Microsoft Entra Connect Sync: Noções básicas sobre a configuração padrão

Este artigo explica as regras de configuração padrão. Ele documenta as regras e como elas afetam a configuração. Ele também orienta você pela configuração padrão do Microsoft Entra Connect Sync. O objetivo é que o leitor entenda como o modelo de configuração, chamado provisionamento declarativo, está funcionando em um exemplo do mundo real. Este artigo pressupõe que você tenha instalado e configurado a sincronização do Microsoft Entra Connect usando o assistente de instalação.

Para entender os detalhes do modelo de configuração, leia Compreendendo o Aprovisionamento Declarativo.

Regras pré-configuradas das instalações locais para o ID Microsoft Entra

As expressões a seguir podem ser encontradas na configuração pronta para uso.

Regras prontas para uso pelo usuário

Essas regras também se aplicam ao tipo de objeto iNetOrgPerson.

Um objeto de usuário deve satisfazer o seguinte para ser sincronizado:

• Deve ter um "sourceAnchor".
• Depois que o objeto é criado no Microsoft Entra ID, sourceAnchor não pode mudar. Se o valor for alterado localmente, o objeto para de sincronizar até que sourceAnchor seja alterado de volta ao seu valor anterior.
• Deve ter o atributo accountEnabled (userAccountControl) preenchido. Com um Ative Directory local, esse atributo está sempre presente e preenchido.

Os seguintes objetos de usuário não estão sincronizados com o Microsoft Entra ID:

• IsPresent([isCriticalSystemObject]). Verifique se muitos objetos prontos para uso no Ative Directory, como a conta de administrador interna, não estão sincronizados.
• IsPresent([sAMAccountName]) = False. Verifique se os objetos do usuário sem atributo sAMAccountName não estão sincronizados. Este caso só aconteceria praticamente em um domínio atualizado do NT4.
• Left([sAMAccountName], 4) = "AAD_", Left([sAMAccountName], 5) = "MSOL_". Não sincronize a conta de serviço usada pelo Microsoft Entra Connect Sync e suas versões anteriores.
• Não sincronize contas do Exchange que não funcionariam no Exchange Online.
  • [sAMAccountName] = "SUPPORT_388945a0"
  • Left([mailNickname], 14) = "SystemMailbox{"
  • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))
  • (Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
• Não sincronize objetos que não funcionariam no Exchange Online. CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
  Essa máscara de bits (&H21C07000) filtraria os seguintes objetos:
  • Pasta pública habilitada para email (em visualização a partir da versão 1.1.524.0)
  • Caixa de Correio do Atendedor do Sistema
  • Caixa de Correio do Banco de Dados (Caixa de Correio do Sistema)
  • Universal Security Group (não se aplica a um usuário, mas está presente por motivos herdados)
  • Grupo não universal (não se aplicaria a um usuário, mas está presente por motivos herdados)
  • Plano de Caixa de Correio
  • Caixa de Correio de Pesquisa
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Não sincronize nenhum objeto vítima de replicação.

Aplicam-se as seguintes regras de atributo:

• sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). O atributo sourceAnchor não é contribuído de uma caixa de correio vinculada. Presume-se que, se uma caixa de correio vinculada for encontrada, a conta real será associada posteriormente.
• Os atributos relacionados ao Exchange só serão sincronizados se o atributo mailNickName tiver um valor.
• Quando há várias florestas, os atributos são consumidos na seguinte ordem:
  1. Os atributos relacionados ao login (por exemplo, userPrincipalName) são provenientes do forest com uma conta ativa.
  2. Os atributos que podem ser encontrados num GAL (Lista de Endereços Global) do Exchange são fornecidos a partir do domínio com uma caixa de correio do Exchange.
  3. Se nenhuma caixa de correio puder ser encontrada, esses atributos poderão vir de qualquer floresta.
  4. Atributos relacionados ao intercâmbio (atributos técnicos não visíveis na GAL) são contribuídos a partir da floresta onde mailNickname ISNOTNULL.
  5. Se houver várias florestas que satisfaçam uma dessas regras, a ordem de criação (data/hora) dos Conectores (florestas) será usada para determinar qual floresta contribui com os atributos. A primeira floresta conectada é a primeira floresta a sincronizar.

