Udostępnij za pośrednictwem

Microsoft Entra Connect Sync: Opis konfiguracji domyślnej

  • Artykuł

W tym artykule opisano gotowe reguły konfiguracji. Dokumentuje reguły i sposób, w jaki te reguły wpływają na konfigurację. Przedstawiono również domyślną konfigurację programu Microsoft Entra Connect Sync. Celem jest to, że czytelnik rozumie, w jaki sposób model konfiguracji o nazwie aprowizacja deklaratywna działa w rzeczywistym przykładzie. W tym artykule założono, że zainstalowano i skonfigurowano synchronizację programu Microsoft Entra Connect przy użyciu kreatora instalacji.

Aby zrozumieć szczegóły modelu konfiguracji, przeczytaj Zrozumienie Deklaratywnego Provisioningu.

Reguły gotowe do użycia ze środowiska lokalnego do identyfikatora Entra firmy Microsoft

Poniższe wyrażenia można znaleźć w konfiguracji gotowej do użycia.

Reguły gotowe do użycia przez użytkownika

Te reguły dotyczą również typu obiektu iNetOrgPerson.

Obiekt użytkownika musi spełniać następujące wymagania, aby można było zsynchronizować:

  • Musi mieć element źródłowy Anchor.
  • Po utworzeniu obiektu w Microsoft Entra ID element sourceAnchor nie może być zmieniony. Jeśli wartość zostanie zmieniona lokalnie, obiekt przestanie synchronizować się, dopóki element sourceAnchor nie zostanie zmieniony z powrotem na poprzednią wartość.
  • Musi mieć wypełniony atrybut accountEnabled (userAccountControl). W przypadku lokalnej usługi Active Directory ten atrybut jest zawsze obecny i wypełniany.

Następujące obiekty użytkownika nie są zsynchronizowane z identyfikatorem Entra firmy Microsoft:

  • IsPresent([isCriticalSystemObject]). Upewnij się, że wiele domyślnych obiektów w usłudze Active Directory, takich jak wbudowane konto administratora, nie jest zsynchronizowanych.
  • IsPresent([sAMAccountName]) = False. Upewnij się, że obiekty użytkownika bez atrybutu sAMAccountName nie są synchronizowane. Ten przypadek praktycznie wystąpiłby tylko w domenie uaktualnionej z NT4.
  • Left([sAMAccountName], 4) = "AAD_", Left([sAMAccountName], 5) = "MSOL_". Nie synchronizuj konta usługi używanego przez program Microsoft Entra Connect Sync i jego wcześniejszych wersji.
  • Nie synchronizuj kont programu Exchange, które nie będą działać w usłudze Exchange Online.
    • [sAMAccountName] = "SUPPORT_388945a0"
    • Left([mailNickname], 14) = "SystemMailbox{"
    • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))
    • (Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
  • Nie synchronizuj obiektów, które nie będą działać w usłudze Exchange Online. CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
    Ta maska bitów (&H21C07000) odfiltruje następujące obiekty:
    • Folder publiczny z włączoną obsługą poczty (w wersji zapoznawczej od wersji 1.1.524.0)
    • Skrzynka pocztowa System Attendant
    • Skrzynka pocztowa bazy danych (systemowa skrzynka pocztowa)
    • Grupa Ochrony Uniwersalnej (nie dotyczy użytkownika, ale jest obecna z powodów legacy)
    • Grupa nie-uniwersalna (nie dotyczy użytkowników, ale istnieje z powodów historycznych)
    • Plan skrzynki pocztowej
    • Skrzynka do eDiscovery
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Nie synchronizuj żadnych obiektów ofiar replikacji.

