Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Es gibt verschiedene Gründe, weshalb Sie möglicherweise über mehrere Active Directory-Gesamtstrukturen verfügen, und es gibt eine Reihe unterschiedlicher Bereitstellungstopologien. Häufige Modelle umfassen eine Kontoressourcenbereitstellung und per GAL synchronisierte Gesamtstrukturen nach einer Unternehmensfusion oder -übernahme. Es gibt zwar reine Modelle, Hybridmodelle sind jedoch ebenfalls häufig vorhanden. Die Standardkonfiguration in Microsoft Entra Connect Sync geht von keinem bestimmten Modell aus. Je nachdem, wie der Benutzerabgleich im Installationshandbuch ausgewählt wurde, können jedoch unterschiedliche Verhaltensweisen beobachtet werden.
In diesem Artikel erfahren Sie, wie sich die Standardkonfiguration in bestimmten Topologien verhält. Wir gehen die Konfiguration durch, und der Synchronisierungsregel-Editor kann verwendet werden, um die Konfiguration zu überprüfen.
Die Konfiguration geht von einigen wenigen allgemeinen Regeln aus:
- Unabhängig davon, in welcher Reihenfolge die Active Directory-Quellen importiert werden, sollte das Endergebnis immer identisch sein.
- Ein aktives Konto trägt Anmeldeinformationen bei, einschließlich userPrincipalName und sourceAnchor.
- Ein deaktiviertes Konto trägt „userPrincipalName“ und „sourceAnchor“ bei (falls kein aktives Konto gefunden wurde), es sei denn, es handelt sich um ein verknüpftes Postfach.
- Ein Konto mit einem verknüpften Postfach wird nie für userPrincipalName und sourceAnchor verwendet. Es wird angenommen, dass später ein aktives Konto gefunden wird.
- Ein Kontaktobjekt kann Microsoft Entra als Kontakt oder Benutzer bereitgestellt werden. Sie werden dies erst dann genau wissen, wenn alle Active Directory-Quellgesamtstrukturen verarbeitet wurden.
Gruppen
Hinweis
Beachten Sie, dass beim Hinzufügen von Benutzenden aus einer anderen Gesamtstruktur zur Gruppe ein Anker im Active Directory erstellt wird, in dem die Gruppen in einer bestimmten Organisationseinheit vorhanden sind. Dieser Anker ist ein Foreign Security-Prinzipal und wird in der OE „ForeignSecurityPrincipals“ gespeichert. Wenn Sie diese OU nicht synchronisieren, werden die Benutzer aus der Gruppenmitgliedschaft entfernt.
Wichtige Punkte, die beim Synchronisieren von Gruppen in Active Directory mit Microsoft Entra beachtet werden sollten:
Microsoft Entra Connect schließt integrierte Sicherheitsgruppen von der Verzeichnissynchronisierung aus.
Microsoft Entra Connect unterstützt nicht die Synchronisierung von Primären Gruppenmitgliedschaften mit Microsoft Entra ID.
Microsoft Entra Connect unterstützt nicht die Synchronisierung von Dynamischen Verteilergruppenmitgliedschaften mit Microsoft Entra ID.
Stellen Sie Folgendes sicher, um eine Active Directory-Gruppe mit Microsoft Entra ID als E-Mail-aktivierte Gruppe synchronisieren können:
Wenn das proxyAddress-Attribut der Gruppe leer ist, muss das mail-Attribut einen Wert enthalten.
Wenn das proxyAddress-Attribut der Gruppe nicht leer ist, muss es mindestens einen SMTP-Proxyadresswert enthalten. Hier sehen Sie einige Beispiele:
Eine Active Directory-Gruppe, deren proxyAddress-Attribut den Wert {"X500:/0=contoso.com/ou=users/cn=testgroup"} hat, ist in Microsoft Entra ID nicht E-Mail-aktiviert. Es enthält keine SMTP-Adresse.
Eine Active Directory-Gruppe, deren proxyAddress-Attribut den Wert {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} hat, ist in Microsoft Entra ID E-Mail-aktiviert.
Auch eine Active Directory-Gruppe, deren proxyAddress-Attribut den Wert {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} hat, ist in Microsoft Entra ID E-Mail-aktiviert.
