Sincronização do Microsoft Entra Connect: noções básicas sobre a configuração padrão

Este artigo explica as regras da configuração pronta para uso. Ele documenta as regras e como essas regras afetam a configuração. Ele também orienta você pela configuração padrão do Microsoft Entra Connect Sync. A meta é que o leitor entenda como o modelo de configuração, chamado provisionamento declarativo, está funcionando em um exemplo do mundo real. Este artigo pressupõe que você instalou e configurou a sincronização do Microsoft Entra Connect usando o assistente de instalação.

Para entender os detalhes do modelo de configuração, leia Noções básicas sobre o provisionamento declarativo.

Regras prontas para uso do local para o Microsoft Entra ID

As expressões a seguir podem ser encontradas na configuração pronta para uso.

Regras prontas para uso do usuário

Essas regras também se aplicam ao tipo de objeto iNetOrgPerson.

Um objeto de usuário deve atender ao seguinte para ser sincronizado:

• Deve ter um sourceAnchor.
• Depois que o objeto for criado na ID do Microsoft Entra, o sourceAnchor não poderá ser alterado. Se o valor for alterado localmente, o objeto interromperá a sincronização até que o sourceAnchor seja alterado de volta para seu valor anterior.
• Deve ter o atributo accountEnabled (userAccountControl) preenchido. Com um Active Directory local, esse atributo está sempre presente e preenchido.

Os seguintes objetos de usuário não estão sincronizados ao Microsoft Entra ID:

• IsPresent([isCriticalSystemObject]). Garanta que vários objetos prontos para uso no Active Directory, como a conta de administrador interno, não sejam sincronizados.
• IsPresent([sAMAccountName]) = False. Verifique se os objetos de usuário sem atributo sAMAccountName não estão sincronizados. Esse caso só praticamente ocorreria em um domínio atualizado do NT4.
• Left([sAMAccountName], 4) = "AAD_", Left([sAMAccountName], 5) = "MSOL_". Não sincronize a conta de serviço usada pelo Microsoft Entra Connect Sync e suas versões anteriores.
• Não sincronize contas do Exchange que não funcionariam no Exchange Online.
  • [sAMAccountName] = "SUPPORT_388945a0"
  • Left([mailNickname], 14) = "SystemMailbox{"
  • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))
  • (Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
• Não sincronize objetos que não funcionariam no Exchange Online. CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
  Essa máscara de bits (&H21C07000) filtraria os seguintes objetos:
  • Pasta pública habilitada para email (em versão prévia a partir da versão 1.1.524.0)
  • Caixa de correio do atendedor do sistema
  • Caixa de correio do banco de dados de correio (caixa de correio do sistema)
  • Grupo de Segurança Universal (não se aplicaria a um usuário, mas está presente por motivos herdados)
  • Grupo não Universal (não se aplicaria a um usuário, mas está presente por motivos herdados)
  • Plano de caixa de correio
  • Caixa de correio de descoberta
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Não sincronize nenhum objeto de vítima de replicação.

As seguintes regras de atributo se aplicam:

• sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). O atributo sourceAnchor não é proveniente de uma caixa de correio vinculada. Supõe-se que, se uma caixa de correio vinculada for encontrada, a conta real será conectada posteriormente.
• Os atributos relacionados ao Exchange só serão sincronizados se o atributo mailNickName tiver um valor.
• Quando há várias florestas, os atributos são consumidos na seguinte ordem:
  1. Atributos relacionados a entrada (por exemplo, userPrincipalName) são a contribuição da floresta com uma conta habilitada.
  2. Atributos que podem ser encontrados em uma GAL (Lista de Endereços Global) do Exchange são a contribuição da floresta com uma caixa de correio do Exchange.
  3. Se nenhuma caixa de correio puder ser encontrada, esses atributos poderão vir de qualquer floresta.
  4. Atributos relacionados ao Exchange (atributos técnicos não visíveis na GAL) são a contribuição da floresta em que mailNickname ISNOTNULL.
  5. Se houver várias florestas que satisfaçam uma dessas regras, a ordem de criação (data/hora) dos Conectores (florestas) será usada para determinar qual floresta contribui com os atributos. A primeira floresta conectada é a primeira floresta a ser sincronizada.

