Microsoft Entra Connect Sync: inzicht in de standaardconfiguratie

In dit artikel worden de standaard configuratieregels uitgelegd. Het beschrijft de regels en hoe deze van invloed zijn op de configuratie. U wordt ook begeleid bij de standaardconfiguratie van Microsoft Entra Verbinding maken Sync. Het doel is dat de lezer begrijpt hoe het configuratiemodel, genaamd declaratieve inrichting, in een praktijkvoorbeeld werkt. In dit artikel wordt ervan uitgegaan dat u Microsoft Entra Verbinding maken synchronisatie al hebt geïnstalleerd en geconfigureerd met behulp van de installatiewizard.

Lees Informatie over declaratieve inrichting voor meer informatie over de details van het configuratiemodel.

Kant-en-klare regels van on-premises naar Microsoft Entra-id

De volgende expressies vindt u in de standaardconfiguratie.

Out-of-box-regels voor gebruikers

Deze regels zijn ook van toepassing op het objecttype iNetOrgPerson.

Een gebruikersobject moet aan het volgende voldoen om te kunnen worden gesynchroniseerd:

• Moet een sourceAnchor hebben.
• Nadat het object is gemaakt in Microsoft Entra-id, kan sourceAnchor niet worden gewijzigd. Als de waarde on-premises wordt gewijzigd, wordt het object niet meer gesynchroniseerd totdat de sourceAnchor weer wordt gewijzigd in de vorige waarde.
• Het kenmerk accountEnabled (userAccountControl) moet zijn ingevuld. Met een on-premises Active Directory is dit kenmerk altijd aanwezig en ingevuld.

De volgende gebruikersobjecten worden niet gesynchroniseerd met Microsoft Entra-id:

• IsPresent([isCriticalSystemObject]). Zorg ervoor dat veel out-of-box-objecten in Active Directory, zoals het ingebouwde beheerdersaccount, niet worden gesynchroniseerd.
• IsPresent([sAMAccountName]) = False. Zorg ervoor dat gebruikersobjecten zonder kenmerk sAMAccountName niet worden gesynchroniseerd. Dit gebeurt alleen in een domein dat is geüpgraded van NT4.
• Left([sAMAccountName], 4) = "AAD_", . Left([sAMAccountName], 5) = "MSOL_" Synchroniseer niet het serviceaccount dat wordt gebruikt door Microsoft Entra Verbinding maken Sync en de eerdere versies.
• Synchroniseer geen Exchange-accounts die niet werken in Exchange Online.
  • [sAMAccountName] = "SUPPORT_388945a0"
  • Left([mailNickname], 14) = "SystemMailbox{"
  • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))
  • (Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
• Synchroniseer geen objecten die niet werken in Exchange Online. CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
  Met dit bitmasker (&H21C07000) worden de volgende objecten gefilterd:
  • Openbare map met e-mail (in preview vanaf versie 1.1.524.0)
  • System Attendant-postvak
  • Postvakdatabasepostvak (systeempostvak)
  • Universele beveiligingsgroep (zou niet van toepassing zijn op een gebruiker, maar is aanwezig om redenen van veroudering)
  • Niet-universele groep (zou niet van toepassing zijn op een gebruiker, maar is aanwezig om redenen van veroudering)
  • Postvakplan
  • Detectiepostvak
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Synchroniseer geen replicatie-slachtofferobjecten.

De volgende kenmerkregels zijn van toepassing:

• sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). Het kenmerk sourceAnchor wordt niet bijgedragen vanuit een gekoppeld postvak. Er wordt van uitgegaan dat als er een gekoppeld postvak is gevonden, het werkelijke account later wordt toegevoegd.
• Exchange-gerelateerde kenmerken worden alleen gesynchroniseerd als het kenmerk mailNickName een waarde heeft.
• Wanneer er meerdere forests zijn, worden kenmerken in de volgende volgorde gebruikt:
  1. Kenmerken met betrekking tot aanmelding (bijvoorbeeld userPrincipalName) worden bijgedragen vanuit het forest met een ingeschakeld account.
  2. Kenmerken die in een Exchange GAL (algemene adreslijst) kunnen worden gevonden, worden bijgedragen vanuit het forest met een Exchange-postvak.
  3. Als er geen postvak kan worden gevonden, kunnen deze kenmerken afkomstig zijn uit elk forest.
  4. Exchange-gerelateerde kenmerken (technische kenmerken die niet zichtbaar zijn in de GAL) worden bijgedragen vanuit het forest waar mailNickname ISNOTNULL.
  5. Als er meerdere forests zijn die aan een van deze regels voldoen, wordt de aanmaakvolgorde (datum/tijd) van de connectors (forests) gebruikt om te bepalen welke forest de kenmerken bijdraagt. Het eerste forest dat is verbonden, is het eerste forest dat moet worden gesynchroniseerd.

Out-of-box-regels voor contactpersonen

Een contactpersoonobject moet voldoen aan het volgende om te kunnen worden gesynchroniseerd:

• Moet de waarde van het e-mailkenmerk hebben.
• De contactpersoon moet zijn ingeschakeld voor e-mail. Dit wordt gecontroleerd met de volgende regels:
  • IsPresent([proxyAddresses]) = True). Het kenmerk proxyAddresses moet zijn ingevuld.
  • Een primair e-mailadres vindt u in het kenmerk proxyAddresses of het e-mailkenmerk. De aanwezigheid van een @ wordt gebruikt om te controleren of de inhoud een e-mailadres is. Een van deze twee regels moet als Waar worden beoordeeld.
    • (Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). Is er een vermelding met "SMTP:" en als dat zo is, kan er een @ worden gevonden in de tekenreeks?
    • (IsPresent([mail]) = True && (InStr([mail], "@") > 0). Is het e-mailkenmerk ingevuld en kan er een @ worden gevonden in de tekenreeks?

De volgende contactobjecten worden niet gesynchroniseerd met Microsoft Entra-id:

• IsPresent([isCriticalSystemObject]). Zorg ervoor dat er geen contactobjecten zijn gesynchroniseerd die zijn gemarkeerd als kritiek. Mag geen standaardconfiguratie hebben.
• ((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).
• (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). Deze objecten werken niet in Exchange Online.
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Synchroniseer geen replicatie-slachtofferobjecten.

Out-of-box-regels voor groepen

Een groepsobject moet aan het volgende voldoen om te kunnen worden gesynchroniseerd:

• Moet minder dan 250.000 leden hebben. Dit aantal is het aantal leden in de on-premises groep.
  • Als er meer leden zijn voordat de synchronisatie de eerste keer wordt gestart, wordt de groep niet gesynchroniseerd.
  • Als het aantal leden toeneemt vanaf het moment dat het in eerste instantie is gemaakt, wordt het aantal leden niet meer gesynchroniseerd totdat het aantal lidmaatschappen weer lager is dan 250.000.
  • Opmerking: het aantal lidmaatschappen van 250.000 wordt ook afgedwongen door de Microsoft Entra-id. U kunt groepen niet synchroniseren met meer leden, zelfs niet als u deze regel wijzigt of verwijdert.
• Als de groep een distributiegroep is, moet hiervoor ook e-mail zijn ingeschakeld. Zie Out-Of-Box-regels voor contactpersonen voor het afdwingen van deze regel.

De volgende groepsobjecten worden niet gesynchroniseerd met Microsoft Entra-id:

• IsPresent([isCriticalSystemObject]). Zorg ervoor dat veel out-of-box-objecten in Active Directory, zoals het ingebouwde beheerdersgroep, niet worden gesynchroniseerd.
• [sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Verouderde groep die wordt gebruikt door DirSync.
• BitAnd([msExchRecipientTypeDetails],&H40000000). Rolgroep.
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Synchroniseer geen replicatie-slachtofferobjecten.

Out-of-box-regels voor ForeignSecurityPrincipal

FSP's worden toegevoegd aan "elk" (*) object in de metaverse. In werkelijkheid gebeurt deze samenvoeging alleen voor gebruikers en beveiligingsgroepen. Deze configuratie zorgt ervoor dat lidmaatschappen tussen forests worden omgezet en correct worden weergegeven in de Microsoft Entra-id.

