Synchronizace služby Microsoft Entra Connect: Principy uživatelů, skupin a kontaktů
Existuje několik různých důvodů, proč byste měli více doménových struktur služby Active Directory a existuje několik různých topologií nasazení. Mezi běžné modely patří nasazení prostředků účtů a synchronizované doménové struktury globálního adresáře po sloučení a akvizici. I když existují čisté modely, jsou hybridní modely také běžné. Výchozí konfigurace v Nástroji Microsoft Entra Connect Sync nepředpokládá žádný konkrétní model, ale v závislosti na tom, jak byla v průvodci instalací vybrána shoda uživatelů, je možné pozorovat různé chování.
V tomto tématu si projdeme, jak se výchozí konfigurace chová v určitých topologiích. Projdeme konfiguraci a editor synchronizačních pravidel se dá použít k pohledu na konfiguraci.
Konfigurace předpokládá několik obecných pravidel:
- Bez ohledu na to, které pořadí importujeme ze zdrojových adresářů Active Directory, by konečný výsledek měl být vždy stejný.
- Aktivní účet bude vždy přispívat přihlašovací informace, včetně userPrincipalName a sourceAnchor.
- Zakázaný účet přispívá userPrincipalName a sourceAnchor, pokud se nejedná o propojenou poštovní schránku, pokud se nenajde žádný aktivní účet.
- Účet s propojenou poštovní schránkou se nikdy nepoužije pro userPrincipalName a sourceAnchor. Předpokládá se, že se později najde aktivní účet.
- Objekt kontaktu může být zřízený pro MICROSOFT Entra ID jako kontakt nebo jako uživatel. Opravdu nevíte, dokud se nezpracují všechny zdrojové doménové struktury služby Active Directory.
Skupiny
Poznámka:
Mějte na paměti, že když do skupiny přidáte uživatele z jiné doménové struktury, vytvoří se ve službě Active Directory ukotvení, ve kterém skupiny existují uvnitř konkrétní organizační jednotky. Toto ukotvení je objekt zabezpečení cizího zabezpečení a je uložený uvnitř organizační jednotky ForeignSecurityPrincipals. Pokud tuto organizační OU nesynchronizujete, odeberou se uživatelé z členství ve skupině.
Důležité body, o které je potřeba vědět při synchronizaci skupin ze služby Active Directory do Microsoft Entra ID:
Microsoft Entra Connect vyloučí ze synchronizace adresářů předdefinované skupiny zabezpečení.
Microsoft Entra Connect nepodporuje synchronizaci členství v primární skupině s ID Microsoft Entra.
Microsoft Entra Connect nepodporuje synchronizaci členství v dynamických distribučních skupinách s ID Microsoft Entra.
Synchronizace skupiny Active Directory s ID Microsoft Entra jako poštovní skupiny:
Pokud je atribut proxyAddress skupiny prázdný, musí mít atribut pošty hodnotu.
Pokud je atribut proxyAddress skupiny neprázdný, musí obsahovat alespoň jednu hodnotu adresy proxy serveru SMTP. Několik příkladů:
Skupina služby Active Directory, jejíž atribut proxyAddress má hodnotu {"X500:/0=contoso.com/ou=users/cn=testgroup"} , nebude v MICROSOFT Entra ID povolena pošta. Nemá adresu SMTP.
Skupina služby Active Directory, jejíž atribut proxyAddress má hodnoty {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} bude v ID Microsoft Entra povolena pošta.
Skupina služby Active Directory, jejíž atribut proxyAddress má hodnoty {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} bude také povolena pošta v Microsoft Entra ID.
