Microsoft Entra Csatlakozás: Meglévő bérlő esetén
A Microsoft Entra Csatlakozás használatának legtöbb témaköre feltételezi, hogy egy új Microsoft Entra-bérlővel kezd, és nincsenek felhasználók vagy más objektumok. Ha azonban egy Microsoft Entra-bérlővel kezdte, feltöltötte a felhasználókkal és más objektumokkal, és most Csatlakozás szeretne használni, akkor ez a témakör az Ön számára készült.
Az alapok
A Microsoft Entra-azonosítóban lévő objektumok vagy a felhőben vagy a helyszínen kezelhetők. Egyetlen objektum esetében egyes helyszíni attribútumok és más attribútumok nem kezelhetők a Microsoft Entra ID-ban. Minden objektumnak van egy jelölője, amely jelzi, hogy hol kezelik az objektumot.
Egyes felhasználókat a helyszínen, másokat pedig a felhőben kezelhet. A konfiguráció gyakori forgatókönyve egy olyan szervezet, amely a könyvelők és az értékesítők kombinációjával rendelkezik. A könyvelők helyszíni AD-fiókkal rendelkeznek, de az értékesítők nem, de mindkettő rendelkezik Microsoft Entra-azonosítójú fiókkal. Néhány felhasználót a helyszínen, néhányat pedig a Microsoft Entra ID-ban kezelne.
További aggályokat is figyelembe kell vennie, amikor megkezdte a felhasználók kezelését a Microsoft Entra ID-ban, amelyek a helyszínen is megtalálhatók, és később a Microsoft Entra Csatlakozás szeretné használni.
Szinkronizálás a Microsoft Entra ID meglévő felhasználóival
Amikor elkezd szinkronizálni a Microsoft Entra Csatlakozás, a Microsoft Entra szolgáltatás API minden új bejövő objektumot ellenőriz, és egy meglévő objektumot próbál megkeresni. Ehhez a folyamathoz három attribútum használható: userPrincipalName, proxyAddresses és sourceAnchor/immutableID. A userPrincipalName vagy proxyAddresses egyezését "helyreállítható egyezésnek" nevezzük. A sourceAnchor egyezését "hard=match" néven ismerjük. A proxyAddresses attribútum esetében a rendszer csak az SMTP:, azaz az elsődleges e-mail-cím értékét használja a kiértékeléshez.
A rendszer csak a Csatlakozás érkező új objektumok esetében értékeli ki az egyezést. Ha módosít egy meglévő objektumot úgy, hogy az megfeleljen ezeknek az attribútumoknak, akkor hibaüzenet jelenik meg.
Ha a Microsoft Entra ID olyan objektumot talál, amelyben az attribútumértékek megegyeznek a Microsoft Entra Csatlakozás új bejövő objektumával, akkor átveszi az objektumot a Microsoft Entra ID-ban, és a korábban felhőalapúan felügyelt objektumot a rendszer helyszíni felügyelet alá helyezi. A Helyszíni AD-ben lévő értékkel rendelkező Microsoft Entra ID összes attribútuma felülíródik a megfelelő helyszíni értékkel.
Figyelmeztetés
Mivel a Microsoft Entra-azonosítóban lévő összes attribútumot felülírja a helyszíni érték, győződjön meg arról, hogy jó helyszíni adatokkal rendelkezik. Ha például csak a Microsoft 365-ben felügyelt e-mail-címmel rendelkezik, és nem frissítette a helyszíni AD DS-ben, akkor elveszíti a Microsoft Entra ID/Microsoft 365 azon értékeit, amelyek nem szerepelnek az AD DS-ben.
Fontos
Ha jelszószinkronizálást használ, amelyet mindig az expressz beállítások használnak, akkor a Microsoft Entra-azonosítóban lévő jelszó felülíródik a helyszíni AD-ben lévő jelszóval. Ha a felhasználók különböző jelszavak kezelésére szolgálnak, akkor tájékoztatnia kell őket arról, hogy a helyszíni jelszót kell használniuk a Csatlakozás telepítésekor.
A tervezés során figyelembe kell venni az előző szakaszt és figyelmeztetést. Ha számos olyan módosítást végzett a Microsoft Entra ID-ban, amelyek nem tükröződtek a helyszíni AD DS-ben, akkor az adatvesztés elkerülése érdekében meg kell terveznie, hogyan töltse fel az AD DS-t a Microsoft Entra ID frissített értékeivel, mielőtt szinkronizálná az objektumokat a Microsoft Entra Csatlakozás.
Ha az objektumokat helyreállítható egyezéssel egyeztette, akkor a forrásAnchor hozzáadódik az objektumhoz a Microsoft Entra-azonosítóban, hogy később egy kemény egyezést lehessen használni.
Fontos
A Microsoft határozottan javasolja, hogy szinkronizálja a helyszíni fiókokat a Microsoft Entra ID-ban már meglévő rendszergazdai fiókokkal.
