Microsoft Entra Connect: Conceitos de design
O objetivo deste documento é descrever áreas que devem ser consideradas durante a configuração do Microsoft Entra Connect. Este documento é um aprofundamento em determinadas áreas e esses conceitos também são descritos brevemente em outros documentos.
sourceAnchor
O atributo sourceAnchor é definido como um atributo imutável durante o tempo de vida de um objeto. Ele identifica exclusivamente um objeto como sendo o mesmo objeto local e no Microsoft Entra ID. O atributo também é chamado de immutableId e os dois nomes são usados como sinônimos.
A palavra imutável, ou seja, "que não pode ser alterado", é importante neste documento. Como o valor desse atributo não pode ser alterado depois de ser definido, é importante escolher um design que dê suporte ao seu cenário.
O atributo é usado para os seguintes cenários:
- Quando um novo servidor de mecanismo de sincronização é criado ou reconstruído após um cenário de recuperação de desastre, esse atributo vincula objetos existentes no Microsoft Entra ID a objetos locais.
- Se você passar de uma identidade somente na nuvem para um modelo de identidade sincronizado, esse atributo permitirá que os objetos façam uma "correspondência rígida" com objetos existentes no Microsoft Entra ID com objetos locais.
- Se você usar federação, esse atributo, junto com userPrincipalName , é usado na declaração para identificar exclusivamente um usuário.
Este tópico trata somente de sourceAnchor no que diz respeito aos usuários. As mesmas regras se aplicam a todos os tipos de objeto, mas somente para usuários para os quais esse problema normalmente é uma preocupação.
Selecionando um bom atributo sourceAnchor
O valor do atributo deve seguir as regras a seguir:
- Menos de 60 caracteres
- Caracteres diferentes de a-z, A-Z ou 0-9 são codificados e contados como 3 caracteres
- Não contém nenhum caractere especial: \ ! # $ % & * + / = ? ^ ` { } | ~ <> ( ) ' ; : , [ ] " @ _
- Ser globalmente exclusivo
- Ser uma cadeia de caracteres, um inteiro ou um binário
- Não deve se basear no nome do usuário, uma vez que ele pode mudar
- Não diferenciar maiúsculas de minúsculas e evitar valores que podem variar maiúsculas e minúsculas
- Ser atribuído quando o objeto é criado
Se o sourceAnchor selecionado não for do tipo de cadeia de caracteres, o Microsoft Entra Connect Base64Encode o valor do atributo para garantir que nenhum caractere especial apareça. Se você usar outro servidor de federação em vez do ADFS, verifique se o servidor também pode usar Base64Encode para o atributo.
O atributo sourceAnchor diferencia letras maiúsculas de minúsculas. Um valor "DaviBarros" não é igual a "davibarros". Porém, você não deve ter dois objetos diferentes com apenas uma diferença de uso de maiúsculas.
Se você tiver uma única floresta local, o atributo que você deve usar é objectGUID. Esse também é o atributo usado quando você usa configurações expressas no Microsoft Entra Connect e também o atributo usado pelo DirSync.
Se você tem várias florestas e não move usuários entre florestas e domínios, objectGUID é um bom atributo para usar, mesmo nesse caso.
Se você mover os usuários entre domínios e florestas, deve encontrar um atributo que não será alterado ou que não pode ser movido com os usuários durante a movimentação. Uma abordagem recomendada é apresentar um atributo sintético. Um atributo que contenha algo parecido com um GUID seria adequado. Durante a criação do objeto, um novo GUID é criado e carimbado no usuário. Uma regra de sincronização personalizada pode ser criada no servidor de mecanismo de sincronização para criar esse valor baseado no objectGUID e atualizar o atributo selecionado no AD DS. Ao mover o objeto, não se esqueça também de copiar o conteúdo do valor.
Outra solução é escolher um atributo existente que você sabe que não será alterado. Os atributos usados normalmente incluem employeeID. Se você considerar um atributo que contenha letras, verifique se não há nenhuma possibilidade da letra (letras maiúsculas ou letras minúsculas) alterar o valor do atributo. Atributos inválidos que não devem ser usados incluem os atributos com o nome do usuário. Em um casamento ou divórcio, o nome deve ser alterado, o que não é permitido para esse atributo. Esse também é um dos motivos pelos quais atributos como userPrincipalName, mail e targetAddress nem sequer são possíveis de selecionar no assistente de instalação do Microsoft Entra Connect. Esses atributos também contêm o caractere "@", que não é permitido no sourceAnchor.