Out-of-box-regels voor computers

Een computerobject moet aan het volgende voldoen om te kunnen worden gesynchroniseerd:

• userCertificate ISNOTNULL. Alleen Windows 10-computers kunnen dit kenmerk vullen. Alle computerobjecten met een waarde in dit kenmerk worden gesynchroniseerd.

Inzicht in het out-of-box-regelsscenario

In dit voorbeeld gebruiken we een implementatie met één accountforest (A), één resourceforest (R) en één Microsoft Entra-map.

In deze configuratie wordt ervan uitgegaan dat er een ingeschakeld account is in het accountforest en een uitgeschakeld account in het resourceforest met een gekoppeld postvak.

Ons doel met de standaardconfiguratie is:

• Kenmerken met betrekking tot aanmelding worden vanuit het forest gesynchroniseerd met het ingeschakelde account.
• Kenmerken die in de GAL (Algemene adreslijst) kunnen worden gevonden, worden gesynchroniseerd vanuit het forest met het postvak. Als er geen postvak kan worden gevonden, wordt elk ander forest gebruikt.
• Als er een gekoppeld postvak wordt gevonden, moet het gekoppelde ingeschakelde account worden gevonden om het object te exporteren naar Microsoft Entra-id.

Synchronisatieregeleditor

De configuratie kan worden bekeken en gewijzigd met de editor voor synchronisatieregels (SRE) en er is een snelkoppeling naartoe te vinden in het menu Start.

De SRE is een hulpprogramma voor resourcekits en is geïnstalleerd met Microsoft Entra Verbinding maken Sync. Als u deze wilt kunnen starten, moet u lid zijn van de groep ADSync Beheer s. Wanneer het begint, ziet u iets als volgt:

In dit deelvenster ziet u alle synchronisatieregels die voor uw configuratie zijn gemaakt. Elke regel in de tabel is één synchronisatieregel. Aan de linkerkant onder Regeltypen worden de twee verschillende typen weergegeven: Inkomend en Uitgaand. Inkomend en Uitgaand is vanuit de weergave van de metaverse. In dit overzicht richt u zich voornamelijk op de regels voor inkomend verkeer. De werkelijke lijst met synchronisatieregels is afhankelijk van het gedetecteerde schema in AD. In de bovenstaande afbeelding heeft het accountforest (fabrikamonline.com) geen services, zoals Exchange en Lync, en zijn er geen synchronisatieregels gemaakt voor deze services. In het resourceforest (res.fabrikamonline.com) vindt u echter synchronisatieregels voor deze services. De inhoud van de regels is afhankelijk van de gedetecteerde versie. In een implementatie met Exchange 2013 zijn er bijvoorbeeld meer kenmerkstromen geconfigureerd dan in Exchange 2010/2007.

Synchronisatieregel

Een synchronisatieregel is een configuratieobject met een set kenmerken die stromen wanneer aan een voorwaarde wordt voldaan. Hij wordt ook gebruikt om te beschrijven hoe een object in een connectorspace is gerelateerd aan een object in de metaverse, ook wel join of match genoemd. De synchronisatieregels hebben een prioriteitswaarde die aangeeft hoe ze met elkaar verband houden. Een synchronisatieregel met een lagere numerieke waarde heeft een hogere prioriteit en in een kenmerkstroomconflict wint een hogere prioriteit de conflictoplossing.

Zie bijvoorbeeld de synchronisatieregel In from AD - User AccountEnabled. Markeer deze regel in de SRE en selecteer Bewerken.

Omdat deze regel een out-of-box-regel is, ontvangt u een waarschuwing wanneer u de regel opent. U moet geen wijzigingen aanbrengen in out-of-box-regels, dus u wordt gevraagd wat uw bedoelingen zijn. In dit geval wilt u alleen de regel weergeven. Selecteer Nee.

Een synchronisatieregel heeft vier configuratiesecties: beschrijving, bereikfilter, join-regels en transformaties.

Beschrijving

De eerste sectie bevat basisinformatie, zoals een naam en beschrijving.