Kemény egyezés és puha egyezés
Alapértelmezés szerint az "abcdefghijklmnopqrstuv==" SourceAnchor értékét a Microsoft Entra Csatlakozás számítja ki a helyi Active Directory-ból származó MsDs-ConsistencyGUID attribútum (vagy a konfigurációtól függően objectGUID) használatával. Ez az attribútumérték a Microsoft Entra ID megfelelő ImmutableId azonosítója. Amikor a Microsoft Entra Csatlakozás (szinkronizálási motor) objektumokat ad hozzá vagy frissít, a Microsoft Entra-azonosító megfelel a bejövő objektumnak a Microsoft Entra-azonosítóban található létező objektum ImmutableId attribútumának megfelelő sourceAnchor érték használatával. Ha van egyezés, a Microsoft Entra Csatlakozás átveszi az objektumot, és frissíti a bejövő helyi Active Directory objektum tulajdonságaival a "hard-match" néven ismert objektumban. Ha a Microsoft Entra ID nem talál olyan objektumot, amely a SouceAnchor értéknek megfelelő ImmutableId azonosítóval rendelkezik, a bejövő objektum userPrincipalName vagy elsődleges ProxyAddress azonosítójával próbál megtalálni egyezést az úgynevezett *"soft-match"-ben. A helyreállítható egyezés megpróbálja egyezni a Microsoft Entra-azonosítóban már meglévő és felügyelt objektumokkal az új bejövő objektumok hozzáadásával vagy frissítésével, amelyek ugyanazt az entitást képviselik a helyszínen. Ha a Microsoft Entra-azonosító nem talál egyező vagy helyreállítható egyezést a bejövő objektumhoz, egy új objektumot helyez üzembe a Microsoft Entra ID könyvtárban. Hozzáadtunk egy konfigurációs lehetőséget, amely letiltja a Microsoft Entra ID-ban a szigorú egyeztetési funkciót. Azt javasoljuk az ügyfeleknek, hogy tiltsák le a szigorú egyeztetést, kivéve, ha szükségük van rá, hogy csak felhőbeli fiókokat vegyenek át.
A kemény egyeztetés letiltásához használja az Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell-parancsmagot:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Ehhez hasonlóan hozzáadtunk egy konfigurációs beállítást, amely letiltja a microsoft entra id-ban a helyreállítható egyeztetési lehetőséget. Azt javasoljuk az ügyfeleknek, hogy tiltsák le a helyreállítható egyeztetést, kivéve, ha szükségük van rá, hogy csak felhőbeli fiókokat vegyenek át.
A helyreállítható egyeztetés letiltásához használja az Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell-parancsmagot:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Feljegyzés
A BlockCloudObjectTakeoverThroughHardMatchEnabled és a BlockSoftMatchEnabled az összes objektum egyeztetésének letiltására szolgál, ha engedélyezve van a bérlő számára. Az ügyfeleket arra ösztönzik, hogy csak abban az időszakban tiltsák le ezeket a funkciókat, amikor a bérlői szerződésükhöz megfelelő eljárás szükséges. Ezt a jelölőt ismét Igaz értékre kell állítani, miután az egyeztetés befejeződött, és már nincs rá szükség.
Más objektumok, mint a felhasználók
Az e-mail-kompatibilis csoportok és névjegyek esetében a proxyAddresses alapján helyreállítható az egyeztetés. A kemény egyezés nem alkalmazható, mivel csak a felhasználókon frissítheti a sourceAnchor/immutableID azonosítót (a PowerShell használatával). A nem e-mail-kompatibilis csoportok esetében jelenleg nem támogatott a puha egyezés vagy a kemény egyezés.
Rendszergazda szerepkörök szempontjai
A nem megbízható helyszíni felhasználókkal szembeni védelem érdekében a Microsoft Entra-azonosító nem egyezik meg a helyszíni felhasználókkal a rendszergazdai szerepkörrel rendelkező felhőfelhasználókkal. Ez a viselkedés alapértelmezés szerint. Ennek megkerüléséhez hajtsa végre a következő lépéseket:
- Távolítsa el a címtárszerepköröket a csak felhőalapú felhasználói objektumból.
- Törölje a karanténba helyezett objektumot a felhőben.
- Szinkronizálás aktiválása.
- Ha már megtörtént az egyeztetés, adja hozzá a címtárszerepköröket a felhőbeli felhasználói objektumhoz.
Új helyi Active Directory létrehozása a Microsoft Entra-azonosító adataiból
Néhány ügyfél csak felhőalapú megoldással kezdi a Microsoft Entra-azonosítót, és nem rendelkezik helyszíni AD-vel. Később helyszíni erőforrásokat szeretnének használni, és egy Helyszíni AD-t szeretnének létrehozni a Microsoft Entra adatai alapján. A Microsoft Entra Csatlakozás nem tud segíteni ebben a forgatókönyvben. Nem hoz létre felhasználókat a helyszínen, és nem tudja úgy beállítani a helyszíni jelszót, mint a Microsoft Entra-azonosítóban.
Ha a helyszíni AD hozzáadásának egyetlen oka a LOB-k (üzletági alkalmazások) támogatása, akkor érdemes lehet inkább a Microsoft Entra Domain Servicest használni.
Következő lépések
További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.