Alterando o atributo sourceAnchor
O valor do atributo sourceAnchor não pode ser alterado depois que o objeto tiver sido criado no Microsoft Entra ID e a identidade ser sincronizada.
Por esse motivo, as seguintes restrições se aplicam ao Microsoft Entra Connect:
- O atributo sourceAnchor somente pode ser definido durante a instalação inicial. Se você executar o assistente de instalação novamente, essa opção será somente leitura. Se você precisar alterar essa configuração, desinstale e reinstale.
- Se você instalar outro servidor do Microsoft Entra Connect, deverá selecionar o mesmo atributo sourceAnchor usado anteriormente. Se você já usou o DirSync e mudou para o Microsoft Entra Connect, deverá usar o objectGUID, pois esse é o atributo usado pelo DirSync.
- Se o valor de sourceAnchor for alterado após o objeto ter sido exportado para o Microsoft Entra ID, a Sincronização do Microsoft Entra Connect gerará um erro e não permitirá mais alterações nesse objeto antes que o problema seja corrigido e o sourceAnchor seja alterado novamente no diretório de origem.
Usando ms-DS-ConsistencyGuid as sourceAnchor
Por padrão, o Microsoft Entra Connect (versão 1.1.486.0 e anterior) usa o objectGUID como o atributo sourceAnchor. O ObjectGUID é gerado pelo sistema. Não é possível especificar seu valor ao criar objetos do AD locais. Conforme explicado na seção sourceAnchor, há cenários em que você precisa especificar o valor sourceAnchor. Se os cenários forem aplicáveis a você, use um atributo do AD configurável (por exemplo, ms-DS-ConsistencyGuid) como o atributo sourceAnchor.
O Microsoft Entra Connect (versão 1.1.524.0 e posterior) agora facilita o uso de ms-DS-ConsistencyGuid como atributo sourceAnchor. Ao usar esse recurso, o Microsoft Entra Connect configura automaticamente as regras de sincronização para:
Use ms-DS-ConsistencyGuid como o atributo sourceAnchor para objetos do Usuário. O ObjectGUID é usado para outros tipos de objeto.
Para qualquer objeto de usuário do AD local cujo atributo ms-DS-ConsistencyGuid não esteja preenchido, o Microsoft Entra Connect grava seu valor objectGUID de volta no atributo ms-DS-ConsistencyGuid no Active Directory local. Depois que o atributo ms-DS-ConsistencyGuid for preenchido, o Microsoft Entra Connect exportará o objeto para o Microsoft Entra ID.
Observação
Uma vez que um objeto AD local for importado para o Microsoft Entra Connect (ou seja, importado para o Espaço do AD Connector e projetado no Metaverso), você não poderá mais alterar seu valor sourceAnchor. Para especificar o valor sourceAnchor para um determinado objeto AD local, configure seu atributo ms-DS-ConsistencyGuid antes de ser importado para o Microsoft Entra Connect.
Permissão necessária
Para esse recurso funcionar, a conta do AD DS usada para sincronizar com o Active Directory local deve receber permissão de gravação para o atributo ms-DS-ConsistencyGuid no Active Directory local.
Como habilitar o recurso ConsistencyGuid – nova instalação
Você pode habilitar o uso de ConsistencyGuid como sourceAnchor durante uma nova instalação. Esta seção aborda tanto a instalação Expressa quanto a Personalizada em detalhes.
Observação
Somente as versões mais recentes do Microsoft Entra Connect (1.1.524.0 e posteriores) dão suporte ao uso de ConsistencyGuid como sourceAnchor durante a nova instalação.
Como habilitar o recurso ConsistencyGuid
Instalação Expressa
Ao instalar o Microsoft Entra Connect com o modo Expresso, o assistente do Microsoft Entra Connect determinará automaticamente o atributo do AD mais apropriado para usar como o atributo sourceAnchor usando a seguinte lógica:
Primeiro, o assistente do Microsoft Entra Connect consulta seu locatário do Microsoft Entra para recuperar o atributo do AD usado como o atributo sourceAnchor na instalação anterior do Microsoft Entra Connect (se houver). Se essas informações estiverem disponíveis, o Microsoft Entra Connect usará o mesmo atributo do AD.
Observação
Somente as versões mais recentes do Microsoft Entra Connect (1.1.524.0 e posteriores) armazenam informações em seu locatário do Microsoft Entra sobre o atributo sourceAnchor usado durante a instalação. As versões mais antigas do Microsoft Entra Connect não.
