Microsoft Entra Connect: принципы проектирования

Цель этого документа — описать области, которые необходимо учитывать при настройке Microsoft Entra Connect. Здесь подробно рассмотрены некоторые области, и часть из них вкратце рассмотрена в других документах.

ИсходнаяЯкорь

Атрибут sourceAnchor определяется как атрибут, который остается неизменным на протяжении всего времени существования объекта. Он однозначно идентифицирует объект как один и тот же объект в локальной среде и в идентификаторе Microsoft Entra. Этот атрибут также называется immutableId. Оба этих имени взаимозаменяемы.

Слово неизменяемое, то есть "не может быть изменено", важно для этого документа. Так как значение этого атрибута не может быть изменено после его установки, важно выбрать дизайн, поддерживающий ваш сценарий.

Данный атрибут используется в следующих случаях.

• При создании нового сервера подсистемы синхронизации или перестроении после сценария аварийного восстановления этот атрибут связывает существующие объекты в идентификаторе Microsoft Entra с локальными объектами.
• При переходе из облачного удостоверения в синхронизированную модель удостоверений этот атрибут позволяет объектам "жестко сопоставлять" существующие объекты в идентификаторе Microsoft Entra с локальными объектами.
• При использовании федерации этот атрибут вместе с userPrincipalName используется в утверждении для уникальной идентификации пользователя.

В этой статье речь идет только об атрибуте sourceAnchor в контексте его значения для пользователей. Правила одинаковы для всех типов объектов, но обычно эта проблема вызывает беспокойство только у пользователей.

Выбор подходящего атрибута sourceAnchor.

Значение атрибута должно соответствовать следующим правилам:

• Длина менее 60 символов
  • Символы, отличные от a–z, A–Z или 0–9, кодируются, и каждый из них считается как три символа.
• Не должно содержать специальные символы: \ ! # $ % & * + / = ? ^ ` { } | ~ <> ( ) ' ; : , [ ] " @ _
• (оно должно быть глобально уникальным)
• Значение должно быть строковым, целочисленным или двоичным.
• Не следует основываться на имени пользователя, так как они могут измениться
• Значения не должны быть чувствительными к регистру и избегайте значений, которые могут различаться в зависимости от регистра.
• Значение должно присваиваться при создании объекта.

Если выбранный sourceAnchor не является типа строка, то Microsoft Entra Connect кодирует значение атрибута в формате Base64, чтобы избежать появления специальных символов. Если вы используете сервер федерации, отличный от ADFS, убедитесь, что сервер также может кодировать атрибут в формате Base64.

Атрибут sourceAnchor регистрозависимый. Значение "JohnDoe" не является тем же самым, что и "johndoe". Но у вас не должно быть двух разных объектов с разницей в случае.

Если у вас есть один лес в локальной среде, то атрибут, который следует использовать, — objectGUID. Это также атрибут, используемый при использовании экспресс-параметров в Microsoft Entra Connect, а также атрибут, используемый DirSync.

Если у вас несколько лесов и вы не перемещаете пользователей между лесами и доменами, то objectGUID является хорошим атрибутом для использования даже в этом случае.

При перемещении пользователей между лесами и доменами необходимо найти атрибут, который не изменяется или может быть перемещен с пользователями при перемещении. Рекомендуется использовать синтетический атрибут. Для этого подходит атрибут, который может содержать нечто похожее на GUID. При создании объекта создается новый идентификатор GUID, который присваивается пользователю. Настраиваемое правило синхронизации можно создать на сервере подсистемы синхронизации, чтобы создать это значение на основе objectGUID и обновить выбранный атрибут в AD DS. При перемещении объекта убедитесь, что вы также копируете это значение.

Другой вариант — выбрать существующий атрибут, который наверняка никогда не изменяется. Зачастую можно использовать атрибут employeeID. Убедитесь, что, если атрибут содержит буквы, не будет возможности изменения регистра (верхний против нижнего) значения атрибута. Плохие атрибуты, которые не следует использовать, включают атрибуты с именем пользователя. В браке или разводе имя, как ожидается, изменится, что не допускается для этого атрибута. Это также одна из причин, почему такие атрибуты, как userPrincipalName, mail и targetAddress , даже невозможно выбрать в мастере установки Microsoft Entra Connect. Эти атрибуты также содержат символ "@", который не допускается в sourceAnchor.

Изменение атрибута sourceAnchor.