Regras prontas para uso de contato

Um objeto de contato deve satisfazer o seguinte para ser sincronizado:

• Deve ter o valor do atributo de email.
• O contato deve ser habilitado para email. Ele é verificado com as seguintes regras:
  • IsPresent([proxyAddresses]) = True). O atributo proxyAddresses deve ser preenchido.
  • Um endereço de email primário pode ser encontrado no atributo proxyAddresses ou no atributo de email. A presença de um @ é usada para verificar se o conteúdo é um endereço de email. Uma dessas duas regras deve ser avaliada como True.
    • (Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). Há uma entrada com "SMTP:" e, se houver, um @ pode ser encontrado na cadeia de caracteres?
    • (IsPresent([mail]) = True && (InStr([mail], "@") > 0). O atributo de email está preenchido e, se estiver, um @ pode ser encontrado na string?

Os seguintes objetos de contato não estão sincronizados ao Microsoft Entra ID:

• IsPresent([isCriticalSystemObject]). Verifique se nenhum objeto de contato marcado como crítico é sincronizado. Não deve haver nenhuma com a configuração padrão.
• ((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).
• (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). Esses objetos não funcionariam no Exchange Online.
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Não sincronize nenhum objeto de vítima de replicação.

Grupo prontas para uso de grupo

Um objeto de grupo deve satisfazer o seguinte para ser sincronizado:

• Deve ter menos de 250.000 membros. Essa contagem é o número de membros do grupo local.
  • Se ele tiver mais membros antes do início da sincronização, o grupo não será sincronizado.
  • Se o número de membros aumentar de quando foi criado inicialmente, ele deixará de sincronizar quando atingir 250.000 membros até que a contagem de associações seja inferior a 250.000 novamente.
  • Observação: a ID do Microsoft Entra impõe a contagem de 250.000 associações. Você não poderá sincronizar grupos com mais membros mesmo se modificar ou remover essa regra.
• Se o grupo for um grupo de distribuição , ele também deverá estar habilitado para email. Consulte Regras prontas para uso de contato para ver como essa regra é aplicada.

Os seguintes objetos de grupo não estão sincronizados ao Microsoft Entra ID:

• IsPresent([isCriticalSystemObject]). Garanta que vários objetos prontos para uso no Active Directory, como o grupo de administrador interno, não sejam sincronizados.
• [sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Grupo herdado usado por DirSync.
• BitAnd([msExchRecipientTypeDetails],&H40000000). Grupo de funções.
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Não sincronize nenhum objeto de vítima de replicação.

Regras prontas para uso de ForeignSecurityPrincipal

Os FSPs são unidos a "qualquer" (*) objeto no metaverso. Na realidade, essa junção só acontece para usuários e grupos de segurança. Essa configuração garante que as associações entre florestas sejam resolvidas e representadas corretamente no Microsoft Entra ID.

Regras prontas para uso de computador

Um objeto de computador deve atender ao seguinte para ser sincronizado:

• userCertificate ISNOTNULL. Somente computadores Windows 10 preenchem esse atributo. Todos os objetos de computador com um valor nesse atributo são sincronizados.

Noções básicas sobre o cenário de regras prontas para uso

Neste exemplo, estamos utilizando uma implantação com uma floresta de contas (A), uma floresta de recursos (R) e um diretório do Microsoft Entra.

Nessa configuração, supõe-se que haja uma conta habilitada na floresta de contas e uma conta desabilitada na floresta de recursos com uma caixa de correio vinculada.

Nossa meta com a configuração padrão é:

• Atributos relacionados à entrada são sincronizados com a floresta com a conta habilitada.
• Atributos que podem ser encontrados na GAL (Lista de Endereços Global) são sincronizados da floresta com a caixa de correio. Se nenhuma caixa de correio puder ser encontrada, qualquer outra floresta será usada.
• Se uma caixa de correio vinculada for encontrada, a conta vinculada habilitada deverá ser encontrada para que o objeto seja exportado para o Microsoft Entra ID.

Editor de Regras de Sincronização

A configuração pode ser exibida e alterada com o SRE (Editor de Regras de Sincronização) da ferramenta e um atalho para ele pode ser encontrado no menu iniciar.