Kontakty
Kontakty představující uživatele v jiné doménové struktuře jsou společné po sloučení a akvizici, kde řešení GALSync přemostění dvou nebo více doménových struktur Exchange. Objekt kontaktu se vždy připojuje z prostoru konektoru k úložišti metaverse pomocí atributu Mail. Pokud objekt kontaktu nebo objekt uživatele se stejnou e-mailovou adresou už existuje, objekty se spojí dohromady. To je nakonfigurované v pravidle In from AD – Contact Join. Existuje také pravidlo s názvem In z AD – Contact Common s tokem atributu do atributu metaverse sourceObjectType s konstantou Contact. Toto pravidlo má nízkou prioritu, takže pokud je jakýkoli objekt uživatele připojený ke stejnému objektu metaverse, pak pravidlo In z AD – User Common bude přispívat hodnotou User do tohoto atributu. S tímto pravidlem má tento atribut hodnotu Kontakt, pokud nebyl připojen žádný uživatel, a hodnota Uživatel, pokud byl nalezen alespoň jeden uživatel.
Pro zřízení objektu pro Microsoft Entra ID, odchozí pravidlo Out to Microsoft Entra ID – Contact Join vytvoří objekt kontaktu, pokud je atribut metaverse sourceObjectType nastaven na Contact. Pokud je tento atribut nastaven na User, pak pravidlo Out to Microsoft Entra ID – User Join místo toho vytvoří objekt uživatele. Je možné, že objekt je povýšen z kontaktu na uživatele, když se importují a synchronizují další zdrojové adresáře Active Directory.
Například v topologii GALSync při importu první doménové struktury najdeme kontaktní objekty pro všechny v druhé doménové struktuře. Tato fáze vytvoří nové kontaktní objekty v konektoru Microsoft Entra. Při pozdějším importu a synchronizaci druhé doménové struktury najdeme skutečné uživatele a připojíme je k existujícím objektům metaverse. Pak odstraníme objekt kontaktu v Microsoft Entra ID a místo toho vytvoříme nový objekt uživatele.
Pokud máte topologii, kde jsou uživatelé reprezentováni jako kontakty, ujistěte se, že jste v průvodci instalací vybrali odpovídající uživatele s atributem Mail. Pokud vyberete jinou možnost, máte konfiguraci závislá na objednávce. Objekty kontaktů se budou vždy připojovat pomocí atributu Mail, ale objekty uživatelů se budou připojovat pomocí atributu Mail pouze v případě, že v průvodci instalací byla vybrána tato možnost. Pokud byl objekt kontaktu importován před objektem uživatele, v úložišti metaverse pak můžete mít dva různé objekty se stejným atributem Mail. Během exportu do MICROSOFT Entra ID se zobrazí chyba. Toto chování je záměrně a značí chybná data nebo to, že během instalace nebyla nastavena správná topologie.
Zakázané účty
Zakázané účty se synchronizují i s ID Microsoft Entra. Zakázané účty představují prostředky v Exchangi, například konferenční místnosti. Výjimkou jsou uživatelé s propojenou poštovní schránkou; jak bylo zmíněno dříve, nikdy nezřídí účet pro ID Microsoft Entra.
Předpokladem je, že pokud se najde zakázaný uživatelský účet, pak později nenajdeme další aktivní účet a objekt se zřídí pro Microsoft Entra ID s id userPrincipalName a sourceAnchor nalezen. V případě, že se jiný aktivní účet připojí ke stejnému objektu metaverse, použije se jeho userPrincipalName a sourceAnchor.
Změna zdrojeAnchor
Když byl objekt exportován do Microsoft Entra ID, pak už není povoleno změnit sourceAnchor. Pokud byl objekt exportován atribut metaverse cloudSourceAnchor je nastaven s hodnotou sourceAnchor přijatou Microsoft Entra ID. Pokud se změní sourceAnchor a neodpovídá cloudSourceAnchor, pravidlo Ven s ID Microsoft Entra – Připojení uživatele vyvolá chybu sourceAnchor atribut se změnil. V tomto případě musí být konfigurace nebo data opravena, takže stejný sourceAnchor je opět k dispozici v metaverse, aby bylo možné objekt znovu synchronizovat.