Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Több különböző oka is van annak, hogy több Active Directory-erdőt használna, és számos különböző üzembe helyezési topológia létezik. A gyakori modellek közé tartozik a fiók-erőforrás üzembe helyezése és a szinkronizált GAL erdők összeolvadás és felvásárlás után. De még ha vannak is tiszta modellek, a hibrid modellek is gyakoriak. A Microsoft Entra Connect Sync alapértelmezett konfigurációja nem feltételez egy adott modellt sem. Azonban attól függően, hogy a telepítési útmutatóban hogyan van kiválasztva a felhasználóegyezés módja, különböző viselkedések figyelhetők meg.
Ebben a cikkben áttekintjük, hogyan viselkedik az alapértelmezett konfiguráció bizonyos topológiákban. Áttekintjük a konfigurációt, és a Szinkronizálási szabályok szerkesztője használható a konfiguráció megtekintéséhez.
A konfiguráció néhány általános szabályt feltételez:
- Függetlenül attól, hogy a forrás aktív könyvtárakból milyen sorrendet importálunk, a végeredménynek mindig ugyanaznak kell lennie.
- Egy aktív fiók bejelentkezéskor információkat nyújt, beleértve a userPrincipalName és a sourceAnchorértékeket.
- Egy letiltott fiók megadja a userPrincipalName és a sourceAnchor értékeit, kivéve, ha nincs aktív fiók, és csatolt postaláda van.
- A csatolt postaládával rendelkező fiók soha nem használható a userPrincipalName és a sourceAnchor fiókhoz. Feltételezzük, hogy egy aktív fiók később lesz megtalálható.
- Egy kapcsolatobjektumot úgy lehet ellátni a Microsoft Entra ID-ben, mint kapcsolat vagy mint felhasználó. Nem igazán tudja, amíg az összes forrás Active Directory-erdő feldolgozásra nem kerül.
Csoportok
Megjegyzés:
Ne feledje, hogy amikor egy másik erdőből származó felhasználót ad hozzá a csoporthoz, létrejön egy horgony az Active Directoryban, ahol a csoportok egy adott szervezeti egységen belül találhatók. Ez a horgony egy külföldi biztonsági tag, és a "ForeignSecurityPrincipals" szervezeti egységben van tárolva. Ha nem szinkronizálja ezt a szervezeti egységet, a rendszer eltávolítja a felhasználókat a csoporttagságból.
Fontos tudnivalók arról, hogy mikor szinkronizálja a csoportokat az Active Directoryból a Microsoft Entra-azonosítóba:
A Microsoft Entra Connect kizárja a beépített biztonsági csoportokat a címtárszinkronizálásból.
A Microsoft Entra Connect nem támogatja az elsődleges csoporttagságok Microsoft Entra-azonosítóval való szinkronizálását.
A Microsoft Entra Connect nem támogatja a dinamikus terjesztési csoporttagságok Microsoft Entra-azonosítóval való szinkronizálását.
Active Directory-csoport szinkronizálása a Microsoft Entra ID-vel levelezésre alkalmas csoportként:
Ha a csoport proxyAddress attribútuma üres, a levelezési attribútumnak értékkel kell rendelkeznie
Ha a csoport proxyAddress attribútuma nem üres, legalább egy SMTP-proxycímértéket kell tartalmaznia. Íme néhány példa:
A proxyAddress attribútummal rendelkező Active Directory-csoport, amelynek értéke {"X500:/0=contoso.com/ou=users/cn=testgroup"}, nem lesz levelezési funkcióval ellátva a Microsoft Entra ID-ban. Nem rendelkezik SMTP-címmel.
Egy Olyan Active Directory-csoport, amelynek proxyAddress attribútuma {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} értékekkel rendelkezik, a Microsoft Entra-azonosítóban levelezés engedélyezve lesz.
Egy Active Directory-csoport, amelynek proxyAddress attribútuma {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} értékekkel rendelkezik, e-mail-kompatibilis lesz a Microsoft Entra ID rendszerében.
