Microsoft Entra Connect: Tervezési koncepciók
A dokumentum célja olyan területek leírása, amelyeket figyelembe kell venni a Microsoft Entra Csatlakozás konfigurálása során. Ez a dokumentum részletesen ismerteti bizonyos területeket, és ezeket a fogalmakat más dokumentumok is röviden ismertetik.
sourceAnchor
A sourceAnchor attribútum egy objektum élettartama során nem módosítható attribútumként van definiálva. Egyedileg azonosítja az objektumot, mivel ugyanaz az objektum a helyszínen és a Microsoft Entra-azonosítóban. Az attribútumot immutableId-nek is nevezik, és a két nevet felcserélhetően használják.
A dokumentum fontos része a nem módosítható szó, vagyis a "nem módosítható". Mivel az attribútum értéke a beállítás után nem módosítható, fontos, hogy olyan kialakítást válasszon, amely támogatja a forgatókönyvet.
Az attribútum a következő helyzetekben használatos:
- Ha egy új szinkronizálási motorkiszolgálót építenek ki, vagy vészhelyreállítási forgatókönyv után újraépülnek, ez az attribútum összekapcsolja a Microsoft Entra ID-ban lévő meglévő objektumokat a helyszíni objektumokkal.
- Ha csak felhőalapú identitásról szinkronizált identitásmodellre vált, akkor ez az attribútum lehetővé teszi az objektumok számára, hogy a Microsoft Entra ID-ban lévő meglévő objektumokat "keményen egyezzenek" a helyszíni objektumokkal.
- Ha összevonást használ, akkor ez az attribútum és a userPrincipalName együttes használata a jogcímben a felhasználó egyedi azonosítására szolgál.
Ez a témakör csak a sourceAnchorról szól, mivel a felhasználókhoz kapcsolódik. Ugyanezek a szabályok minden objektumtípusra vonatkoznak, de csak a felhasználók számára ez a probléma általában aggodalomra ad okot.
Jó sourceAnchor attribútum kiválasztása
Az attribútumértéknek a következő szabályokat kell követnie:
- 60 karakternél rövidebb
- A nem a-z, A-Z vagy 0-9 karakterek kódolása és 3 karakternek számít
- Nem tartalmaz speciális karaktert: \ ! # $ % & * + / = ? ^ ' { } | ~ <> ( ) ' ; : , [ ] " @ _
- A névnek globálisan egyedinek kell lennie
- Sztringnek, egész számnak vagy binárisnak kell lennie
- Nem szabad a felhasználó nevére alapozni, mert ezek változhatnak
- Ne legyen megkülönböztethető a kis- és nagybetűktől, és kerülje a kis- és nagybetűktől függően eltérő értékeket
- Az objektum létrehozásakor hozzá kell rendelni
Ha a kijelölt sourceAnchor nem típussztring, akkor a Microsoft Entra Csatlakozás Base64Encode az attribútum értékét, hogy ne jelenjenek meg speciális karakterek. Ha az ADFS-nél más összevonási kiszolgálót használ, győződjön meg arról, hogy a kiszolgáló képes a Base64Encode attribútumra is.
A sourceAnchor attribútum megkülönbözteti a kis- és nagybetűt. A "JohnDoe" értéke nem ugyanaz, mint a "johndoe". De ne legyen két különböző objektuma, amelyek esetében csak különbség van.
Ha egyetlen helyszíni erdővel rendelkezik, akkor a használni kívánt attribútum az objectGUID. Ez az attribútum a Microsoft Entra Csatlakozás expressz beállításainak és a DirSync által használt attribútumnak a használatakor is használatos.
Ha több erdővel rendelkezik, és nem helyezi át a felhasználókat az erdők és a tartományok között, akkor az objectGUID egy jó attribútum, amelyet ebben az esetben is használhat.
Ha a felhasználókat erdők és tartományok között helyezi át, olyan attribútumot kell találnia, amely nem változik, vagy az áthelyezés során a felhasználókkal együtt áthelyezhető. Ajánlott módszer egy szintetikus attribútum bevezetése. A GUID-nak tűnő attribútumok megfelelőek lehetnek. Az objektum létrehozása során létrejön egy új GUID, és a rendszer lepecsételi a felhasználót. A szinkronizálási motorkiszolgálón létrehozhat egy egyéni szinkronizálási szabályt, amely létrehozza ezt az értéket az objectGUID alapján, és frissíti a kijelölt attribútumot az AD DS-ben. Az objektum áthelyezésekor mindenképpen másolja az érték tartalmát is.
