Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Existuje několik různých důvodů, proč byste měli více doménových struktur služby Active Directory a existuje několik různých topologií nasazení. Mezi běžné modely patří nasazení účtů a prostředků a synchronizované adresářové struktury GAL (globálního adresáře) po fúzi a akvizici. I když existují čisté modely, jsou hybridní modely také běžné. Výchozí konfigurace v Microsoft Entra Connect Sync nepředpokládá žádný konkrétní model. V závislosti na tom, jak bylo v průvodci instalací vybráno porovnávání uživatelů, je však možné pozorovat různá chování.
V tomto článku si projdeme, jak se výchozí konfigurace chová v určitých topologiích. Projdeme konfiguraci a editor synchronizačních pravidel se dá použít k pohledu na konfiguraci.
Konfigurace předpokládá několik obecných pravidel:
- Bez ohledu na to, které pořadí importujeme ze zdrojových adresářů Active Directory, by konečný výsledek měl být vždy stejný.
- Aktivní účet obsahuje přihlašovací informace, včetně userPrincipalName a sourceAnchor.
- Zakázaný účet přispívá userPrincipalName a sourceAnchor, pokud se nenajde žádný aktivní účet, s výjimkou případu, kdy se jedná o propojenou poštovní schránku.
- Účet s propojenou poštovní schránkou se nikdy nepoužívá pro userPrincipalName a sourceAnchor. Předpokládá se, že se později najde aktivní účet.
- Objekt kontaktu může být poskytnut do Microsoft Entra ID jako kontakt nebo jako uživatel. Opravdu nevíte, dokud se nezpracují všechny zdrojové doménové struktury služby Active Directory.
Skupiny
Poznámka:
Mějte na paměti, že když do skupiny přidáte uživatele z jiné doménové struktury, vytvoří se ve službě Active Directory ukotvení, ve kterém skupiny existují uvnitř konkrétní organizační jednotky. Toto ukotvení je cizí zabezpečovací objekt a je uložené uvnitř organizační jednotky 'ForeignSecurityPrincipals'. Pokud tuto organizační OU nesynchronizujete, odeberou se uživatelé z členství ve skupině.
Důležité body, o které je potřeba vědět při synchronizaci skupin ze služby Active Directory do Microsoft Entra ID:
Microsoft Entra Connect vyloučí ze synchronizace adresářů předdefinované skupiny zabezpečení.
Microsoft Entra Connect nepodporuje synchronizaci členství v primární skupině s ID Microsoft Entra.
Microsoft Entra Connect nepodporuje synchronizaci členství v dynamických distribučních skupinách s ID Microsoft Entra.
Chcete-li synchronizovat skupinu Active Directory s ID Microsoft Entra jako skupinu s povolenou poštou:
Pokud je atribut proxyAddress skupiny prázdný, musí mít atribut pošty hodnotu.
Pokud je atribut proxyAddress skupiny neprázdný, musí obsahovat alespoň jednu hodnotu adresy proxy serveru SMTP. Několik příkladů:
Skupina služby Active Directory, jejíž atribut proxyAddress má hodnotu {"X500:/0=contoso.com/ou=users/cn=testgroup"}, nebude mít aktivované funkce pošty v Microsoft Entra ID. Nemá adresu SMTP.
Skupina služby Active Directory, jejíž atribut proxyAddress má hodnoty {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"}, bude mít v Microsoft Entra ID aktivovánu e-mailovou funkci.
Skupina v službě Active Directory, jejíž atribut proxyAddress má hodnoty {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"}, bude také podporována pro e-mail v Microsoft Entra ID.
Kontakty
Seznamy kontaktů, které představují uživatele v jiné lesní doméně, jsou běžné po fúzi a akvizici, kdy je použito řešení GALSync ke spojení dvou nebo více Exchange doménových lesů. Objekt kontaktu se vždy připojuje z prostoru konektoru k metaverzu pomocí atributu mail. Pokud objekt kontaktu nebo objekt uživatele se stejnou e-mailovou adresou už existuje, objekty se spojí dohromady. To je nastaveno v pravidle In from AD – Contact Join. Existuje také pravidlo s názvem In z AD – Contact Common s tokem atributu do atributu metaverse sourceObjectType s konstantou Contact. Toto pravidlo má nízkou prioritu, takže pokud je jakýkoli objekt uživatele připojený ke stejnému objektu metaverse, pak pravidlo z AD – User Common přispívá hodnotu Uživatel k tomuto atributu. S tímto pravidlem má tento atribut hodnotu Kontakt, pokud není připojen žádný uživatel, a hodnota Uživatel, pokud se najde alespoň jeden uživatel.
Pro zřízení objektu pro Microsoft Entra ID, odchozí pravidlo Out to Microsoft Entra ID – Contact Join vytvoří objekt kontaktu, pokud je atribut metaverse sourceObjectType nastaven na Kontakt. Pokud je tento atribut nastaven na User, pak pravidlo Out to Microsoft Entra ID – User Join vytvoří místo toho objekt uživatele. Je možné, že se objekt povýší z kontaktu na uživatele, když se naimportují a synchronizují další zdrojové adresáře služby Active Directory.
Například v topologii GALSync najdeme kontaktní objekty pro všechny v druhém lese při importu prvního lesa. Tato fáze vytvoří nové kontaktní objekty v konektoru Microsoft Entra. Při pozdějším importu a synchronizaci druhé doménové struktury najdeme skutečné uživatele a připojíme je k existujícím objektům metaverse. Potom odstraníme objekt kontaktu v Microsoft Entra ID a místo toho vytvoříme nový objekt uživatele.
Pokud máte topologii, kde jsou uživatelé reprezentováni jako kontakty, ujistěte se, že jste v průvodci instalací vybrali možnost párování uživatelů podle atributu mail. Pokud vyberete jinou možnost, máte konfiguraci závislá na objednávce. Kontaktní objekty se vždy připojují k atributu pošty, ale objekty uživatelů se připojují pouze k atributu pošty, pokud byla tato možnost vybrána v průvodci instalací. Pokud byl objekt kontaktu importován před objektem uživatele, v úložišti metaverse pak můžete mít dva různé objekty se stejným atributem Mail. Během exportu do MICROSOFT Entra ID se zobrazí chyba. Toto chování je záměrně a značí chybná data nebo že topologie nebyla během instalace správně identifikována.
Zakázané účty
Zakázané účty se synchronizují i s ID Microsoft Entra. Deaktivované účty jsou běžně používány k reprezentaci prostředků v systému Exchange, například konferenčních místností. Výjimkou jsou uživatelé s propojenou poštovní schránkou; jak jsme už zmínili, nikdy nezřizují účet pro ID Microsoft Entra.
Předpokladem je, že pokud se najde zakázaný uživatelský účet, pak později nenajdeme jiný aktivní účet. Objekt je zřízen pro Microsoft Entra ID s nalezenými prvky userPrincipalName a sourceAnchor. V případě, že se jiný aktivní účet připojí ke stejnému objektu metaverse, použije se jeho userPrincipalName a sourceAnchor.
Změna zdrojeAnchor
Když je objekt exportován do Microsoft Entra ID, pak už není povoleno změnit sourceAnchor. Při exportu objektu je atribut metaverse cloudSourceAnchor nastaven na hodnotu sourceAnchor přijatou Microsoft Entra ID. Pokud se sourceAnchor změní a neshoduje se s cloudSourceAnchor, pravidlo Out to Microsoft Entra ID – User Join vykáže chybu atribut sourceAnchor se změnil. V tomto případě musí být konfigurace nebo data opravena, takže stejný sourceAnchor je opět k dispozici v metaverse, aby bylo možné objekt znovu synchronizovat.