Udostępnij za pośrednictwem

Microsoft Entra Connect: jeśli masz istniejącą dzierżawę

  • Artykuł

Większość tematów dotyczących sposobu używania Microsoft Entra Connect zakłada, że zaczynasz od nowej dzierżawy Microsoft Entra i że nie ma tam żadnych użytkowników ani innych obiektów. Jeśli jednak zacząłeś od dzierżawy Microsoft Entra, wypełniłeś ją użytkownikami i innymi obiektami, a teraz chcesz użyć Connect, ten temat jest dla Ciebie.

Podstawy

Obiekt w usłudze Microsoft Entra ID jest zarządzany w chmurze lub lokalnie. W przypadku jednego obiektu nie można zarządzać niektórymi atrybutami lokalnie i innymi atrybutami w identyfikatorze Entra firmy Microsoft. Każdy obiekt ma flagę wskazującą, gdzie obiekt jest zarządzany.

Możesz zarządzać niektórymi użytkownikami lokalnie i innymi w chmurze. Typowym scenariuszem tej konfiguracji jest organizacja z połączeniem pracowników księgowych i pracowników sprzedaży. Pracownicy księgowi mają lokalne konto AD, ale pracownicy sprzedaży nie mają, jednak obie grupy mają konto w Microsoft Entra ID. Możesz zarządzać niektórymi użytkownikami lokalnie i niektórymi w identyfikatorze Entra firmy Microsoft.

Istnieją pewne dodatkowe obawy, które należy wziąć pod uwagę podczas rozpoczynania zarządzania użytkownikami w identyfikatorze Entra firmy Microsoft, które są również obecne lokalnie, a później chcą korzystać z programu Microsoft Entra Connect.

Synchronizowanie z istniejącymi użytkownikami w usłudze Microsoft Entra ID

Po rozpoczęciu synchronizacji z programem Microsoft Entra Connect interfejs API usługi Microsoft Entra sprawdza każdy nowy obiekt przychodzący i próbuje znaleźć istniejący obiekt do dopasowania. W tym procesie są używane trzy atrybuty: userPrincipalName, proxyAddressesi sourceAnchor/immutableID. Dopasowanie userPrincipalName lub proxyAddresses jest nazywanemiękkiego dopasowania. Mecz w sourceAnchor jest znany jako "hard-match." W przypadku atrybutu proxyAddresses tylko wartość z SMTP:, czyli podstawowym adresem e-mail, jest używana do oceny.

Dopasowanie jest oceniane tylko dla nowych obiektów pochodzących z lokalnego środowiska AD. Jeśli zmienisz istniejący obiekt tak, aby był zgodny z dowolnym z tych atrybutów, zostanie wyświetlony błąd.

Jeśli identyfikator Entra firmy Microsoft znajdzie obiekt, w którym wartości atrybutów są takie same jak nowy obiekt przychodzący z programu Microsoft Entra Connect, następnie przejmuje obiekt w identyfikatorze Entra firmy Microsoft, a wcześniej zarządzany obiekt w chmurze jest konwertowany na zarządzany lokalnie. Wszystkie atrybuty w usłudze Microsoft Entra ID, które mają wartość w lokalnym AD, zostają nadpisane odpowiednimi lokalnymi wartościami.

Ostrzeżenie

Ponieważ wszystkie atrybuty w identyfikatorze Entra firmy Microsoft zostaną zastąpione przez wartość lokalną, upewnij się, że masz dobre dane lokalnie. Jeśli na przykład masz tylko zarządzany adres e-mail na platformie Microsoft 365 i nie był aktualizowany w lokalnych usługach AD DS, utracisz wszystkie wartości w usłudze Microsoft Entra ID / Microsoft 365, które nie są obecne w usługach AD DS.

Ważny

Jeśli używasz synchronizacji skrótów haseł, która jest zawsze włączona w przypadku instalacji ekspresowej, skrót hasła w identyfikatorze Entra firmy Microsoft zostanie zastąpiony skrótem haseł z lokalnej usługi AD. Jeśli użytkownicy są przyzwyczajeni do zarządzania różnymi hasłami, należy poinformować ich, że powinny używać lokalnego hasła usługi AD.

Należy uwzględnić poprzednią sekcję i ostrzeżenie w swoich planach. Jeśli wprowadzono wiele zmian w identyfikatorze Entra firmy Microsoft, które nie zostały odzwierciedlone w lokalnych usługach AD DS, aby zapobiec utracie danych, należy zaplanować sposób wypełniania usług AD DS zaktualizowanymi wartościami z identyfikatora Entra firmy Microsoft przed zsynchronizowanie obiektów z programem Microsoft Entra Connect.

