Microsoft Entra Verbinding maken: Wanneer u een bestaande tenant hebt
In de meeste onderwerpen voor het gebruik van Microsoft Entra Verbinding maken wordt ervan uitgegaan dat u begint met een nieuwe Microsoft Entra-tenant en dat er geen gebruikers of andere objecten zijn. Maar als u met een Microsoft Entra-tenant bent begonnen, hebt u deze gevuld met gebruikers en andere objecten en wilt u nu Verbinding maken gebruiken, dan is dit onderwerp voor u.
De basisbeginselen
Een object in Microsoft Entra ID wordt beheerd in de cloud of on-premises. Voor één object kunt u sommige kenmerken on-premises en enkele andere kenmerken in Microsoft Entra-id niet beheren. Elk object heeft een vlag die aangeeft waar het object wordt beheerd.
U kunt sommige gebruikers on-premises en andere in de cloud beheren. Een veelvoorkomend scenario voor deze configuratie is een organisatie met een combinatie van boekhoudmedewerkers en verkoopmedewerkers. De boekhoudmedewerkers hebben een on-premises AD-account, maar de verkoopmedewerkers niet, maar beide hebben een account in Microsoft Entra-id. U beheert sommige gebruikers on-premises en sommige in Microsoft Entra-id.
Er zijn enkele extra zorgen die u moet overwegen wanneer u begint met het beheren van gebruikers in Microsoft Entra ID, die ook on-premises aanwezig zijn en later Microsoft Entra Verbinding maken wilt gebruiken.
Synchroniseren met bestaande gebruikers in Microsoft Entra ID
Wanneer u begint met synchroniseren met Microsoft Entra Verbinding maken, controleert de Microsoft Entra-service-API elk nieuw binnenkomend object en probeert een bestaand object te vinden dat overeenkomt. Er zijn drie kenmerken die voor dit proces worden gebruikt: userPrincipalName, proxyAddresses en sourceAnchor/immutableID. Een overeenkomst op userPrincipalName of proxyAddresses wordt een 'soft-match' genoemd. Een overeenkomst op sourceAnchor wordt 'hard=match' genoemd. Voor het kenmerk proxyAddresses wordt alleen de waarde met SMTP:, dat is het primaire e-mailadres, gebruikt voor de evaluatie.
De overeenkomst wordt alleen geëvalueerd voor nieuwe objecten die afkomstig zijn van Verbinding maken. Als u een bestaand object wijzigt zodat het overeenkomt met een van deze kenmerken, ziet u in plaats daarvan een fout.
Als Microsoft Entra-id een object vindt waarbij de kenmerkwaarden hetzelfde zijn als het nieuwe binnenkomende object van Microsoft Entra Verbinding maken, wordt het object overgenomen in Microsoft Entra ID en wordt het eerder in de cloud beheerde object geconverteerd naar on-premises beheerde objecten. Alle kenmerken in Microsoft Entra-id met een waarde in on-premises AD worden overschreven met de respectieve on-premises waarde.
Waarschuwing
Omdat alle kenmerken in Microsoft Entra-id worden overschreven door de on-premises waarde, moet u ervoor zorgen dat u on-premises goede gegevens hebt. Als u bijvoorbeeld alleen beheerde e-mailadressen in Microsoft 365 hebt en het niet bijwerkt in on-premises AD DS, verliest u waarden in Microsoft Entra-id/Microsoft 365 die niet aanwezig zijn in AD DS.
Belangrijk
Als u wachtwoordsynchronisatie gebruikt, dat altijd wordt gebruikt door snelle instellingen, wordt het wachtwoord in Microsoft Entra-id overschreven met het wachtwoord in on-premises AD. Als uw gebruikers worden gebruikt voor het beheren van verschillende wachtwoorden, moet u hen informeren dat ze het on-premises wachtwoord moeten gebruiken wanneer u Verbinding maken hebt geïnstalleerd.
De vorige sectie en waarschuwing moeten in uw planning worden overwogen. Als u veel wijzigingen hebt aangebracht in Microsoft Entra-id die niet werden weergegeven in on-premises AD DS, moet u plannen hoe u AD DS kunt vullen met de bijgewerkte waarden van Microsoft Entra ID voordat u uw objecten synchroniseert met Microsoft Entra Verbinding maken.
Als u uw objecten hebt vergeleken met een zachte overeenkomst, wordt het sourceAnchor toegevoegd aan het object in Microsoft Entra ID, zodat er later een harde overeenkomst kan worden gebruikt.
Belangrijk
Microsoft raadt ten zeerste aan om on-premises accounts te synchroniseren met bestaande beheerdersaccounts in Microsoft Entra ID.
Hard-match versus soft-match
De SourceAnchor-waarde van abcdefghijklmnopqrstuv==" wordt standaard berekend door Microsoft Entra Verbinding maken met behulp van het kenmerk MsDs-ConsistencyGUID (of ObjectGUID, afhankelijk van de configuratie) van on-premises Active Directory. Deze kenmerkwaarde is de bijbehorende ImmutableId in Microsoft Entra-id. Wanneer Microsoft Entra Verbinding maken (synchronisatie-engine) objecten toevoegt of bijwerkt, komt Microsoft Entra-id overeen met het binnenkomende object met behulp van de sourceAnchor-waarde die overeenkomt met het kenmerk ImmutableId van het bestaande object in Microsoft Entra-id. Als er een overeenkomst is, neemt Microsoft Entra Verbinding maken dat object overnemen en bijwerken met de eigenschappen van het binnenkomende on-premises Active Directory-object in wat bekend staat als 'hard-match'. Wanneer Microsoft Entra ID geen object kan vinden met een ImmutableId die overeenkomt met de SouceAnchor-waarde, wordt geprobeerd de userPrincipalName of primaire ProxyAddress van het binnenkomende object te gebruiken om een overeenkomst te vinden in wat bekend staat als *"soft-match". De zachte overeenkomst probeert objecten die al aanwezig en beheerd zijn in Microsoft Entra-id, te vergelijken met de nieuwe binnenkomende objecten die worden toegevoegd of bijgewerkt die dezelfde entiteit on-premises vertegenwoordigen. Als Microsoft Entra ID geen harde overeenkomst of zachte overeenkomst voor het binnenkomende object kan vinden, wordt er een nieuw object in de map Microsoft Entra-id ingesteld. We hebben een configuratieoptie toegevoegd om de moeilijk overeenkomende functie in Microsoft Entra ID uit te schakelen. We adviseren klanten om harde overeenkomsten uit te schakelen, tenzij ze deze nodig hebben om alleen cloudaccounts over te nemen.
Gebruik de cmdlet Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell om harde overeenkomsten uit te schakelen:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Op dezelfde manier hebben we een configuratieoptie toegevoegd om de optie voor soft-matching in Microsoft Entra ID uit te schakelen. We adviseren klanten om zachte overeenkomsten uit te schakelen, tenzij ze deze nodig hebben om alleen cloudaccounts over te nemen.
Als u zachte overeenkomsten wilt uitschakelen, gebruikt u de Cmdlet Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Notitie
BlockCloudObjectTakeoverThroughHardMatchEnabled en BlockSoftMatchEnabled worden gebruikt om overeenkomsten voor alle objecten te blokkeren indien ingeschakeld voor de tenant. Klanten worden aangeraden deze functies alleen tijdens de periode uit te schakelen wanneer een overeenkomende procedure vereist is voor hun tenancy. Deze vlag moet opnieuw worden ingesteld op True nadat alle overeenkomende waarden zijn voltooid en niet meer nodig zijn.
Andere objecten dan gebruikers
Voor groepen en contactpersonen met e-mail kunt u voorlopig overeenkomen op basis van proxyAddresses. Harde overeenkomst is niet van toepassing omdat u alleen de sourceAnchor/immutableID (met behulp van PowerShell) kunt bijwerken voor gebruikers. Voor groepen die geen e-mail hebben ingeschakeld, is er momenteel geen ondersteuning voor zachte overeenkomst of harde overeenkomst.
overwegingen voor Beheer rol
Om te beschermen tegen niet-vertrouwde on-premises gebruikers, komt Microsoft Entra-id niet overeen met on-premises gebruikers met cloudgebruikers met een beheerdersrol. Dit gedrag is standaard. U kunt dit omzeilen door de volgende stappen uit te voeren:
- Verwijder de directoryrollen uit het gebruikersobject alleen in de cloud.
- Verwijder het in quarantaine geplaatste object in de cloud.
- Een synchronisatie activeren.
- U kunt desgewenst de directoryrollen weer toevoegen aan het gebruikersobject in de cloud zodra de overeenkomst is voltooid.
Een nieuwe on-premises Active Directory maken op basis van gegevens in Microsoft Entra-id
Sommige klanten beginnen met een cloudoplossing met Microsoft Entra ID en ze hebben geen on-premises AD. Later willen ze on-premises resources gebruiken en een on-premises AD bouwen op basis van Microsoft Entra-gegevens. Microsoft Entra Verbinding maken kan u niet helpen voor dit scenario. Het maakt geen gebruikers on-premises en het heeft geen mogelijkheid om het wachtwoord on-premises in te stellen op hetzelfde als in Microsoft Entra-id.
Als u van plan bent om on-premises AD toe te voegen, is het ondersteunen van LOBs (Line-Of-Business-apps), kunt u in plaats daarvan Microsoft Entra Domain Services gebruiken.
Volgende stappen
Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra-id.