Regras padrão para contato

Um objeto de contato deve satisfazer o seguinte para ser sincronizado:

• Deve ter o valor do atributo mail.
• O contacto deve ser habilitado para correio eletrónico. É verificado com as seguintes regras:
  • IsPresent([proxyAddresses]) = True). O atributo proxyAddresses deve ser preenchido.
  • Um endereço de e-mail principal pode ser encontrado no atributo proxyAddresses ou no atributo mail. A presença de um @ é usada para verificar se o conteúdo é um endereço de e-mail. Uma dessas duas regras deve ser avaliada como True.
    • (Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). Existe uma entrada com "SMTP:" e, se houver, pode ser encontrado um @ na string?
    • (IsPresent([mail]) = True && (InStr([mail], "@") > 0). O atributo mail está preenchido e, se for, pode ser encontrado um @ na cadeia de caracteres?

Os seguintes objetos de contato não são sincronizados com o Microsoft Entra ID:

• IsPresent([isCriticalSystemObject]). Certifique-se de que nenhum objeto de contato marcado como crítico esteja sincronizado. Não deveria haver nenhum com uma configuração padrão.
• ((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).
• (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). Esses objetos não funcionariam no Exchange Online.
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Não sincronize nenhum objeto vítima de replicação.

Regras prontas para uso do grupo

Um objeto de grupo deve satisfazer o seguinte para ser sincronizado:

• Deve ter menos de 250.000 membros. Esta contagem é o número de membros no grupo no local físico.
  • Se tiver mais membros antes do início da sincronização pela primeira vez, o grupo não será sincronizado.
  • Se o número de membros crescer a partir de quando foi criado inicialmente, ele para de sincronizar quando atinge 250.000 membros até que a contagem de membros seja inferior a 250.000 novamente.
  • Nota: O Microsoft Entra ID impõe a contagem de 250.000 membros. Não é possível sincronizar grupos com mais membros, mesmo que modifique ou remova esta regra.
• Se o grupo for um Grupo de Distribuição, ele também deverá estar ativado para envio de email. Consulte regras predefinidas de contato para a aplicação desta regra.

Os seguintes objetos de grupo não são sincronizados com o Microsoft Entra ID.

• IsPresent([isCriticalSystemObject]). Verifique se muitos objetos padrão no Active Directory, como o grupo de administradores pré-definido, não estão sincronizados.
• [sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Grupo herdado usado pelo DirSync.
• BitAnd([msExchRecipientTypeDetails],&H40000000). Grupo de Funções.
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Não sincronize nenhum objeto vítima de replicação.

Princípios de Segurança Externa prontos para uso

FSPs são ligados a "qualquer" (*) objeto no metaverso. Na realidade, essa junção só acontece para usuários e grupos de segurança. Essa configuração garante que as associações entre florestas sejam resolvidas e representadas corretamente no ID do Microsoft Entra.

Regras pré-configuradas do computador

Um objeto de computador deve satisfazer o seguinte para ser sincronizado:

• userCertificate ISNOTNULL. Apenas os computadores com Windows 10 preenchem este atributo. Todos os objetos de computador com um valor neste atributo são sincronizados.

Noções básicas sobre o cenário de regras prontas para uso

Neste exemplo, estamos a usar uma implantação com uma floresta de contas (A), uma floresta de recursos (R) e um diretório Microsoft Entra.

Nessa configuração, presume-se que há uma conta habilitada na floresta de conta e uma conta desabilitada na floresta de recursos com uma caixa de correio vinculada.

Nosso objetivo com a configuração padrão é:

• Os atributos relacionados ao login são sincronizados da floresta com a conta habilitada.
• Os atributos que podem ser encontrados na GAL (Lista de Endereços Global) são sincronizados a partir da floresta com a caixa de correio. Se nenhuma caixa de correio puder ser encontrada, qualquer outra floresta será usada.
• Se for encontrada uma caixa de correio vinculada, a conta vinculada e habilitada deve ser localizada para que o objeto seja exportado para o Microsoft Entra ID.

Editor de regras de sincronização

A configuração pode ser visualizada e alterada com a ferramenta Synchronization Rules Editor (SRE) e um atalho para ela pode ser encontrado no menu Iniciar.

