Fatores que influenciam o desempenho do Microsoft Entra Connect
O Microsoft Entra Connect sincroniza seu Active Directory com o Microsoft Entra ID. Esse servidor é um componente crítico para mover suas identidades de usuário para a nuvem. Os principais fatores que afetam o desempenho do Microsoft Entra Connect são:
| Fator de design | Definição |
|---|---|
| Topologia | A distribuição dos componentes e os pontos de extremidade do Microsoft Entra Connect deve gerenciar na rede. |
| Escala | O número de objetos, como usuários, grupos e UOs, gerenciados pelo Microsoft Entra Connect. |
| Hardware | O hardware (físico ou virtual) para o Microsoft Entra Connect e a capacidade de desempenho dependentes de cada componente de hardware, incluindo CPU, memória, rede e configuração de disco rígido. |
| Configuração | Como o Microsoft Azure Active Directory Connect processa os diretórios e informações. |
| Carregar | Frequência de alterações do objeto. As cargas podem variar durante uma hora, dia ou semana. Dependendo do componente, talvez você precise de design para a carga de pico ou carregamento médio. |
A finalidade deste documento é descrever os fatores que influenciam o desempenho do mecanismo de provisionamento do Microsoft Entra Connect. Organizações grandes ou complexas (organizações de provisionamento com mais de 100.000 objetos) podem usar as recomendações para otimizar sua implementação do Microsoft Entra Connect, se enfrentarem problemas de desempenho descritos aqui. Os outros componentes do Microsoft Entra Connect, como o Microsoft Entra Connect Health e agentes, não são abordados aqui.
Importante
A Microsoft não oferece suporte à modificação ou à operação do Microsoft Entra Connect fora das ações formalmente documentadas. Qualquer uma dessas ações pode resultar em um estado inconsistente ou sem suporte da sincronização do Azure AD Connect. Como resultado, a Microsoft não pode dar suporte técnico a tais implantações.
Fatores de componente do Microsoft Entra Connect
O diagrama a seguir mostra uma arquitetura de alto nível de provisionamento de mecanismo para se conectar a uma única floresta, embora várias florestas tenham suporte. Essa arquitetura mostra como os vários componentes interagem uns com os outros.
O mecanismo de provisionamento se conecta a cada floresta do Active Directory e ao Microsoft Entra ID. O processo de ler informações de cada diretório é chamado de importação. Exportação se refere à atualização dos diretórios do mecanismo de provisionamento. A sincronização avalia as regras de como os objetos fluem dentro do mecanismo de provisionamento. Para obter um aprofundamento, consulte Microsoft Entra Connect Sync: Noções básicas sobre a arquitetura.
O Microsoft Entra Connect usa as seguintes áreas de preparação, regras e processos para permitir a sincronização do Active Directory para o Microsoft Entra ID:
- Espaço do conector (CS) - objetos de cada diretório conectado (CD), os diretórios reais são testados aqui pela primeira vez antes que possam ser processados pelo mecanismo de provisionamento. O Microsoft Entra ID tem seu próprio CS e cada floresta que você se conectar tem seu próprio CS.
- Metaverse (MV) - objetos que precisam ser sincronizados são criados aqui com base nas regras de sincronização. Objetos devem existir na MV antes que possam preencher os objetos e atributos para os outros diretórios conectados. Há apenas uma MV.
- Regras de Sincronização – decidem quais objetos são criados (projetados) ou conectados (unidos) a objetos no MV. As regras de sincronização também decidem quais valores de atributo são copiados ou transformados de e para os diretórios.
- Perfis de execução - agrupa as etapas do processo de copiar objetos e valores de atributo de acordo com as regras de sincronização entre as áreas de preparo e os diretórios conectados.
