande afbeelding bekijkt, ziet u dat de regel probeert objectSID te koppelen aan msExchMasterAccountSid (Exchange) en msRTCSIP-OriginatorSid (Lync), wat we verwachten in een account-resource foresttopologie. U vindt dezelfde regel voor alle forests. De veronderstelling is dat elk forest een account forest of een resource forest kan zijn. Deze configuratie werkt ook als u accounts hebt die in één forest wonen en niet hoeven te worden gekoppeld.

Transformaties

In de transformatiesectie worden alle kenmerkstromen gedefinieerd die van toepassing zijn op het doelobject wanneer de objecten worden samengevoegd en waaraan het bereikfilter is voldaan. Als u teruggaat naar de In vanuit AD : User AccountEnabled Synchronization Rule, vindt u de volgende transformaties:

tabblad Transformaties in de editor voor synchronisatieregels

Als u deze configuratie in context wilt plaatsen, vindt u in een Account-Resource forestimplementatie een ingeschakeld account in het accountforest en een uitgeschakeld account in het resourceforest met exchange- en Lync-instellingen. De synchronisatieregel die u bekijkt bevat de attributen die vereist zijn voor aanmelding. Deze attributen moeten worden gesynchroniseerd vanuit het forest waar een account is ingeschakeld. Al deze kenmerkstromen worden samengevoegd in één synchronisatieregel.

Een transformatie kan verschillende typen hebben: Constant, Direct en Expressie.

  • Een constante stroom heeft altijd een hardcoded waarde. In het bovenstaande geval wordt altijd de waarde True ingesteld in het metaverse-kenmerk met de naam accountEnabled.
  • Een directe stroom stroomt altijd de waarde van het kenmerk in de bron naar het doelkenmerk as-is.
  • Het derde stroomtype is Expressie en biedt geavanceerdere configuraties.

De expressietaal is VBA (Visual Basic for Applications), zodat mensen met ervaring met Microsoft Office of VBScript de indeling herkennen. Kenmerken staan tussen vierkante haken, [attributeName]. Kenmerknamen en functienamen zijn hoofdlettergevoelig, maar de editor voor synchronisatieregels evalueert de expressies en geeft een waarschuwing als de expressie niet geldig is. Alle expressies worden weergegeven op één regel met geneste functies. Hier ziet u het verloop voor pwdLastSet met extra ingevoegde opmerkingen, wat de kracht van de configuratietaal laat zien.

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .NET datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

Zie Begrip van declaratieve inrichtingsexpressies voor meer informatie over de expressietaal voor kenmerkstromen.

Voorrang

U hebt nu enkele afzonderlijke synchronisatieregels bekeken, maar de regels werken samen in de configuratie. In sommige gevallen wordt een kenmerkwaarde bijgedragen door meerdere synchronisatieregels aan hetzelfde doelkenmerk. In dit geval wordt de prioriteit van kenmerken gebruikt om te bepalen welk kenmerk wint. Bekijk bijvoorbeeld het kenmerk sourceAnchor. Dit kenmerk is een belangrijk kenmerk om u aan te melden bij Microsoft Entra ID. U vindt een kenmerkstroom voor dit kenmerk in twee verschillende synchronisatieregels, In van AD – User AccountEnabled en In van AD – User Common. Vanwege prioriteit van de synchronisatieregel wordt het kenmerk sourceAnchor als eerste bijgedragen vanuit het forest met een ingeschakeld account wanneer er verschillende objecten zijn toegevoegd aan het metaverse-object. Als er geen ingeschakelde accounts zijn, gebruikt de synchronisatie-engine de Catch-all-synchronisatieregel In van AD – User Common. Deze configuratie zorgt ervoor dat er zelfs voor accounts die zijn uitgeschakeld, er nog steeds een sourceAnchor is.

Synchronizatieregels Inbound

De prioriteit voor synchronisatieregels wordt ingesteld in groepen door de installatiewizard. Alle regels in een groep hebben dezelfde naam, maar ze zijn verbonden met verschillende verbonden mappen. De installatiewizard geeft de regel In van AD: User Join hoogste prioriteit en itereert over alle verbonden AD-directory's. Vervolgens gaat het verder met de volgende groepen regels in een vooraf gedefinieerde volgorde. Binnen een groep worden de regels toegevoegd in de volgorde waarin de connectors zijn toegevoegd in de wizard. Als er een andere connector wordt toegevoegd via de wizard, worden de synchronisatieregels opnieuw gerangschikt en worden de nieuwe connectorregels voor het laatst ingevoegd in elke groep.

Alles samenvoegen

We weten nu genoeg over synchronisatieregels om te begrijpen hoe de configuratie werkt met de verschillende synchronisatieregels. Als u een gebruiker en de kenmerken bekijkt die aan de metaverse zijn bijgedragen, worden de regels in de volgende volgorde toegepast:

Naam Commentaar
Inloggen via AD - gebruikerslidmaatschap Regel voor het samenvoegen van verbindingsruimteobjecten met metaverse.
Vanuit AD inloggen: gebruikersaccount ingeschakeld Kenmerken die vereist zijn voor aanmelding bij Microsoft Entra ID en Microsoft 365. We willen deze kenmerken van het ingeschakelde account.
In vanuit AD – Standaardgebruiker van Exchange Kenmerken gevonden in de algemene adreslijst. We gaan ervan uit dat de gegevenskwaliteit het beste is in de forest waar we het postvak van de gebruiker hebben gevonden.
Vanuit AD – User Common Kenmerken gevonden in de algemene adreslijst. Als er geen postvak is gevonden, kan elk ander gekoppeld object de kenmerkwaarde bijdragen.
Vanuit AD – Gebruikersuitwisseling Bestaat alleen als Exchange is gedetecteerd. Hiermee worden alle Exchange-kenmerken van de infrastructuur gestroomd.
In van AD - Gebruiker Lync Bestaat alleen als Lync is gedetecteerd. Hiermee worden alle infrastructuurkenmerken van Lync verwerkt.

Volgende stappen

overzichtsonderwerpen