Obowiązują następujące reguły atrybutów:

  • sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). Atrybut sourceAnchor nie pochodzi z połączonej skrzynki pocztowej. Zakłada się, że jeśli zostanie znaleziona połączona skrzynka pocztowa, rzeczywiste konto zostanie dołączone później.
  • Atrybuty powiązane z programem Exchange są synchronizowane tylko wtedy, gdy atrybut mailNickName ma wartość.
  • Jeśli istnieje wiele lasów, atrybuty są używane w następującej kolejności:
    1. Atrybuty związane z logowaniem (na przykład userPrincipalName) pochodzą z lasu domenowego, w którym konto jest włączone.
    2. Atrybuty, które można znaleźć w liście GAL programu Exchange (Globalnej Listy Adresowej), pochodzą z lasu związanego z programem Exchange i jego skrzynką pocztową.
    3. Jeśli nie można odnaleźć skrzynki pocztowej, te atrybuty mogą pochodzić z dowolnego lasu.
    4. Atrybuty związane z Exchange (atrybuty techniczne, które nie są widoczne w GAL) są wnoszone z lasu, w którym mailNickname ISNOTNULL.
    5. Jeśli istnieje wiele lasów, które spełniają jedną z tych reguł, kolejność tworzenia (data/godzina) łączników (lasów) jest używana do określenia, który las dostarcza atrybuty. Pierwszy zespolony las to pierwszy las, który się synchronizuje.

Skontaktuj się z regułami domyślnymi

Obiekt kontaktu musi spełniać następujące wymagania, aby można było zsynchronizować:

  • Musi mieć wartość atrybutu poczty.
  • Kontakt musi mieć włączoną obsługę poczty. Jest weryfikowana przy użyciu następujących reguł:
    • IsPresent([proxyAddresses]) = True). Należy wypełnić atrybut proxyAddresses.
    • Podstawowy adres e-mail można znaleźć w atrybucie proxyAddresses lub atrybucie mail. Obecność znaku @ służy do sprawdzania, czy zawartość jest adresem e-mail. Jedna z tych dwóch reguł musi zostać obliczona na wartość True.
      • (Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). Czy w ciągu znajduje się wpis "SMTP:" i czy istnieje znak @?
      • (IsPresent([mail]) = True && (InStr([mail], "@") > 0). Czy atrybut e-mail jest wypełniony i czy w ciągu znajduje się znak @?

Następujące obiekty kontaktu nie są zsynchronizowane z identyfikatorem Entra firmy Microsoft:

  • IsPresent([isCriticalSystemObject]). Upewnij się, że nie są synchronizowane żadne obiekty kontaktowe oznaczone jako krytyczne. Nie powinno być żadnych z konfiguracją domyślną.
  • ((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).
  • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). Te obiekty nie będą działać w usłudze Exchange Online.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Nie synchronizuj żadnych obiektów ofiar replikacji.

Grupowanie domyślnych reguł

Obiekt grupy musi spełniać następujące wymagania, aby można było zsynchronizować:

  • Musi mieć mniej niż 250 000 członków. Liczba ta określa liczbę członków w grupie stacjonarnej.
    • Jeśli ma więcej członków przed rozpoczęciem synchronizacji po raz pierwszy, grupa nie jest zsynchronizowana.
    • Jeśli liczba członków rośnie od momentu początkowego utworzenia, przestaje synchronizować się po osiągnięciu 250 000 członków, dopóki liczba członkostwa nie zostanie ponownie mniejsza niż 250 000.
    • Uwaga: Identyfikator Entra firmy Microsoft wymusza liczbę 250 000 członkostwa. Nie można synchronizować grup z większą liczbą członków, nawet jeśli zmodyfikujesz lub usuniesz tę regułę.
  • Jeśli grupa jest grupą dystrybucyjną, musi mieć również aktywowaną obsługę poczty. Zobacz Zasady wbudowane, które są egzekwowane dla tej reguły.

Następujące obiekty grupy nie są zsynchronizowane z identyfikatorem Entra firmy Microsoft:

  • IsPresent([isCriticalSystemObject]). Upewnij się, że wiele domyślnych obiektów w usłudze Active Directory, takich jak grupa administratorów, nie jest synchronizowanych.
  • [sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Starsza grupa używana przez narzędzie DirSync.
  • BitAnd([msExchRecipientTypeDetails],&amp;H40000000). Grupa ról.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Nie synchronizuj żadnych obiektów ofiar replikacji.

ForeignSecurityPrincipal wbudowane reguły

Dostawcy usług konfiguracji są przyłączone do obiektu "any" (*) w metaverse. W rzeczywistości to łączenie zachodzi tylko dla użytkowników i grup zabezpieczeń. Ta konfiguracja gwarantuje, że członkostwa między lasami są rozpoznawane i reprezentowane poprawnie w identyfikatorze Entra firmy Microsoft.

Reguły fabryczne dla komputera

Obiekt komputera musi spełniać następujące wymagania, aby można było zsynchronizować:

  • userCertificate ISNOTNULL. Ten atrybut wypełnia tylko komputery z systemem Windows 10. Wszystkie obiekty komputerów z wartością w tym atrybucie są synchronizowane.

Zrozumienie scenariusza wbudowanych reguł

W tym przykładzie używamy wdrożenia z jednym lasem kont (A), jednym lasem zasobów (R) i jednym katalogiem Microsoft Entra.

obraz z opisem scenariusza

W tej konfiguracji założono, że istnieje aktywne konto w domenie konta oraz konto nieaktywne w domenie zasobów z połączoną skrzynką pocztową.

Naszym celem w przypadku konfiguracji domyślnej jest:

  • Atrybuty związane z logowaniem są synchronizowane z lasu przy użyciu włączonego konta.
  • Atrybuty, które można znaleźć na liście adresów globalnych, są synchronizowane z lasu z skrzynką pocztową. Jeśli nie można odnaleźć skrzynki pocztowej, zostanie użyty dowolny inny las.
  • Jeśli zostanie znaleziona połączona skrzynka pocztowa, połączone konto musi zostać znalezione, aby obiekt został wyeksportowany do identyfikatora Entra firmy Microsoft.

Edytor reguł synchronizacji

Konfigurację można wyświetlić i zmienić za pomocą narzędzia Edytor reguł synchronizacji (SRE) i skrót do niej można znaleźć w menu Start.

Ikona edytora reguł synchronizacji

Usługa SRE jest narzędziem zestawu zasobów i jest instalowana z usługą Microsoft Entra Connect Sync. Aby móc go uruchomić, musisz być członkiem grupy ADSyncAdmins. Po uruchomieniu zobaczysz coś podobnego do następującego:

Reguły synchronizacji dla ruchu przychodzącego

W tym okienku zobaczysz wszystkie reguły synchronizacji utworzone dla konfiguracji. Każdy wiersz w tabeli jest jedną regułą synchronizacji. Po lewej stronie pod Typy reguł są wymienione dwa różne typy: wejściowe i wyjściowe. Ruch przychodzący i wychodzący jest z perspektywy metaverse. W tym omówieniu skupisz się głównie na regułach ruchu przychodzącego. Rzeczywista lista reguł synchronizacji zależy od wykrytego schematu w Active Directory. Na powyższym obrazku konto lasu (fabrikamonline.com) nie posiada żadnych usług, takich jak Exchange i Lync, oraz nie utworzono żadnych reguł synchronizacji dla tych usług. Jednak w lesie zasobów (res.fabrikamonline.com) znajdują się reguły synchronizacji dla tych usług. Zawartość reguł różni się w zależności od wykrytej wersji. Na przykład we wdrożeniu z programem Exchange 2013 istnieje więcej przepływów atrybutów skonfigurowanych niż w programie Exchange 2010/2007.

Reguła synchronizacji

Reguła synchronizacji to obiekt konfiguracji z zestawem atrybutów przepływających po spełnieniu warunku. Służy również do opisywania sposobu, w jaki obiekt w przestrzeni łącznika jest powiązany z obiektem w metaverse, znane jako sprzężenie lub dopasowanie. Reguły synchronizacji mają wartość pierwszeństwa wskazującą, jak są ze sobą powiązane. Reguła synchronizacji z niższą wartością liczbową ma wyższy priorytet, a w konflikcie przepływu atrybutów wyższy priorytet rozstrzyga konflikt.

Na przykład zapoznaj się z regułą synchronizacji z usługi AD — KontoAktywne użytkownika. Oznacz ten wiersz w SRE i wybierz opcję Edytuj.

Ponieważ ta reguła jest wbudowaną regułą, podczas otwierania reguły zostanie wyświetlone ostrzeżenie. Nie należy wprowadzać żadnych zmian w regułach domyślnych, dlatego zapytano cię, jakie są twoje intencje. W takim przypadku chcesz wyświetlić tylko regułę. Wybierz pozycję Brak.

ostrzeżenie dotyczące reguł synchronizacji

Reguła synchronizacji zawiera cztery sekcje konfiguracji: Opis, Filtr określania zakresu, Reguły dołączania i Przekształcenia.

