Microsoft Entra Koneksi: Saat Anda memiliki penyewa yang sudah ada
Sebagian besar topik tentang cara menggunakan Microsoft Entra Koneksi mengasumsikan Anda memulai dengan penyewa Microsoft Entra baru dan bahwa tidak ada pengguna atau objek lain di sana. Tetapi jika Anda mulai dengan penyewa Microsoft Entra, mengisinya dengan pengguna dan objek lain, dan sekarang ingin menggunakan Koneksi, maka topik ini untuk Anda.
Dasar-dasar
Objek di ID Microsoft Entra dikelola di cloud atau lokal. Untuk satu objek tunggal, Anda tidak dapat mengelola beberapa atribut lokal dan beberapa atribut lain di ID Microsoft Entra. Setiap objek memiliki bendera yang menunjukkan tempat objek tersebut dikelola.
Anda dapat mengelola beberapa pengguna lokal dan pengguna lain di cloud. Skenario umum untuk konfigurasi ini adalah organisasi dengan campuran karyawan akuntansi dan karyawan penjualan. Pekerja akuntansi memiliki akun AD lokal, tetapi pekerja penjualan tidak, tetapi keduanya memiliki akun di ID Microsoft Entra. Anda akan mengelola beberapa pengguna lokal dan beberapa di ID Microsoft Entra.
Ada beberapa kekhawatiran tambahan yang perlu Anda pertimbangkan ketika Anda mulai mengelola pengguna di ID Microsoft Entra, yang juga ada di tempat, dan kemudian ingin menggunakan Microsoft Entra Koneksi.
Menyinkronkan dengan pengguna yang sudah ada di Microsoft Entra ID
Saat Anda mulai menyinkronkan dengan Microsoft Entra Koneksi, MICROSOFT Entra service API memeriksa setiap objek masuk baru dan mencoba menemukan objek yang ada untuk dicocokkan. Ada tiga atribut yang digunakan untuk proses ini: userPrincipalName, proxyAddresses, dan sourceAnchor/immutableID. Kecocokan pada userPrincipalName atau proxyAddresses dikenal sebagai "soft-match." Kecocokan pada sourceAnchor dikenal sebagai "hard=match." Untuk atribut proxyAddresses hanya nilai dengan SMTP:, yaitu alamat email utama, digunakan untuk evaluasi.
Kecocokan hanya dievaluasi untuk objek baru yang berasal dari Connect. Jika Anda mengubah objek yang ada sehingga cocok dengan salah satu atribut ini, maka Anda akan melihat kesalahan sebagai gantinya.
Jika MICROSOFT Entra ID menemukan objek di mana nilai atribut sama dengan objek masuk baru dari Microsoft Entra Koneksi, maka mengambil alih objek di ID Microsoft Entra dan objek yang dikelola cloud sebelumnya dikonversi ke dikelola lokal. Semua atribut di MICROSOFT Entra ID dengan nilai di AD lokal ditimpa dengan nilai lokal masing-masing.
Peringatan
Karena semua atribut di MICROSOFT Entra ID akan ditimpa oleh nilai lokal, pastikan Anda memiliki data yang baik di tempat. Misalnya, jika Anda hanya memiliki alamat email terkelola di Microsoft 365 dan tidak memperbaruinya di AD DS lokal, maka Anda kehilangan nilai apa pun di Microsoft Entra ID/ Microsoft 365 yang tidak ada di AD DS.
Penting
Jika Anda menggunakan sinkronisasi kata sandi, yang selalu digunakan oleh pengaturan ekspres, maka kata sandi di ID Microsoft Entra ditimpa dengan kata sandi di AD lokal. Jika pengguna Anda terbiasa mengelola kata sandi yang berbeda, maka Anda perlu memberi tahu mereka bahwa mereka harus menggunakan kata sandi lokal ketika Anda telah menginstal Koneksi.
Bagian dan peringatan sebelumnya harus dipertimbangkan dalam perencanaan Anda. Jika Anda membuat banyak perubahan di ID Microsoft Entra yang tidak tercermin dalam AD DS lokal, maka untuk mencegah kehilangan data, Anda perlu merencanakan cara mengisi AD DS dengan nilai yang diperbarui dari ID Microsoft Entra, sebelum Anda menyinkronkan objek Anda dengan Microsoft Entra Koneksi.
Jika Anda mencocokkan objek Anda dengan soft-match, maka sourceAnchor ditambahkan ke objek di MICROSOFT Entra ID sehingga hard match dapat digunakan nanti.
Penting
Microsoft sangat menyarankan untuk tidak menyinkronkan akun lokal dengan akun administratif yang sudah ada sebelumnya di ID Microsoft Entra.
Hard-match vs Soft-match
Secara default, nilai SourceAnchor dari "abcdefghijklmnopqrstuv==" dihitung oleh Microsoft Entra Koneksi dengan menggunakan atribut MsDs-ConsistencyGUID (atau ObjectGUID tergantung pada konfigurasi) dari Active Directory lokal. Nilai atribut ini adalah ImmutableId yang sesuai di MICROSOFT Entra ID. Saat Microsoft Entra Koneksi (mesin sinkronisasi) menambahkan atau memperbarui objek, ID Microsoft Entra cocok dengan objek masuk dengan menggunakan nilai sourceAnchor yang sesuai dengan atribut ImmutableId dari objek yang ada di ID Microsoft Entra. Jika ada kecocokan, Microsoft Entra Koneksi mengambil alih objek tersebut dan memperbaruinya dengan properti objek Active Directory lokal masuk dalam apa yang dikenal sebagai "hard-match." Ketika MICROSOFT Entra ID tidak dapat menemukan objek apa pun dengan ImmutableId yang cocok dengan nilai SouceAnchor, microsoft Entra ID mencoba menggunakan userPrincipalName objek masuk atau ProxyAddress utama untuk menemukan kecocokan dalam apa yang dikenal sebagai *"soft-match." Kecocokan lunak mencoba mencocokkan objek yang sudah ada dan dikelola di ID Microsoft Entra dengan objek masuk baru ditambahkan atau diperbarui yang mewakili entitas yang sama lokal. Jika ID Microsoft Entra tidak dapat menemukan hard-match atau soft-match untuk objek masuk, id tersebut menyediakan objek baru di direktori ID Microsoft Entra. Kami menambahkan opsi konfigurasi untuk menonaktifkan fitur pencocokan keras di ID Microsoft Entra. Kami menyarankan pelanggan untuk menonaktifkan pencocokan keras kecuali mereka membutuhkannya untuk mengambil alih akun cloud saja.
Untuk menonaktifkan pencocokan keras, gunakan cmdlet Microsoft Graph PowerShell Update-MgDirectoryOnPremiseSynchronization :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Demikian pula, kami menambahkan opsi konfigurasi untuk menonaktifkan opsi pencocokan sementara di ID Microsoft Entra. Kami menyarankan pelanggan untuk menonaktifkan pencocokan lunak kecuali mereka membutuhkannya untuk mengambil alih akun hanya cloud.
Untuk menonaktifkan pencocokan sementara, gunakan cmdlet Microsoft Graph PowerShell Update-MgDirectoryOnPremiseSynchronization :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Catatan
BlockCloudObjectTakeoverThroughHardMatchEnabled dan BlockSoftMatchEnabled digunakan untuk memblokir pencocokan untuk semua objek jika diaktifkan untuk penyewa. Pelanggan dianjurkan untuk menonaktifkan fitur-fitur ini hanya selama periode ketika prosedur pencocokan diperlukan untuk penyewaan mereka. Bendera ini harus diatur ke True lagi setelah pencocokan selesai dan tidak lagi diperlukan.
Objek selain pengguna
Untuk grup dan kontak yang diaktifkan email, Anda dapat mencocokkan sementara berdasarkan proxyAddresses. Hard match tidak berlaku karena Anda hanya dapat memperbarui sourceAnchor/immutableID (hanya menggunakan PowerShell) pada Pengguna. Untuk grup yang tidak diaktifkan email, saat ini tidak ada dukungan untuk kecocokan lunak atau kecocokan keras.
Pertimbangan peran admin
Untuk melindungi dari pengguna lokal yang tidak tepercaya, ID Microsoft Entra tidak akan cocok dengan pengguna lokal dengan pengguna cloud yang memiliki peran admin. Perilaku ini secara default. Untuk mengatasi hal ini, Anda dapat melakukan langkah-langkah berikut:
- Menghapus peran direktori dari objek pengguna khusus cloud.
- Hapus objek yang dikarantina secara permanen di cloud.
- Memicu sinkronisasi.
- Secara opsional, tambahkan peran direktori kembali ke objek pengguna di cloud setelah pencocokan selesai.
Membuat Active Directory lokal baru dari data di MICROSOFT Entra ID
Beberapa pelanggan mulai dengan solusi khusus cloud dengan ID Microsoft Entra dan mereka tidak memiliki AD lokal. Nantinya mereka ingin menggunakan sumber daya lokal dan ingin membangun AD lokal berdasarkan data Microsoft Entra. Microsoft Entra Koneksi tidak dapat membantu Anda untuk skenario ini. Ini tidak membuat pengguna lokal dan tidak memiliki kemampuan untuk mengatur kata sandi lokal ke sama seperti di ID Microsoft Entra.
Jika satu-satunya alasan mengapa Anda berencana untuk menambahkan AD lokal adalah untuk mendukung LOB (aplikasi Lini Bisnis), maka mungkin Anda harus mempertimbangkan untuk menggunakan Microsoft Entra Domain Services sebagai gantinya.
Langkah berikutnya
Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk