Microsoft Entra Connect: concetti di progettazione

  • Articolo

Lo scopo di questo documento è descrivere le aree da considerare durante la configurazione di Microsoft Entra Connessione. Si tratta di un'analisi approfondita di determinate aree e questi concetti vengono illustrati brevemente anche in altri documenti.

sourceAnchor

L'attributo sourceAnchor viene definito come un attributo immutabile durante il ciclo di vita di un oggetto. Identifica in modo univoco un oggetto come lo stesso oggetto in locale e in Microsoft Entra ID. L'attributo è detto anche immutableId e i due nomi vengono usati in modo intercambiabile.

La parola non modificabile, ovvero "non può essere modificata", è importante per questo documento. Poiché il valore di questo attributo non può essere modificato dopo che è stato impostato, è importante selezionare una progettazione che supporti lo scenario.

L'attributo viene usato per gli scenari seguenti:

  • Quando viene compilato o ricompilato un nuovo server del motore di sincronizzazione dopo uno scenario di ripristino di emergenza, questo attributo collega gli oggetti esistenti in Microsoft Entra ID con oggetti locali.
  • Se si passa da un'identità solo cloud a un modello di identità sincronizzato, tale attributo consente agli oggetti di "trovare la perfetta corrispondenza" tra gli oggetti esistenti in Microsoft Entra ID e oggetti locali.
  • Se si usa la federazione, questo attributo viene usato insieme a userPrincipalName nell'attestazione per identificare in modo univoco un utente.

Questo argomento esamina sourceAnchor solo relativamente agli utenti. Le stesse regole si applicano a tutti i tipi di oggetto, ma solo per gli utenti questo problema è in genere un problema.

Selezione di un attributo sourceAnchor valido

Il valore dell'attributo deve rispettare le regole seguenti:

  • Lunghezza inferiore a 60 caratteri
    • I caratteri diversi da a-z, A-Z o 0-9 vengono codificati e conteggiati come 3 caratteri
  • Non deve contenere un carattere speciale: \ ! # $ % & * + / = ? ^ ' { } | ~ <> ( ) ' ; : , [ ] " @ _
  • Deve essere univoco a livello globale
  • Deve essere una stringa, un valore intero o un numero binario
  • Non deve essere basato sul nome dell'utente perché possono cambiare
  • Non deve fare distinzione tra maiuscole e minuscole né contenere valori che possono variare in base alle maiuscole/minuscole
  • Deve essere assegnato quando viene creato l'oggetto

Se sourceAnchor selezionato non è di tipo stringa, Microsoft Entra Connessione Base64Encode il valore dell'attributo per assicurarsi che non vengano visualizzati caratteri speciali. Se si usa un altro server federativo, assicurarsi che il server sia in grado di applicare Base64Encode all'attributo.

L'attributo sourceAnchor rispetta la distinzione tra maiuscole e minuscole. Il valore "JohnDoe" non è uguale a "johndoe". Ma non dovresti avere due oggetti diversi con solo una differenza nel caso.

Se è presente una singola foresta locale, l'attributo da usare è objectGUID. Questo è anche l'attributo usato quando si usano le impostazioni rapide in Microsoft Entra Connessione e anche l'attributo usato da DirSync.

Se sono presenti più foreste e non si spostano utenti tra foreste e domini, objectGUID è un buon attributo da usare anche in questo caso.

Se si spostano utenti tra foreste e domini, è necessario trovare un attributo che non cambia o può essere spostato con gli utenti durante lo spostamento. Un approccio consigliato consiste nell'introdurre un attributo sintetico. È possibile usare un attributo che include un elemento analogo a un GUID. Un nuovo GUID viene creato e assegnato all'utente durante la creazione di un oggetto. È possibile creare una regola di sincronizzazione personalizzata nel server del motore di sincronizzazione per creare questo valore in base all'oggettoGUID e aggiornare l'attributo selezionato in Servizi di dominio Active Directory. Quando si sposta l'oggetto, assicurarsi di copiare anche il contenuto di questo valore.

Un'altra soluzione consiste nello scegliere un attributo esistente che si sa che non cambierà. Uno degli attributi più comunemente usati è employeeID. Se si prende in considerazione un attributo che contiene lettere, assicurarsi che non ci sia alcuna possibilità che le lettere maiuscole e/o minuscole usate per il valore dell'attributo possano cambiare. Gli attributi non validi che non devono essere usati includono quelli con il nome dell'utente. In un matrimonio o divorzio, il nome dovrebbe cambiare, che non è consentito per questo attributo. Questo è anche un motivo per cui gli attributi come userPrincipalName, mail e targetAddress non sono nemmeno possibile selezionare nella procedura guidata di installazione di Microsoft Entra Connessione. Questi attributi contengono anche il carattere "@", che non è consentito in sourceAnchor.

Modifica dell'attributo sourceAnchor

Il valore dell'attributo sourceAnchor non può essere modificato dopo che l'oggetto è stato creato in Microsoft Entra ID e l'identità viene sincronizzata.

Per questo motivo, le restrizioni seguenti si applicano a Microsoft Entra Connessione:

  • L'attributo sourceAnchor può essere configurato solo durante l'installazione iniziale. Se si esegue di nuovo l'installazione guidata, questa opzione sarà di sola lettura. Per modificare questa impostazione, è necessario eseguire la disinstallazione e la reinstallazione.
  • Se si installa un altro server microsoft Entra Connessione, è necessario selezionare lo stesso attributo sourceAnchor usato in precedenza. Se in precedenza si usa DirSync e si passa a Microsoft Entra Connessione, è necessario usare objectGUID poiché questo è l'attributo usato da DirSync.
  • Se il valore di sourceAnchor viene modificato dopo l'esportazione dell'oggetto nell'ID Microsoft Entra, Microsoft Entra Connessione Sync genera un errore e non consente altre modifiche all'oggetto prima che il problema sia stato risolto e sourceAnchor viene nuovamente modificato nella directory di origine.

Uso di ms-DS-ConsistencyGuid come sourceAnchor

Per impostazione predefinita, Microsoft Entra Connessione (versione 1.1.486.0 e versioni precedenti) usa objectGUID come attributo sourceAnchor. ObjectGUID è generato dal sistema. Non è possibile specificarne il valore durante la creazione di oggetti AD locali. Come illustrato nella sezione sourceAnchor, in alcuni scenari è necessario specificare il valore di sourceAnchor. Se gli scenari sono applicabili all'utente, è necessario usare un attributo AD configurabile, ad esempio ms-DS-ConsistencyGuid, come attributo sourceAnchor.

Microsoft Entra Connessione (versione 1.1.524.0 e successive) facilita ora l'uso dell'attributo ms-DS-ConsistencyGuid come attributo sourceAnchor. Quando si usa questa funzionalità, Microsoft Entra Connessione configura automaticamente le regole di sincronizzazione per:

  1. Usare ms-DS-ConsistencyGuid come attributo sourceAnchor per gli oggetti User. ObjectGUID è usato per altri tipi di oggetto.

  2. Per qualsiasi oggetto utente di ACTIVE Directory locale il cui attributo ms-DS-ConsistencyGuid non è popolato, Microsoft Entra Connessione scrive il valore objectGUID nell'attributo ms-DS-ConsistencyGuid in Active Directory locale. Dopo aver popolato l'attributo ms-DS-ConsistencyGuid, Microsoft Entra Connessione quindi esporta l'oggetto in Microsoft Entra ID.

Nota

Dopo l'importazione di un oggetto AD locale in Microsoft Entra Connessione (ovvero, importato in AD Connessione or Space e proiettato nel Metaverse), non è più possibile modificare il valore sourceAnchor. Per specificare il valore sourceAnchor per un determinato oggetto AD locale, configurare il relativo attributo ms-DS-ConsistencyGuid prima dell'importazione in Microsoft Entra Connessione.

È necessaria l'autorizzazione

Per questa funzionalità, l'account Active Directory Domain Services usato per la sincronizzazione con Active Directory locale deve disporre dell'autorizzazione di scrittura per l'attributo ms-DS-ConsistencyGuid in Active Directory locale.

Come abilitare la funzionalità ConsistencyGuid: nuova installazione

È possibile abilitare l'uso di ConsistencyGuid come sourceAnchor durante una nuova installazione. Questa sezione descrive dettagliatamente sia l'installazione rapida che quella personalizzata.

Nota

Solo le versioni più recenti di Microsoft Entra Connessione (1.1.524.0 e successive) supportano l'uso di ConsistencyGuid come sourceAnchor durante la nuova installazione.

Come abilitare la funzionalità ConsistencyGuid

Installazione rapida

Quando si installa Microsoft Entra Connessione con la modalità Express, la procedura guidata microsoft Entra Connessione determina automaticamente l'attributo AD più appropriato da utilizzare come attributo sourceAnchor usando la logica seguente:

  • Prima di tutto, la procedura guidata di Microsoft Entra Connessione esegue una query sul tenant di Microsoft Entra per recuperare l'attributo AD usato come attributo sourceAnchor nell'installazione precedente di Microsoft Entra Connessione (se presente). Se queste informazioni sono disponibili, Microsoft Entra Connessione usa lo stesso attributo DI AD.

    Nota

    Solo le versioni più recenti di Microsoft Entra Connessione (1.1.524.0 e versioni successive) archiviano informazioni nel tenant di Microsoft Entra sull'attributo sourceAnchor usato durante l'installazione. Le versioni precedenti di Microsoft Entra non Connessione.

  • Se le informazioni sull'attributo sourceAnchor usato non sono disponibili, la procedura guidata controlla lo stato dell'attributo ms-DS-ConsistencyGuid in Active Directory locale. Se l'attributo non è configurato in un qualsiasi oggetto nella directory, la procedura usa l'attributo ms-DS-ConsistencyGuid come attributo sourceAnchor. Se l'attributo è configurato su uno o più oggetti nella directory, la procedura guidata conclude che l'attributo viene usato da altre applicazioni e non è adatto come attributo sourceAnchor...

  • In questo caso, la procedura guidata esegue il fallback usando objectGUID come attributo sourceAnchor.

  • Dopo aver deciso l'attributo sourceAnchor, la procedura guidata archivia le informazioni nel tenant di Microsoft Entra. Le informazioni verranno usate dall'installazione futura di Microsoft Entra Connect.

Dopo aver completato l'installazione rapida, la procedura guidata informa l'utente dell'attributo selezionato come attributo sourceAnchor.

Wizard informs AD attribute picked for sourceAnchor

Installazione personalizzata

Quando si installa Microsoft Entra Connessione con modalità personalizzata, la procedura guidata microsoft Entra Connessione offre due opzioni durante la configurazione dell'attributo sourceAnchor:

Custom installation - sourceAnchor configuration

Impostazione Descrizione
Consenti a Microsoft Entra ID di gestire l'ancoraggio di origine per me Selezionare questa opzione se si vuole che Microsoft Entra ID selezioni l'attributo. Se si seleziona questa opzione, la procedura guidata di Microsoft Entra Connessione applica la stessa logica di selezione dell'attributo sourceAnchor usata durante l'installazione rapida. Alla stregua dell'installazione rapida, la procedura guidata informa l'utente sull'attributo selezionato come attributo sourceAnchor al termine dell'installazione personalizzata.
Attributo specifico Selezionare questa opzione se si vuole specificare un attributo di AD esistente come attributo sourceAnchor.

Come abilitare la funzionalità ConsistencyGuid: distribuzione esistente

Se si dispone di una distribuzione di Microsoft Entra Connessione esistente che usa objectGUID come attributo di ancoraggio di origine, è possibile passare all'uso di ConsistencyGuid.

Nota

Solo le versioni più recenti di Microsoft Entra Connessione (1.1.552.0 e versioni successive) supportano il passaggio da ObjectGuid a ConsistencyGuid come attributo di ancoraggio di origine.

Per passare da objectGUID a ConsistencyGuid come attributo dell'ancoraggio di origine:

  1. Avviare la procedura guidata di Microsoft Entra Connessione e fare clic su Configura per passare alla schermata Attività.

  2. Selezionare l'opzione attività Configura ancoraggio di origine e fare clic su Avanti.

    Enable ConsistencyGuid for existing deployment - step 2

  3. Immettere le credenziali di Microsoft Entra Amministrazione istrator e fare clic su Avanti.

  4. La procedura guidata di Microsoft Entra Connessione analizza lo stato dell'attributo ms-DS-ConsistencyGuid nel Active Directory locale. Se l'attributo non è configurato in alcun oggetto nella directory, Microsoft Entra Connessione conclude che nessun'altra applicazione usa attualmente l'attributo ed è sicuro usarlo come attributo di ancoraggio di origine. Fare clic su Avanti per continuare.

    Enable ConsistencyGuid for existing deployment - step 4

  5. Nella schermata Pronto per la configurazione fare clic su Configurazione per modificare la configurazione.

    Enable ConsistencyGuid for existing deployment - step 5

  6. Una volta completata la configurazione, la procedura guidata indica che ora viene usato ms-DS-ConsistencyGuid come attributo sourceAnchor.

    Enable ConsistencyGuid for existing deployment - step 6

Durante l'analisi, al passaggio 4, se l'attributo è configurato su uno o più oggetti nella directory, la procedura conclude che l'attributo è usato da un'altra applicazione e restituisce un errore, come illustrato nel diagramma di seguito. Questo errore può verificarsi anche se in precedenza è stata abilitata la funzionalità ConsistencyGuid nel server principale di Microsoft Entra Connessione e si sta provando a eseguire la stessa operazione nel server di staging.

Enable ConsistencyGuid for existing deployment - error

Se si è certi che l'attributo non viene usato da altre applicazioni esistenti, è possibile eliminare l'errore riavviando la procedura guidata di Microsoft Entra Connessione con l'opzione /SkipLdapSearch specificata. A tale scopo, al prompt dei comandi eseguire questo comando:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Impatto su AD FS o configurazione della federazione di terze parti

Se si usa Microsoft Entra Connessione per gestire la distribuzione di AD FS locale, Microsoft Entra Connessione aggiorna automaticamente le regole attestazioni per usare lo stesso attributo di AD di sourceAnchor. Ciò garantisce che l'attestazione ImmutableID generata da ADFS sia coerente con i valori sourceAnchor esportati nell'ID Microsoft Entra.

Se si gestisce AD FS all'esterno di Microsoft Entra Connessione o si usano server federativi di terze parti per l'autenticazione, è necessario aggiornare manualmente le regole attestazioni per l'attestazione ImmutableID in modo che siano coerenti con i valori sourceAnchor esportati in Microsoft Entra ID come descritto nell'articolo Modificare le regole attestazioni ad AD FS. Al termine dell'installazione, viene visualizzato l'avviso seguente:

Third-party federation configuration

Aggiunta di nuove directory alla distribuzione esistente

Si supponga di aver distribuito Microsoft Entra Connessione con la funzionalità ConsistencyGuid abilitata e ora si vuole aggiungere un'altra directory alla distribuzione. Quando si tenta di aggiungere la directory, microsoft Entra Connessione procedura guidata controlla lo stato dell'attributo ms-DS-ConsistencyGuid nella directory. Se l'attributo è configurato su uno o più oggetti nella directory, la procedura conclude che l'attributo è usato da altre applicazioni e restituisce un errore, come mostrato di seguito. Se si è certi che l'attributo non viene usato dalle applicazioni esistenti, è possibile eliminare l'errore riavviando la procedura guidata di Microsoft Entra Connessione con l'opzione /SkipLdapSearch specificata come descritto in precedenza oppure è necessario contattare il supporto tecnico per ulteriori informazioni.

Adding new directories to existing deployment

Accesso a Microsoft Entra

Durante l'integrazione della directory locale con Microsoft Entra ID, è importante comprendere in che modo le impostazioni di sincronizzazione possono influire sul modo in cui l'utente esegue l'autenticazione. Microsoft Entra ID usa userPrincipalName (UPN) per autenticare l'utente. Quando si sincronizzano gli utenti è tuttavia necessario scegliere con attenzione l'attributo da usare per userPrincipalName.

Scegliere l'attributo per userPrincipalName

Quando si seleziona l'attributo per fornire il valore di UPN da usare in Microsoft Entra ID, assicurarsi che

  • I valori degli attributi sono conformi alla sintassi UPN (RFC 822), che deve essere nel formato di username@domain
  • Il suffisso nei valori corrisponde a uno dei domini personalizzati verificati in Microsoft Entra ID

Nelle impostazioni rapide come attributo deve essere scelto userPrincipalName. Se l'attributo userPrincipalName non contiene il valore che si vuole che gli utenti accedono a Microsoft Entra ID, è necessario scegliere Installazione personalizzata.

Nota

È consigliabile usare la procedura consigliata per il prefisso UPN contenente più caratteri.

Stato del dominio personalizzato e UPN

È importante assicurarsi che sia presente un dominio verificato per il suffisso UPN.

John è un utente di contoso.com. Si vuole che John usi l'UPN john@contoso.com locale per accedere all'ID Microsoft Entra dopo aver sincronizzato gli utenti con la directory di Microsoft Entra contoso.onmicrosoft.com. A tale scopo, è necessario aggiungere e verificare contoso.com come dominio personalizzato in Microsoft Entra ID prima di iniziare a sincronizzare gli utenti. Se il suffisso UPN di John, ad esempio contoso.com, non corrisponde a un dominio verificato in Microsoft Entra ID, Microsoft Entra ID sostituisce il suffisso UPN con contoso.onmicrosoft.com.

Domini locali non instradabili e UPN per Microsoft Entra ID

Alcune organizzazioni usano domini non instradabili, ad esempio contoso.local, o domini semplici con etichetta singola come contoso. Non è possibile verificare un dominio non instradabile in Microsoft Entra ID. Microsoft Entra Connect può eseguire la sincronizzazione solo con un dominio verificato in Microsoft Entra ID. Quando si crea una directory Microsoft Entra, viene creato un dominio instradabile che diventa dominio predefinito per Microsoft Entra ID, ad esempio contoso.onmicrosoft.com. Si rende quindi necessario verificare eventuali altri domini instradabili nello stesso scenario, nel caso in cui non si voglia eseguire la sincronizzazione con il dominio .onmicrosoft.com predefinito.

Per altre informazioni sull'aggiunta e la verifica dei domini, vedere Aggiungere il nome di dominio personalizzato all'ID Microsoft Entra.

Microsoft EntraConnect rileva se l'esecuzione avviene in un ambiente di dominio non instradabile e avvisa che è opportuno non proseguire con le impostazioni rapide. Se si usa un dominio non instradabile, è probabile che anche l'UPN, degli utenti, abbia suffissi non instradabili. Ad esempio, se si esegue in contoso.local, Microsoft Entra Connessione suggerisce di usare impostazioni personalizzate anziché usare le impostazioni rapide. Usando le impostazioni personalizzate, è possibile specificare l'attributo che deve essere usato come UPN per accedere a Microsoft Entra ID dopo che gli utenti sono sincronizzati con Microsoft Entra ID.

Passaggi successivi

Altre informazioni sull'integrazione delle identità locali con Microsoft Entra ID.