Microsoft Entra Connect: zagadnienia dotyczące projektowania
Celem tego dokumentu jest opisanie obszarów, które należy wziąć pod uwagę podczas konfigurowania programu Microsoft Entra Connect. Ten dokument zawiera szczegółowe informacje na temat niektórych obszarów, a te pojęcia zostały krótko opisane w innych dokumentach.
sourceAnchor
Atrybut sourceAnchor jest definiowany jako atrybut niezmienny w okresie istnienia obiektu. Jednoznacznie identyfikuje obiekt jako ten sam obiekt lokalnie i w identyfikatorze Entra firmy Microsoft. Atrybut jest również nazywany niezmiennymIdem , a dwie nazwy są używane zamiennie.
Słowo niezmienne, czyli "nie można go zmienić", jest ważne dla tego dokumentu. Ponieważ nie można zmienić wartości tego atrybutu po jego ustawieniu, ważne jest, aby wybrać projekt, który obsługuje twój scenariusz.
Atrybut jest używany w następujących scenariuszach:
- Gdy nowy serwer aparatu synchronizacji zostanie skompilowany lub utworzony po scenariuszu odzyskiwania po awarii, ten atrybut łączy istniejące obiekty w identyfikatorze Entra firmy Microsoft z obiektami lokalnymi.
- Jeśli przeniesiesz się z tożsamości tylko do chmury do zsynchronizowanego modelu tożsamości, ten atrybut umożliwia obiektom "twarde dopasowanie" istniejących obiektów w identyfikatorze Entra firmy Microsoft z obiektami lokalnymi.
- Jeśli używasz federacji, ten atrybut wraz z userPrincipalName jest używany w oświadczeniu w celu unikatowego zidentyfikowania użytkownika.
W tym temacie omówiono tylko element sourceAnchor w odniesieniu do użytkowników. Te same reguły dotyczą wszystkich typów obiektów, ale dotyczy to tylko użytkowników, których problem dotyczy zwykle.
Wybieranie dobrego atrybutu sourceAnchor
Wartość atrybutu musi być zgodna z następującymi regułami:
- Długość mniej niż 60 znaków
- Znaki nie są znakami a-z, A-Z lub 0-9 są kodowane i liczone jako 3 znaki
- Nie zawiera znaku specjalnego: \ ! # $ % & * + / = ? ^ ` { } | ~ <> ( ) ' ; : , [ ] " @ _
- Musi ona być unikatowa w skali globalnej
- Musi być ciągiem, liczbą całkowitą lub binarnym
- Nie należy opierać się na nazwie użytkownika, ponieważ mogą one ulec zmianie
- Nie należy uwzględniać wielkości liter i unikać wartości, które mogą się różnić w zależności od wielkości liter
- Należy przypisać podczas tworzenia obiektu
Jeśli wybrany element sourceAnchor nie jest ciągiem typu, wówczas program Microsoft Entra Connect Base64Encode wartość atrybutu, aby upewnić się, że nie są wyświetlane żadne znaki specjalne. Jeśli używasz innego serwera federacyjnego niż usługi ADFS, upewnij się, że serwer może również zakodować atrybut Base64Encode.
Atrybut sourceAnchor uwzględnia wielkość liter. Wartość "JohnDoe" nie jest taka sama jak "johndoe". Nie należy jednak mieć dwóch różnych obiektów z różnicą tylko w przypadku.
Jeśli masz lokalny pojedynczy las, należy użyć atrybutu objectGUID. Jest to również atrybut używany podczas korzystania z ustawień ekspresowych w programie Microsoft Entra Connect, a także atrybutu używanego przez narzędzie DirSync.
Jeśli masz wiele lasów i nie przenosisz użytkowników między lasami i domenami, identyfikator objectGUID jest dobrym atrybutem do użycia nawet w tym przypadku.
Jeśli przenosisz użytkowników między lasami i domenami, musisz znaleźć atrybut, który nie ulegnie zmianie lub może zostać przeniesiony z użytkownikami podczas przenoszenia. Zalecanym podejściem jest wprowadzenie atrybutu syntetycznego. Atrybut, który może zawierać coś, co wygląda jak identyfikator GUID, będzie odpowiedni. Podczas tworzenia obiektu tworzony jest nowy identyfikator GUID i oznaczany przez użytkownika. Niestandardową regułę synchronizacji można utworzyć na serwerze aparatu synchronizacji, aby utworzyć tę wartość na podstawie identyfikatora objectGUID i zaktualizować wybrany atrybut w usługach AD DS. Podczas przenoszenia obiektu pamiętaj, aby skopiować również zawartość tej wartości.
