Microsoft Entra Connect szinkronizálás: A felhasználók, csoportok és kapcsolattartók ismertetése
Több különböző oka is van annak, hogy több Active Directory-erdőt használna, és számos különböző üzembe helyezési topológia létezik. A gyakori modellek közé tartozik a fiók-erőforrás üzembe helyezése és a GAL szinkronizált erdők összevonás és felvásárlás után. De még ha vannak is tiszta modellek, a hibrid modellek is gyakoriak. A Microsoft Entra Connect Sync alapértelmezett konfigurációja nem feltételez egy adott modellt, de attól függően, hogy a telepítési útmutató hogyan választotta ki a felhasználóegyezést, különböző viselkedés figyelhető meg.
Ebben a témakörben áttekintjük, hogyan működik az alapértelmezett konfiguráció bizonyos topológiákban. Áttekintjük a konfigurációt, és a Szinkronizálási szabályok szerkesztője használható a konfiguráció megtekintéséhez.
A konfiguráció néhány általános szabályt feltételez:
- Függetlenül attól, hogy a forrás aktív könyvtárakból milyen sorrendet importálunk, a végeredménynek mindig ugyanaznak kell lennie.
- Az aktív fiók mindig hozzájárul a bejelentkezési adatokhoz, beleértve a userPrincipalName és a sourceAnchor adatokat.
- Egy letiltott fiók a userPrincipalName és a sourceAnchor függvényt adja hozzá, kivéve, ha csatolt postaláda, ha nincs aktív fiók.
- A csatolt postaládával rendelkező fiókok soha nem lesznek használva a userPrincipalName és a sourceAnchor fiókhoz. Feltételezzük, hogy egy aktív fiók később lesz megtalálható.
- Előfordulhat, hogy partnerként vagy felhasználóként kiépít egy partnerobjektumot a Microsoft Entra-azonosítóba. Nem igazán tudhatja, amíg az összes forrás Active Directory-erdőt fel nem dolgozták.
Csoportok
Feljegyzés
Ne feledje, hogy amikor egy másik erdőből származó felhasználót ad hozzá a csoporthoz, létrejön egy horgony az Active Directoryban, ahol a csoportok egy adott szervezeti egységen belül találhatók. Ez a horgony egy külföldi biztonsági tag, és a "ForeignSecurityPrincipals" szervezeti egységben van tárolva. Ha nem szinkronizálja ezt a szervezeti egységet, a rendszer eltávolítja a felhasználókat a csoporttagságból.
Fontos tudnivalók arról, hogy mikor szinkronizálja a csoportokat az Active Directoryból a Microsoft Entra-azonosítóba:
A Microsoft Entra Connect kizárja a beépített biztonsági csoportokat a címtár-szinkronizálásból.
A Microsoft Entra Connect nem támogatja az elsődleges csoporttagságok Microsoft Entra-azonosítóval való szinkronizálását.
A Microsoft Entra Connect nem támogatja a dinamikus terjesztési csoporttagságok Microsoft Entra-azonosítóval való szinkronizálását.
Active Directory-csoport szinkronizálása a Microsoft Entra-azonosítóval levelezési csoportként:
Ha a csoport proxyAddress attribútuma üres, a levelezési attribútumnak értékkel kell rendelkeznie
Ha a csoport proxyAddress attribútuma nem üres, legalább egy SMTP-proxycímértéket kell tartalmaznia. Íme néhány példa:
A{"X500:/0=contoso.com/ou=users/cn=testgroup"} nevű proxyAddress attribútummal rendelkező Active Directory-csoport nem lesz e-mailben engedélyezve a Microsoft Entra-azonosítóban. Nem rendelkezik SMTP-címmel.
Egy Olyan Active Directory-csoport, amelynek proxyAddress attribútuma {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} értékekkel rendelkezik, a Microsoft Entra-azonosítóban levelezés engedélyezve lesz.
Egy Olyan Active Directory-csoport, amelynek proxyAddress attribútuma {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} értékekkel rendelkezik, a Microsoft Entra ID-ban is engedélyezve lesz.