Kapcsolattartók
Az, hogy kapcsolatok képviselnek egy felhasználót egy másik erdőben, gyakori egy összeolvadás és felvásárlás után, ahol egy GALSync-megoldás két vagy több Exchange-erdőt köt össze. A kapcsolati objektum mindig összekötőtérből csatlakozik a metaverzumhoz a mail attribútum használatával. Ha már létezik névjegyobjektum vagy felhasználói objektum ezzel az e-mail-címmel, a rendszer összekapcsolja ezeket az objektumokat. Ez az In from AD – Contact Join (AD-ből bejövő – névjegy-összekapcsolás) szabályban van konfigurálva. Létezik egy In from AD – Contact Common nevű szabály is, amely attribútumáramlást irányít a sourceObjectType metaverzumattribútumhoz a Contact konstanssal. Ez a szabály alacsony elsőbbséggel bír, így ha bármely felhasználói objektum ugyanahhoz a metaverzum-objektumhoz van kapcsolva, akkor a szabály Be az AD - User Common a "felhasználó" értéket adja hozzá ehhez az attribútumhoz. Ebben a szabályban ez az attribútum a Kapcsolattartó értéket tartalmazza, ha nincs felhasználó csatlakoztatva, és a Felhasználó értéket, ha legalább egy felhasználó található.
Ha objektumot szeretne kiépíteni a Microsoft Entra-azonosítóba, a kimenő szabály Ki a Microsoft Entra-azonosítóba – Kapcsolatfelvétel létrehoz egy névjegyobjektumot, ha a sourceObjectType metaverzum attribútuma Contactértékre van állítva. Ha ez az attribútum Felhasználóértékre van állítva, akkor a szabály Microsoft Entra ID – Felhasználó-csatlakozás létrehoz egy felhasználói objektumot. Lehetséges, hogy egy objektumot a Kapcsolatból Felhasználóvá léptetnek elő, amikor több forrás Active Directory rendszert importálnak és szinkronizálnak.
Egy GALSync-topológiában például az első erdő importálásakor mindenki számára találunk névjegyobjektumokat a második erdőben. Ez a szakasz a Microsoft Entra Connector új partnerobjektumait szakaszosítja. Amikor később importáljuk és szinkronizáljuk a második erdőt, megtaláljuk a valódi felhasználókat, és összekapcsoljuk őket a meglévő metaverzumobjektumokkal. Ezután töröljük a partnerobjektumot a Microsoft Entra-azonosítóban, és helyette létrehozunk egy új felhasználói objektumot.
Ha olyan topológiával rendelkezik, amelyben a felhasználók névjegyként jelennek meg, győződjön meg arról, hogy a telepítési útmutatóban a mail attribútumot választotta a felhasználók egyeztetéséhez. Ha másik lehetőséget választ, akkor van egy megrendeléstől függő konfigurációja. A névjegyobjektumok mindig csatlakoznak a levelezési attribútumhoz, de a felhasználói objektumok csak akkor csatlakoznak a levelezési attribútumhoz, ha a telepítési útmutatóban ez a beállítás lett kiválasztva. Ez két különböző objektumhoz is vezethet a metaverzumban ugyanazzal az e-mail attribútummal, ha a kapcsolati objektumot a felhasználói objektum előtt importálta. A Microsoft Entra-azonosítóba való exportálás során hiba jelenik meg. Ez a viselkedés terv szerint történik, és rossz adatokat jelez, vagy hogy a topológia nem lett megfelelően azonosítva a telepítés során.
Letiltott fiókok
A letiltott fiókok szinkronizálva vannak a Microsoft Entra-azonosítóval is. A letiltott fiókok gyakran az Exchange-erőforrásokat jelölik, például konferenciatermeket. Kivételt képeznek a csatolt postaládával rendelkező felhasználók; ahogy korábban említettük, ezek soha nem építenek ki fiókot a Microsoft Entra-azonosítóhoz.
A feltételezés az, hogy ha egy letiltott felhasználói fiók található, akkor később nem találunk másik aktív fiókot. Az objektum ki van építve a Microsoft Entra-azonosítóba a userPrincipalName és a sourceAnchor megtalálható. Ha egy másik aktív fiók csatlakozik ugyanahhoz a metaverse objektumhoz, akkor a userPrincipalName és a sourceAnchor lesz használva.
A sourceAnchor módosítása
Amikor egy objektumot exportál a Microsoft Entra-azonosítóba, akkor a sourceAnchor már nem módosítható. Az objektum exportálásakor a cloudSourceAnchor metaverzumattribútum a Microsoft Entra ID által elfogadott sourceAnchor értékkel van beállítva. Ha a sourceAnchor módosul, és nem egyezik meg a cloudSourceAnchorértékkel, akkor a Microsoft Entra ID – Felhasználó csatlakozás szabály jelez hibát: a sourceAnchor attribútum megváltozott. Ebben az esetben a konfigurációt vagy az adatokat ki kell javítani, hogy ugyanaz a forrásAnchor jelen legyen a metaversen, mielőtt az objektum ismét szinkronizálható lenne.