Kontakte
Nach einer Unternehmensfusion oder -übernahme ist es häufig der Fall, dass Kontakte einen Benutzer in einer anderen Gesamtstruktur repräsentieren, während eine GALSync-Lösung zwei oder mehr Exchange-Gesamtstrukturen verbindet. Das Kontaktobjekt wird immer mithilfe des Attributs "mail" vom Connectorbereich mit dem Metaverse verknüpft. Wenn bereits ein Kontakt- oder Benutzerobjekt mit derselben E-Mail-Adresse vorhanden ist, werden die Objekte miteinander verknüpft. Dies wird in der Regel In from AD – Contact Join konfiguriert. Es gibt auch eine Regel namens "In aus AD – Contact Common " mit einem Attributfluss zum Metaverse-Attribut "sourceObjectType " mit der Konstanten "Contact". Diese Regel hat eine geringe Priorität. Wenn also ein Benutzerobjekt mit demselben Metaverse-Objekt verknüpft ist, trägt die Regel "In" aus AD – "User Common " den Wert "User Common" zu diesem Attribut bei. Bei dieser Regel weist dieses Attribut den Wert "Contact" auf, wenn kein Benutzer beigetreten ist, und den Wert "User", wenn mindestens ein Benutzer gefunden wird.
Für die Bereitstellung eines Objekts an die Microsoft Entra-ID erstellt die ausgehende Regel "Out to Microsoft Entra ID " – Contact Join ein Kontaktobjekt, wenn das metaverse Attribut sourceObjectType auf "Contact" festgelegt ist. Wenn dieses Attribut auf User festgelegt ist, wird stattdessen durch die Regel Out to Microsoft Entra ID – User Join ein Benutzerobjekt erstellt. Es ist möglich, dass ein Objekt von "Kontakt" zu "Benutzer" heraufgestuft wird, wenn weitere Aktive Verzeichnisse importiert und synchronisiert werden.
In einer GALSync-Topologie finden sich beispielsweise Kontaktobjekte für alle Benutzenden in der zweiten Gesamtstruktur, wenn die erste Gesamtstruktur importiert wird. Dadurch werden neue Kontaktobjekte im Microsoft Entra Connector inszeniert. Wenn die zweite Gesamtstruktur später importiert und synchronisiert wird, werden die wirklichen Benutzenden gefunden und mit den vorhandenen Metaverseobjekten verbunden. Anschließend löschen wir das Kontaktobjekt in der Microsoft Entra-ID und erstellen stattdessen ein neues Benutzerobjekt.
Wenn Sie über eine Topologie verfügen, in der Benutzer als Kontakte dargestellt werden, stellen Sie sicher, dass Sie im Installationshandbuch die Option zum Abgleich der Benutzer mit dem mail-Attribut auswählen. Wenn Sie eine andere Option auswählen, erhalten Sie eine Konfiguration, die von der Reihenfolge abhängig ist. Kontaktobjekte werden immer mit dem E-Mail-Attribut verknüpft, aber Benutzerobjekte werden nur für das E-Mail-Attribut verknüpft, wenn diese Option im Installationshandbuch ausgewählt wurde. Dies könnte zwei unterschiedliche Objekte im Metaverse mit demselben mail-Attribut zur Folge haben, wenn das Kontaktobjekt vor dem Benutzerobjekt importiert wurde. Beim Export nach Microsoft Entra ID wird ein Fehler angezeigt. Dieses Verhalten ist beabsichtigt und weist auf fehlerhafte Daten hin oder darauf hin, dass die Topologie während der Installation nicht ordnungsgemäß identifiziert wurde.
Deaktivierte Konten
Deaktivierte Konten werden ebenfalls mit Microsoft Entra ID synchronisiert. Deaktivierte Konten werden häufig zum Darstellen von Ressourcen in Exchange verwendet, beispielsweise von Konferenzräumen. Die Ausnahme sind Benutzer mit einem verknüpften Postfach; wie bereits erwähnt, stellen diese niemals ein Konto für die Microsoft Entra-ID bereit.
Wenn ein deaktiviertes Benutzerkonto gefunden wird, wird später kein weiteres aktives Konto gefunden. Das Objekt wird mit dem gefundenen userPrincipalName und sourceAnchor für Microsoft Entra ID bereitgestellt. Falls ein weiteres aktives Konto mit demselben Metaverse-Objekt verknüpft wird, werden dessen userPrincipalName und sourceAnchor verwendet.
Ändern von "sourceAnchor"
Wenn ein Objekt in die Microsoft Entra-ID exportiert wird, darf das SourceAnchor-Objekt nicht mehr geändert werden. Wenn das Objekt exportiert wird, wird das Metaverse-Attribut "cloudSourceAnchor " mit dem sourceAnchor-Wert festgelegt, der von der Microsoft Entra-ID akzeptiert wird. Wenn sourceAnchor geändert wird und nicht mit cloudSourceAnchor übereinstimmt, löst die Regel Out to Microsoft Entra ID – User Join die Fehlermeldung aus, dass das sourceAnchor-Attribut geändert wurde. In diesem Fall müssen Konfiguration oder Daten korrigiert werden, sodass derselbe sourceAnchor-Wert wieder im Metaverse vorhanden ist, bevor das Objekt erneut synchronisiert werden kann.