Kapcsolattartók
Ha egy másik erdőben lévő felhasználót egy GALSync-megoldás két vagy több Exchange-erdőt áthidaló összeolvadás és felvásárlás után egy másik erdőben lévő felhasználót jelöl. A névjegyobjektum mindig az összekötőtérből csatlakozik a metaverzumhoz a mail attribútum használatával. Ha már létezik névjegyobjektum vagy felhasználói objektum ezzel az e-mail-címmel, a rendszer összekapcsolja ezeket az objektumokat. Ez az In from AD – Contact Join (AD-ből bejövő – névjegy-összekapcsolás) szabályban van konfigurálva. Van egy In nevű szabály is az AD-ből – Contact Common nevű szabály, amely a sourceObjectType metaverzumattribútumhoz tartozó attribútumfolyammal és a kapcsolattartó állandóval rendelkezik. Ez a szabály alacsony elsőbbséget élvez, ezért ha bármely felhasználói objektum ugyanahhoz a metaverzum-objektumhoz csatlakozik, akkor az AD - User Common szabály hozzá fogja adni a Felhasználó értéket ehhez az attribútumhoz. Ezzel a szabálysal ez az attribútum a Kapcsolattartó értéket tartalmazza, ha nem csatlakozott felhasználóhoz, és a Felhasználó értéket, ha legalább egy felhasználót talált.
Ha objektumot szeretne kiépíteni a Microsoft Entra-azonosítóba, a kimenő szabály a Microsoft Entra-azonosítóra van állítva – A Kapcsolatfelvétel kapcsolat létrehozása kapcsolati objektumot hoz létre, ha a sourceObjectType metaverzumattribútum a Contact (Kapcsolat) értékre van állítva. Ha ez az attribútum Felhasználó értékre van állítva, akkor a Microsoft Entra-azonosítóra vonatkozó kivétel – A felhasználói csatlakozás ehelyett létrehoz egy felhasználói objektumot. Lehetséges, hogy a rendszer előléptet egy objektumot a Partnerről a Felhasználóra, ha több forrás aktív címtárat importál és szinkronizál.
Egy GALSync-topológiában például az első erdő importálásakor a második erdő minden felhasználójának megtalálja a névjegyobjektumokat. Ez a szakasz a Microsoft Entra Connector új partnerobjektumait szakaszosítja. Amikor később importáljuk és szinkronizáljuk a második erdőt, megtaláljuk a valódi felhasználókat, és összekapcsoljuk őket a meglévő metaverzumobjektumokkal. Ezután töröljük a partnerobjektumot a Microsoft Entra-azonosítóban, és helyette létrehozunk egy új felhasználói objektumot.
Ha olyan topológiával rendelkezik, amelyben a felhasználók névjegyként jelennek meg, győződjön meg arról, hogy a telepítési útmutatóban a mail attribútumot választotta a felhasználók egyeztetéséhez. Ha másik lehetőséget választ, akkor van egy megrendeléstől függő konfigurációja. A névjegyobjektumok mindig csatlakoztatva lesznek a mail attribútumhoz, a felhasználói objektumok viszont csak akkor, ha a telepítési útmutatóban ezt a beállítást választotta. Ez két különböző objektumot is eredményezhet ugyanazzal az attribútummal a metaverzumban, ha a névjegyobjektumot a felhasználói objektum előtt importálta. A Microsoft Entra-azonosítóba való exportálás során hiba jelenik meg. Ez a viselkedés szándékos, és azt jelzi, hogy az adatok rosszak, vagy a rendszer nem megfelelően azonosította a topológiát a telepítés során.
Letiltott fiókok
A letiltott fiókok szinkronizálva vannak a Microsoft Entra-azonosítóval is. A letiltott fiókok gyakran az Exchange-erőforrásokat jelölik, például konferenciatermeket. Kivételt képeznek a csatolt postaládával rendelkező felhasználók; ahogy korábban említettük, ezek soha nem építenek ki fiókot a Microsoft Entra-azonosítóhoz.
A feltételezés az, hogy ha egy letiltott felhasználói fiók található, akkor később nem találunk egy másik aktív fiókot, és az objektum ki van építve a Microsoft Entra-azonosítóhoz a userPrincipalName és a sourceAnchor azonosítóval. Ha egy másik aktív fiók csatlakozik ugyanahhoz a metaverzumobjektumhoz, akkor a userPrincipalName és a sourceAnchor lesz használva.
A sourceAnchor módosítása
Ha egy objektumot exportáltak a Microsoft Entra-azonosítóba, akkor a sourceAnchor már nem módosítható. Az objektum exportálása után a cloudSourceAnchor metaverse attribútum a Microsoft Entra ID által elfogadott sourceAnchor értékkel van beállítva. Ha a sourceAnchor módosul, és nem egyezik a cloudSourceAnchor-tal, akkor a Microsoft Entra-azonosítóra vonatkozó kivétel – A felhasználói csatlakozás a sourceAnchor attribútumot módosítja. Ebben az esetben a konfigurációt vagy az adatokat ki kell javítani, hogy ugyanaz a forrásAnchor jelen legyen a metaversen, mielőtt az objektum ismét szinkronizálható lenne.