O SRE é uma ferramenta de kit de recursos e é instalado com o Microsoft Entra Connect Sync. Para poder iniciá-lo, você deve ser membro do grupo ADSyncAdmins. Quando começa, você vê algo assim:

Neste painel, você verá todas as Regras de Sincronização criadas para sua configuração. Cada linha na tabela é uma Regra de Sincronização. À esquerda, em Tipos de Regras, os dois tipos diferentes são listados: Entrada e Saída. Inbound e Outbound é do ponto de vista do metaverso. Você vai se concentrar principalmente nas regras de entrada nesta visão geral. A lista real de Regras de Sincronização depende do esquema detetado no AD. Na imagem acima, a floresta de conta (fabrikamonline.com) não tem nenhum serviço, como Exchange e Lync, e nenhuma Regra de Sincronização foi criada para esses serviços. No entanto, na floresta de recursos (res.fabrikamonline.com), você encontrará Regras de Sincronização para esses serviços. O conteúdo das regras é diferente dependendo da versão detetada. Por exemplo, em uma implantação com o Exchange 2013, há mais fluxos de atributos configurados do que no Exchange 2010/2007.

Regra de sincronização

Uma Regra de Sincronização é um objeto de configuração com um conjunto de atributos fluindo quando uma condição é satisfeita. É também usado para descrever como um objeto em um espaço de conector está relacionado a um objeto no metaverso, conhecido como join ou match. As Regras de Sincronização têm um valor de precedência que indica como elas se relacionam entre si. Uma Regra de Sincronização com um valor numérico mais baixo tem uma precedência maior e, em um conflito de fluxo de atributos, uma precedência maior vence a resolução do conflito.

Como exemplo, veja a Regra de Sincronização Entrada do AD – Conta de Utilizador Ativada. Marque esta linha no SRE e selecione Editar.

Como esta regra é uma regra pronta para uso, recebes um aviso ao abri-la. Você não deve fazer nenhuma alteração nas regras prontas para uso, então você é perguntado quais são suas intenções. Nesse caso, tu só queres ver a regra. Selecione Sem.

Uma Regra de Sincronização tem quatro seções de configuração: Descrição, Filtro de escopo, Regras de associação e Transformações.

Descrição

A primeira seção fornece informações básicas, como nome e descrição.

Você também encontra informações sobre a qual sistema conectado essa regra está relacionada, a qual tipo de objeto no sistema conectado ela se aplica e o tipo de objeto do metaverso. O tipo de objeto do metaverso é sempre pessoa, independentemente de quando o tipo de objeto de origem é um usuário, iNetOrgPerson ou contato. O tipo de objeto do metaverso nunca deve mudar, por isso é criado como um tipo genérico. O Tipo de Link pode ser definido como Join, StickyJoin ou Provision. Essa configuração funciona em conjunto com a seção Regras de Ingresso e é abordada posteriormente.

Você também pode ver que essa regra de sincronização é usada para sincronização de senha. Se um usuário estiver no escopo dessa regra de sincronização, a senha será sincronizada do local para a nuvem (supondo que você tenha ativado o recurso de sincronização de senha).

Filtro de escopo

A seção Filtro de Escopo é usada para configurar quando uma Regra de Sincronização deve ser aplicada. Como o nome da Regra de Sincronização que você está vendo indica que ela só deve ser aplicada para usuários habilitados, o escopo é configurado para que o atributo AD o userAccountControl não devem ter o bit 2 definido. Quando o mecanismo de sincronização encontra um usuário no AD, ele aplica essa regra de sincronização quando userAccountControl é definido como o valor decimal 512 (usuário normal habilitado). Ele não aplica a regra quando o usuário tem userAccountControl definido como 514 (usuário normal desabilitado).

O filtro de escopo tem grupos e cláusulas que podem ser aninhados. Todas as cláusulas dentro de um grupo devem ser satisfeitas para que uma Regra de Sincronização seja aplicada. Quando vários grupos são definidos, pelo menos um grupo deve ser satisfeito para que a regra se aplique. Ou seja, um *ou* lógico é avaliado entre grupos e um *e* lógico é avaliado dentro de um grupo. Um exemplo desta configuração pode ser encontrado na Regra de Sincronização para Saída Out to Microsoft Entra ID – Group Join. Existem vários grupos de filtros de sincronização, por exemplo, um para grupos de segurança (securityEnabled EQUAL True) e outro para grupos de distribuição (securityEnabled EQUAL False).