Opis

Pierwsza sekcja zawiera podstawowe informacje, takie jak nazwa i opis.

zakładka Opis w edytorze reguł synchronizacji

Znajdziesz również informacje o tym, z którym systemem połączonym jest powiązana ta reguła, z którym typ obiektu w połączonym systemie ma zastosowanie, oraz typ obiektu metaverse. Typ obiektu w metaverse jest zawsze osobą, bez względu na to, czy typ obiektu źródłowego to użytkownik, iNetOrgPerson lub kontakt. Typ obiektu metaverse nigdy nie powinien się zmieniać, więc jest tworzony jako typ ogólny. Typ łącza można ustawić na Join, StickyJoin lub Provision. To ustawienie działa w połączeniu z sekcją Reguły dołączania i zostanie omówione później.

Można również zobaczyć, że ta reguła synchronizacji jest używana do synchronizacji haseł. Jeśli użytkownik jest w zakresie tej reguły synchronizacji, hasło jest synchronizowane z środowiska lokalnego do chmury (przy założeniu, że włączono funkcję synchronizacji haseł).

Filtr określania zakresu

Sekcja Filtr określania zakresu służy do konfigurowania, kiedy ma zostać zastosowana reguła synchronizacji. Ponieważ nazwa reguły synchronizacji, na którą patrzysz, wskazuje, że powinna być stosowana tylko dla użytkowników z włączonymi kontami, zakres jest skonfigurowany tak, aby atrybut AD userAccountControl nie miał ustawionego bitu 2. Gdy aparat synchronizacji znajdzie użytkownika w usłudze AD, stosuje tę regułę synchronizacji, gdy userAccountControl jest ustawiony na wartość dziesiętną 512 (włączony normalny użytkownik). Nie stosuje reguły, gdy użytkownik ma userAccountControl ustawiony na 514 (wyłączony normalny użytkownik).

Zrzut ekranu przedstawiający sekcję

Filtr określania zakresu zawiera grupy i klauzule, które można zagnieżdżać. Wszystkie klauzule wewnątrz grupy muszą być spełnione, aby reguła synchronizacji miała zastosowanie. Jeśli zdefiniowano wiele grup, co najmniej jedna grupa musi być spełniona, aby reguła została zastosowana. Oznacza to, że operator logiczny OR jest wykonywany między grupami, a operator logiczny AND wewnątrz grupy. Przykład tej konfiguracji można znaleźć w regule synchronizacji ruchu wychodzącego do Microsoft Entra ID – dołączanie do grupy. Istnieje kilka grup filtrów synchronizacji, na przykład jeden dla grup zabezpieczeń (securityEnabled EQUAL True) i jeden dla grup dystrybucyjnych (securityEnabled EQUAL False).

Zakładka Określania Zakresu w Edytorze Reguł Synchronizacji

Ta reguła służy do definiowania, które Grupy powinny być przydzielane do Microsoft Entra ID. Grupy dystrybucyjne muszą mieć włączone funkcje pocztowe, aby były synchronizowane z Microsoft Entra ID, ale dla grup zabezpieczeń adres e-mail nie jest wymagany.

Zasady przyłączania

Trzecia sekcja służy do konfigurowania sposobu, w jaki obiekty w przestrzeni łącznika odnoszą się do obiektów w metaverse. Reguła, którą oglądałeś wcześniej, nie ma żadnej konfiguracji dla reguł dołączania, więc przyjrzysz się teraz z AD — dołączaniu użytkowników.

Karta Reguły dołączania w edytorze reguł synchronizacji

Zawartość reguły sprzężenia zależy od opcji dopasowania wybranej w kreatorze instalacji. W przypadku reguły przychodzącej ocena rozpoczyna się od obiektu w przestrzeni źródłowej łącznika, a każda grupa reguł sprzężenia oceniana jest w kolejności. Jeśli obiekt źródłowy jest oceniany w celu dopasowania dokładnie jednego obiektu w metaverse przy użyciu jednej z reguł sprzężenia, obiekty są sprzężone. Jeśli wszystkie reguły zostały ocenione i nie ma dopasowania, zostanie użyty typ łącza na stronie opisu. Jeśli ta konfiguracja jest ustawiona na Aprowizacja, zostanie utworzony nowy obiekt w docelowym środowisku metaverse, jeśli co najmniej jeden atrybut w kryteriach sprzężenia jest obecny (ma wartość). Aby wprowadzić nowy obiekt do metaverse, używa się również określenia projektowanie obiektu do metaverse.

Reguły łączenia są oceniane tylko raz. Gdy obiekt obszaru łącznika i obiekt metaverse są przyłączone, pozostają one przyłączone tak długo, jak zakres reguły synchronizacji jest nadal spełniony.

Podczas oceniania reguł synchronizacji tylko jedna reguła synchronizacji z zdefiniowanymi regułami sprzężenia musi być brana pod uwagę. Jeśli dla jednego obiektu zostanie znalezionych wiele reguł synchronizacji z regułami sprzężenia, zostanie zgłoszony błąd. Z tego powodu najlepszym rozwiązaniem jest posiadanie tylko jednej reguły synchronizacji ze sprzężeniami zdefiniowanymi, gdy wiele reguł synchronizacji znajduje się w zakresie obiektu. W domyślnej konfiguracji programu Microsoft Entra Connect Sync można znaleźć te reguły, sprawdzając nazwę i wyszukując te z słowem Join na końcu nazwy. Reguła synchronizacji bez zdefiniowanych reguł sprzężenia stosuje przepływy atrybutów, gdy inna reguła synchronizacji połączyła obiekty lub aprowizowała nowy obiekt w obiekcie docelowym.

Jeśli spojrzysz na obrazek powyżej, zobaczysz, że reguła próbuje połączyć objectSID z msExchMasterAccountSid (Exchange) i msRTCSIP-OriginatorSid (Lync), co jest oczekiwane w strukturze zasobów konta. Ta sama reguła znajduje się we wszystkich lasach. Zakłada się, że każdy las może być lasem kont lub lasem zasobów. Ta konfiguracja działa również, jeśli masz konta, które mieszkają w jednym lesie i nie trzeba ich dołączać.

Przekształcenia

Sekcja przekształcania definiuje wszystkie przepływy atrybutów, które mają zastosowanie do obiektu docelowego, gdy obiekty są przyłączone, a filtr zakresu jest spełniony. Przechodząc z powrotem do reguły In from AD – reguły synchronizacji KontoUżytkownikaWłączone, znajdują się następujące przekształcenia:

Karta przekształceń w edytorze reguł synchronizacji

Aby umieścić tę konfigurację w kontekście, w środowisku leśnym Account-Resource można się spodziewać znalezienia włączonego konta w lesie kont oraz wyłączonego konta w lesie zasobów z ustawieniami programów Exchange i Lync. Przeglądana reguła synchronizacji zawiera atrybuty wymagane do logowania, a te atrybuty powinny pochodzić z lasu, w którym konto jest włączone. Wszystkie te przepływy atrybutów są połączone w jedną regułę synchronizacji.

Przekształcenie może mieć różne typy: Stałe, Bezpośrednie i Wyrażenie.

  • Stały przepływ zawsze niesie zakodowaną na stałe wartość. W powyższym przypadku zawsze ustawia wartość True w atrybucie metaverse o nazwie accountEnabled.
  • Bezpośredni przepływ zawsze przekazuje wartość atrybutu ze źródła do docelowego atrybutu as-is.
  • Trzeci typ przepływu to "Expression" i umożliwia bardziej zaawansowane konfiguracje.

Język wyrażeń to VBA (Visual Basic for Applications), więc osoby z doświadczeniem pakietu Microsoft Office lub VBScript rozpoznają format. Atrybuty są zapisywane w nawiasach kwadratowych, [attributeName]. W nazwach atrybutów i nazwach funkcji jest rozróżniana wielkość liter, ale Edytor reguł synchronizacji ocenia wyrażenia i udostępnia ostrzeżenie, jeśli wyrażenie nie jest prawidłowe. Wszystkie wyrażenia są wyrażane w jednym wierszu z zagnieżdżonymi funkcjami. Aby pokazać możliwości języka konfiguracji, oto przepływ pwdLastSet, ale z dodatkowymi komentarzami wstawionymi.

