Synchronizacja programu Microsoft Entra Connect Sync: opis użytkowników, grup i kontaktów
Istnieje kilka różnych powodów, dla których istnieje wiele lasów usługi Active Directory i istnieje kilka różnych topologii wdrażania. Typowe modele obejmują wdrożenie zasobów konta i lasy synchronizacji GAL po fuzji i przejęciu. Ale nawet jeśli istnieją czyste modele, modele hybrydowe są również wspólne. Domyślna konfiguracja w usłudze Microsoft Entra Connect Sync nie zakłada żadnego określonego modelu. Jednak w zależności od sposobu wyboru dopasowania użytkownika w przewodniku instalacji można zaobserwować różne zachowania.
W tym temacie omówimy zachowanie konfiguracji domyślnej w niektórych topologiach. Przechodzimy przez konfigurację, a Edytor reguł synchronizacji może służyć do przyjrzenia się konfiguracji.
Istnieje kilka ogólnych reguł, które zakłada konfiguracja:
- Niezależnie od tego, która kolejność importujemy ze źródłowych katalogów aktywnych, wynik końcowy powinien być zawsze taki sam.
- Aktywne konto współtworzy informacje logowania, w tym userPrincipalName i sourceAnchor.
- Wyłączone konto współtworzy element userPrincipalName i sourceAnchor, chyba że jest to połączona skrzynka pocztowa, jeśli nie ma aktywnego konta do znalezienia.
- Konto z połączoną skrzynką pocztową nigdy nie jest używane dla userPrincipalName i sourceAnchor. Zakłada się, że aktywne konto zostanie znalezione później.
- Obiekt kontaktu może być aprowizowany w usłudze Microsoft Entra ID jako kontakt lub jako użytkownik. Nie będziesz wiedział, dopóki wszystkie źródłowe lasy usługi Active Directory nie zostaną przetworzone.
Grupy
Uwaga
Należy pamiętać, że po dodaniu użytkownika z innego lasu do grupy istnieje kotwica utworzona w usłudze Active Directory, w której grupy istnieją wewnątrz określonej jednostki organizacyjnej. Ta kotwica jest podmiotem zabezpieczeń zagranicznych i jest przechowywana wewnątrz jednostki organizacyjnej "ForeignSecurityPrincipals". Jeśli nie synchronizujesz tej jednostki organizacyjnej, użytkownicy zostaną usunięci z członkostwa w grupie.
Ważne kwestie, o których należy pamiętać podczas synchronizowania grup z usługi Active Directory do identyfikatora Entra firmy Microsoft:
Program Microsoft Entra Connect wyklucza wbudowane grupy zabezpieczeń z synchronizacji katalogów.
Program Microsoft Entra Connect nie obsługuje synchronizowania członkostwa w grupach podstawowych z identyfikatorem Entra firmy Microsoft.
Program Microsoft Entra Connect nie obsługuje synchronizowania członkostwa w dynamicznych grupach dystrybucyjnych z identyfikatorem Entra firmy Microsoft.
Aby zsynchronizować grupę usługi Active Directory z identyfikatorem Entra firmy Microsoft jako grupą z włączoną obsługą poczty:
Jeśli atrybut proxyAddress grupy jest pusty, jego atrybut poczty musi mieć wartość
Jeśli atrybut proxyAddress grupy jest niepusty , musi zawierać co najmniej jedną wartość adresu serwera proxy SMTP. Oto kilka przykładów:
Grupa usługi Active Directory, której atrybut proxyAddress ma wartość {"X500:/0=contoso.com/ou=users/cn=testgroup"} nie będzie włączona w identyfikatorze Entra firmy Microsoft. Nie ma on adresu SMTP.
Grupa usługi Active Directory, której atrybut proxyAddress ma wartości {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} będzie włączona w identyfikatorze Entra firmy Microsoft.
Grupa usługi Active Directory, której atrybut proxyAddress ma wartości {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} również będzie włączona w identyfikatorze Entra firmy Microsoft.
