Служба синхронизации Microsoft Entra Connect: общие сведения о пользователях, группах и контактах
Существует несколько разных причин, по которым нужно иметь несколько лесов Active Directory. Кроме того, существует несколько разных топологий развертывания. Распространенные модели включают развертывание ресурсов учетной записи и лесов с синхронизированным глобальным списком адресов после слияния и поглощения. Но даже при наличии чистых моделей гибридные модели не менее часто используются. Конфигурация по умолчанию в Службе синхронизации Microsoft Entra Connect не предполагает какой-либо конкретной модели. Однако в зависимости от того, как выбрано сопоставление пользователей в руководстве по установке, можно наблюдать различные действия.
В этом разделе рассматривается поведение конфигурации по умолчанию в определенных топологиях. Мы рассмотрим конфигурацию, а редактор правил синхронизации можно использовать для просмотра конфигурации.
Конфигурация предполагает наличие нескольких общих правил.
- Конечный результат всегда должен быть одинаковым, независимо от используемого порядка импорта исходных каталогов Active Directory.
- Активная учетная запись содержит информацию для входа, включая userPrincipalName и sourceAnchor.
- Отключенная учетная запись вносит вклад userPrincipalName и sourceAnchor, если только это связанный почтовый ящик, если не найдена активная учетная запись.
- Учетная запись с связанным почтовым ящиком никогда не используется для userPrincipalName и sourceAnchor. Предполагается, что активная учетная запись будет найдена позже.
- Объект контакта может быть подготовлен к идентификатору Microsoft Entra как контакту или пользователю. Вы не знаете, пока не будут обработаны все исходные леса Active Directory.
Группы
Примечание.
Помните, что при добавлении пользователя из другого леса в группу существует привязка, созданная в Active Directory, где группы существуют внутри определенного подразделения. Эта привязка является субъектом внешней безопасности и хранится в подразделении "ForeignSecurityPrincipals". Если вы не синхронизируете эту организационную единицу, пользователи удаляются из состава группы.
Важные моменты, которые следует учитывать при синхронизации групп из Active Directory с идентификатором Microsoft Entra:
Microsoft Entra Connect не синхронизирует встроенные группы безопасности.
Microsoft Entra Connect не поддерживает синхронизацию членства в основной группе с идентификатором Microsoft Entra.
Microsoft Entra Connect не поддерживает синхронизацию членства в динамических группах рассылки с идентификатором Microsoft Entra.
Чтобы синхронизировать группу Active Directory с идентификатором Microsoft Entra в качестве группы с поддержкой почты:
Если атрибут группы proxyAddress пуст, атрибут mail должен иметь значение.
Если атрибут proxyAddress группы не является пустым, он должен содержать хотя бы одно значение адреса прокси-сервера SMTP. Далее приводятся некоторые примеры.
Группа Active Directory, атрибут proxyAddress которой имеет значение {"X500:/0=contoso.com/ou=users/cn=testgroup"} , не будет включена почта в идентификаторе Microsoft Entra. У него нет SMTP-адреса.
Группа Active Directory, атрибут proxyAddress которой имеет значения {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} будет включена почта в идентификаторе Microsoft Entra ID.
Группа Active Directory, атрибут proxyAddress которой имеет значения {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} также будет включена почта в идентификаторе Microsoft Entra ID.
Контакты
Наличие контактов, представляющих пользователя в разных лесах, — распространенное явление. Это происходит после слияния и поглощения, когда решение GALSync связывает два и более леса Exchange. Контактный объект всегда присоединяется из пространства соединителя к метавселенной с помощью атрибута mail. Если объект контакта или объект пользователя с одним адресом электронной почты уже существуют, такие объекты объединяются. Это настраивается в правиле In from AD – Contact Join. Также существует правило с именем In from AD — Contact Common с потоком атрибутов в атрибут метавселенной sourceObjectType с константой Contact. Это правило имеет низкий приоритет, поэтому если любой объект пользователя присоединен к одному и тому же объекту метавселенной, то правило in from AD — User Common вносит значение User в этот атрибут. В этом правиле этот атрибут имеет значение Contact, если пользователь не присоединяется, и значение User, если найден по крайней мере один пользователь.
Чтобы обеспечить предоставление объекта в Microsoft Entra ID, правило исходящего трафика Out to Microsoft Entra ID – Contact Join создает объект контакта, если атрибут метавселенной sourceObjectType имеет значение Contact. Если для этого атрибута задано значение User, то правило Out в Microsoft Entra ID – User Join создает объект пользователя вместо этого. Повышение значения Contact до User возможно, если большее количество дополнительных исходных каталогов Active Directory будет импортировано и синхронизировано.
Например, в топологии GALSync мы находим контактные объекты для всех во втором лесу при импорте первого леса. Это этапирует новые объекты контакта в соединителе Microsoft Entra Connector. При последующем импорте и синхронизации второго леса мы находим реальных пользователей и присоединяем их к существующим метавселенной объектам. Затем мы удалим объект контакта в идентификаторе Microsoft Entra ID и создадим новый объект пользователя.
Если у вас есть топология, в которой пользователи представлены как контакты, убедитесь, что вы выбрали в руководстве по установке сопоставление пользователей по атрибуту почты (mail). Если выбрать другой вариант, у вас есть конфигурация, зависящая от порядка. Контактные объекты всегда присоединяются к атрибуту почты, но пользовательские объекты присоединяются только к атрибуту почты, если этот параметр выбран в руководстве по установке. Если контактный объект импортирован до объекта-пользователя, вы можете получить два разных объекта в метавселенной с одинаковым атрибутом mail. Во время экспорта в идентификатор Microsoft Entra отображается ошибка. Это поведение по проектированию и будет указывать на плохие данные или что топология не была правильно определена во время установки.
Отключенные учетные записи
Отключенные учетные записи синхронизируются, а также с идентификатором Microsoft Entra. Обычно отключенные учетные записи представляют ресурсы в Exchange, включая переговорные. Исключение составляют пользователи с привязанным почтовым ящиком; как упоминалось ранее, они никогда не создают учетную запись в Microsoft Entra ID.
Предполагается, что если обнаружена отключенная учетная запись пользователя, мы не найдем другую активную учетную запись позже. Объект предоставлен Microsoft Entra ID с найденными userPrincipalName и sourceAnchor. Если к тому же объекту метавселенной подключается другая активная учетная запись, используются её userPrincipalName и sourceAnchor.
Изменение атрибута sourceAnchor
При экспорте объекта в Microsoft Entra ID больше нельзя изменять значение sourceAnchor. При экспорте объекта атрибут метавселенной cloudSourceAnchor устанавливается значением sourceAnchor, которое принимается идентификатором Microsoft Entra ID. Если sourceAnchor изменен и не совпадает с cloudSourceAnchor, правило Out в Microsoft Entra ID — присоединение пользователей вызывает ошибку: атрибут sourceAnchor изменился. В таком случае необходимо исправить конфигурацию или данные, чтобы в метавселенной снова был представлен прежний атрибут sourceAnchor, прежде чем объект снова можно будет синхронизировать.