Egy másik megoldás egy meglévő attribútum kiválasztása, amelyről tudja, hogy nem változik. A gyakran használt attribútumok közé tartozik az employeeID. Ha egy betűket tartalmazó attribútumot vesz figyelembe, győződjön meg arról, hogy a kis- és nagybetűk (kis- és nagybetűk) nem változnak az attribútum értékében. A nem használható rossz attribútumok közé tartoznak a felhasználó nevével ellátott attribútumok. Házasságban vagy válásban a név várhatóan megváltozik, ami nem engedélyezett ehhez az attribútumhoz. Ez az egyik oka annak is, hogy az olyan attribútumok, mint a userPrincipalName, a mail és a targetAddress nem is választhatók a Microsoft Entra Csatlakozás telepítővarázslójában. Ezek az attribútumok a "@" karaktert is tartalmazzák, amely nem engedélyezett a sourceAnchorban.
A sourceAnchor attribútum módosítása
A sourceAnchor attribútum értéke nem módosítható az objektum Microsoft Entra-azonosítóban való létrehozása és az identitás szinkronizálása után.
Ezért az alábbi korlátozások vonatkoznak a Microsoft Entra Csatlakozás:
- A sourceAnchor attribútum csak a kezdeti telepítés során állítható be. Ha újrafuttatja a telepítővarázslót, ez a beállítás írásvédett. Ha módosítania kell ezt a beállítást, el kell távolítania és újra kell telepítenie.
- Ha egy másik Microsoft Entra Csatlakozás-kiszolgálót telepít, akkor ugyanazt a sourceAnchor attribútumot kell kiválasztania, mint korábban. Ha korábban a DirSyncet használta, és a Microsoft Entra Csatlakozás vált, akkor az objectGUID-t kell használnia, mivel ez a DirSync által használt attribútum.
- Ha a sourceAnchor értéke az objektum Microsoft Entra-azonosítóba való exportálása után módosul, akkor a Microsoft Entra Csatlakozás Sync hibát jelez, és nem engedélyezi további módosításokat az objektumon a probléma kijavítása előtt, és a sourceAnchor vissza lesz módosítva a forráskönyvtárban.
Az ms-DS-ConsistencyGuid használata sourceAnchorként
Alapértelmezés szerint a Microsoft Entra Csatlakozás (1.1.486.0-s és régebbi verzió) az objectGUID-t használja sourceAnchor attribútumként. Az ObjectGUID rendszer által generált. A helyszíni AD-objektumok létrehozásakor nem adhatja meg annak értékét. A sourceAnchor szakasz magyarázata szerint vannak olyan forgatókönyvek, ahol meg kell adnia a sourceAnchor értéket. Ha a forgatókönyvek alkalmazhatók Önre, egy konfigurálható AD-attribútumot (például ms-DS-ConsistencyGuid) kell használnia forrásAnchor attribútumként.
A Microsoft Entra Csatlakozás (1.1.524.0-s és újabb verzió) mostantól lehetővé teszi az ms-DS-ConsistencyGuid sourceAnchor attribútumként való használatát. A szolgáltatás használatakor a Microsoft Entra Csatlakozás automatikusan a következőre konfigurálja a szinkronizálási szabályokat:
Használja az ms-DS-ConsistencyGuid parancsot a user objects sourceAnchor attribútumaként. Az ObjectGUID más objektumtípusokhoz is használható.
Minden olyan helyszíni AD-felhasználói objektum esetében, amelynek ms-DS-ConsistencyGuid attribútuma nincs feltöltve, a Microsoft Entra Csatlakozás visszaírja az objectGUID értékét az ms-DS-ConsistencyGuid attribútumba a helyi Active Directory. Az ms-DS-ConsistencyGuid attribútum feltöltése után a Microsoft Entra Csatlakozás exportálja az objektumot a Microsoft Entra-azonosítóba.