Jeśli obiekty zostały dopasowane z dopasowaniem miękkim, sourceAnchor zostanie dodany do obiektu w identyfikatorze Entra firmy Microsoft, aby można było później użyć twardego dopasowania.

Ważny

Microsoft stanowczo odradza synchronizację kont lokalnych z wcześniej istniejącymi kontami administracyjnymi w usłudze Microsoft Entra ID.

Dopasowanie ścisłe vs dopasowanie miękkie

Domyślnie wartość SourceAnchor obiektu, na przykład "abcdefghijklmnopqrstuv==", jest reprezentacją ciągu Base64 atrybutu mS-Ds-ConsistencyGUID (lub ObjectGUID w zależności od konfiguracji) z lokalnego obiektu usługi Active Directory. Ta wartość jest ustawiana jako odpowiadający ImmutableId w Microsoft Entra ID.

Gdy usługa Microsoft Entra Connect lub Cloud Sync dodaje nowe obiekty, usługa Microsoft Entra ID próbuje dopasować obiekt przychodzący przy użyciu wartości sourceAnchor odpowiadającej atrybutowi ImmutableId istniejących obiektów w identyfikatorze Entra firmy Microsoft. Jeśli istnieje dopasowanie, program Microsoft Entra Connect przejmuje źródło lub autorytet (SoA) tego obiektu i aktualizuje go właściwościami przychodzącego obiektu lokalnej usługi Active Directory w procesie określanym jako "hard-match". Gdy Microsoft Entra ID nie może znaleźć żadnego obiektu z wartością ImmutableId zgodną z wartością SouceAnchor, próbuje użyć atrybutu userPrincipalName lub podstawowego adresu SMTP obiektu przychodzącego, aby dopasować w procesie znanym jako "soft-match."

Zarówno hard-match, jak i soft-match, starają się dopasować obiekty już obecne i zarządzane w usłudze Microsoft Entra ID do nowych, przychodzących obiektów, które reprezentują tę samą jednostkę lokalną. Jeśli identyfikator Entra firmy Microsoft nie może odnaleźć twardego dopasowania lub miękkiego dopasowania dla obiektu przychodzącego, tworzy nowy obiekt w katalogu Microsoft Entra ID.

Jeśli Microsoft Entra ID jest w stanie "dopasowanie miękkie" nowego obiektu przychodzącego na podstawie podstawowego adresu SMTP z istniejącym obiektem zarządzanym w Microsoft Entra ID, jednakże ten nowy obiekt ma inną wartość sourceAnchor, następuje próba aprowizacji nowego obiektu, co zwykle powoduje konflikt, kiedy Microsoft Entra ID nie może utworzyć nowego obiektu. Ten konflikt występuje w sytuacjach takich jak:

  • Inna wartość sourceAnchor została ustawiona w atrybucie mS-Ds-ConsistencyGuid dla oryginalnego użytkownika usługi Active Directory działającego lokalnie, który został już zsynchronizowany z Entra ID.

  • Nowy lokalny użytkownik usługi AD został utworzony przy użyciu tego samego adresu UPN i podstawowego adresu SMTP, ale ma inny sourceAnchor i SID.

W takich przypadkach w programie Microsoft Entra Connect lub cloud Sync jest zgłaszany błąd eksportu AttributeValueMustBeUnique. W zależności od właściwości przychodzącego użytkownika ten błąd może odwoływać się do jednego z następujących konfliktów atrybutów:

  • AttributeConflictName = OnPremiseSecurityIdentifier: nowy obiekt przychodzący ma inny sourceAnchor, ale ten sam OnPremiseSecurityIdentifier (SID) i podstawowy adres SMTP co istniejący użytkownik w katalogu Entra ID.

  • AttributeConflictName = ProxyAddresses: nowy obiekt przychodzący ma inny sourceAnchor i SID, ale ten sam główny adres SMTP co istniejący użytkownik w katalogu Entra ID.

Notatka

W rzadkich przypadkach konflikt OnPremiseSecurityIdentifier występuje z powodu problemu ze zbiorczą pulą RID Active Directory (na przykład kontroler domeny odzyskany z kopii zapasowej), który może utworzyć nowego użytkownika z tym samym SID-em. W takich przypadkach błąd AttributeValueMustBeUnique jest zgłaszany podczas próby aprowizacji użytkownika nie z powodu prób miękkiego dopasowania "", ale dlatego, że OnPremiseSecurityIdentifier musi być unikatowy w katalogu Entra ID.