Innym rozwiązaniem jest wybranie istniejącego atrybutu, który wiesz, że nie zmienia się. Często używane atrybuty to employeeID. Jeśli rozważysz atrybut zawierający litery, upewnij się, że wielkość liter (wielkie litery a małe litery) może ulec zmianie dla wartości atrybutu. Nieprawidłowe atrybuty, które nie powinny być używane, obejmują te atrybuty z nazwą użytkownika. W małżeństwie lub rozwodzie nazwa ma ulec zmianie, co nie jest dozwolone dla tego atrybutu. Jest to również jeden z powodów, dla których atrybuty, takie jak userPrincipalName, mail i targetAddress , nie są nawet możliwe do wybrania w kreatorze instalacji programu Microsoft Entra Connect. Te atrybuty zawierają również znak "@", który nie jest dozwolony w źródleAnchor.
Zmienianie atrybutu sourceAnchor
Nie można zmienić wartości atrybutu sourceAnchor po utworzeniu obiektu w identyfikatorze Entra firmy Microsoft i zsynchronizowaniu tożsamości.
Z tego powodu następujące ograniczenia dotyczą programu Microsoft Entra Connect:
- Atrybut sourceAnchor można ustawić tylko podczas instalacji początkowej. Jeśli uruchomisz ponownie kreatora instalacji, ta opcja jest tylko do odczytu. Jeśli musisz zmienić to ustawienie, musisz odinstalować i ponownie zainstalować.
- Jeśli zainstalujesz inny serwer Microsoft Entra Connect, musisz wybrać ten sam atrybut sourceAnchor, który był wcześniej używany. Jeśli wcześniej używasz narzędzia DirSync i przechodzisz do programu Microsoft Entra Connect, musisz użyć identyfikatora objectGUID , ponieważ jest to atrybut używany przez narzędzie DirSync.
- Jeśli wartość parametru sourceAnchor zostanie zmieniona po wyeksportowaniu obiektu do identyfikatora Entra firmy Microsoft, usługa Microsoft Entra Connect Sync zgłasza błąd i nie zezwala na więcej zmian w tym obiekcie przed rozwiązaniem problemu, a element sourceAnchor zostanie zmieniony z powrotem w katalogu źródłowym.
Używanie atrybutu ms-DS-ConsistencyGuid jako sourceAnchor
Domyślnie program Microsoft Entra Connect (wersja 1.1.486.0 i starsze) używa identyfikatora objectGUID jako atrybutu sourceAnchor. Identyfikator ObjectGUID jest generowany przez system. Nie można określić jej wartości podczas tworzenia lokalnych obiektów usługi AD. Jak wyjaśniono w sekcji sourceAnchor, istnieją scenariusze, w których należy określić wartość sourceAnchor. Jeśli scenariusze mają zastosowanie do Ciebie, należy użyć konfigurowalnego atrybutu usługi AD (na przykład ms-DS-ConsistencyGuid) jako atrybutu sourceAnchor.
Program Microsoft Entra Connect (wersja 1.1.524.0 i nowsze) teraz ułatwia korzystanie z atrybutu ms-DS-ConsistencyGuid jako atrybut sourceAnchor. W przypadku korzystania z tej funkcji program Microsoft Entra Connect automatycznie konfiguruje reguły synchronizacji na:
Użyj atrybutu ms-DS-ConsistencyGuid jako atrybutu sourceAnchor dla obiektów użytkownika. Identyfikator ObjectGUID jest używany dla innych typów obiektów.
W przypadku każdego obiektu użytkownika lokalnej usługi AD, którego atrybut ms-DS-ConsistencyGuid nie został wypełniony, program Microsoft Entra Connect zapisuje jego wartość objectGUID z powrotem do atrybutu ms-DS-ConsistencyGuid w lokalna usługa Active Directory. Po wypełnieniu atrybutu ms-DS-ConsistencyGuid program Microsoft Entra Connect eksportuje obiekt do identyfikatora Entra firmy Microsoft.