Se as informações sobre o atributo sourceAnchor usado não estiverem disponíveis, o assistente verificará o estado do atributo ms-DS-ConsistencyGuid em seu Active Directory local. Se o atributo não estiver configurado em nenhum objeto no diretório, o assistente usará o ms-DS-ConsistencyGuid como o atributo sourceAnchor. Se o atributo estiver configurado em um ou mais objetos no diretório, o assistente concluirá que o atributo está sendo usado por outros aplicativos e não é adequado como atributo sourceAnchor...
Nesse caso, o assistente fará o fallback usando o objectGUID como o atributo sourceAnchor.
Depois que o atributo sourceAnchor for decidido, o assistente armazenará as informações em seu locatário do Microsoft Entra. As informações serão usadas em futuras instalações do Microsoft Entra Connect.
Quando a instalação do Expresso estiver concluída, o assistente o informará de qual atributo foi selecionado como o atributo SourceAnchor.
Instalação personalizada
Ao instalar o Microsoft Entra Connect com o modo Personalizado, o assistente do Microsoft Entra Connect fornecerá duas opções ao configurar o atributo sourceAnchor:
Configuração | Descrição |
---|---|
Permitir que o Microsoft Entra ID gerencie a âncora de origem para mim | Selecione esta opção se desejar que o Microsoft Entra ID escolha o atributo para você. Se você selecionar essa opção, o assistente do Microsoft Entra Connect aplicará a mesma lógica de seleção de atributos sourceAnchor usada durante a instalação Expressa. De modo semelhante à instalação do Expresso, o assistente informará qual atributo foi selecionado como atributo Source Anchor após a conclusão da instalação Personalizada. |
Um atributo específico | Selecione esta opção se você quiser especificar um atributo existente do AD como o atributo sourceAnchor. |
Como habilitar o recurso ConsistencyGuid – implantação existente
Se você tiver uma implantação existente do Azure AD Connect, que esteja usando o objectGUID como o atributo de Âncora de Origem, você poderá mudar para ela, usando o ConsistencyGuid em vez disso.
Observação
Somente as versões mais recentes do Microsoft Entra Connect (1.1.552.0 e posteriores) dão suporte à alternância do ObjectGuid para ConsistencyGuid como o atributo Âncora de Origem.
Para trocar de objectGUID para ConsistencyGuid como o atributo de Âncora de Origem:
Inicie o assistente do Microsoft Entra Connect e clique em Configurar para ir para a tela Tarefas.
Selecione a opção de tarefa Configurar Âncora de Origem e clique em Avançar.
Insira suas credenciais de administrador do Microsoft Entra e clique em Avançar.
O assistente do Microsoft Entra Connect analisa o estado do atributo ms-DS-ConsistencyGuid no seu Active Directory local. Se o atributo não estiver configurado em nenhum objeto no diretório, o Microsoft Entra Connect concluirá que nenhum outro aplicativo está usando o atributo no momento e é seguro usá-lo como o atributo Âncora de Origem. Clique em Avançar para continuar.
Na tela Pronto para configurar, clique em Configurar para alterar a configuração.
Quando a configuração for concluída, o assistente indicará que o ms-DS-ConsistencyGuid agora está sendo usado como o atributo de Âncora de Origem.
Durante a análise (etapa 4), se o atributo estiver configurado em um ou mais objetos no diretório, o assistente concluirá que o atributo está sendo usado por outro aplicativo e retornará um erro, conforme ilustrado no diagrama a seguir. Esse erro também poderá ocorrer se você já tiver habilitado o recurso ConsistencyGuid em seu servidor do Microsoft Entra Connect primário e estiver tentando fazer o mesmo em seu servidor temporário.
Se você tiver certeza de que o atributo não é usado por outros aplicativos existentes, será possível suprimir o erro reiniciando o assistente do Microsoft Entra Connect com a opção /SkipLdapSearch especificada. Para tal, execute o seguinte comando no prompt de comando:
"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch
Impacto sobre o AD FS ou a configuração de federação de terceiros
Se você estiver usando o Microsoft Entra Connect para gerenciar a implantação do AD FS local, o Microsoft Entra Connect atualizará automaticamente as regras de declaração para usar o mesmo atributo do AD como sourceAnchor. Isso garante que a declaração ImmutableID gerada pelo ADFS seja consistente com os valores sourceAnchor exportados para o Microsoft Entra ID.