U vindt ook informatie over het verbonden systeem waaraan deze regel is gerelateerd, op welk objecttype in het verbonden systeem het van toepassing is en het metaverse-objecttype. Het metaverse-objecttype is altijd een persoon, ongeacht wanneer het bronobjecttype een gebruiker, iNetOrgPerson of contactpersoon is. Het metaverse-objecttype mag nooit worden gewijzigd. Daarom is het gemaakt als een algemeen type. Het koppelingstype kan worden ingesteld op Join, StickyJoin of Provision. Deze instelling werkt samen met de sectie Join-regels en wordt later behandeld.

U kunt ook zien dat deze synchronisatieregel wordt gebruikt voor wachtwoordsynchronisatie. Als een gebruiker binnen het bereik van deze synchronisatieregel valt, wordt het wachtwoord gesynchroniseerd van on-premises naar de cloud (ervan uitgaande dat u de functie voor wachtwoordsynchronisatie hebt ingeschakeld).

Bereikfilter

De sectie Bereikfilter wordt gebruikt om te configureren wanneer een synchronisatieregel moet worden toegepast. Omdat de naam van de synchronisatieregel die u bekijkt aangeeft dat deze alleen voor ingeschakelde gebruikers moet worden toegepast, wordt het bereik geconfigureerd zodat het AD-kenmerk userAccountControl niet de bit 2-set mag hebben. Wanneer de synchronisatie-engine een gebruiker in AD vindt, wordt deze synchronisatieregel toegepast wanneer userAccountControl is ingesteld op de decimale waarde 512 (ingeschakelde normale gebruiker). De regel wordt niet toegepast wanneer de gebruiker userAccountControl heeft ingesteld op 514 (uitgeschakelde normale gebruiker).

Het bereikfilter bevat groepen en componenten die kunnen worden genest. Er moet aan alle componenten in een groep worden voldaan om een synchronisatieregel toe te passen. Wanneer er meerdere groepen zijn gedefinieerd, moet aan ten minste één groep worden voldaan om de regel toe te passen. Dat wil gezegd: een logische OR wordt geëvalueerd tussen groepen en een logische AND wordt geëvalueerd binnen een groep. Een voorbeeld van deze configuratie is te vinden in de uitgaande synchronisatieregel voor Microsoft Entra ID – Groep toevoegen. Er zijn verschillende synchronisatiefiltergroepen, bijvoorbeeld één voor beveiligingsgroepen (securityEnabled EQUAL True) en één voor distributiegroepen (securityEnabled EQUAL False).

Deze regel wordt gebruikt om te definiëren welke groepen moeten worden ingericht voor Microsoft Entra-id. Distributiegroepen moeten e-mail zijn ingeschakeld om te worden gesynchroniseerd met Microsoft Entra-id, maar voor beveiligingsgroepen is geen e-mail vereist.

Join-regels

De derde sectie wordt gebruikt om te configureren hoe objecten in de verbindingsruimte zich verhouden tot objecten in de metaverse. De regel die u eerder hebt bekeken, heeft geen configuratie voor join-regels. In plaats daarvan kijkt u naar In from AD – User Join.

De inhoud van de join-regel is afhankelijk van de overeenkomende optie die is geselecteerd in de installatiewizard. Voor een binnenkomende regel begint de evaluatie met een object in de ruimte van de bronconnector en wordt elke groep in de join-regels op volgorde geëvalueerd. Als een bronobject wordt geëvalueerd zodat dit overeenkomt met precies één object in de metaverse met behulp van een van de joinregels, worden de objecten samengevoegd. Als alle regels zijn geëvalueerd en er geen overeenkomst is, wordt het koppelingstype op de beschrijvingspagina gebruikt. Als deze configuratie is ingesteld op Inrichten, wordt er een nieuw object gemaakt in het doel, de metaverse, als ten minste één kenmerk in de joincriteria aanwezig is (heeft een waarde). Als u een nieuw object wilt inrichten voor de metaverse, wordt dit ook wel projectie van een object naar de metaverse genoemd.

De join-regels worden slechts eenmaal geëvalueerd. Wanneer een verbindingslijnruimteobject en een metaverse-object zijn gekoppeld, blijven ze gekoppeld zolang het bereik van de synchronisatieregel nog steeds is bereikt.