Esta regra é usada para definir quais Grupos devem ser provisionados para o Microsoft Entra ID. Os Grupos de Distribuição devem estar habilitados para email para serem sincronizados com a ID do Microsoft Entra, mas para grupos de segurança não é necessário um email.

Regras de adesão

A terceira seção é usada para configurar como os objetos no espaço do conector se relacionam com os objetos no metaverso. A regra que você analisou anteriormente não tem nenhuma configuração para Regras de Ingresso, então, em vez disso, você vai olhar para In do AD – User Join.

O conteúdo da regra de junção depende da opção de correspondência selecionada no assistente de instalação. Para uma regra de entrada, a avaliação começa com um objeto no espaço do conector de origem e cada grupo nas regras de junção é avaliado em sequência. Se um objeto de origem for avaliado para corresponder exatamente a um objeto no metaverso usando uma das regras de junção, os objetos serão unidos. Se todas as regras tiverem sido avaliadas e não houver correspondência, o Tipo de link na página de descrição será usado. Se essa configuração for definida como Provision, um novo objeto será criado no destino, o metaverso, se pelo menos um atributo nos critérios de junção estiver presente (tiver um valor). Configurar um novo objeto para o metaverso também é conhecido como projectar um objeto para o metaverso.

As regras de adesão são avaliadas apenas uma vez. Quando um objeto de espaço de conector e um objeto de metaverso são unidos, eles permanecem unidos enquanto o escopo da Regra de Sincronização ainda for cumprido.

Ao avaliar as Regras de Sincronização, apenas uma Regra de Sincronização com regras de associação definidas deve estar no escopo. Se várias Regras de Sincronização com regras de junção forem encontradas para um objeto, um erro será gerado. Por esse motivo, a prática recomendada é ter apenas uma Regra de Sincronização com junção definida quando várias Regras de Sincronização estiverem no escopo de um objeto. Na configuração pronta para uso do Microsoft Entra Connect Sync, essas regras podem ser encontradas olhando para o nome e encontrar aquelas com a palavra Join no final do nome. Uma Regra de Sincronização sem nenhuma regra de associação definida aplica os fluxos de atributos quando outra Regra de Sincronização uniu os objetos ou provisionou um novo objeto no destino.

Se observar a imagem acima, pode ver que a regra está a tentar agrupar o objectSID com o msExchMasterAccountSid (Exchange) e o msRTCSIP-OriginatorSid (Lync), o que é aquilo que esperamos numa topologia de floresta de recursos de conta. Você encontra a mesma regra em todas as florestas. O pressuposto é que cada floresta pode ser uma floresta de contas ou uma floresta de recursos. Essa configuração também funciona se você tiver contas que vivem em uma única floresta e não precisam ser associadas.

Transformações

A seção de transformação define todos os fluxos de atributos que se aplicam ao objeto de destino quando os objetos são unidos e o filtro de escopo é satisfeito. Voltando ao In do AD – User AccountEnabled Synchronization Rule, você encontrará as seguintes transformações:

Para contextualizar esta configuração, em uma implantação de floresta de Account-Resource, é esperado encontrar uma conta ativada na floresta de contas e uma conta desativada na floresta de recursos com configurações do Exchange e do Lync. A Regra de Sincronização que você está examinando contém os atributos necessários para entrar e esses atributos devem fluir da floresta onde há uma conta habilitada. Todos esses fluxos de atributos são reunidos em uma Regra de Sincronização.

Uma transformação pode ter diferentes tipos: Constante, Direta e Expressão.

• Um fluxo constante sempre flui um valor codificado. No caso acima, ele sempre define o valor True no atributo do metaverso chamado accountEnabled.
• Um fluxo direto transfere sempre o valor do atributo na origem para o atributo de destino as-is.
• O terceiro tipo de fluxo é o Expression e permite configurações mais avançadas.