Uwaga
Po zaimportowaniu lokalnego obiektu usługi AD do programu Microsoft Entra Connect (czyli zaimportowanego do obszaru łącznika usługi AD i przewidywanego na metaverse) nie można już zmienić jego wartości sourceAnchor. Aby określić wartość sourceAnchor dla danego lokalnego obiektu usługi AD, skonfiguruj atrybut ms-DS-ConsistencyGuid przed zaimportowanie go do programu Microsoft Entra Connect.
Wymagane uprawnienie
Aby ta funkcja działała, konto usług AD DS używane do synchronizacji z lokalna usługa Active Directory musi mieć przyznane uprawnienie do zapisu do atrybutu ms-DS-ConsistencyGuid w lokalna usługa Active Directory.
Jak włączyć funkcję ConsistencyGuid — nowa instalacja
Podczas nowej instalacji można włączyć użycie elementu ConsistencyGuid jako sourceAnchor. W tej sekcji szczegółowo opisano instalację ekspresową i niestandardową.
Uwaga
Tylko nowsze wersje programu Microsoft Entra Connect (1.1.524.0 i nowsze) obsługują korzystanie z klasy ConsistencyGuid jako sourceAnchor podczas nowej instalacji.
Jak włączyć funkcję ConsistencyGuid
Instalacja ekspresowa
Podczas instalowania programu Microsoft Entra Connect z trybem express kreator Microsoft Entra Connect automatycznie określa najbardziej odpowiedni atrybut usługi AD do użycia jako atrybut sourceAnchor przy użyciu następującej logiki:
Najpierw kreator Microsoft Entra Connect wysyła zapytanie do dzierżawy firmy Microsoft Entra w celu pobrania atrybutu usługi AD używanego jako atrybut sourceAnchor w poprzedniej instalacji programu Microsoft Entra Connect (jeśli istnieje). Jeśli te informacje są dostępne, program Microsoft Entra Connect używa tego samego atrybutu usługi AD.
Uwaga
Tylko nowsze wersje programu Microsoft Entra Connect (1.1.524.0 i nowsze) przechowują informacje w dzierżawie firmy Microsoft Entra o atrybucie sourceAnchor używanym podczas instalacji. Starsze wersje programu Microsoft Entra Connect nie.
Jeśli informacje o używanym atrybucie sourceAnchor nie są dostępne, kreator sprawdza stan atrybutu ms-DS-ConsistencyGuid w lokalna usługa Active Directory. Jeśli atrybut nie jest skonfigurowany w żadnym obiekcie w katalogu, kreator używa atrybutu ms-DS-ConsistencyGuid jako atrybutu sourceAnchor. Jeśli atrybut jest skonfigurowany na co najmniej jednym obiekcie w katalogu, kreator stwierdza, że atrybut jest używany przez inne aplikacje i nie jest odpowiedni jako atrybut sourceAnchor...
W tym przypadku kreator wraca do używania identyfikatora objectGUID jako atrybutu sourceAnchor.
Po podjęciu decyzji o atrybucie sourceAnchor kreator przechowuje informacje w dzierżawie firmy Microsoft Entra. Informacje będą wykorzystywane w przyszłej instalacji programu Microsoft Entra Connect.
Po zakończeniu instalacji ekspresowej kreator informuje, który atrybut został wybrany jako kotwica źródłowa.
Instalacja niestandardowa
Podczas instalowania programu Microsoft Entra Connect z trybem niestandardowym kreator Microsoft Entra Connect udostępnia dwie opcje podczas konfigurowania atrybutu sourceAnchor:
Ustawienie | opis |
---|---|
Pozwól firmie Microsoft Entra ID zarządzać kotwicą źródłową dla mnie | Wybierz tę opcję, jeśli chcesz, aby identyfikator Entra firmy Microsoft wybrał atrybut. W przypadku wybrania tej opcji kreator Microsoft Entra Connect stosuje tę samą logikę wyboru atrybutu sourceAnchor używaną podczas instalacji ekspresowej. Podobnie jak w przypadku instalacji ekspresowej kreator informuje o tym, który atrybut jest wybierany jako atrybut Kotwica źródłowa po zakończeniu instalacji niestandardowej. |
Określony atrybut | Wybierz tę opcję, jeśli chcesz określić istniejący atrybut usługi AD jako atrybut sourceAnchor. |
Jak włączyć funkcję ConsistencyGuid — istniejące wdrożenie
Jeśli masz istniejące wdrożenie programu Microsoft Entra Connect, które używa identyfikatora objectGUID jako atrybutu Zakotwiczenie źródła, możesz przełączyć go na wartość ConsistencyGuid.