Existem diferentes perfis de execução para otimizar o desempenho do mecanismo de provisionamento. A maioria das organizações usa os agendamentos padrão e os perfis de execução para operações normais, mas algumas organizações podem ter que alterar o agendamento ou disparar outros perfis de execução para atender a situações incomuns. Os relatórios a seguir estão disponíveis:
Perfil de sincronização inicial
O perfil de sincronização inicial é o processo de leitura dos diretórios conectados, como uma floresta do Active Directory, pela primeira vez. Em seguida, ele faz uma análise sobre todas as entradas no banco de dados do mecanismo de sincronização. O ciclo inicial cria novos objetos no Microsoft Entra ID e leva tempo extra para ser concluído se as florestas do Active Directory forem grandes. Um ciclo de sincronização completa inclui as seguintes etapas:
- Importação completa de todos os conectores
- Sincronização completa de todos os conectores
- Exportação em todos os conectores
Perfil de sincronização inicial
Para otimizar o processo de sincronização, este perfil de execução somente processa as alterações (cria, exclui e atualiza) de objetos em seus diretórios conectados, desde o último processo de sincronização. Por padrão, o perfil de sincronização delta é executado a cada 30 minutos. As organizações devem se esforçar para manter o tempo necessário para abaixo de 30 minutos, para garantir que o Microsoft Entra ID esteja atualizado. Para monitorar a integridade do Microsoft Entra Connect, use o agente de monitoramento de integridade para ver todos os problemas com o processo. Um perfil de sincronização delta inclui as seguintes etapas:
- Importação delta em todos os conectores
- Sincronização delta em todos os conectores
- Exportação em todos os conectores
Um cenário de sincronização de delta de organização corporativo típico é:
- ~ 1% dos objetos são excluídos
- ~ 1% dos objetos são criados
- ~ 5% dos objetos são modificados
A taxa de alteração pode variar dependendo da frequência com a sua organização atualiza os usuários no seu Azure Active Directory. Por exemplo, taxas mais altas de alteração podem ocorrer com a sazonalidade de contratação e reduzir a força de trabalho.
Perfil de sincronização inicial
Um ciclo de sincronização completo será necessário se você fez qualquer uma das seguintes alterações de configuração:
- Aumentou o escopo dos objetos ou atributos a serem importados em diretórios conectados. Por exemplo, quando você adiciona um domínio ou unidade organizacional para o escopo de importação.
- Feitas alterações nas regras de sincronização. Por exemplo, quando você cria uma nova regra para preencher o título do usuário no Microsoft Entra ID de extension_attribute3 no Active Directory. Esta atualização exige que o mecanismo de provisionamento examine novamente todos os usuários existentes para atualizar seus títulos para aplicar a alteração no futuro.
As operações a seguir estão incluídas em um ciclo de sincronização completa:
- Importação completa de todos os conectores
- Sincronização delta/plena em todos os conectores
- Exportação em todos os conectores
Observação
Planejamento cuidadoso é necessário ao fazer atualizações em massa para vários objetos no seu Active Directory ou Microsoft Entra ID. Atualizações em massa fazem o processo de sincronização delta demorar mais tempo para importar, já que muitos objetos foram alterados. Importações longas podem acontecer mesmo que a atualização em massa não influencie o processo de sincronização. Por exemplo, atribuir licenças a muitos usuários na ID do Microsoft Entra causa um longo ciclo de importação da ID do Microsoft Entra, mas não resultará em nenhuma alteração de atributo no Active Directory.
Sincronização
O runtime do processo de sincronização tem as seguintes características de desempenho:
- A sincronização é de thread único, o que significa que o mecanismo de provisionamento não faz qualquer processamento paralelo dos perfis de execução de diretórios conectados, objetos ou atributos.
- O tempo de importação aumenta linearmente com o número de objetos que estão sendo sincronizados. Por exemplo, se 10.000 objetos levarem 10 minutos para serem importados, 20.000 objetos levarão aproximadamente 20 minutos no mesmo servidor.
- A exportação também é linear.
- A sincronização aumenta exponencialmente com base no número de objetos com referências a outros objetos. As associações de grupo e grupos aninhados têm o impacto de desempenho principal, porque seus membros fazem referência a objetos de usuário ou outros grupos. Essas referências devem ser encontradas e referenciadas para objetos reais no MV para concluir o ciclo de sincronização.
- A alteração de um membro do grupo leva a uma reavaliação de todos os membros do grupo. Por exemplo, se você tiver um grupo com membros de 50 K e atualizar apenas um membro, isso disparará uma sincronização de todos os membros de 50 K.
Filtragem
O tamanho da topologia do Active Directory que você deseja importar é o fator número um que influencia o desempenho e o tempo geral que os componentes internos do mecanismo de provisionamento levam para serem concluídos.