Kontakty
Kontakty reprezentujące użytkownika w innym lesie są wspólne po połączeniu i przejęciu, w którym rozwiązanie GALSync łączy co najmniej dwa lasy programu Exchange. Obiekt kontaktu zawsze łączy się z obszaru łącznika do magazynu metaverse przy użyciu atrybutu poczty e-mail. Jeśli istnieje już obiekt kontaktu lub obiekt użytkownika o tym samym adresie e-mail, obiekty są łączone razem. Jest to skonfigurowane w regule Z usługi AD — połączenie kontaktu. Istnieje również reguła o nazwie In from AD — Contact Common with an attribute flow to the metaverse attribute sourceObjectType with the constant Contact (Kontakt wspólny z przepływem atrybutu metaverse sourceObjectType z stałym kontaktem). Ta reguła ma niski priorytet, więc jeśli dowolny obiekt użytkownika jest przyłączony do tego samego obiektu metaverse, to reguła W z usługi AD — Użytkownik Wspólny dodaje wartość 'Użytkownik' do tego atrybutu. W przypadku tej reguły ten atrybut ma wartość Kontakt, jeśli żaden użytkownik nie jest przyłączony, a wartość Użytkownik, jeśli zostanie znaleziony co najmniej jeden użytkownik.
Aby dostarczyć obiekt do Microsoft Entra ID, reguła wychodząca do Microsoft Entra ID — kontakt tworzy obiekt kontaktu, jeśli atrybut metaverse sourceObjectType jest ustawiony jako Kontakt. Jeśli ten atrybut ma ustawioną wartość Użytkownik, reguła Wysyłanie do Microsoft Entra ID – Dołączanie użytkownika zamiast tego tworzy obiekt użytkownika. Istnieje możliwość, że obiekt jest promowany z kontaktu do użytkownika, gdy więcej źródłowych katalogów aktywnych jest importowanych i synchronizowanych.
Na przykład w topologii GALSync można znaleźć obiekty kontaktowe dla wszystkich w drugim lesie podczas importowania pierwszego lasu. Spowoduje to etapy nowych obiektów kontaktów w łączniku Microsoft Entra Connector. Po późniejszym zaimportowaniu i zsynchronizowaniu drugiego lasu znajdziemy prawdziwych użytkowników i połączymy ich z istniejącymi obiektami metaverse. Następnie usuniemy obiekt kontaktu w identyfikatorze Entra firmy Microsoft i utworzymy nowy obiekt użytkownika.
W przypadku topologii, w której użytkownicy są reprezentowani jako kontakty, należy pamiętać, aby wybrać dopasowywanie użytkowników po atrybucie poczty w przewodniku instalacji. Jeśli wybierzesz inną opcję, masz konfigurację zależną od zamówienia. Obiekty kontaktów zawsze łączą się na podstawie atrybutu poczty, ale obiekty użytkowników łączą się na podstawie atrybutu poczty tylko wtedy, gdy ta opcja została wybrana podczas instalacji wg przewodnika. Może się zatem zdarzyć, że pojawią się dwa różne obiekty w magazynie metaverse z tym samym atrybutem poczty, jeśli obiekt kontaktu zostanie zaimportowany przed obiektem użytkownika. Podczas eksportowania do identyfikatora Entra firmy Microsoft jest wyświetlany błąd. Takie zachowanie jest zgodnie z projektem i oznacza nieprawidłowe dane lub że topologia nie została prawidłowo zidentyfikowana podczas instalacji.
Wyłączone konta
Wyłączone konta są również synchronizowane z identyfikatorem Entra firmy Microsoft. Konta wyłączone są wspólne do reprezentowania zasobów w programie Exchange, na przykład w salach konferencyjnych. Wyjątkiem są użytkownicy z połączoną skrzynką pocztową; jak wspomniano wcześniej, ci użytkownicy nigdy nie mają zakładanego konta w usłudze Microsoft Entra ID.
Założeniem jest to, że jeśli zostanie znalezione wyłączone konto użytkownika, nie znajdziemy później innego aktywnego konta. Obiekt jest aprowizowany do identyfikatora Entra firmy Microsoft z odnalezioną wartością userPrincipalName i sourceAnchor. W przypadku, gdy inne aktywne konto przyłącza się do tego samego obiektu metaverse, używane są jego atrybuty userPrincipalName i sourceAnchor.
Zmienianie źródłaAnchor
Gdy obiekt jest eksportowany do identyfikatora Entra firmy Microsoft, nie można już zmienić obiektu sourceAnchor. Gdy obiekt jest eksportowany, atrybut metaverse cloudSourceAnchor jest ustawiany na wartość sourceAnchor zaakceptowaną przez Microsoft Entra ID. Jeśli sourceAnchor zostanie zmieniony i nie jest zgodny z cloudSourceAnchor, reguła 'Out to Microsoft Entra ID – User Join' zgłasza błąd atrybut sourceAnchor został zmieniony. W takim przypadku konfiguracja lub dane muszą zostać poprawione, aby ten sam element sourceAnchor był ponownie obecny w metaverse, zanim obiekt będzie można ponownie zsynchronizować.