Microsoft Entra Connect Sync: Compreender os Utilizadores, os Grupos e os Contactos
Há vários motivos diferentes pelos quais você teria várias florestas do Ative Directory e há várias topologias de implantação diferentes. Os modelos comuns incluem uma implantação de recursos de conta e florestas sincronizadas com GAL após uma fusão ou aquisição. Mas mesmo que existam modelos puros, os modelos híbridos também são comuns. A configuração padrão no Microsoft Entra Connect Sync não assume nenhum modelo específico. No entanto, dependendo de como o emparelhamento de utilizador foi selecionado no guia de instalação, diferentes comportamentos podem ser observados.
Neste tópico, analisamos como a configuração padrão se comporta em determinadas topologias. Passamos pela configuração e o Editor de Regras de Sincronização pode ser usado para examinar a configuração.
Existem algumas regras gerais que a configuração assume:
- Independentemente da ordem que importamos dos diretórios ativos de origem, o resultado final deve ser sempre o mesmo.
- Uma conta ativa contribui com informações de início de sessão, incluindo o userPrincipalName e o sourceAnchor .
- Uma conta desabilitada contribui com userPrincipalName e sourceAnchor, a menos que seja uma caixa de correio vinculada, se não houver nenhuma conta ativa a ser encontrada.
- Uma conta com uma caixa de correio vinculada nunca é usada para userPrincipalName e sourceAnchor. Presume-se que uma conta ativa será encontrada mais tarde.
- Um objeto de contato pode ser provisionado para o Microsoft Entra ID como um contato ou como um usuário. Você realmente não sabe até que todas as florestas de origem do Ative Directory sejam processadas.
Grupos
Nota
Lembre-se de que, quando você adiciona um usuário de outra floresta ao grupo, há uma âncora criada no Ative Directory onde os grupos existem dentro de uma UO específica. Esta âncora é uma entidade de segurança externa e é armazenada dentro da UO 'ForeignSecurityPrincipals'. Se você não sincronizar essa UO, os usuários serão removidos da associação ao grupo.
Pontos importantes a ter em conta ao sincronizar grupos do Ative Directory para o Microsoft Entra ID:
O Microsoft Entra Connect exclui grupos de segurança incorporados a partir da sincronização de diretórios.
O Microsoft Entra Connect não suporta a sincronização de associações de Grupo Principal com a ID do Microsoft Entra.
O Microsoft Entra Connect não suporta a sincronização de associações do Grupo Dinâmico de Distribuição com a ID do Microsoft Entra.
Para sincronizar um grupo do Ative Directory com o Microsoft Entra ID como um grupo habilitado para email:
Se o atributo proxyAddress do grupo estiver vazio, seu atributo mail deverá ter um valor
Se o atributo proxyAddress do grupo não estiver vazio, ele deverá conter pelo menos um valor de endereço de proxy SMTP. Seguem-se alguns exemplos:
Um grupo do Ative Directory cujo atributo proxyAddress tenha o valor {"X500:/0=contoso.com/ou=users/cn=testgroup"} não será habilitado para email no Microsoft Entra ID. Ele não tem um endereço SMTP.
Um grupo do Ative Directory cujo atributo proxyAddress tenha valores {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} será habilitado para email no Microsoft Entra ID.
Um grupo do Ative Directory cujo atributo proxyAddress tenha valores {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} também será habilitado para email no Microsoft Entra ID.
Contactos
Ter contatos representando um usuário em uma floresta diferente é comum após uma fusão ou aquisição em que uma solução GALSync está fazendo a ponte entre duas ou mais florestas do Exchange. O objeto de contacto é sempre associado a partir do espaço do conector ao metaverso com o atributo de correio. Se já existir um objeto de contacto ou objeto de utilizador com o mesmo endereço de correio, os objetos serão associados. Esta ação está configurada na regra Entrada a partir do AD – Associação de Contactos. Há também uma regra chamada In de AD – Contact Common com um fluxo de atributo para o atributo do metaverso sourceObjectType com a constante Contact. Esta regra tem baixa precedência, portanto, se qualquer objeto de usuário estiver unido ao mesmo objeto de metaverso, a regra In do AD – User Common contribuirá com o valor User para esse atributo. Com essa regra, esse atributo tem o valor Contact se nenhum usuário for associado e o valor User se pelo menos um usuário for encontrado.
Para provisionar um objeto no Microsoft Entra ID, a regra de saída para o Microsoft Entra ID – Contact Join criará um objeto de contato se o atributo do metaverso sourceObjectType estiver definido como Contact. Se este atributo estiver definido como User, então a regra Out to Microsoft Entra ID – User Join, em vez disso, cria um objeto de utilizador. É possível que um objeto seja promovido de Contato para Usuário quando mais diretórios ativos de origem forem importados e sincronizados.
Por exemplo, em uma topologia GALSync, encontramos objetos de contato para todos na segunda floresta quando importamos a primeira floresta. Isso prepara novos objetos de contato no Microsoft Entra Connector. Quando mais tarde importamos e sincronizamos a segunda floresta, encontramos os usuários reais e os unimos aos objetos do metaverso existentes. Em seguida, excluiremos o objeto de contato na ID do Microsoft Entra e criaremos um novo objeto de usuário.
Se tiver uma topologia onde os utilizadores são representados como contactos, confirme que seleciona para corresponder aos utilizadores no atributo de correio no guia de instalação. Se você selecionar outra opção, terá uma configuração dependente da ordem. Os objetos de contato sempre ingressam no atributo de email, mas os objetos de usuário só ingressam no atributo mail se essa opção tiver sido selecionada no guia de instalação. Poderá ficar com dois objetos diferentes no metaverso com o mesmo atributo de correio se o objeto de contacto tiver sido importado antes do objeto de utilizador. Durante a exportação para o Microsoft Entra ID, um erro é mostrado. Esse comportamento é por design e indicaria dados incorretos ou que a topologia não foi identificada corretamente durante a instalação.
Contas desativadas
As contas desativadas também são sincronizadas com o Microsoft Entra ID. Contas desabilitadas são comuns para representar recursos no Exchange, por exemplo, salas de conferência. A exceção são os usuários com uma caixa de correio vinculada; como mencionado anteriormente, eles nunca provisionam uma conta para o Microsoft Entra ID.
A suposição é que, se uma conta de usuário desabilitada for encontrada, não encontraremos outra conta ativa mais tarde. O objeto é provisionado para o ID do Microsoft Entra com o userPrincipalName e sourceAnchor encontrados. Caso outra conta ativa se junte ao mesmo objeto do metaverso, seu userPrincipalName e sourceAnchor são usados.
Alterando sourceAnchor
Quando um objeto é exportado para o Microsoft Entra ID, não é mais permitido alterar o sourceAnchor. Quando o objeto é exportado, o atributo do metaverso cloudSourceAnchor é configurado com o valor sourceAnchor aceito pelo Microsoft Entra ID. Se sourceAnchor for alterado e não corresponder cloudSourceAnchor , a regra out to Microsoft Entra ID – User Join lança o erro atributo sourceAnchor foi alterado. Nesse caso, a configuração ou os dados devem ser corrigidos para que o mesmo sourceAnchor esteja presente no metaverso novamente antes que o objeto possa ser sincronizado novamente.