Feljegyzés
Miután importált egy helyszíni AD-objektumot a Microsoft Entra Csatlakozás (vagyis az AD Csatlakozás or térbe importálva és a Metaverzumba vetítve), többé nem módosíthatja a sourceAnchor értékét. Egy adott helyszíni AD-objektum sourceAnchor értékének megadásához konfigurálja az ms-DS-ConsistencyGuid attribútumot, mielőtt importálná a Microsoft Entra Csatlakozás.
Engedély szükséges
A funkció működéséhez a helyi Active Directory szinkronizálásához használt AD DS-fióknak írási engedélyt kell adni a helyi Active Directory ms-DS-ConsistencyGuid attribútumához.
A ConsistencyGuid szolgáltatás engedélyezése – Új telepítés
Az új telepítés során engedélyezheti a ConsistencyGuid forrásként való használatát. Ez a szakasz részletesen ismerteti az Express és az Egyéni telepítést is.
Feljegyzés
Csak a Microsoft Entra Csatlakozás (1.1.524.0 és újabb verziók) újabb verziói támogatják a ConsistencyGuid forrásként való használatát az új telepítés során.
A ConsistencyGuid funkció engedélyezése
Express-telepítés
Amikor Express módban telepíti a Microsoft Entra Csatlakozás, a Microsoft Entra Csatlakozás varázsló automatikusan meghatározza a forrásAnchor attribútumként használni kívánt AD-attribútumot a következő logikával:
Először a Microsoft Entra Csatlakozás varázsló lekérdezi a Microsoft Entra-bérlőt, hogy lekérje az előző Microsoft Entra Csatlakozás telepítés forrásAnchor attribútumaként használt AD attribútumot (ha van ilyen). Ha ezek az információk elérhetők, a Microsoft Entra Csatlakozás ugyanazt az AD-attribútumot használja.
Feljegyzés
A Microsoft Entra Csatlakozás (1.1.524.0 és újabb verziók) csak a Microsoft Entra-bérlőben tárolnak információkat a telepítés során használt sourceAnchor attribútumról. A Microsoft Entra régebbi verziói nem Csatlakozás.
Ha a használt sourceAnchor attribútummal kapcsolatos információk nem érhetők el, a varázsló ellenőrzi az ms-DS-ConsistencyGuid attribútum állapotát a helyi Active Directory. Ha az attribútum nincs konfigurálva a könyvtár egyik objektumán sem, a varázsló az ms-DS-ConsistencyGuid attribútumot használja sourceAnchor attribútumként. Ha az attribútum a címtár egy vagy több objektumán van konfigurálva, a varázsló megállapítja, hogy az attribútumot más alkalmazások használják, és nem alkalmasak sourceAnchor attribútumként...
Ebben az esetben a varázsló visszatér az objectGUID forrásAnchor attribútumként való használatára.
A sourceAnchor attribútum döntése után a varázsló az adatokat a Microsoft Entra-bérlőben tárolja. Ezeket az információkat a Microsoft Entra Csatlakozás későbbi telepítése fogja felhasználni.
Az Express telepítésének befejezése után a varázsló tájékoztatja, hogy melyik attribútumot választotta a rendszer forráshorgony attribútumként.
Egyéni telepítés
A Microsoft Entra Csatlakozás egyéni módban történő telepítésekor a Microsoft Entra Csatlakozás varázsló két lehetőséget biztosít a sourceAnchor attribútum konfigurálásához:
| Beállítás | Leírás |
|---|---|
| Hagyja, hogy a Microsoft Entra ID kezelje a forráshorgonyt | Válassza ezt a lehetőséget, ha azt szeretné, hogy a Microsoft Entra ID válassza ki az attribútumot. Ha ezt a lehetőséget választja, a Microsoft Entra Csatlakozás varázsló ugyanazt a sourceAnchor attribútumkijelölési logikát alkalmazza, amelyet az Express telepítésekor használ. Az Express-telepítéshez hasonlóan a varázsló tájékoztatja, hogy melyik attribútum lett kiválasztva forráshorgony attribútumként az egyéni telepítés befejezése után. |
| A specific attribute (Egy adott attribútum) | Válassza ezt a lehetőséget, ha meglévő AD-attribútumot szeretne megadni forráshorgony-attribútumként. |
A Konzisztenciaguid szolgáltatás engedélyezése – Meglévő üzembe helyezés
Ha van egy meglévő Microsoft Entra Csatlakozás üzemelő példánya, amely az objectGUID-t használja forráshorgony attribútumként, átválthat a ConsistencyGuid használatára.