Значение атрибута sourceAnchor нельзя изменить после создания объекта в Microsoft Entra ID и синхронизации идентификации.

По этой причине следующие ограничения применяются к Microsoft Entra Connect:

• Атрибут sourceAnchor можно задать только при первоначальной установке. При повторном запуске мастера установки этот параметр доступен только для чтения. Для изменения этого параметра потребуется удалить и повторно установить программу.
• При установке другого сервера Microsoft Entra Connect необходимо выбрать тот же атрибут sourceAnchor, что и раньше. Если вы ранее использовали DirSync и переместились в Microsoft Entra Connect, необходимо использовать objectGUID , так как это атрибут, используемый DirSync.
• Если значение sourceAnchor изменяется после экспорта объекта в Microsoft Entra ID, то Microsoft Entra Connect Sync выдает ошибку и не разрешает больше изменений в этом объекте до тех пор, пока проблема не будет устранена и sourceAnchor не будет возвращено к исходному значению в исходном каталоге.

Использование ms-DS-ConsistencyGuid в качестве sourceAnchor

По умолчанию Microsoft Entra Connect (версия 1.1.486.0 и более ранняя версия) использует objectGUID в качестве атрибута sourceAnchor. ObjectGUID создается системой. Нельзя указать его значение при создании локальных объектов AD. Как описано в разделе sourceAnchor, в некоторых сценариях необходимо указать значение sourceAnchor. Если эти сценарии применимы по отношению к вам, то в качестве атрибута sourceAnchor необходимо использовать настраиваемый атрибут AD (например, msDS-ConsistencyGuid).

Microsoft Entra Connect (версия 1.1.524.0 и после) теперь упрощает использование ms-DS-ConsistencyGuid в качестве атрибута sourceAnchor. При использовании этой функции Microsoft Entra Connect автоматически настраивает правила синхронизации следующим образом:

1. Используйте ms-DS-ConsistencyGuid в качестве атрибута sourceAnchor для объектов User. Для других типов объектов используется ObjectGUID.

2. Для любого локального объекта AD User, у которого атрибут ms-DS-ConsistencyGuid не заполнен, Microsoft Entra Connect записывает значение objectGUID обратно в атрибут ms-DS-ConsistencyGuid в локальную службу Active Directory. После заполнения атрибута ms-DS-ConsistencyGuid Microsoft Entra Connect экспортирует объект в идентификатор Microsoft Entra.

Примечание.

После импорта локального объекта AD в Microsoft Entra Connect (то есть, импортированного в пространство соединителя AD и спроецированного в Metaverse), вы больше не можете изменить его sourceAnchor. Чтобы указать значение sourceAnchor для заданного локального объекта AD, настройте его атрибут ms-DS-ConsistencyGuid перед импортом в Microsoft Entra Connect.

Требования к разрешениям

Для работы этой функции необходимо предоставить учетной записи AD DS, используемой для синхронизации с локальным каталогом Active Directory, разрешение на запись атрибута ms-DS-ConsistencyGuid в локальном каталоге Active Directory.

Как включить функционал ConsistencyGuid при новой установке

Вы можете включить использование ConsistencyGuid в качестве sourceAnchor во время новой установки. В этом разделе подробно описывается экспресс- и пользовательская установка.

Примечание.

Только более новые версии Microsoft Entra Connect (1.1.524.0 и после) поддерживают использование ConsistencyGuid в качестве sourceAnchor во время новой установки.

Включение функции ConsistencyGuid

Экспресс-установка

При установке Microsoft Entra Connect в режиме Express мастер Microsoft Entra Connect автоматически определяет наиболее подходящий атрибут AD для использования в качестве атрибута sourceAnchor с помощью следующей логики:

• Сначала мастер Microsoft Entra Connect посылает запрос клиенту Microsoft Entra с целью получения атрибута Active Directory (AD), который использовался в качестве атрибута sourceAnchor во время предыдущей установки Microsoft Entra Connect (если таковая имелась). Если эта информация доступна, Microsoft Entra Connect использует тот же атрибут AD.

  Примечание.

  Только новые версии Microsoft Entra Connect (1.1.524.0 и после) хранят сведения в клиенте Microsoft Entra о атрибуте sourceAnchor, используемом во время установки. Более старые версии Microsoft Entra Connect этого не делают.