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .NET datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

Aby uzyskać więcej informacji na temat języka wyrażeń dla przepływów atrybutów, zobacz Zrozumienie deklaratywnych wyrażeń aprowizacyjnych.

Pierwszeństwo

Zapoznałeś się z niektórymi pojedynczymi regułami synchronizacji, ale reguły te współdziałają ze sobą w kontekście konfiguracji. W niektórych przypadkach wartość atrybutu pochodzi z wielu reguł synchronizacji i jest przekazywana do tego samego atrybutu docelowego. W takim przypadku pierwszeństwo atrybutu służy do określania, który atrybut wygrywa. Na przykład przyjrzyj się atrybutowi sourceAnchor. Ten atrybut jest ważnym atrybutem umożliwiającym logowanie się do identyfikatora Entra firmy Microsoft. Przepływ atrybutów dla tego atrybutu można znaleźć w dwóch różnych regułach synchronizacji, w usłudze AD — Konto użytkownika Włączone i w usłudze AD — Wspólne użytkownika. Ze względu na pierwszeństwo reguły synchronizacji atrybut sourceAnchor jest przypisywany z lasu z włączonym kontem jako pierwszy, gdy istnieje kilka obiektów połączonych z obiektem metaverse. Jeśli nie ma żadnych kont z włączoną obsługą, mechanizm synchronizacji używa uniwersalnej reguły synchronizacji In z AD – Powszechny użytkownik. Ta konfiguracja gwarantuje, że nawet w przypadku kont, które są wyłączone, nadal istnieje źródłoAnchor.

Reguły synchronizacji dla ruchu przychodzącego

Pierwszeństwo dla reguł synchronizacji jest ustawiane w grupach przez kreatora instalacji. Wszystkie reguły w grupie mają taką samą nazwę, ale są połączone z różnymi połączonymi katalogami. Kreator instalacji przyznaje regule w usłudze AD – Dołączanie użytkownika najwyższe pierwszeństwo i przechodzi przez wszystkie połączone katalogi usług AD. Następnie kontynuuje ona kolejne grupy reguł w wstępnie zdefiniowanej kolejności. Wewnątrz grupy reguły są dodawane w kolejności dodawania łączników w kreatorze. Jeśli inny łącznik zostanie dodany za pomocą kreatora, reguły synchronizacji zostaną ponownie uporządkowane, a reguły nowego łącznika zostaną wstawione jako ostatnie w każdej grupie.

Łączenie tego wszystkiego

Teraz wiemy wystarczająco dużo o regułach synchronizacji, aby zrozumieć, jak konfiguracja działa z różnymi regułami synchronizacji. Jeśli spojrzysz na użytkownika i atrybuty, które są związane z metawersum, reguły są stosowane w następującej kolejności:

Nazwa Komentarz
W usłudze AD — dołączanie użytkowników Reguła łączenia obiektów przestrzeni łącznika z metaverse.
Z systemu AD: włączono konto użytkownika Atrybuty wymagane do logowania się do identyfikatora Entra firmy Microsoft i platformy Microsoft 365. Chcemy, aby te atrybuty pochodziły z włączonego konta.
Z usługi AD – wspólny użytkownik z programu Exchange Atrybuty znalezione na globalnej liście adresowej. Zakładamy, że jakość danych jest najlepsza w lesie, w którym znaleźliśmy skrzynkę pocztową użytkownika.
W usłudze AD — typ użytkownika Atrybuty znalezione na globalnej liście adresowej. Jeśli nie znaleźliśmy skrzynki pocztowej, każdy inny obiekt sprzężony może współtworzyć wartość atrybutu.
Przychodzący z AD – wymiana użytkowników Istnieje tylko wtedy, gdy program Exchange został wykryty. Przesyła wszystkie atrybuty infrastruktury Exchange.
W systemie AD – użytkownik Lync Istnieje tylko wtedy, gdy program Lync został wykryty. Przepływ obejmuje wszystkie atrybuty infrastruktury programu Lync.

Następne kroki

— omówienie tematów