Microsoft Entra Connect Sync: informazioni su utenti, gruppi e contatti
I motivi per cui possono essere presenti più foreste Active Directory e sono disponibili più topologie di distribuzione sono diversi. I modelli comuni prevedono una distribuzione account-risorse e foreste sincronizzate tramite Elenco indirizzi globale dopo operazioni di fusione e acquisizione. Anche se esistono modelli puri, sono molto diffusi anche i modelli ibridi. La configurazione predefinita in Microsoft Entra Connect Sync non presuppone alcun modello specifico, ma è possibile osservare diversi comportamenti in base all'opzione di corrispondenza utenti selezionata nella guida all'installazione.
Questo argomento illustra il comportamento della configurazione predefinita in determinate topologie. Verrà esaminata anche la configurazione tramite l'editor delle regole di sincronizzazione.
La configurazione presuppone le regole generali seguenti:
- Indipendentemente dall'ordine di importazione dalle directory di Active Directory di origine, il risultato finale sarà sempre lo stesso.
- Un account attivo fornirà sempre le informazioni di accesso, inclusi gli attributi userPrincipalName e sourceAnchor.
- Un account disabilitato fornirà gli attributi userPrincipalName e sourceAnchor, a meno che non si tratti di una cassetta postale collegata, se non è presente alcun account attivo da trovare.
- Un account con una cassetta postale collegata non verrà usato per gli attributi userPrincipalName e sourceAnchor. Si presuppone che un account attivo venga trovato in seguito.
- È possibile effettuare il provisioning di un oggetto contatto in Microsoft Entra ID come contatto o come utente. Questa informazione non è nota finché tutte le foreste Active Directory di origine non sono state elaborate.
Gruppi
Nota
Tenere presente che quando si aggiunge al gruppo un utente di un'altra foresta, è presente un ancoraggio creato in Active Directory in cui i gruppi esistono all'interno di un'unità organizzativa specifica. Questo ancoraggio è un'entità di sicurezza esterna e viene archiviata all'interno dell'unità organizzativa "ForeignSecurityPrincipals". Se non si sincronizza questa unità organizzativa, gli utenti vengono rimossi dall'appartenenza al gruppo.
Aspetti importanti da tenere presenti durante la sincronizzazione dei gruppi di Active Directory con Microsoft Entra ID:
Microsoft Entra Connect esclude i gruppi di sicurezza predefiniti dalla sincronizzazione delle directory.
Microsoft Entra Connect non supporta la sincronizzazione delle appartenenze ai gruppi primari con Microsoft Entra ID.
Microsoft Entra Connect non supporta la sincronizzazione delle appartenenze ai gruppi di distribuzione dinamici con Microsoft Entra ID.
Per sincronizzare un gruppo di Active Directory con Microsoft Entra ID come gruppo abilitato alla posta elettronica:
Se l'attributo proxyAddress del gruppo è vuoto, il relativo attributo mail deve avere un valore
Se l'attributo proxyAddress del gruppo non è vuoto, deve contenere almeno un valore dell'indirizzo proxy SMTP. Di seguito sono riportati alcuni esempi.
Un gruppo di Active Directory il cui attributo proxyAddress ha il valore {"X500:/0=contoso.com/ou=users/cn=testgroup"} non sarà abilitato per la posta elettronica in Microsoft Entra ID. Non dispone di un indirizzo SMTP.
Un gruppo di Active Directory il cui attributo proxyAddress ha valori {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} sarà abilitato per la posta elettronica in Microsoft Entra ID.
Un gruppo di Active Directory il cui attributo proxyAddress ha valori {"X500:/0=contoso.com/ou=users/cn=testgroup","smtp:johndoe@contoso.com"} sarà abilitato anche per la posta elettronica in Microsoft Entra ID.
Contatti
I contatti che rappresentano un utente in una foresta diversa costituiscono una situazione comune dopo un'operazione di acquisizione o fusione in cui la soluzione GALSync collega due o più foreste di Exchange. L'oggetto contatto viene sempre aggiunto dallo spazio connettore allo spazio metaverse usando l'attributo mail. Se è già presente un oggetto contatto o un oggetto utente con lo stesso indirizzo di posta elettronica, gli oggetti vengono uniti. Questo comportamento è configurato nella regola In ingresso da Active Directory - Aggiunta contatto. Esiste anche una regola denominata In ingresso da Active Directory - Contatto comune con un flusso dell'attributo all'attributo metaverse sourceObjectType con la costante Contact. Questa regola presenta una precedenza bassa, quindi se un oggetto utente viene aggiunto allo stesso oggetto metaverse, la regola In ingresso da Active Directory - Utente comune fornirà il valore Utente a questo attributo. Con questa regola l'attributo ha il valore Contact solo se non sono stati aggiunti utenti e il valore User se è stato trovato almeno un utente.
Per eseguire il provisioning di un oggetto in Microsoft Entra ID, la regola in uscita In uscita a Microsoft Entra ID - Unione contatto creerà un oggetto contatto se l'attributo metaverse sourceObjectType è impostato su Contatto. Se questo attributo è impostato su Utente, la regola In uscita a Microsoft Entra ID - Unione utente creerà un oggetto utente. È possibile che un oggetto venga innalzato di livello da Contact a User quando vengono importate e sincronizzate più directory di Active Directory di origine.
Ad esempio, in una topologia GALSync sono presenti oggetti contatto per tutti gli oggetti della seconda foresta quando si importa la prima. In questa fase vengono inseriti nuovi oggetti contatto nel connettore Microsoft Entra. Quando in seguito si importa e si sincronizza la seconda foresta, saranno presenti gli utenti effettivi che verranno aggiunti agli oggetti metaverse esistenti. Si procederà quindi all'eliminazione dell'oggetto contatto in Microsoft Entra ID e verrà creato un nuovo oggetto utente.
In una topologia in cui gli utenti sono rappresentati come contatti, nella guida all'installazione assicurarsi di selezionare la corrispondenza degli utenti in base all'attributo Mail. Se si seleziona un'altra opzione, si otterrà una configurazione dipendente dall'ordine. L'aggiunta degli oggetti contatto verrà sempre eseguita in base all'attributo Mail, ma gli oggetti utente verranno aggiunti in base all'attributo Mail solo se questa opzione è stata selezionata nella guida all'installazione. Se l'oggetto contatto viene importato prima dell'oggetto utente, nell'oggetto metaverse potrebbero essere presenti due oggetti diversi con lo stesso attributo Mail. Durante l'esportazione in Microsoft Entra ID viene visualizzato un errore. Si tratta di un comportamento da progettazione che indica che sono presenti dati non validi o che durante l'installazione la topologia non è stata identificata correttamente.
Account disabilitati
Anche gli account disabilitati vengono sincronizzati con Microsoft Entra ID. Gli account disabilitati in genere rappresentano le risorse in Exchange, ad esempio le sale riunioni. Fanno eccezione gli utenti con una cassetta postale collegata. Come indicato in precedenza, per questi non verrà mai eseguito il provisioning di un account in Microsoft Entra ID.
Si presuppone che se viene trovato un account utente disabilitato, non verrà trovato un altro account attivo successivamente e verrà effettuato il provisioning dell'oggetto in Microsoft Entra ID con gli attributi userPrincipalName e sourceAnchor trovati. Se un altro account attivo viene aggiunto allo stesso oggetto metaverse, verranno usati i relativi attributi userPrincipalName e sourceAnchor.
Modifica dell'attributo sourceAnchor
Dopo che un oggetto è stato esportato in Microsoft Entra ID, non è più possibile modificarne l'attributo sourceAnchor. Dopo che l'oggetto è stato esportato, l'attributo metaverse cloudSourceAnchor viene impostato sul valore sourceAnchor accettato da Microsoft Entra ID. Se sourceAnchor viene modificato e non corrisponde a cloudSourceAnchor, la regola In uscita a Microsoft Entra ID - Unisci utente genera un errore indicante che l'attributo sourceAnchor è stato modificato. In questo caso, è necessario correggere la configurazione o i dati in modo che lo stesso attributo sourceAnchor sia di nuovo presente nell'oggetto metaverse prima che l'oggetto venga sincronizzato di nuovo.
Risorse aggiuntive
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per