Synchronizacja programu Microsoft Entra Connect Sync: zrozumienie użytkowników, grup i kontaktów
Istnieje kilka różnych powodów, dla których można mieć wiele lasów usługi Active Directory i można stosować kilka różnych topologii wdrażania. Typowe modele obejmują wdrożenie zasobów związanych z kontem i lasy zsynchronizowane z GAL po fuzjach i przejęciach. Ale nawet jeśli istnieją czyste modele, modele hybrydowe są również wspólne. Domyślna konfiguracja w usłudze Microsoft Entra Connect Sync nie zakłada żadnego określonego modelu. Jednak w zależności od sposobu wyboru dopasowania użytkownika w przewodniku instalacji można zaobserwować różne zachowania.
W tym artykule omówimy zachowanie konfiguracji domyślnej w niektórych topologiach. Przechodzimy przez konfigurację, a Edytor reguł synchronizacji może służyć do przyjrzenia się konfiguracji.
Istnieje kilka ogólnych reguł, które zakłada konfiguracja:
- Niezależnie od tego, która kolejność importujemy ze źródłowych katalogów aktywnych, wynik końcowy powinien być zawsze taki sam.
- Aktywne konto dostarcza dane do logowania, w tym userPrincipalName i sourceAnchor.
- Jeśli nie można znaleźć aktywnego konta, wyłączone konto przekazuje userPrincipalName i sourceAnchor, chyba że jest to połączona skrzynka pocztowa.
- Konto z połączoną skrzynką pocztową nigdy nie jest używane dla userPrincipalName i sourceAnchor. Zakłada się, że aktywne konto zostanie znalezione później.
- Obiekt kontaktu może być wprowadzony do usługi Microsoft Entra ID jako kontakt lub jako użytkownik. Nie będziesz wiedział, dopóki wszystkie źródłowe lasy usługi Active Directory nie zostaną przetworzone.
Grupy
Uwaga
Należy pamiętać, że po dodaniu użytkownika z innego lasu do grupy istnieje kotwica utworzona w usłudze Active Directory, w której grupy istnieją wewnątrz określonej jednostki organizacyjnej. Ta kotwica jest podmiotem zabezpieczeń zagranicznych i jest przechowywana wewnątrz jednostki organizacyjnej "ForeignSecurityPrincipals". Jeśli nie synchronizujesz tej jednostki organizacyjnej, użytkownicy zostaną usunięci z członkostwa w grupie.
Ważne kwestie, o których należy pamiętać podczas synchronizowania grup z usługi Active Directory do identyfikatora Entra firmy Microsoft:
Program Microsoft Entra Connect wyklucza wbudowane grupy zabezpieczeń z synchronizacji katalogów.
Program Microsoft Entra Connect nie obsługuje synchronizowania członkostwa w grupach podstawowych z identyfikatorem Entra firmy Microsoft.
Program Microsoft Entra Connect nie obsługuje synchronizowania członkostwa w dynamicznych grupach dystrybucyjnych z identyfikatorem Entra firmy Microsoft.
Aby zsynchronizować grupę usługi Active Directory z identyfikatorem Entra firmy Microsoft jako grupą z włączoną obsługą poczty:
Jeśli atrybut proxyAddress grupy jest pusty, jego atrybut poczty musi mieć wartość
Jeśli atrybut proxyAddress grupy jest niepusty , musi zawierać co najmniej jedną wartość adresu serwera proxy SMTP. Oto kilka przykładów:
Grupa usługi Active Directory, której atrybut proxyAddress ma wartość {"X500:/0=contoso.com/ou=users/cn=testgroup"}, nie będzie mieć włączonej obsługi poczty e-mail w Microsoft Entra ID. Nie ma on adresu SMTP.
Grupa w usłudze Active Directory, której atrybut proxyAddress ma wartości {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"}, zostanie skonfigurowana do obsługi poczty w usłudze Microsoft Entra ID.
Grupa w usłudze Active Directory, której atrybut proxyAddress ma wartości {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"}, będzie również obsługiwana do poczty w Microsoft Entra ID.