Feljegyzés
Csak a Microsoft Entra Csatlakozás (1.1.552.0 és újabb verziók) újabb verziói támogatják az ObjectGuid-ról a ConsistencyGuid-ra való váltást forráshorgony attribútumként.
Az objectGUID-ről a ConsistencyGuid-ra váltás forráshorgony attribútumként:
Indítsa el a Microsoft Entra Csatlakozás varázslót, és a Konfigurálás gombra kattintva lépjen a Feladatok képernyőre.
Válassza a Forráshorgony-feladat konfigurálása lehetőséget, és kattintson a Tovább gombra.
Adja meg a Microsoft Entra Rendszergazda istrator hitelesítő adatait, és kattintson a Tovább gombra.
A Microsoft Entra Csatlakozás varázsló elemzi az ms-DS-ConsistencyGuid attribútum állapotát a helyi Active Directory. Ha az attribútum nincs konfigurálva a címtár egyik objektumán sem, a Microsoft Entra Csatlakozás arra a következtetésre jut, hogy jelenleg egyetlen más alkalmazás sem használja az attribútumot, és biztonságosan használható forráshorgony attribútumként. A folytatáshoz kattintson a Tovább gombra.
A Konfigurálásra kész képernyőn kattintson a Konfigurálás gombra a konfiguráció módosításához.
A konfiguráció befejezése után a varázsló azt jelzi, hogy az ms-DS-ConsistencyGuid mostantól a Forráshorgony attribútumként van használatban.
Az elemzés során (4. lépés) ha az attribútum a könyvtár egy vagy több objektumán van konfigurálva, a varázsló megállapítja, hogy az attribútumot egy másik alkalmazás használja, és az alábbi ábrán látható módon hibát ad vissza. Ez a hiba akkor is előfordulhat, ha korábban engedélyezte a ConsistencyGuid funkciót az elsődleges Microsoft Entra Csatlakozás kiszolgálón, és ugyanezt próbálja megtenni az átmeneti kiszolgálón.
Ha biztos abban, hogy az attribútumot más meglévő alkalmazások nem használják, a Microsoft Entra Csatlakozás varázslót a megadott /SkipLdapSearch kapcsolóval újraindíthatja. Ehhez futtassa a következő parancsot a parancssorban:
"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch
Az AD FS- vagy külső összevonási konfigurációra gyakorolt hatás
Ha a Microsoft Entra Csatlakozás használatával kezeli a helyszíni AD FS-telepítést, a Microsoft Entra Csatlakozás automatikusan frissíti a jogcímszabályokat, hogy ugyanazt az AD-attribútumot használja, mint a sourceAnchor. Ez biztosítja, hogy az ADFS által létrehozott ImmutableID-jogcím összhangban legyen a Microsoft Entra-azonosítóba exportált sourceAnchor értékekkel.
Ha az AD FS-t a Microsoft Entra Csatlakozás kívül kezeli, vagy külső összevonási kiszolgálókat használ a hitelesítéshez, manuálisan frissítenie kell az ImmutableID jogcím jogcímszabályait, hogy azok összhangban legyenek a Microsoft Entra-azonosítóba exportált sourceAnchor értékekkel az AD FS jogcímszabályainak módosítása című cikkben leírtak szerint. A varázsló a telepítés befejezése után a következő figyelmeztetést adja vissza:
Új könyvtárak hozzáadása a meglévő üzembe helyezéshez
Tegyük fel, hogy a Microsoft Entra Csatlakozás konzisztenciaguid funkcióval lett üzembe helyezve, és most egy másik könyvtárat szeretne hozzáadni az üzembe helyezéshez. A címtár hozzáadásakor a Microsoft Entra Csatlakozás varázsló ellenőrzi az ms-DS-ConsistencyGuid attribútum állapotát a címtárban. Ha az attribútum a címtár egy vagy több objektumán van konfigurálva, a varázsló megállapítja, hogy az attribútumot más alkalmazások használják, és az alábbi ábrán látható hibát ad vissza. Ha biztos abban, hogy a meglévő alkalmazások nem használják az attribútumot, a Microsoft Entra Csatlakozás varázsló újraindításával a fent leírt módon megadott /SkipLdapSearch kapcsolóval, vagy további információért forduljon az ügyfélszolgálathoz.