Se você estiver gerenciando o AD FS fora do Microsoft Entra Connect ou estiver usando servidores de federação de terceiros para autenticação, deverá atualizar manualmente as regras de declaração para a declaração ImmutableID para serem consistentes com os valores sourceAnchor exportados para o Microsoft Entra ID, conforme descrito na seção do artigo Modificar regras de declaração do AD FS. O assistente retorna o seguinte aviso após a conclusão da instalação:
Adicionando novos diretórios à implantação existente
Suponha que você tenha implantado o Microsoft Entra Connect com o recurso ConsistencyGuid habilitado e agora gostaria de adicionar outro diretório à implantação. Ao tentar adicionar o diretório, o assistente do Microsoft Entra Connect verifica o estado do atributo ms-DS-ConsistencyGuid no diretório. Se o atributo estiver configurado em um ou mais objetos no diretório, o assistente concluirá que o atributo está sendo usado por outros aplicativos e retornará um erro, conforme ilustrado no diagrama a seguir. Se você tiver certeza de que o atributo não é usado por outros aplicativos existentes, será possível suprimir o erro reiniciando o assistente do Microsoft Entra Connect com a opção /SkipLdapSearch especificada conforme descrito acima ou entrando em contato com o Suporte para ter mais informações.
Entrada no Microsoft Entra
Ao integrar o seu diretório local com o Microsoft Entra ID, é importante entender como as configurações de sincronização podem afetar a forma como o usuário se autentica. O Microsoft Entra ID usa userPrincipalName (UPN) para autenticar o usuário. No entanto, ao sincronizar os usuários, você deve escolher o atributo a ser usado para o valor de userPrincipalName cuidadosamente.
Escolher o atributo para userPrincipalName
Quando você estiver selecionando o atributo para fornecer o valor de UPN a ser usado no Microsoft Entra ID, garanta que
- Os valores de atributo estão de acordo com a sintaxe UPN (RFC 822). Eles devem estar no formato username@domain
- O sufixo nos valores corresponde a um dos domínios personalizados verificados no Microsoft Entra ID
Em configurações expressas, a opção suposta para o atributo é userPrincipalName. Se o atributo userPrincipalName não contiver o valor que você deseja que os usuários entrem no Microsoft Entra ID, escolha Instalação Personalizada.
Observação
É recomendável como uma melhor prática que o prefixo UPN contenha mais de um caractere.
Estado de domínio personalizado e UPN
É importante garantir que haja um domínio verificado para o sufixo UPN.
John é um usuário em contoso.com. Você deseja que John use o UPN local john@contoso.com para entrar no Microsoft Entra ID depois de sincronizar usuários com o diretório do Microsoft Entra contoso.onmicrosoft.com. Para fazer isso, você precisa adicionar e verificar contoso.com como um domínio personalizado no Microsoft Entra ID antes de começar a sincronizar os usuários. Se o sufixo UPN de John, por exemplo contoso.com, não corresponder a um domínio verificado no Microsoft Entra ID, o Microsoft Entra ID substituirá o sufixo UPN por contoso.onmicrosoft.com.
Domínios locais não roteáveis e UPN para o Microsoft Entra ID
Algumas organizações têm domínios não roteáveis, como contoso.local ou domínios de rótulo único simples, como contoso. Não é possível verificar um domínio não roteável no Microsoft Entra ID. O Microsoft Entra Connect pode sincronizar apenas com um domínio verificado no Microsoft Entra ID. Quando você cria um diretório do Microsoft Entra, ele cria um domínio roteável que se torna o domínio padrão para sua ID do Microsoft Entra, por exemplo, contoso.onmicrosoft.com. Portanto, é necessário verificar se outros domínios roteáveis nesse cenário, caso você não deseje sincronizar com o domínio padrão onmicrosoft.com.
Leia Adicione seu nome de domínio personalizado ao Microsoft Entra ID para obter mais informações sobre como adicionar e verificar domínios.
O Microsoft Entra Connect detecta se você está executando em um ambiente de domínio não roteável e avisa adequadamente para não prosseguir com as configurações expressas. Se você está operando em um domínio não roteável, é provável que o UPN dos usuários também tenha sufixos não roteáveis. Por exemplo, se você estiver executando em contoso.local, o Microsoft Entra Connect sugere que você use configurações personalizadas em vez de configurações expressas. Usando configurações personalizadas, você pode especificar o atributo que deve ser usado como UPN para entrar no Microsoft Entra ID depois que os usuários são sincronizados com o Microsoft Entra ID.
Próximas etapas
Saiba mais sobre Integrar suas identidades locais com o Microsoft Entra ID.