Sincronização do Microsoft Entra Connect: noções básicas sobre usuários, grupos e contatos
Há vários motivos diferentes de por que existem várias florestas do Active Directory e várias topologias de implantação diferentes. Os modelos comuns incluem uma implantação do recurso em conta e florestas sincronizadas de GAL (Lista de Endereços Global) após uma fusão e aquisição. Mas mesmo que haja modelos puros, modelos híbridos são comuns também. A configuração padrão no Microsoft Entra Connect Sync não pressupõe nenhum modelo específico. No entanto, dependendo do modo como a correspondência do usuário foi selecionada no guia de instalação, diferentes comportamentos podem ser observados.
Neste tópico, veremos como a configuração padrão se comporta em determinadas topologias. Passamos pela configuração e o Editor de Regras de Sincronização pode ser usado para analisar a configuração.
A configuração pressupõe algumas regras gerais:
- Independentemente da ordem em que importamos por meio dos Active Directories de origem, o resultado final seria sempre o mesmo.
- Uma conta ativa fornece informações de login, incluindo userPrincipalName e sourceAnchor.
- Uma conta desabilitada contribui com o userPrincipalName e sourceAnchor, a menos que seja uma caixa de correio vinculada, se não houver nenhuma conta ativa a ser encontrada.
- Uma conta com uma caixa de correio vinculada nunca é usada para userPrincipalName e sourceAnchor. Presume-se que uma conta ativa será encontrada posteriormente.
- Um objeto de contato pode ser provisionado para o ID do Microsoft Entra como um contato ou como um usuário. Você realmente não sabe até que todas as florestas do Active Directory de origem sejam processadas.
Grupos
Observação
Lembre-se de que, quando você adiciona um usuário de outra floresta ao grupo, é criada uma âncora no Active Directory na qual os grupos existirão dentro de uma UO específica. Essa âncora é uma entidade de segurança Estrangeira e é armazenada dentro da UO "ForeignSecurityPrincipals". Se você não sincronizar essa UO, os usuários serão removidos da associação de grupo.
Pontos importantes a serem observados ao sincronizar grupos do Active Directory para o ID do Microsoft Entra:
O Microsoft Entra Connect exclui grupos de segurança internos da sincronização de diretórios.
O Microsoft Entra Connect não oferece suporte à sincronização de associações de grupo principal com o ID do Microsoft Entra.
O Microsoft Entra Connect não oferece suporte à sincronização de associações do Grupo de Distribuição Dinâmica com o ID do Microsoft Entra.
Para sincronizar um grupo do Active Directory com o ID do Microsoft Entra como um grupo habilitado para email:
Se o atributo proxyAddress do grupo estiver vazio, seu atributo email deverá ter um valor
Se o atributo proxyAddress do grupo não estiver vazio, ele deverá conter, pelo menos, um valor de endereço de proxy SMTP. Estes são alguns exemplos:
Um grupo do Active Directory cujo atributo proxyAddress tem o valor {"X500:/0=contoso.com/ou=users/cn=testgroup"} não será habilitado para email no ID do Microsoft Entra. Ele não tem um endereço SMTP.
Um grupo do Active Directory cujo atributo proxyAddress tem valores {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} será habilitado para email no ID do Microsoft Entra.
Um grupo do Active Directory cujo atributo proxyAddress tem valores {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} também será habilitado para email no ID do Microsoft Entra.
Contatos
Ter contatos que representam um usuário em uma floresta diferente é comum após uma fusão e aquisição em que uma solução GALSync está fazendo a ponte entre duas ou mais florestas do Exchange. O objeto de contato está sempre unindo o espaço do conector ao metaverso, usando o atributo de email. Se já houver um objeto de contato ou um objeto de usuário com o mesmo endereço de email, os objetos serão unidos. Isso é configurado na regra Entrada do AD – Ingresso do Contato. Também há uma regra chamada Entrada do AD – Contato Comum com um fluxo de atributos para o atributo de metaverso sourceObjectType com a constante Contato. Essa regra tem baixa precedência, portanto, se qualquer objeto de usuário for associado ao mesmo objeto de metaverso, a regra do AD – User Common atribuirá o valor Usuário a esse atributo. Com essa regra, esse atributo terá o valor Contato se nenhum usuário estiver ingressado e o valor Usuário se pelo menos um usuário for encontrado.
Para provisionar um objeto no Microsoft Entra ID, a regra de saída chamada Saída para o Microsoft Entra ID – Junção de Contato cria um objeto de contato se o atributo de metaverso sourceObjectType está definido como Contato. Se esse atributo estiver definido como Usuário, a regra Saída para ID do Microsoft Entra – Junção do Usuário criará um objeto de usuário. É possível que um objeto seja promovido de Contato para Usuário quando mais Active Directories de origem forem importados e sincronizados.
Por exemplo, em uma topologia GALSync, encontramos objetos de contato para todos na segunda floresta quando importamos a primeira floresta. Isso prepara novos objetos de contato no Microsoft Entra Connector. Quando mais tarde importamos e sincronizamos a segunda floresta, encontraremos os usuários reais e os juntaremos aos objetos do metaverso existentes. Em seguida, excluiremos o objeto de contato na ID do Microsoft Entra e criaremos um novo objeto de usuário.
Se você tiver uma topologia em que usuários são representados como contatos, certifique-se de selecionar para combinar usuários no atributo de email no guia de instalação. Se você selecionar outra opção, terá uma configuração dependente do pedido. Os objetos de contato sempre se juntam ao atributo de email, mas os objetos do usuário só ingressarão no atributo de email se essa opção tiver sido selecionada no guia de instalação. Você pode acabar com dois objetos diferentes no metaverso, com o mesmo atributo de email, se o objeto de contato tiver sido importado antes do objeto de usuário. Durante a exportação para o ID do Microsoft Entra, um erro é mostrado. Esse comportamento é por design e indica dados incorretos ou que a topologia não foi identificada corretamente durante a instalação.
Contas desabilitadas
As contas desabilitadas também são sincronizadas com o ID do Microsoft Entra. Contas desabilitadas são comuns para representar recursos no Exchange, por exemplo, salas de conferência. A exceção são os usuários com uma caixa de correio vinculada; como mencionado anteriormente, eles nunca provisionam uma conta para a ID do Microsoft Entra.
A suposição é que, se uma conta de usuário desabilitada for encontrada, não encontraremos outra conta ativa mais tarde. O objeto é provisionado no Microsoft Entra ID com o "userPrincipalName" e "sourceAnchor" encontrados. Caso outra conta ativa ingresse no mesmo objeto de metaverso, seu userPrincipalName e sourceAnchor serão usados.
Alterando o sourceAnchor
Quando um objeto é exportado para o Microsoft Entra ID, não é mais permitido alterar o sourceAnchor. Quando o objeto é exportado, o atributo de metaverso cloudSourceAnchor é definido com o valor sourceAnchor aceito pela Microsoft Entra ID. Se sourceAnchor for alterado e não corresponder a cloudSourceAnchor, a regra Saída para Microsoft Entra ID – Junção de Usuário lança o erro atributo sourceAnchor foi alterado. Nesse caso, a configuração ou os dados ou devem ser corrigidos para que o mesmo sourceAnchor esteja presente no metaverso novamente antes que o objeto possa ser sincronizado outra vez.