Uwaga
Tylko nowsze wersje programu Microsoft Entra Connect (1.1.552.0 i nowsze) obsługują przełączanie z objectGuid na ConsistencyGuid jako atrybut kotwicy źródłowej.
Aby przełączyć się z objectGUID na ConsistencyGuid jako atrybut kotwicy źródłowej:
Uruchom kreatora Microsoft Entra Connect i wybierz pozycję Konfiguruj, aby przejść do ekranu Zadań.
Wybierz opcję zadania Konfiguruj kotwicę źródłową i wybierz pozycję Dalej.
Wprowadź poświadczenia administratora Microsoft Entra i wybierz pozycję Dalej.
Kreator microsoft Entra Connect analizuje stan atrybutu ms-DS-ConsistencyGuid w lokalna usługa Active Directory. Jeśli atrybut nie jest skonfigurowany w żadnym obiekcie w katalogu, program Microsoft Entra Connect stwierdza, że żadna inna aplikacja nie używa obecnie atrybutu i jest bezpieczna do użycia jako atrybut kotwicy źródła. Wybierz pozycję Dalej, aby kontynuować.
Na ekranie
Ready to Configure (Gotowe do skonfigurowania) wybierz pozycjęConfigure (Konfiguruj), aby wprowadzić zmianę konfiguracji.Po zakończeniu konfiguracji kreator wskazuje, że atrybut ms-DS-ConsistencyGuid jest teraz używany jako atrybut kotwicy źródłowej.
Podczas analizy (krok 4), jeśli atrybut jest skonfigurowany na co najmniej jednym obiekcie w katalogu, kreator stwierdza, że atrybut jest używany przez inną aplikację i zwraca błąd, jak pokazano na poniższym diagramie. Ten błąd może również wystąpić, jeśli włączono funkcję ConsistencyGuid na podstawowym serwerze Microsoft Entra Connect i próbujesz wykonać to samo na serwerze przejściowym.
Jeśli masz pewność, że atrybut nie jest używany przez inne istniejące aplikacje, możesz pominąć błąd, uruchamiając ponownie kreatora Microsoft Entra Connect z określonym przełącznikiem /SkipLdapSearch . W tym celu uruchom następujące polecenie w wierszu polecenia:
"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch
Wpływ na konfigurację federacyjną usług AD FS lub innej firmy
Jeśli używasz programu Microsoft Entra Connect do zarządzania lokalnym wdrożeniem usług AD FS, program Microsoft Entra Connect automatycznie aktualizuje reguły oświadczeń, aby używać tego samego atrybutu usługi AD co sourceAnchor. Dzięki temu oświadczenie ImmutableID wygenerowane przez usługę ADFS jest zgodne z wartościami sourceAnchor wyeksportowanymi do identyfikatora Entra firmy Microsoft.
Jeśli zarządzasz usługami AD FS poza programem Microsoft Entra Connect lub używasz serwerów federacyjnych innych firm do uwierzytelniania, musisz ręcznie zaktualizować reguły oświadczeń dla oświadczenia ImmutableID, aby zachować spójność z wartościami sourceAnchor wyeksportowanymi do identyfikatora Entra firmy Microsoft zgodnie z opisem w sekcji artykułu Modyfikowanie reguł oświadczeń usług AD FS. Kreator zwraca następujące ostrzeżenie po zakończeniu instalacji:
Dodawanie nowych katalogów do istniejącego wdrożenia
Załóżmy, że wdrożono aplikację Microsoft Entra Connect z włączoną funkcją ConsistencyGuid, a teraz chcesz dodać kolejny katalog do wdrożenia. Podczas próby dodania katalogu kreator Microsoft Entra Connect sprawdza stan atrybutu ms-DS-ConsistencyGuid w katalogu. Jeśli atrybut jest skonfigurowany na co najmniej jednym obiekcie w katalogu, kreator stwierdza, że atrybut jest używany przez inne aplikacje i zwraca błąd, jak pokazano na poniższym diagramie. Jeśli masz pewność, że atrybut nie jest używany przez istniejące aplikacje, możesz pominąć błąd, ponownie uruchamiając kreatora Microsoft Entra Connect z określonym wcześniej przełącznikiem /SkipLdapSearch lub skontaktować się z pomocą techniczną w celu uzyskania dodatkowych informacji.
Logowanie w usłudze Microsoft Entra
Podczas integrowania katalogu lokalnego z identyfikatorem Entra firmy Microsoft ważne jest, aby zrozumieć, jak ustawienia synchronizacji mogą mieć wpływ na sposób uwierzytelniania użytkownika. Identyfikator entra firmy Microsoft używa nazwy userPrincipalName (UPN) do uwierzytelniania użytkownika. Jednak podczas synchronizowania użytkowników należy dokładnie wybrać atrybut, który ma być używany dla wartości userPrincipalName.
Wybieranie atrybutu userPrincipalName
Po wybraniu atrybutu w celu podania wartości nazwy UPN, która ma być używana w identyfikatorze Entra firmy Microsoft, należy upewnić się, że
- Wartości atrybutów są zgodne ze składnią nazwy UPN (RFC 822), powinny być w formacie username@domain
- Sufiks w wartościach jest zgodny z jedną ze zweryfikowanych domen niestandardowych w identyfikatorze Entra firmy Microsoft
W ustawieniach ekspresowych zakładany wybór atrybutu to userPrincipalName. Jeśli atrybut userPrincipalName nie zawiera wartości, którą użytkownicy mają zalogować się do identyfikatora Entra firmy Microsoft, musisz wybrać pozycję Instalacja niestandardowa.
Uwaga
Najlepszym rozwiązaniem jest, aby prefiks nazwy UPN zawierał więcej niż jeden znak.
Stan domeny niestandardowej i nazwa UPN
Ważne jest, aby upewnić się, że istnieje zweryfikowana domena dla sufiksu nazwy UPN.
Jan jest użytkownikiem contoso.com. Chcesz, aby jan używał lokalnej nazwy UPN john@contoso.com do logowania się do identyfikatora Entra firmy Microsoft po zsynchronizowaniu użytkowników z katalogem Microsoft Entra contoso.onmicrosoft.com. W tym celu należy dodać i zweryfikować contoso.com jako domenę niestandardową w usłudze Microsoft Entra ID, zanim będzie można rozpocząć synchronizowanie użytkowników. Jeśli sufiks nazwy UPN Jan, na przykład contoso.com, nie pasuje do zweryfikowanej domeny w identyfikatorze Entra firmy Microsoft, identyfikator Entra firmy Microsoft zastępuje sufiks nazwy UPN contoso.onmicrosoft.com.
Nieprzekazywalne domeny lokalne i UPN dla Microsoft Entra ID
Niektóre organizacje mają domeny niezwiązane z routingem, takie jak contoso.local lub proste domeny z pojedynczą etykietą, takie jak contoso. Nie można zweryfikować domeny nietroutowalnej w Microsoft Entra ID. Program Microsoft Entra Connect może przeprowadzić synchronizację tylko ze zweryfikowaną domeną w identyfikatorze Entra firmy Microsoft. Podczas tworzenia katalogu Microsoft Entra tworzy on domenę routingu, która staje się domeną domyślną dla twojego identyfikatora Entra firmy Microsoft, na przykład contoso.onmicrosoft.com. W związku z tym konieczne jest zweryfikowanie dowolnej innej domeny routingu w takim scenariuszu, jeśli nie chcesz synchronizować się z domyślną domeną onmicrosoft.com.
Przeczytaj Dodawanie niestandardowej nazwy domeny do identyfikatora entra firmy Microsoft, aby uzyskać więcej informacji na temat dodawania i weryfikowania domen.
Program Microsoft Entra Connect wykrywa, czy działasz w środowisku domeny bez routingu i odpowiednio ostrzega cię przed rozpoczęciem pracy z ustawieniami ekspresowymi. Jeśli pracujesz w domenie nieroutowalnej, to prawdopodobnie przyrostki UPN użytkowników również są nieroutowalne. Jeśli na przykład korzystasz z domeny contoso.local, program Microsoft Entra Connect sugeruje ustawienia niestandardowe zamiast ustawień szybkiej konfiguracji. Za pomocą ustawień niestandardowych możesz określić atrybut, który powinien być używany jako nazwa UPN do logowania się do identyfikatora Entra firmy Microsoft po zsynchronizowaniu użytkowników z identyfikatorem Entra firmy Microsoft.
Następne kroki
Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.