Microsoft Entra Connect Sync: informazioni su utenti, gruppi e contatti
I motivi per cui possono essere presenti più foreste Active Directory e sono disponibili più topologie di distribuzione sono diversi. I modelli comuni prevedono una distribuzione account-risorse e foreste sincronizzate tramite Elenco indirizzi globale dopo operazioni di fusione e acquisizione. Anche se esistono modelli puri, sono molto diffusi anche i modelli ibridi. La configurazione predefinita in Microsoft Entra Connessione Sync non presuppone alcun modello specifico, ma a seconda del modo in cui è stata selezionata la corrispondenza utente nella guida all'installazione, è possibile osservare comportamenti diversi.
In questo argomento viene illustrato il comportamento della configurazione predefinita in determinate topologie. È possibile esaminare la configurazione e l'editor regole di sincronizzazione può essere usato per esaminare la configurazione.
La configurazione presuppone le regole generali seguenti:
- Indipendentemente dall'ordine di importazione dalle directory di Active Directory di origine, il risultato finale sarà sempre lo stesso.
- Un account attivo fornirà sempre le informazioni di accesso, inclusi gli attributi userPrincipalName e sourceAnchor.
- Un account disabilitato contribuisce a userPrincipalName e sourceAnchor, a meno che non si tratti di una cassetta postale collegata, se non è presente alcun account attivo da trovare.
- Un account con una cassetta postale collegata non verrà usato per gli attributi userPrincipalName e sourceAnchor. Si presuppone che un account attivo venga trovato in un secondo momento.
- È possibile effettuare il provisioning di un oggetto contatto in Microsoft Entra ID come contatto o come utente. Questa informazione non è nota finché tutte le foreste Active Directory di origine non sono state elaborate.
Gruppi
Nota
Tenere presente che quando si aggiunge un utente da un'altra foresta al gruppo, è presente un ancoraggio creato in Active Directory in cui i gruppi esistono all'interno di un'unità organizzativa specifica. Questo ancoraggio è un'entità di sicurezza esterna e viene archiviata all'interno dell'unità organizzativa "ForeignSecurityPrincipals". Se non si sincronizza questa unità organizzativa, gli utenti in cui sono stati rimossi dall'appartenenza al gruppo.
Aspetti importanti da tenere presenti quando si sincronizzano i gruppi da Active Directory all'ID Microsoft Entra:
Microsoft Entra Connect esclude i gruppi di sicurezza predefiniti dalla sincronizzazione delle directory.
Microsoft Entra Connessione non supporta la sincronizzazione delle appartenenze ai gruppi primari con Microsoft Entra ID.
Microsoft Entra Connessione non supporta la sincronizzazione delle appartenenze ai gruppi di distribuzione dinamici con Microsoft Entra ID.
Per sincronizzare un gruppo di Active Directory con Microsoft Entra ID come gruppo abilitato alla posta elettronica:
Se l'attributo proxyAddress del gruppo è vuoto, il relativo attributo mail deve avere un valore
Se l'attributo proxyAddress del gruppo non è vuoto, deve contenere almeno un valore dell'indirizzo proxy SMTP. Di seguito sono riportati alcuni esempi.
Un gruppo di Active Directory il cui attributo proxyAddress ha valore {"X500:/0=contoso.com/ou=users/cn=testgroup"} non sarà abilitato per la posta elettronica in Microsoft Entra ID. Non ha un indirizzo SMTP.
Un gruppo di Active Directory il cui attributo proxyAddress ha valori {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} sarà abilitato alla posta elettronica in Microsoft Entra ID.
Un gruppo di Active Directory il cui attributo proxyAddress ha valori {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} sarà abilitato anche nella posta elettronica in Microsoft Entra ID.
Contatti
I contatti che rappresentano un utente in una foresta diversa costituiscono una situazione comune dopo un'operazione di acquisizione o fusione in cui la soluzione GALSync collega due o più foreste di Exchange. L'oggetto contatto viene sempre aggiunto dallo spazio connettore allo spazio metaverse usando l'attributo mail. Se è già presente un oggetto contatto o un oggetto utente con lo stesso indirizzo di posta elettronica, gli oggetti vengono uniti. Questo comportamento è configurato nella regola In ingresso da Active Directory - Aggiunta contatto. Esiste anche una regola denominata In ingresso da Active Directory - Contatto comune con un flusso dell'attributo all'attributo metaverse sourceObjectType con la costante Contact. Questa regola ha una precedenza bassa, quindi se un oggetto utente viene unito allo stesso oggetto metaverse, la regola In from AD – User Common contribuirà al valore User a questo attributo. Con questa regola, questo attributo ha il valore Contact se nessun utente è stato aggiunto e il valore User se è stato trovato almeno un utente.
Per il provisioning di un oggetto in Microsoft Entra ID, la regola in uscita Out to Microsoft Entra ID – Contact Join creerà un oggetto contatto se l'attributo metaverse sourceObjectType è impostato su Contact. Se questo attributo è impostato su User, la regola Out to Microsoft Entra ID – User Join creerà invece un oggetto utente. È possibile che un oggetto venga innalzato di livello da Contact a User quando vengono importate e sincronizzate più directory di Active Directory di origine.
Ad esempio, in una topologia GALSync vengono individuati oggetti contatto per tutti gli utenti della seconda foresta quando si importa la prima foresta. In questo modo vengono inseriti nuovi oggetti contatto in Microsoft Entra Connessione or. Quando in seguito si importa e si sincronizza la seconda foresta, gli utenti reali vengono trovati e aggiunti agli oggetti metaverse esistenti. Elimineremo quindi l'oggetto contatto in Microsoft Entra ID e creeremo invece un nuovo oggetto utente.
In una topologia in cui gli utenti sono rappresentati come contatti, nella guida all'installazione assicurarsi di selezionare la corrispondenza degli utenti in base all'attributo Mail. Se si seleziona un'altra opzione, è disponibile una configurazione dipendente dall'ordine. L'aggiunta degli oggetti contatto verrà sempre eseguita in base all'attributo Mail, ma gli oggetti utente verranno aggiunti in base all'attributo Mail solo se questa opzione è stata selezionata nella guida all'installazione. Se l'oggetto contatto viene importato prima dell'oggetto utente, nell'oggetto metaverse potrebbero essere presenti due oggetti diversi con lo stesso attributo Mail. Durante l'esportazione in Microsoft Entra ID viene visualizzato un errore. Si tratta di un comportamento da progettazione che indica che sono presenti dati non validi o che durante l'installazione la topologia non è stata identificata correttamente.
Account disabilitati
Gli account disabilitati vengono sincronizzati anche con Microsoft Entra ID. Gli account disabilitati in genere rappresentano le risorse in Exchange, ad esempio le sale riunioni. L'eccezione è che gli utenti con una cassetta postale collegata; come accennato in precedenza, questi non eseguiranno mai il provisioning di un account in Microsoft Entra ID.
Il presupposto è che se viene trovato un account utente disabilitato, non verrà trovato un altro account attivo in un secondo momento e l'oggetto viene effettuato il provisioning in Microsoft Entra ID con userPrincipalName e sourceAnchor trovato. Nel caso in cui un altro account attivo venga aggiunto allo stesso oggetto metaverse, verrà usato il relativo userPrincipalName e sourceAnchor.
Modifica dell'attributo sourceAnchor
Quando un oggetto è stato esportato nell'ID Microsoft Entra, non è più consentito modificare sourceAnchor. Quando l'oggetto è stato esportato, l'attributo metaverse cloudSourceAnchor viene impostato con il valore sourceAnchor accettato dall'ID Microsoft Entra. Se sourceAnchor viene modificato e non corrisponde a cloudSourceAnchor, la regola Out to Microsoft Entra ID – User Join genererà l'attributo sourceAnchor di errore modificato. In questo caso, è necessario correggere la configurazione o i dati in modo che lo stesso attributo sourceAnchor sia di nuovo presente nell'oggetto metaverse prima che l'oggetto venga sincronizzato di nuovo.