Kontakty
Kontakty reprezentujące użytkownika w innym lesie są częste po fuzji i przejęciu, w którym rozwiązanie GALSync łączy co najmniej dwa lasy Exchange. Obiekt kontaktu zawsze łączy się z przestrzeni łącznika do metawersu przy użyciu atrybutu poczty. Jeśli istnieje już obiekt kontaktu lub obiekt użytkownika o tym samym adresie e-mail, obiekty są łączone razem. Jest to skonfigurowane w regule Z usługi AD — połączenie kontaktu. Istnieje również reguła o nazwie z AD — Contact Common z przepływem atrybutu do atrybutu metaverse sourceObjectType z wartością stałą Contact. Ta reguła ma niski priorytet, więc jeśli dowolny obiekt użytkownika jest przyłączony do tego samego obiektu metaverse, to reguła W z usługi AD — Użytkownik Wspólny dodaje wartość 'Użytkownik' do tego atrybutu. W przypadku tej reguły ten atrybut ma wartość Kontakt, jeśli żaden użytkownik nie jest przyłączony, a wartość Użytkownik, jeśli zostanie znaleziony co najmniej jeden użytkownik.
Aby dostarczyć obiekt do Microsoft Entra ID, reguła wychodząca do Microsoft Entra ID — kontakt tworzy obiekt kontaktu, jeśli atrybut metaverse sourceObjectType jest ustawiony jako Kontakt. Jeśli ten atrybut ma ustawioną wartość Użytkownik, reguła Wysyłanie do Microsoft Entra ID – Dołączanie użytkownika zamiast tego tworzy obiekt użytkownika. Istnieje możliwość, że obiekt jest promowany z kontaktu do użytkownika, gdy więcej źródłowych katalogów aktywnych jest importowanych i synchronizowanych.
Na przykład, w topologii GALSync, podczas importowania pierwszego lasu, znajdujemy obiekty kontaktowe dla wszystkich w drugim lesie. To przygotowuje nowe obiekty kontaktów w Microsoft Entra Connector. Po późniejszym zaimportowaniu i zsynchronizowaniu drugiego lasu znajdziemy prawdziwych użytkowników i połączymy ich z istniejącymi obiektami metaverse. Następnie usuniemy obiekt kontaktu w identyfikatorze Entra firmy Microsoft i utworzymy nowy obiekt użytkownika.
W przypadku topologii, w której użytkownicy są reprezentowani jako kontakty, należy pamiętać o wybraniu opcji dopasowania użytkowników według atrybutu e-mail w przewodniku instalacji. Jeśli wybierzesz inną opcję, masz konfigurację zależną od zamówienia. Obiekty kontaktów zawsze łączą się na podstawie atrybutu poczty, ale obiekty użytkowników łączą się na podstawie atrybutu poczty tylko wtedy, gdy ta opcja została wybrana podczas instalacji wg przewodnika. Może się zatem zdarzyć, że pojawią się dwa różne obiekty w metaverse z identycznym atrybutem poczty, jeśli obiekt kontaktu zostanie zaimportowany przed obiektem użytkownika. Podczas eksportowania do identyfikatora Entra firmy Microsoft jest wyświetlany błąd. Takie zachowanie jest zgodnie z projektem i oznacza nieprawidłowe dane lub że topologia nie została prawidłowo zidentyfikowana podczas instalacji.
Wyłączone konta
Wyłączone konta są również synchronizowane z identyfikatorem Entra firmy Microsoft. Konta wyłączone są wspólne do reprezentowania zasobów w programie Exchange, na przykład w salach konferencyjnych. Wyjątkiem są użytkownicy z połączoną skrzynką pocztową; jak wspomniano wcześniej, ci użytkownicy nigdy nie mają zakładanego konta w usłudze Microsoft Entra ID.
Założeniem jest to, że jeśli zostanie znalezione wyłączone konto użytkownika, nie znajdziemy później innego aktywnego konta. Obiekt jest aprowizowany do identyfikatora Entra firmy Microsoft z odnalezioną wartością userPrincipalName i sourceAnchor. W przypadku, gdy inne aktywne konto przyłącza się do tego samego obiektu metaverse, używane są jego atrybuty userPrincipalName i sourceAnchor.
Zmienianie źródłaAnchor
Gdy obiekt jest eksportowany do identyfikatora Entra firmy Microsoft, nie można już zmienić obiektu sourceAnchor. Gdy obiekt jest eksportowany, atrybut metaverse cloudSourceAnchor jest ustawiany na wartość sourceAnchor zaakceptowaną przez Microsoft Entra ID. Jeśli sourceAnchor zostanie zmieniony i nie jest zgodny z cloudSourceAnchor, reguła 'Out to Microsoft Entra ID – User Join' zgłasza błąd atrybut sourceAnchor został zmieniony. W takim przypadku konfiguracja lub dane muszą zostać poprawione, aby ten sam element sourceAnchor był ponownie obecny w metaverse, zanim obiekt będzie można ponownie zsynchronizować.