Microsoft Entra-bejelentkezés
Miközben integrálja a helyszíni címtárat a Microsoft Entra-azonosítóval, fontos tisztában lenni azzal, hogy a szinkronizálási beállítások hogyan befolyásolhatják a felhasználó hitelesítését. A Microsoft Entra ID userPrincipalName (UPN) használatával hitelesíti a felhasználót. Ha azonban szinkronizálja a felhasználókat, gondosan ki kell választania a userPrincipalName értékéhez használandó attribútumot.
A userPrincipalName attribútum kiválasztása
Amikor kiválasztja a Microsoft Entra-azonosítóban használandó UPN értékének megadásához szükséges attribútumot, győződjön meg arról, hogy
- Az attribútumértékek megfelelnek az UPN szintaxisának (RFC 822), username@domain
- Az értékek utótagja megegyezik a Microsoft Entra ID egyik ellenőrzött egyéni tartományával
Az expressz beállításokban az attribútum feltételezett választása a userPrincipalName. Ha a userPrincipalName attribútum nem tartalmazza azt az értéket, amelyet a felhasználók be szeretnének jelentkezni a Microsoft Entra-azonosítóba, akkor az Egyéni telepítés lehetőséget kell választania.
Feljegyzés
Ajánlott eljárásként ajánlott, hogy az UPN-előtag több karaktert tartalmaz.
Egyéni tartományállapot és UPN
Fontos meggyőződni arról, hogy az UPN-utótagnak van igazolt tartománya.
John a contoso.com felhasználója. Azt szeretné, hogy John a helyszíni UPN john@contoso.com használatával jelentkezzen be a Microsoft Entra-azonosítóba, miután szinkronizálta a felhasználókat a Microsoft Entra címtár contoso.onmicrosoft.com. Ehhez egyéni tartományként kell hozzáadnia és ellenőriznie contoso.com a Microsoft Entra-azonosítóban, mielőtt megkezdené a felhasználók szinkronizálását. Ha például a John UPN-utótagja (például contoso.com) nem egyezik meg a Microsoft Entra ID-ban szereplő ellenőrzött tartományokkal, akkor a Microsoft Entra ID az UPN-utótagot contoso.onmicrosoft.com helyettesíti.
Nem módosítható helyszíni tartományok és UPN a Microsoft Entra ID-hoz
Egyes szervezetek nem módosítható tartományokkal rendelkeznek, például contoso.local, vagy egyszerű egycímkés tartományok, például a contoso. Nem használható tartományt nem tud ellenőrizni a Microsoft Entra ID-ban. A Microsoft Entra Csatlakozás csak ellenőrzött tartományba szinkronizálhat a Microsoft Entra-azonosítóban. Amikor létrehoz egy Microsoft Entra-címtárat, az létrehoz egy irányítható tartományt, amely a Microsoft Entra-azonosító alapértelmezett tartományává válik, például contoso.onmicrosoft.com. Ezért egy ilyen forgatókönyvben minden más nem használható tartományt ellenőrizni kell, ha nem szeretné szinkronizálni az alapértelmezett onmicrosoft.com tartományt.
A Microsoft Entra Csatlakozás észleli, ha nem irányítható tartományi környezetben fut, és megfelelő módon figyelmezteti önt az expressz beállításokra. Ha nem routable tartományban működik, akkor valószínű, hogy a felhasználók UPN-jének is vannak nemoutable utótagjai. Ha például a contoso.local alatt fut, a Microsoft Entra Csatlakozás azt javasolja, hogy az expressz beállítások használata helyett egyéni beállításokat használjon. Egyéni beállítások használatával megadhatja azt az attribútumot, amelyet UPN-ként kell használni a Microsoft Entra-azonosítóba való bejelentkezéshez, miután a felhasználók szinkronizálva lettek a Microsoft Entra-azonosítóval.
Következő lépések
További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: