Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Hay diversas razones por las que podría interesarle tener varios bosques de Active Directory y hay diversas topologías de implementación. Los modelos comunes incluyen una implementación de recursos de cuenta y bosques sincronizados con GAL después de una fusión y adquisición. Sin embargo, aunque existan modelos puros, los modelos híbridos también son comunes. La configuración predeterminada en Microsoft Entra Connect Sync no supone ningún modelo determinado. Sin embargo, en función de cómo se seleccionó la coincidencia de usuarios en la guía de instalación, se pueden observar distintos comportamientos.
En este artículo, veremos cómo se comporta la configuración predeterminada en determinadas topologías. Además analizaremos la configuración, que puede examinarse mediante el Editor de reglas de sincronización.
Existen varias reglas generales que la configuración da por supuesto:
- Independientemente del orden en el que importemos los directorios de Active Directory de origen, el resultado final siempre debe ser el mismo.
- Una cuenta activa contribuye con la información de inicio de sesión, que incluye userPrincipalName y sourceAnchor.
- Una cuenta deshabilitada contribuye a userPrincipalName y sourceAnchor, a menos que sea un buzón vinculado, si no hay ninguna cuenta activa que se encuentre.
- Una cuenta con un buzón vinculado nunca debe ser utilizada para userPrincipalName y sourceAnchor. Se da por supuesto que más adelante se encontrará una cuenta activa.
- Es posible que un objeto de contacto se aprovisione en Microsoft Entra ID como contacto o como usuario. Realmente no lo sabrá hasta que se hayan procesado todos los bosques de origen de Active Directory.
Grupos
Nota
Tenga en cuenta que, al agregar un usuario de otro bosque al grupo, hay un anclaje creado en Active Directory donde los grupos se encuentran dentro de una OU específica. Este delimitador es una entidad de seguridad externa y se almacena dentro de la UO ‘ForeignSecurityPrincipals’. Si no sincroniza esta unidad organizativa (OU), los usuarios se eliminan de la membresía del grupo.
Puntos importantes para tener en cuenta durante la sincronización de grupos de Active Directory a Microsoft Entra ID:
Microsoft Entra Connect excluye los grupos de seguridad integrados de la sincronización de directorios.
Microsoft Entra Connect no admite la sincronización de la membresía de Grupo Principal con Microsoft Entra ID.
Microsoft Entra Connect no admite la sincronización de pertenencias de grupos de distribución dinámicos en Microsoft Entra ID.
Para sincronizar un grupo de Active Directory a Microsoft Entra ID como un grupo habilitado para correos:
Si el atributo del grupo proxyAddress está vacío, su atributo mail debe tener un valor.
Si el atributo proxyAddress del grupo no está vacío, debe contener al menos una dirección SMTP. Estos son algunos ejemplos:
Un grupo de Active Directory cuyo atributo proxyAddress tenga el valor {"X500:/0=contoso.com/ou=users/cn=testgroup"} no estará habilitado para correo en Microsoft Entra ID. No tiene ninguna dirección SMTP.
Un grupo de Active Directory cuyo atributo proxyAddress tiene los valores {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} se habilitará para correo electrónico en Microsoft Entra ID.
Un grupo de Active Directory cuyo atributo proxyAddress tiene los valores {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} también estará habilitado para correo electrónico en Microsoft Entra ID.
Contactos
Tras una fusión o una adquisición donde la solución GALSync actúa como puente entre dos o más bosques de Exchange, es habitual que los contactos representen a un usuario en un bosque diferente. El objeto de contacto siempre se une desde el espacio del conector al metaverso mediante el atributo de correo. Si ya existe un objeto de contacto o un objeto de usuario con la misma dirección de correo, los objetos se unen. Esto se configura en la regla In from AD – Contact Join. También hay una regla denominada In from AD – Contact Common con un flujo de atributos al atributo del metaverso sourceObjectType con la constante Contact. Esta regla tiene prioridad baja, por lo que si algún objeto de usuario está unido al mismo objeto de metaverso, la regla In from AD – User Common contribuye al valor User a este atributo. Con esta regla, este atributo tiene el valor Contact si no se ha unido ningún usuario y el valor User si se encuentra al menos un usuario.
Para aprovisionar un objeto en Microsoft Entra ID, la regla de salida Salir a Microsoft Entra ID - Contacto Unirse crea un objeto contact si el atributo metaverso sourceObjectType está establecido en Contacto. Si este atributo se establece en Usuario, la regla Out to Microsoft Entra ID – User Join crea un objeto de usuario en su lugar. Es posible que un objeto se promueva de Contact a User cuando se importan y sincronizan más directorios activos de origen.
Por ejemplo, en una topología GALSync encontraremos objetos de contacto para todos los usuarios del segundo bosque cuando importemos el primer bosque. En esta fase se almacenan nuevos objetos de contacto en Microsoft Entra Connector. Cuando más adelante importemos y sincronicemos el segundo bosque, encontraremos los usuarios reales y los uniremos a los objetos de metaverso existentes. A continuación, eliminaremos el objeto de contacto en microsoft Entra ID y crearemos un nuevo objeto de usuario en su lugar.
Si tiene una topología en la que los usuarios se representan como contactos, asegúrese de seleccionar para que coincidan con los usuarios en el atributo mail de la guía de instalación. Si selecciona otra opción, tendrá una configuración que dependerá del orden. Los objetos de contacto siempre se unen en el atributo mail, pero los objetos de usuario solo se unen en el atributo mail si esta opción se seleccionó en la guía de instalación. Como resultado, puede tener dos objetos diferentes en el metaverso con el mismo atributo de correo si el objeto de contacto se importó antes del objeto de usuario. Durante la exportación al identificador de Microsoft Entra, se muestra un error. Este comportamiento es por diseño y indicaría datos incorrectos o que la topología no se identificó correctamente durante la instalación.
Cuentas deshabilitadas
Las cuentas deshabilitadas también se sincronizan con Microsoft Entra ID. Las cuentas deshabilitadas suelen representar recursos en Exchange, por ejemplo salas de conferencias. La excepción es usuarios con un buzón vinculado; como se mencionó anteriormente, estos nunca aprovisionan una cuenta a Microsoft Entra ID.
La suposición es que si se encuentra una cuenta de usuario deshabilitada, no se encontrará otra cuenta activa más adelante. El objeto se aprovisiona a Microsoft Entra ID con el userPrincipalName y sourceAnchor encontrados. En caso de que se una otra cuenta activa al mismo objeto de metaverso, se usan userPrincipalName y sourceAnchor.
Cambiar sourceAnchor
Cuando se exporta un objeto a Microsoft Entra ID, ya no se permite cambiar sourceAnchor. Una vez exportado un objeto, el atributo de metaverso cloudSourceAnchor se establece con el valor de sourceAnchor que acepta Microsoft Entra ID. Si sourceAnchor se cambia y no coincide con cloudSourceAnchor, la regla Salir a Microsoft Entra ID - Contacto Unirse produce el error el atributo sourceAnchor ha cambiado. En este caso habrá que corregir la configuración o los datos, de modo que el mismo valor de sourceAnchor esté presente en el metaverso para que el objeto pueda sincronizarse de nuevo.