ícone do Editor de Regras de Sincronização

O SRE é uma ferramenta de kit de recursos e é instalado com o Microsoft Entra Connect Sync. Para poder iniciá-lo, você deve ser membro do grupo ADSyncAdmins. Quando ele começa, você vê algo assim:

Neste painel, você verá todas as Regras de Sincronização criadas para sua configuração. Cada linha na tabela é uma Regra de Sincronização. À esquerda em Tipos de Regra, os dois tipos diferentes são listados: Entrada e Saída. Entrada e saída é da exibição do metaverso. Você vai se concentrar principalmente nas regras de entrada nesta visão geral. A lista real de Regras de Sincronização depende do esquema detectado no AD. Na imagem acima, a floresta de conta (fabrikamonline.com) não tem nenhum serviço, como Exchange e Lync, e nenhuma Regra de Sincronização foi criada para esses serviços. No entanto, na floresta de recursos (res.fabrikamonline.com) você encontra regras de sincronização para esses serviços. O conteúdo das regras é diferente dependendo da versão detectada. Por exemplo, em uma implantação com o Exchange 2013, há mais fluxos de atributo configurados do que no Exchange 2010/2007.

Regra de sincronização

Uma regra de sincronização é um objeto de configuração com um conjunto de atributos fluindo quando uma condição é atendida. Ela também é usado para descrever como um objeto em um espaço de conector está relacionado a um objeto no metaverso, conhecido como associação ou correspondência. As Regras de Sincronização têm um valor de precedência que indica como elas se relacionam entre si. Uma regra de sincronização com um valor numérico inferior tem uma precedência maior e, em um conflito de fluxo de atributo, uma precedência mais alta vence a resolução de conflitos.

Por exemplo, examinaremos a Regra de Sincronização Entrada do AD – usuário AccountEnabled. Marque essa linha no SRE e selecione Editar.

Como essa regra é pronta para uso, você receberá um aviso quando abrir a regra. Você não deve fazer qualquer alteração em regras prontas para uso. Portanto, é indagado sobre suas intenções. Nesse caso, você só deseja ver a regra. Selecione Sem.

aviso de Regras de Sincronização

Uma regra de sincronização tem quatro seções de configuração: Descrição, filtro de escopo, regras de junção e transformações.

Descrição

A primeira seção fornece informações básicas, como um nome e uma descrição.

Aba Descrição

Você também encontra informações sobre a qual sistema conectado essa regra está relacionada, a qual tipo de objeto no sistema conectado ele se aplica e o tipo de objeto do metaverso. O tipo de objeto de metaverso é sempre pessoa, independentemente de o tipo de objeto de origem ser um usuário, iNetOrgPerson ou contato. O tipo de objeto do metaverso nunca deve ser alterado para que ele seja criado como um tipo genérico. O Tipo de Link pode ser definido como Associar, StickyJoin ou Provisionar. Essa configuração funciona em conjunto com a seção Regras de Junção e é abordada posteriormente.

Você também pode ver que essa regra de sincronização é usada para sincronização de senha. Se um usuário estiver no escopo dessa regra de sincronização, a senha será sincronizada do local para a nuvem (supondo que você habilitou o recurso de sincronização de senha).

Filtro de escopo

A seção Filtro de Escopo é usada para configurar quando uma Regra de Sincronização deve ser aplicada. Como o nome da Regra de Sincronização que você está examinando indica que ela só deve ser aplicada a usuários habilitados, o escopo é configurado para que o atributo AD userAccountControl não deve ter o bit 2 definido. Quando o mecanismo de sincronização encontra um usuário no AD, ele aplica essa regra de sincronização quando userAccountControl é definido como o valor decimal 512 (usuário normal habilitado). Ele não aplica a regra quando o usuário tem userAccountControl definido como 514 (usuário normal desabilitado).