Filtragem deve ser usado para reduzir os objetos para os sincronizados. Ele impede que objetos desnecessários sejam processados e exportados para a ID do Microsoft Entra. Ordem de preferência, as técnicas de filtragem a seguir estão disponíveis:
- Filtragem baseada em domínio – use esta opção para selecionar domínios específicos para sincronizar com o Microsoft Entra ID. Você também pode adicionar e remover domínios da configuração do mecanismo de sincronização quando fizer alterações na infraestrutura local, depois de instalar sincronização do Microsoft Entra Connect.
- Filtragem da Unidade Organizacional (UO) - usa UOs para objetos de destino específicos em domínios do Active Directory para provisionamento para o Microsoft Entra ID. Filtragem de UO é o segundo mecanismo de filtragem recomendado, porque usa as consultas de escopo LDAP simples para importar um subconjunto menor de objetos do Active Directory.
- Filtragem de atributo por objeto - usa os valores de atributo em objetos para decidir se o objeto específico no Active Directory é provisionado no Microsoft Entra ID. A filtragem de atributo é ótima para ajustar seus filtros, quando a filtragem de domínio e UO não atendem aos requisitos específicos de filtragem. A filtragem de atributo não reduz o tempo de importação, mas pode reduzir a sincronização e exportar tempos.
- Filtragem baseada em grupo - usa associação para decidir se os objetos devem ser provisionados no Microsoft Entra ID. A filtragem baseada em grupo é adequada apenas para situações de teste e não é recomendada para produção, devido à sobrecarga necessária para verificar a associação de grupo durante o ciclo de sincronização adicional.
Muitos objetos persistentes do desconector no seu Active Directory CS do diretório podem causar tempos de sincronização, pois o mecanismo de provisionamento deve reavaliar cada objeto desconector para conexão possível no ciclo de sincronização. Para superar esse problema, considere uma das seguintes recomendações:
- Coloque os objetos de desconector fora do escopo de importação usando o domínio ou a filtragem de UO.
- Projeto/junção dos objetos a serem de MV e defina o atributo cloudFiltered igual a True, para impedir o provisionamento desses objetos no Microsoft Entra CS.
Observação
Os usuários podem confundir ou problemas de permissões de aplicativo podem ocorrer quando muitos objetos são filtrados. Por exemplo, em uma implementação híbrida do Exchange online, os usuários com caixas de correio locais veem mais usuários em sua lista de endereços globais do que usuários com caixas de correio no Exchange online. Em outros casos, um usuário pode querer conceder acesso em um aplicativo de nuvem a outro usuário que não faz parte do escopo do conjunto filtrado de objetos.
Fluxos de atributos
Fluxos de atributo é o processo para a cópia ou transforma os valores de atributo de objetos de um diretório conectado para outro diretório conectado. São definidos como parte das regras de sincronização. Por exemplo, quando o número de telefone de um usuário é alterado no Active Directory, o número de telefone na ID do Microsoft Entra é atualizado. As organizações podem modificar os fluxos de atributo para se adequar a vários requisitos. É recomendável copiar os fluxos de atributo existente antes de alterá-los.
Redirecionamentos simples, como fluir um valor de atributo para um atributo diferente não tem impacto no desempenho de material. Um exemplo de um redirecionamento está fluindo de um número de celular no Active Directory para o número de telefone comercial no Microsoft Entra ID.
Transformar os valores de atributo pode ter um impacto de desempenho sobre o processo de sincronização. Transformar os valores de atributo inclui modificar, reformatar, concatenar ou subtrair valores de atributos.
As organizações podem impedir que determinados atributos fluam para o Microsoft Entra ID, mas isso não influencia o desempenho do mecanismo de provisionamento.
Observação
Não exclua fluxos de atributo indesejado em suas regras de sincronização. É recomendável em vez disso, desabilitá-los, porque as regras excluídas são recriadas durante as atualizações do Microsoft Entra Connect.
Fatores de dependência do Microsoft Entra Connect
O desempenho do Microsoft Entra Connect é depende do desempenho dos diretórios conectados, ele importa e exporta. Por exemplo, o tamanho do Active Directory, é necessário importar ou a latência de rede para o serviço do Microsoft Entra. O banco de dados SQL que usa o mecanismo de provisionamento também afeta o desempenho geral do ciclo de sincronização.