A linguagem de expressão é VBA (Visual Basic for Applications), portanto, pessoas com experiência em Microsoft Office ou VBScript reconhecerão o formato. Os atributos estão entre colchetes, [attributeName]. Os nomes de atributos e os nomes de funções diferenciam maiúsculas de minúsculas, mas o Editor de Regras de Sincronização verifica as expressões e fornece um aviso caso a expressão não seja válida. Todas as expressões são apresentadas numa única linha com funções aninhadas. Para mostrar o poder da linguagem de configuração, aqui está o fluxo para pwdLastSet, mas com comentários adicionais inseridos:

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .NET datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

Consulte Understanding Declarative Provisioning Expressions para obter mais informações sobre a linguagem de expressão para fluxos de atributos.

Precedência

Agora você examinou algumas Regras de Sincronização individuais, mas as regras funcionam juntas na configuração. Em alguns casos, um valor de atributo é contribuído de várias regras de sincronização para o mesmo atributo de destino. Nesse caso, a precedência do atributo é usada para determinar qual atributo vence. Como exemplo, observe o atributo sourceAnchor. Este atributo é um atributo importante para poder entrar no Microsoft Entra ID. Você pode encontrar um fluxo de atributos para esse atributo em duas Regras de Sincronização diferentes, In do AD – User AccountEnabled e In do AD – User Common. Quando há vários objetos unidos ao objeto do metaverso, o atributo sourceAnchor é fornecido primeiro da floresta com uma conta ativada devido à precedência da Regra de Sincronização. Se não houver contas habilitadas, o mecanismo de sincronização usará a Regra de Sincronização abrangente In do AD – User Common. Essa configuração garante que, mesmo para contas desativadas, ainda haja um sourceAnchor.

A precedência das Regras de Sincronização é definida em grupos pelo assistente de instalação. Todas as regras de um grupo têm o mesmo nome, mas estão conectadas a diretórios conectados diferentes. O assistente de instalação dá à regra In do AD – User Join precedência mais alta e itera sobre todos os diretórios AD conectados. Em seguida, continua com os próximos grupos de regras em uma ordem predefinida. Dentro de um grupo, as regras são adicionadas na ordem em que os conectores foram adicionados no assistente de configuração. Se outro Conector for adicionado através do assistente, as Regras de Sincronização serão reordenadas e as regras do novo Conector serão inseridas por último em cada grupo.

Juntando tudo

Agora sabemos o suficiente sobre as Regras de Sincronização para podermos entender como a configuração funciona com as diferentes Regras de Sincronização. Se considerar um utilizador e os atributos que são contribuídos ao metaverso, as regras são aplicadas na seguinte ordem:

Nome	Comentar
Entrada do AD – Adesão de Utilizadores	Regra para unir objetos do espaço do conector com o metaverso.
Em do AD – Conta de Utilizador Ativada	Atributos necessários para entrar no Microsoft Entra ID e no Microsoft 365. Queremos esses atributos da conta habilitada.
Em do AD – Usuário Comum do Exchange	Atributos encontrados na Lista de Endereços Global. Assumimos que a qualidade dos dados é melhor na floresta onde encontramos a caixa de correio do usuário.
Entrada de AD - Utilizador Comum	Atributos encontrados na Lista de Endereços Global. Caso não tenhamos encontrado uma caixa de correio, qualquer outro objeto associado pode contribuir com o valor do atributo.
De dentro do AD – Troca de Utilizador	Só existe se o Exchange tiver sido detetado. Ele processa todos os atributos de infraestrutura do Exchange.
Entrada a partir do AD – Lync de Utilizador	Só existe se o Lync tiver sido detetado. Gere todos os atributos de infraestrutura do Lync.

Próximos passos

• Leia mais sobre o modelo de configuração em Understanding Declarative Provisioning.
• Leia mais sobre a linguagem de expressão em Understanding Declarative Provisioning Expressions.
• Continue lendo como a configuração pronta para uso funciona no Noções básicas sobre usuários e contatos
• Veja como fazer uma alteração prática usando o provisionamento declarativo em Como fazer uma alteração na configuração padrão.

Tópicos de visão geral

• Microsoft Entra Connect Sync: entenda e personalize a sincronização
• Integrando suas identidades locais com o Microsoft Entra ID