Microsoft Entra Connect Sync: inzicht in gebruikers, groepen en contactpersonen
Er zijn verschillende redenen waarom u meerdere Active Directory-forests zou hebben en er verschillende implementatietopologieën zijn. Veelvoorkomende modellen zijn onder andere een implementatie van accountresources en gal-synchronisatieforests na een fusie en overname. Maar zelfs als er pure modellen zijn, zijn hybride modellen ook gebruikelijk. Bij de standaardconfiguratie in Microsoft Entra Connect Sync wordt niet uitgegaan van een bepaald model. Afhankelijk van de manier waarop gebruikerskoppeling is geselecteerd in de installatiehandleiding, kunnen verschillende gedragingen echter worden waargenomen.
In dit artikel wordt uitgelegd hoe de standaardconfiguratie zich gedraagt in bepaalde topologieën. We doorlopen de configuratie en de editor voor synchronisatieregels kan worden gebruikt om de configuratie te bekijken.
Er zijn enkele algemene regels die door de configuratie worden aangenomen:
- Ongeacht welke volgorde we importeren uit de active directory's van de bron, moet het eindresultaat altijd hetzelfde zijn.
- Een actief account levert aanmeldingsgegevens, waaronder userPrincipalName en sourceAnchor.
- Een uitgeschakeld account draagt bij aan userPrincipalName en sourceAnchor, tenzij het een gekoppeld postvak is, als er geen actief account is gevonden.
- Een account met een gekoppeld postvak wordt nooit gebruikt voor userPrincipalName en sourceAnchor. Er wordt vanuit gegaan dat er later een actief account wordt gevonden.
- Een contactpersoonobject kan worden ingericht voor Microsoft Entra ID als contactpersoon of als gebruiker. Je weet het echt pas wanneer alle bronforests van Active Directory zijn verwerkt.
Groepen
Notitie
Houd er rekening mee dat wanneer u een gebruiker vanuit een ander forest aan de groep toevoegt, er een anker is gemaakt in de Active Directory waarin de groepen zich in een specifieke organisatie-eenheid bevinden. Dit anker is een externe beveiligingsprincipal en wordt opgeslagen in de OE 'ForeignSecurityPrincipals'. Als u deze organisatie-eenheid niet synchroniseert, worden de gebruikers verwijderd uit het groepslidmaatschap.
Belangrijke punten waar u rekening mee moet houden bij het synchroniseren van groepen van Active Directory naar Microsoft Entra-id:
Microsoft Entra Connect sluit ingebouwde beveiligingsgroepen uit van adreslijstsynchronisatie.
Microsoft Entra Connect biedt geen ondersteuning voor het synchroniseren van primaire groepslidmaatschappen naar Microsoft Entra-id.
Microsoft Entra Connect biedt geen ondersteuning voor het synchroniseren van lidmaatschappen van dynamische distributiegroepen met Microsoft Entra-id.
Een Active Directory-groep synchroniseren met Microsoft Entra-id als een e-mailgroep:
Als het kenmerk proxyAddress van de groep leeg is, moet het e-mailkenmerk een waarde hebben
Als het kenmerk proxyAddress van de groep niet leeg is, moet deze ten minste één SMTP-proxyadreswaarde bevatten. Hieronder volgen een aantal voorbeelden:
Een Active Directory-groep waarvan het kenmerk proxyAddress de waarde {"X500:/0=contoso.com/ou=users/cn=testgroup"} heeft, wordt niet ingeschakeld voor e-mail in Microsoft Entra-id. Het heeft geen SMTP-adres.
Een Active Directory-groep waarvan het kenmerk proxyAddress de waarden {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} heeft e-mail ingeschakeld in Microsoft Entra ID.
Een Active Directory-groep waarvan het kenmerk proxyAddress de waarden {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} heeft ook e-mail ingeschakeld in Microsoft Entra ID.
Contactpersonen
Het hebben van contactpersonen die een gebruiker in een ander forest vertegenwoordigen, komt vaak voor na een fusie en overname waarbij een GALSync-oplossing twee of meer Exchange-forests overbrugt. Het contactobject wordt altijd vanuit de connectorruimte gekoppeld aan de metaverse met behulp van het e-mailkenmerk. Als er al een contactobject of gebruikersobject met hetzelfde e-mailadres is, worden de objecten samengevoegd. Dit is geconfigureerd in de regel In from AD – Contact Join. Er is ook een regel genaamd In van AD – Contact Gemeenschappelijk met een kenmerkstroom naar het metaverse-kenmerk sourceObjectType met de constante Contact. Deze regel heeft een lage prioriteit, dus als een gebruikersobject is gekoppeld aan hetzelfde metaverse-object, draagt de regel In vanuit AD – User Common de waarde User aan dit kenmerk toe. Met deze regel heeft dit kenmerk de waarde Contactpersoon als er geen gebruiker is toegevoegd en de waarde Gebruiker als er ten minste één gebruiker wordt gevonden.
Voor het inrichten van een object voor Microsoft Entra ID creëert de uitgaande regel Uit naar Microsoft Entra ID – Contact Join een contactobject als het metaverse-kenmerk sourceObjectType is ingesteld op Contact. Als dit kenmerk is ingesteld op User, maakt de regel Out to Microsoft Entra ID – User Join in plaats daarvan een gebruikersobject. Het is mogelijk dat een object wordt gepromoveerd van contactpersoon naar gebruiker wanneer meer bron-Active Directory's worden geïmporteerd en gesynchroniseerd.
In een GALSync-topologie vinden we bijvoorbeeld contactobjecten voor iedereen in het tweede forest wanneer we het eerste forest importeren. Hiermee worden nieuwe contactobjecten in de Microsoft Entra Connector gefaseerd. Wanneer we later het tweede forest importeren en synchroniseren, vinden we de echte gebruikers en voegen we ze toe aan de bestaande metaverse-objecten. Vervolgens verwijderen we het contactobject in Microsoft Entra ID en maken we in plaats daarvan een nieuw gebruikersobject.
Als u een topologie hebt waarin gebruikers worden weergegeven als contactpersonen, moet u ervoor zorgen dat deze overeenkomen met gebruikers op het e-mailkenmerk in de installatiehandleiding. Als u een andere optie selecteert, hebt u een orderafhankelijke configuratie. Contactobjecten worden altijd toegevoegd aan het e-mailkenmerk, maar gebruikersobjecten worden alleen toegevoegd aan het e-mailkenmerk als deze optie is geselecteerd in de installatiehandleiding. U kunt dan eindigen met twee verschillende objecten in de metaverse met hetzelfde e-mailkenmerk als het contactobject vóór het gebruikersobject is geïmporteerd. Tijdens het exporteren naar Microsoft Entra-id wordt een fout weergegeven. Dit gedrag is standaard en zou duiden op slechte gegevens of dat de topologie niet correct is geïdentificeerd tijdens de installatie.
Uitgeschakelde accounts
Uitgeschakelde accounts worden ook gesynchroniseerd met Microsoft Entra-id. Uitgeschakelde accounts zijn gebruikelijk om resources in Exchange weer te geven, bijvoorbeeld vergaderruimten. De uitzondering hierop zijn gebruikers met een gekoppeld postvak; zoals eerder vermeld, richt deze nooit een account in voor Microsoft Entra-id.
De veronderstelling is dat als er een uitgeschakeld gebruikersaccount wordt gevonden, er later geen ander actief account wordt gevonden. Het object is ingericht voor Microsoft Entra ID met de gevonden userPrincipalName en sourceAnchor. Als een ander actief account lid wordt van hetzelfde metaverse-object, worden de userPrincipalName en sourceAnchor gebruikt.
SourceAnchor wijzigen
Wanneer een object wordt geëxporteerd naar Microsoft Entra-id, is het niet meer toegestaan om de sourceAnchor te wijzigen. Wanneer het object wordt geëxporteerd, wordt het metaverse-kenmerk cloudSourceAnchor- ingesteld met de sourceAnchor waarde die wordt geaccepteerd door Microsoft Entra ID. Als sourceAnchor- wordt gewijzigd en niet overeenkomt met cloudSourceAnchor-, wordt de regel Out to Microsoft Entra ID – User Join de fout veroorzaakt kenmerk sourceAnchor is gewijzigd. In dit geval moet de configuratie of gegevens worden gecorrigeerd, zodat dezelfde sourceAnchor opnieuw aanwezig is in de metaverse voordat het object opnieuw kan worden gesynchroniseerd.