Fatores do Active Directory
Conforme mencionado anteriormente, o número de objetos a ser importado influencia o desempenho significativamente. O pré-requisitos para o Microsoft Entra Connect e hardware descreve as camadas de hardware específico com base no tamanho da sua implantação. O Microsoft Entra Connect só dá suporte a topologias específicas, conforme descrito em Topologias para o Microsoft Entra Connect. Não há otimizações de desempenho e recomendações para topologias não compatíveis.
Verifique o seu servidor do Microsoft Entra Connect atende os requisitos de hardware com base no tamanho de seu Active Directory que você deseja importar. A conectividade de rede incorreta ou lenta entre o servidor do Microsoft Entra Connect e controladores de domínio do Active Directory pode reduzir a velocidade de importação.
Fatores do Microsoft Entra ID
O Microsoft Entra ID usa a limitação para proteger o serviço de nuvem contra ataques de negação de serviço (DoS). Atualmente, o Microsoft Entra ID tem um limite de limitação de 7.000 gravações por 5 minutos (84.000 por hora). Por exemplo, as seguintes operações podem ser limitadas:
- Exportar do Microsoft Entra Connect para o Microsoft Entra ID.
- Scripts do PowerShell ou aplicativos atualizando o Microsoft Entra ID diretamente até mesmo em segundo plano, como grupos de associação dinâmica.
- Usuários atualizando seus próprios registros de identidade, como se registrar para MFA ou SSPR (redefinição de senha de autoatendimento).
- Operações dentro da interface gráfica do usuário.
Planejar para tarefas de implantação e manutenção, para garantir que seu ciclo de sincronização do Microsoft Entra Connect não seja afetado por restrições de limitação. Por exemplo, se você tiver uma grande onda de contratação em que você cria milhares de identidades de usuário, isso pode causar atualizações nos grupos de associação dinâmica, atribuições de licenças e registros de redefinição de senha self-service. É melhor distribuir essas gravações por várias horas ou alguns dias.
Fatores do banco de dados SQL
O tamanho da topologia do Active Directory de origem influencia o desempenho do banco de dados SQL. Siga os requisitos de hardware para o banco de dados SQL e considere as seguintes recomendações:
- Organizações com mais de 100.000 usuários podem reduzir latências de rede pela colocação banco de dados SQL e o mecanismo de provisionamento no mesmo servidor.
- O protocolo SQL Named Pipes não tem suporte, pois apresenta atrasos significativos no ciclo de sincronização e deve ser desabilitado no SQL Server Configuration Manager em SQL Native Clients e SQL Server Network. Observe que a alteração da configuração de Pipes Nomeados só entra em vigor depois de reiniciar o banco de dados e os serviços do ADSync.
- Devido ao disco alta de entrada e saída requisitos de (E/S) do processo de sincronização, use unidades de estado sólido (SSD) para o banco de dados SQL do mecanismo de provisionamento para obter melhores resultados, se não for possível, considere as configurações RAID 0 ou RAID 1.
- Não faça uma sincronização completa preventivamente; causa variação desnecessária e tempos de resposta mais lentos.
Conclusão
Para otimizar o desempenho da sua implementação do Microsoft Entra Connect, considere as seguintes recomendações:
- Use a configuração de hardware recomendada com base em seu tamanho de implementação para o servidor do Microsoft Entra Connect.
- Ao atualizar o Microsoft Entra Connect em implantações em larga escala, considere o uso do método de migração swing, para garantir que você tenha o menor tempo de inatividade e maior confiabilidade.
- Use o SSD para o banco de dados SQL para melhor desempenho de gravação.
- O backup do Banco de Dados ADSync usando o Backup do Azure não é recomendado.
- Filtre o escopo do Active Directory para incluir apenas objetos que precisam ser provisionados no Microsoft Entra ID, usando o domínio, UO ou filtragem de atributo.
- Se você precisar alterar as regras de fluxo de atributo padrão, primeiro copie a regra, em seguida, altere a cópia e desabilite a regra original. Lembre-se de executar novamente uma sincronização completa.
- Planeje o tempo suficiente para a sincronização completa inicial, perfil de execução.
- Se esforce para concluir o ciclo de sincronização delta em 30 minutos. Se o perfil de sincronização delta não for concluído em 30 minutos, modifique a frequência de sincronização padrão para incluir um ciclo de sincronização delta completa.
- Monitore a integridade da sincronização do Microsoft Entra Connect no Microsoft Entra ID.
Próximas etapas
Saiba mais sobre Integrar suas identidades locais com o Microsoft Entra ID.