• Если сведения об используемом атрибуте sourceAnchor недоступны, мастер проверяет состояние атрибута ms-DS-ConsistencyGuid в локальном каталоге Active Directory. Если для какого-либо объекта в каталоге атрибут не настроен, то мастер использует ms-DS-ConsistencyGuid в качестве атрибута sourceAnchor. Если атрибут настроен для одного или нескольких объектов в каталоге, мастер определяет, что атрибут используется другими приложениями и не подходит в качестве атрибута sourceAnchor.

• В этом случае мастер снова начинает использовать objectGUID в качестве атрибута sourceAnchor.

• После решения атрибута sourceAnchor мастер сохраняет сведения в клиенте Microsoft Entra. Эти сведения используются при последующей установке Microsoft Entra Connect.

После завершения установки Express мастер сообщает, какой атрибут выбирается в качестве атрибута привязки источника.

Выборочная установка

При установке Microsoft Entra Connect с настраиваемым режимом мастер Microsoft Entra Connect предоставляет два варианта при настройке атрибута sourceAnchor:

Настройка	Описание
Разрешить Microsoft Entra ID управлять исходной привязкой от моего имени	Выберите этот параметр, если вы хотите, чтобы Microsoft Entra ID выбрал атрибут для вас. Если выбрать этот параметр, мастер Microsoft Entra Connect применяет ту же логику выбора атрибута sourceAnchor, которая используется во время установки Express. Как и в случае с экспресс-установкой, мастер сообщает, какой атрибут выбирается в качестве атрибута привязки источника после завершения пользовательской установки.
Определенный атрибут	Выберите этот параметр, если вы хотите указать имеющийся атрибут AD в качестве атрибута sourceAnchor.

Как включить функцию ConsistencyGuid в уже существующем развертывании

Если у вас есть существующее развертывание Microsoft Entra Connect, которое использует objectGUID в качестве атрибута привязки источника, вы можете переключить его на использование ConsistencyGuid.

Примечание.

Только более новые версии Microsoft Entra Connect (1.1.552.0 и после) поддерживают переход с ObjectGuid на ConsistencyGuid в качестве атрибута привязки источника.

Переключение с objectGUID на ConsistencyGuid в качестве атрибута привязки к источнику:

1. Запустите мастер Microsoft Entra Connect и выберите Настроить, чтобы перейти на экран "Задачи".

2. Выберите опцию задачи Настроить привязку источника и нажмите Далее.

   

3. Введите учетные данные администратора Microsoft Entra и выберите Далее.

4. Мастер Microsoft Entra Connect анализирует состояние атрибута ms-DS-ConsistencyGuid в локальной среде Active Directory. Если атрибут не настроен для любого объекта в каталоге, Microsoft Entra Connect завершает, что ни одно другое приложение в настоящее время не использует атрибут и безопасно использовать его в качестве атрибута исходной привязки. Нажмите Далее, чтобы продолжить.

   

5. На экране Готово к настройке выберите Настроить, чтобы изменить конфигурацию.

   

6. По завершении конфигурации мастер указывает, что ms-DS-ConsistencyGuid сейчас используется как атрибут привязки к источнику.

   

Во время анализа (на шаге 4), если атрибут настроен на одном или нескольких объектах в каталоге, мастер заключает, что атрибут используется другим приложением и возвращает ошибку, как показано на следующей схеме. Эта ошибка также может возникнуть, если вы включили функцию ConsistencyGuid на основном сервере Microsoft Entra Connect, и вы пытаетесь сделать то же самое на промежуточном сервере.

Если вы уверены, что атрибут не используется другими существующими приложениями, можно отключить ошибку, перезапустив мастер Microsoft Entra Connect с указанным параметром /SkipLdapSearch. Выполните следующую команду в командной строке:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Влияние на конфигурацию AD FS или федерацию сторонних поставщиков

Если вы используете Microsoft Entra Connect для управления локальным развертыванием AD FS, Microsoft Entra Connect автоматически обновляет правила утверждений, чтобы использовать тот же атрибут AD, что и sourceAnchor. Это гарантирует, что утверждение ImmutableID, созданное ADFS, соответствует значениям sourceAnchor, экспортируемым в Microsoft Entra ID.

