Sinkronisasi Microsoft Entra Connect: Memahami Pengguna, Grup, dan Kontak
Ada beberapa alasan berbeda tentang memiliki beberapa forest Active Directory dan ada beberapa topologi penyebaran yang berbeda. Model umum mencakup penyebaran sumber daya akun dan forest yang disinkronkan dengan GAL setelah merger & akuisisi. Tetapi, sekalipun ada model murni, model hibrid juga umum. Konfigurasi default di Microsoft Entra Koneksi Sync tidak mengasumsikan model tertentu tetapi tergantung pada bagaimana pencocokan pengguna dipilih dalam panduan penginstalan, perilaku yang berbeda dapat diamati.
Dalam topik ini, kita membahas bagaimana konfigurasi default berulah dalam topologi tertentu. Kita melalui konfigurasi dan Editor Aturan Sinkronisasi dapat digunakan untuk melihat konfigurasi.
Ada beberapa aturan umum yang dijalankan konfigurasi:
- Terlepas dari urutan yang kita impor dari direktori aktif sumber, hasil akhirnya harus selalu sama.
- Akun aktif akan selalu memberikan informasi masuk, termasuk userPrincipalName dan sourceAnchor.
- Akun yang dinonaktifkan berkontribusi userPrincipalName dan sourceAnchor, kecuali jika itu adalah kotak surat tertaut, jika tidak ada akun aktif yang ditemukan.
- Akun dengan kotak surat tertaut tidak akan pernah digunakan untuk userPrincipalName dan sourceAnchor. Diasumsikan bahwa akun aktif akan ditemukan nanti.
- Objek kontak mungkin diprovisikan ke ID Microsoft Entra sebagai kontak atau sebagai pengguna. Anda tidak benar-benar tahu sampai semua forest Active Directory sumber telah diproses.
Grup
Catatan
Perlu diingat bahwa saat Anda menambahkan pengguna dari forest lain ke grup, ada jangkar yang dibuat di Direktori Aktif tempat grup ada di dalam unit organisasi tertentu. Jangkar ini adalah prinsip keamanan Asing dan disimpan di dalam unit organisasi 'ForeignSecurityPrincipals'. Jika Anda tidak menyinkronkan unit organisasi ini, pengguna yang dihapus dari keanggotaan grup.
Poin penting yang perlu diperhatikan saat menyinkronkan grup dari Direktori Aktif ke ID Microsoft Entra:
Microsoft Entra Connect mengecualikan grup keamanan dari sinkronisasi direktori.
Microsoft Entra Koneksi tidak mendukung sinkronisasi keanggotaan Grup Utama ke ID Microsoft Entra.
Microsoft Entra Koneksi tidak mendukung sinkronisasi keanggotaan Grup Distribusi Dinamis ke ID Microsoft Entra.
Untuk menyinkronkan grup Direktori Aktif ke ID Microsoft Entra sebagai grup yang mendukung email:
Jika atribut proxyAddress grup kosong, atribut mail harus memiliki nilai
Jika atribut proxyAddress grup tidak kosong, ini harus berisi setidaknya satu nilai alamat proksi SMTP. Berikut adalah beberapa contoh:
Grup Direktori Aktif yang atribut proxyAddress-nya memiliki nilai {"X500:/0=contoso.com/ou=users/cn=testgroup"} tidak akan diaktifkan melalui email di ID Microsoft Entra. Ini tidak memiliki alamat SMTP.
Grup Direktori Aktif yang atribut proxyAddress-nya memiliki nilai {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} akan diaktifkan melalui email di MICROSOFT Entra ID.
Grup Direktori Aktif yang atribut proxyAddress-nya memiliki nilai {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} juga akan diaktifkan melalui email di ID Microsoft Entra.
Kontak
Memiliki kontak yang merepresentasikan pengguna di forest berbeda adalah hal yang umum setelah merger & akuisisi di mana solusi GALSync menjembatani dua forest Exchange atau lebih. Objek kontak selalu bergabung dari ruang konektor ke metaverse menggunakan atribut mail. Jika sudah ada objek kontak atau objek pengguna dengan alamat email yang sama, objek tersebut akan digabungkan. Ini dikonfigurasi dalam aturan Masuk dari AD – Contact Join. Ada juga aturan bernama Masuk dari AD – Kontak Umum dengan aliran atribut ke atribut metaverse sourceObjectType dengan Contact konstan. Aturan ini memiliki prioritas rendah sehingga jika ada objek pengguna yang digabungkan ke objek metaverse yang sama, maka aturan Masuk dari AD – User Common akan berkontribusi nilai Pengguna ke atribut ini. Dengan aturan ini, atribut ini memiliki nilai Kontak jika tidak ada pengguna yang bergabung dan nilai Pengguna jika setidaknya satu pengguna telah ditemukan.
Untuk menyediakan objek ke ID Microsoft Entra, aturan keluar Keluar ke ID Microsoft Entra – Gabungan Kontak akan membuat objek kontak jika atribut metaverse sourceObjectType diatur ke Kontak. Jika atribut ini diatur ke Pengguna, maka aturan Keluar ke ID Microsoft Entra – Gabungan Pengguna akan membuat objek pengguna sebagai gantinya. Ada kemungkinan bahwa suatu objek dipromosikan dari Contact ke User ketika lebih banyak direktori aktif sumber diimpor dan disinkronkan.
Misalnya, dalam topologi GALSync, kami menemukan objek kontak untuk semua orang di forest kedua ketika kami mengimpor forest pertama. Ini mentahapkan objek kontak baru di Microsoft Entra Koneksi or. Ketika nanti kami mengimpor dan menyinkronkan forest kedua, kami menemukan pengguna nyata dan menggabungkannya ke objek metaverse yang ada. Kami kemudian akan menghapus objek kontak di ID Microsoft Entra dan membuat objek pengguna baru sebagai gantinya.
Jika Anda memiliki topologi di mana pengguna direpresentasikan sebagai kontak, pastikan Anda memilih untuk mencocokkan pengguna pada atribut email dalam panduan penginstalan. Jika Anda memilih opsi lain, maka Anda memiliki konfigurasi yang bergantung pada pesanan. Objek kontak akan selalu bergabung pada atribut mail, tetapi objek pengguna hanya akan bergabung pada atribut mail jika opsi ini dipilih dalam panduan penginstalan. Anda kemudian dapat mengakhirinya dengan dua objek berbeda dalam metaverse dengan atribut mail yang sama jika objek kontak diimpor sebelum objek pengguna. Selama ekspor ke ID Microsoft Entra, kesalahan ditampilkan. Perilaku ini telah direncanakan dan akan menunjukkan data yang buruk atau bahwa topologi tidak diidentifikasi dengan benar selama penginstalan.
Akun yang dinonaktifkan
Akun yang dinonaktifkan juga disinkronkan ke ID Microsoft Entra. Akun yang dinonaktifkan biasanya merepresentasikan sumber daya di Exchange, misalnya ruang konferensi. Pengecualiannya adalah pengguna dengan kotak surat tertaut; seperti yang disebutkan sebelumnya, ini tidak akan pernah memprovisikan akun ke ID Microsoft Entra.
Asumsinya adalah bahwa jika akun pengguna yang dinonaktifkan ditemukan, maka kami tidak akan menemukan akun aktif lain nanti dan objek diprovisikan ke ID Microsoft Entra dengan userPrincipalName dan sourceAnchor ditemukan. Jika akun aktif lain bergabung ke objek metaverse yang sama, maka userPrincipalName dan sourceAnchor-nya akan digunakan.
Mengubah sourceAnchor
Ketika objek telah diekspor ke ID Microsoft Entra, maka objek tidak diizinkan untuk mengubah sourceAnchor lagi. Ketika objek telah diekspor, atribut metaverse cloudSourceAnchor diatur dengan nilai sourceAnchor yang diterima oleh ID Microsoft Entra. Jika sourceAnchor diubah dan tidak cocok dengan cloudSourceAnchor, aturan Keluar ke ID Microsoft Entra – Gabungan Pengguna akan melemparkan atribut sourceAnchor kesalahan telah berubah. Dalam hal ini, konfigurasi atau data harus diperbaiki sehingga sourceAnchor yang sama kembali ada dalam metaverse sebelum objek dapat disinkronkan lagi.