O filtro de escopo tem Grupos e Cláusulas que podem ser aninhados. Todas as cláusulas dentro de um grupo devem ser atendidas para que uma Regra de Sincronização seja aplicada. Quando vários grupos são definidos, pelo menos um grupo deve ser atendido para que a regra seja aplicada. Ou seja, um OR lógico é avaliado entre grupos e um AND lógico é avaliado dentro de um grupo. Um exemplo dessa configuração pode ser encontrado na regra de sincronização de saída Saída para Microsoft Entra ID – Associação no grupo. Há vários grupos de filtros de sincronização, por exemplo, um para grupos de segurança (securityEnabled EQUAL True) e um para grupos de distribuição (securityEnabled EQUAL False).

aba de escopo

Essa regra é usada para definir quais grupos devem ser provisionados para a ID do Microsoft Entra. Os Grupos de Distribuição devem estar habilitados para email para serem sincronizados com a ID do Microsoft Entra, mas para grupos de segurança um email não é necessário.

Regras de associação

A terceira seção é usada para configurar como os objetos no espaço do conector se relacionam com objetos no metaverso. A regra que você viu antes não tem qualquer configuração para Regras de Associação. Então, você vai examinar Entrada do AD – Associar Usuário.

aba de regras de junção

O conteúdo da regra de junção depende da opção de correspondência selecionada no assistente de instalação. Para uma regra de entrada, a avaliação começa com um objeto no espaço do conector de origem e cada grupo nas regras de junção é avaliado em sequência. Se um objeto de origem for avaliado para corresponder exatamente a um objeto no metaverso usando uma das regras de junção, os objetos serão unidos. Se todas as regras tiverem sido avaliadas e não houver correspondência, o Tipo de Link na página de descrição será usado. Se essa configuração estiver definida como Provisionar, um novo objeto será criado no destino, o metaverso, se pelo menos um atributo nos critérios de junção estiver presente (tiver um valor). Provisionar um novo objeto para o metaverso também é conhecido como projetar um objeto para o metaverso.

As regras de junção são avaliadas apenas uma vez. Quando um objeto de espaço do conector e um objeto do metaverso são associados, eles permanecem associados enquanto o escopo da Regra de Sincronização ainda for satisfeito.

Ao avaliar regras de sincronização, apenas uma regra de sincronização com regras de junção definidas deve estar no escopo. Se várias regras de sincronização com regras de junção forem encontradas para um objeto, um erro será gerado. Por esse motivo, a melhor prática é ter apenas uma Regra de Sincronização com junção definida quando várias Regras de Sincronização estiverem no escopo de um objeto. Na configuração padrão do Microsoft Entra Connect Sync, essas regras podem ser encontradas ao analisar o nome e procurar aquelas com a palavra Join no fim do nome. Uma Regra de Sincronização sem nenhuma regra de junção definida aplica os fluxos de atributo quando outra Regra de Sincronização uniu os objetos ou provisionou um novo objeto no destino.

Se você examinar a figura acima, poderá ver que a regra está tentando associar objectSID a msExchMasterAccountSid (Exchange) e a msRTCSIP OriginatorSid (Lync), que é o que esperamos em uma topologia de floresta de recursos de conta. Você encontra a mesma regra em todas as florestas. Pressupõe-se que cada floresta possa ser uma conta ou uma floresta de recursos. Essa configuração também funcionará se você tiver contas que residam em uma única floresta e não precisem ser unidas.

Transformações

A seção de transformação define todos os fluxos de atributo que se aplicam ao objeto de destino quando os objetos são unidos e o filtro de escopo é atendido. Voltando à Regra de Sincronização Entrada do AD – usuário AccountEnabled , você encontra as seguintes transformações:

Guia Transformações

Para contextualizar essa configuração, em uma implantação de floresta Account-Resource, espera-se encontrar uma conta habilitada na floresta de contas e uma conta desabilitada na floresta de recursos com configurações do Exchange e do Lync. A Regra de Sincronização que você está examinando contém os atributos necessários para entrar e esses atributos devem fluir da floresta em que há uma conta habilitada. Todos esses fluxos de atributo são reunidos em uma regra de sincronização.

Uma transformação pode ter tipos diferentes: Constante, Direta e Expressão.

• Um fluxo constante sempre flui um valor codificado. Nesse caso, ele sempre define o valor True no atributo de metaverso chamado accountEnabled.
• Um fluxo direto sempre transfere o valor do atributo na origem para o atributo de destino as-is.
• O terceiro tipo de fluxo é Expression e permite configurações mais avançadas.

A linguagem de expressão é VBA (Visual Basic for Applications), portanto, pessoas com experiência do Microsoft Office ou VBScript reconhecerão o formato. Os atributos são colocados entre colchetes, [attributeName]. Os nomes de função e de atributo diferenciam maiúsculas de minúsculas, mas o Editor de Regras de Sincronização avaliará as expressões e fornecerá um aviso se a expressão não for válida. Todas as expressões são expressas em uma única linha com funções aninhadas. Para mostrar o poder da linguagem de configuração, aqui está o fluxo para pwdLastSet, mas com comentários adicionais inseridos:

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .NET datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

Consulte Noções básicas sobre expressões de provisionamento declarativo para obter mais informações sobre a linguagem de expressão para fluxos de atributo.

Precedência

Agora você analisou algumas regras de sincronização individuais, mas as regras funcionam juntas na configuração. Em alguns casos, um valor de atributo é resultado de várias regras de sincronização para o mesmo atributo de destino. Nesse caso, a precedência de atributo é usada para determinar qual atributo ganha. Como exemplo, examine o atributo sourceAnchor. Esse atributo é um atributo importante para poder entrar na ID do Microsoft Entra. Você pode encontrar um fluxo de atributo para esse atributo em duas diferentes regras de sincronização, Entrada do AD – usuário AccountEnabled e Entrada do AD – usuário comum. Devido à precedência de Regra de Sincronização, o atributo sourceAnchor terá a contribuição da floresta com uma conta habilitada primeiro se houver vários objetos associados ao objeto metaverso. Se não houver contas habilitadas, o mecanismo de sincronização usará a regra geral de sincronização In do AD – User Common. Essa configuração garante que, mesmo para contas desabilitadas, ainda haja um sourceAnchor.

A precedência de Regras de Sincronização é definida em grupos pelo assistente de instalação. Todas as regras em um grupo têm o mesmo nome, mas estão conectadas a diretórios conectados diferentes. O assistente de instalação dá à regra Entrada do AD – Associação de Usuário maior precedência e itera por todos os diretórios do AD conectados. Em seguida, ele continua com os próximos grupos de regras em uma ordem predefinida. Dentro de um grupo, as regras são adicionadas na ordem em que os conectores foram adicionados ao assistente. Se outro conector for adicionado usando o assistente, as Regras de Sincronização serão reordenadas e as novas regras do conector serão inseridas por último em cada grupo.

Juntando as peças

Agora sabemos o suficiente sobre regras de sincronização para entender como a configuração funciona com as diferentes Regras de Sincronização. Se você observar um usuário e os atributos que contribuíram para o metaverso, as regras são aplicadas na seguinte ordem:

Nome	Comentário
Entrada do AD – Associação de Usuário	Regra para associar objetos de espaço conector com metaverso.
Entrada do AD – UserAccount habilitada	Atributos necessários para entrar na ID do Microsoft Entra e no Microsoft 365. Queremos esses atributos da conta habilitada.
Entrada do AD – usuário comum do Exchange	Atributos encontrados na Lista de Endereços Global. Presumimos que a qualidade dos dados seja a melhor na floresta em que encontramos a caixa de correio do usuário.
Entrada do AD – usuário comum	Atributos encontrados na Lista de Endereços Global. Caso não encontremos uma caixa de correio, qualquer outro objeto associado poderá contribuir com o valor do atributo.
Entrada do AD – usuário do Exchange	Só existe se o Exchange tiver sido detectado. Ele transmite todos os atributos de infraestrutura do Exchange.
Entrada do AD – usuário Lync	Só existirá se o Lync tiver sido detectado. Flui todos os atributos do Lync de infraestrutura.

Próximas etapas

• Leia mais sobre o modelo de configuração no Noções básicas sobre o provisionamento declarativo.
• Leia mais sobre a linguagem de expressões em Entendendo as Expressões de Provisionamento Declarativo.
• Continue lendo sobre como a configuração pronta para uso funciona em Noções básicas sobre usuários e contatos
• Veja como fazer uma alteração prática usando o provisionamento declarativo no Como fazer uma alteração na configuração padrão.

tópicos gerais

• Microsoft Entra Connect Sync: compreender e personalizar a sincronização
• Integração das suas identidades locais ao Microsoft Entra ID