Если вы управляете AD FS вне Microsoft Entra Connect или используете сторонние серверы федерации для проверки подлинности, необходимо вручную обновить правила утверждений для ImmutableID, чтобы они соответствовали значениям sourceAnchor, экспортируемым в Microsoft Entra ID, как описано в разделе Изменение правил утверждений AD FS. По завершении установки мастер возвращает следующее предупреждение:

Добавление новых каталогов в существующее развертывание

Предположим, что вы развернули Microsoft Entra Connect с включенной функцией ConsistencyGuid, и теперь вы хотите добавить другой каталог в развертывание. При попытке добавить каталог мастер Microsoft Entra Connect проверяет состояние атрибута ms-DS-ConsistencyGuid в каталоге. Если атрибут настроен в одном или нескольких объектах в каталоге, то мастер делает вывод, что он используется другими приложениями и возвращает ошибку, как показано на снимке экрана ниже. Если вы уверены, что атрибут не используется существующими приложениями, вы можете отключить ошибку, перезапустив мастер Microsoft Entra Connect с помощью параметра /SkipLdapSearch, указанного ранее. В противном случае, вы можете обратиться в службу поддержки для получения дополнительных сведений.

Вход Microsoft Entra

При интеграции локального каталога с Microsoft Entra ID важно понимать, как параметры синхронизации могут повлиять на аутентификацию пользователей. Идентификатор Microsoft Entra использует userPrincipalName (UPN) для проверки подлинности пользователя. Однако при синхронизации пользователей необходимо тщательно выбирать атрибут, который будет использоваться в качестве значения userPrincipalName.

Выбор атрибута для userPrincipalName

При выборе атрибута для указания имени участника (UPN), которое будет использоваться в Microsoft Entra ID, необходимо убедиться, что

• Значения атрибутов соответствуют синтаксису UPN (RFC 822), он должен быть в формате username@domain
• Суффикс в значениях соответствует одному из проверенных пользовательских доменов в идентификаторе Microsoft Entra

В стандартных параметрах предполагается, что для атрибута выбрано значение userPrincipalName. Если атрибут userPrincipalName не содержит значение, с которым пользователи должны войти в систему Microsoft Entra ID, необходимо выбрать пользовательскую установку.

Примечание.

Рекомендуется, как лучшая практика, чтобы префикс имени субъекта-пользователя содержал более одного символа.

Состояние пользовательского домена и UPN

Важно убедиться, что для суффикса UPN имеется проверенный домен.

Джон (John) является пользователем в contoso.com. Вы хотите, чтобы Джон использовал локальный UPN john@contoso.com для входа в Microsoft Entra ID после того как вы синхронизировали пользователей с каталогом Microsoft Entra contoso.onmicrosoft.com. Для этого необходимо добавить и проверить contoso.com в качестве личного домена в идентификаторе Microsoft Entra, прежде чем начать синхронизацию пользователей. Если суффикс имени участника-пользователя (UPN), например contoso.com, не соответствует проверенному домену в Microsoft Entra ID, то Microsoft Entra заменяет суффикс UPN на contoso.onmicrosoft.com.

Не маршрутизируемые локальные домены и имя входа (UPN) для идентификатора Microsoft Entra ID

Некоторые организации имеют не маршрутизируемые домены, такие как contoso.local, или простые однометочные домены, такие как contoso. Вы не можете проверить недоступный для маршрутизации домен в Microsoft Entra ID. Microsoft Entra Connect может синхронизироваться только с проверенным доменом в идентификаторе Microsoft Entra. При создании каталога Microsoft Entra создается маршрутизируемый домен, который становится доменом по умолчанию для идентификатора Microsoft Entra, например contoso.onmicrosoft.com. Поэтому в данной ситуации возникает необходимость подтвердить любой другой маршрутизируемый домен, на случай если вы не хотите синхронизироваться с доменом onmicrosoft.com по умолчанию.

Сведения о добавлении и проверке доменов см. в разделе Добавление вашего настраиваемого доменного имени в Microsoft Entra ID.

Microsoft Entra Connect обнаруживает, работаете ли вы в ненаправляемой среде домена и должным образом предупредит вас о том, что не стоит использовать экспресс-настройки. Если вы работаете в нерутируемом домене, то, скорее всего, универсальные имена участников (UPN) пользователей также имеют нерутируемые суффиксы. Например, если вы работаете в contoso.local, Microsoft Entra Connect предлагает настраиваемые параметры, а не использование экспресс-параметров. С помощью пользовательских параметров вы можете указать атрибут, который должен использоваться в качестве UPN для входа в Microsoft Entra ID после синхронизации пользователей с Microsoft Entra ID.

Следующие шаги

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.