Te scenariusze zwykle oznaczają, że próbujesz ponownie aprowizować tego samego użytkownika. Aby rozwiązać konflikt, należy zaktualizować atrybut mS-Ds-ConsistencyGuid użytkownika lokalnego, aby był zgodny z tą samą wartością co niezmienny identyfikator użytkownika istniejącego w chmurze. Ta zmiana umożliwia Microsoft Entra ID wykonanie poprawnego "twardego dopasowania".

Blokuj twarde dopasowanie w identyfikatorze Entra firmy Microsoft

Dodaliśmy opcję konfiguracji, aby wyłączyć twardą funkcję dopasowania w identyfikatorze Entra firmy Microsoft. Zalecamy klientom wyłączenie dokładnego dopasowywania, chyba że muszą przejąć konta dostępne wyłącznie w chmurze.

Aby wyłączyć twarde dopasowywanie, użyj polecenia cmdlet programu PowerShell Update-MgDirectoryOnPremiseSynchronization programu Microsoft Graph:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Blokuj soft-match w Microsoft Entra ID

Podobnie dodaliśmy opcję konfiguracji, aby wyłączyć opcję miękkiego dopasowywania w identyfikatorze Entra firmy Microsoft. Zalecamy klientom wyłączenie miękkiego dopasowywania, chyba że muszą przejąć konta dostępne wyłącznie w chmurze.

Aby wyłączyć dopasowywanie nietrwałe, użyj polecenia cmdlet programu PowerShell Update-MgDirectoryOnPremiseSynchronization programu Microsoft Graph:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Notatka

BlockCloudObjectTakeoverThroughHardMatchEnabled i BlockSoftMatchEnabled są używane do blokowania dopasowywania wszystkich obiektów, jeśli są włączone dla najemcy. Klienci są zachęcani do wyłączania tych funkcji tylko w okresie, gdy do ich dzierżawy jest wymagana procedura dopasowania. Ta flaga powinna być ponownie ustawiona na wartość True po zakończeniu dopasowywania, jeśli już nie jest potrzebna.

Inne obiekty niż użytkownicy

W przypadku grup i kontaktów z obsługą poczty można dopasować w sposób miękki na podstawie adresów proxyAddresses. Dopasowanie twarde nie ma zastosowania, ponieważ można aktualizować element sourceAnchor/immutableID za pomocą programu PowerShell wyłącznie dla użytkowników. W przypadku grup, które nie obsługują poczty, obecnie nie ma obsługi miękkiego dopasowania lub twardego dopasowania.

Zagadnienia dotyczące roli administratora

Aby chronić przed niezaufanymi użytkownikami lokalnymi, Microsoft Entra ID nie będzie dopasowywać użytkowników lokalnych do użytkowników chmury posiadających rolę administratora. To zachowanie jest domyślne. Aby obejść ten problem, możesz wykonać następujące czynności:

  1. Usuń role katalogu z obiektu użytkownika tylko w chmurze.

  2. Usuń trwale nowy obiekt poddany kwarantannie utworzony w chmurze.

  3. Wyzwalanie nowego cyklu synchronizacji.

  4. Opcjonalnie dodaj role katalogu z powrotem do obiektu użytkownika w chmurze po zakończeniu dopasowywania.

Tworzenie nowej lokalnej usługi Active Directory na podstawie danych w usłudze Microsoft Entra ID

Niektórzy klienci zaczynają od rozwiązania tylko w chmurze z identyfikatorem Entra firmy Microsoft i nie mają lokalnej usługi AD. Później chcą korzystać z zasobów lokalnych i chcą utworzyć lokalną usługę AD na podstawie danych firmy Microsoft Entra. Program Microsoft Entra Connect nie może ci pomóc w tym scenariuszu. Nie tworzy on użytkowników lokalnych i nie ma możliwości ustawienia hasła lokalnie tak samo jak w identyfikatorze Entra firmy Microsoft.

Jeśli jedynym powodem, dla którego planujesz dodać lokalny AD, jest obsługa aplikacji biznesowych, warto rozważyć użycie usługi Microsoft Entra Domain Services.

Następne kroki

Dowiedz się więcej o Integrowanie tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.