Bij het evalueren van synchronisatieregels moet slechts één synchronisatieregel met gedefinieerde join-regels binnen het bereik vallen. Als er meerdere synchronisatieregels met join-regels voor één object worden gevonden, wordt er een fout gegenereerd. Daarom kunt u het beste slechts één synchronisatieregel met join definiëren wanneer meerdere synchronisatieregels binnen het bereik van een object vallen. In de kant-en-klare configuratie voor Microsoft Entra Verbinding maken Sync kunt u deze regels vinden door naar de naam te kijken en deze te vinden met het woord Join aan het einde van de naam. Een synchronisatieregel zonder gedefinieerde join-regels past de kenmerkstromen toe wanneer een andere synchronisatieregel de objecten samenvoegt of een nieuw object in het doel heeft ingericht.

Als u de bovenstaande afbeelding bekijkt, ziet u dat de regel objectSID probeert samen te voegen met msExchMasterAccountSid (Exchange) en msRTCSIP-OriginatorSid (Lync), wat we verwachten in een foresttopologie met accountresources. U vindt dezelfde regel in alle forests. De veronderstelling is dat elk forest een account of resourceforest kan zijn. Deze configuratie werkt ook als u accounts hebt die zich in één forest bevinden en niet hoeven te worden gekoppeld.

Transformaties

De transformatiesectie definieert alle kenmerkstromen die van toepassing zijn op het doelobject wanneer de objecten worden samengevoegd en het bereikfilter wordt voldaan. Als u teruggaat naar In from AD – User AccountEnabled-synchronisatieregel vindt u de volgende transformaties:

Om deze configuratie in de context te plaatsen: in een Account-Resource-forestimplementatie vindt u een ingeschakeld account in het accountforest en een uitgeschakeld account in het resourceforest met Exchange- en Lync-instellingen. De synchronisatieregel die u bekijkt, bevat de kenmerken die vereist zijn voor aanmelding. Deze kenmerken moeten vanuit het forest stromen waar zich een ingeschakeld account bevindt. Al deze kenmerkstromen worden samengevoegd in één synchronisatieregel.

Een transformatie kan verschillende typen hebben: Constant, Direct en Expressie.

• Een constante stroom levert altijd een vastgelegde waarde op. In het bovenstaande geval wordt altijd de waarde True ingesteld in het metaverse-kenmerk accountEnabled.
• Een directe stroom voert altijd de waarde van het kenmerk in de bron naar het doelkenmerk.
• Het derde stroomtype is Expressie en biedt geavanceerdere configuraties.

De expressietaal is VBA (Visual Basic for Applications), zodat mensen met ervaring met Microsoft Office of VBScript de indeling herkennen. Kenmerken staan tussen vierkante haken, [attributeName]. Kenmerknamen en functienamen zijn hoofdlettergevoelig, maar de editor voor synchronisatieregels evalueert de expressies en geeft een waarschuwing als de expressie ongeldig is. Alle expressies worden uitgedrukt op één regel met geneste functies. Als u de kracht van de configuratietaal wilt weergeven, vindt u hier de stroom voor pwdLastSet, maar met aanvullende opmerkingen:

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .NET datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

Zie Declaratieve inrichtingsexpressies voor meer informatie over de expressietaal voor kenmerkstromen.

Prioriteit

U hebt nu enkele afzonderlijke synchronisatieregels bekeken, maar de regels werken samen in de configuratie. In sommige gevallen dragen meerdere synchronisatieregels een kenmerkwaarde bij aan hetzelfde doelkenmerk. In dit geval wordt kenmerkprioriteit gebruikt om te bepalen welk kenmerk wint. Bekijk als voorbeeld het kenmerk sourceAnchor. Dit kenmerk is een belangrijk kenmerk om u aan te melden bij Microsoft Entra ID. U vindt een kenmerkstroom voor dit kenmerk in twee verschillende synchronisatieregels, In from AD – User AccountEnabled en In from AD – User Common. Vanwege de prioriteit van de synchronisatieregel wordt het kenmerk sourceAnchor als eerste bijgedragen vanuit het forest met een ingeschakeld account wanneer er meerdere objecten aan het metaverse-object zijn gekoppeld. Als er geen ingeschakelde accounts zijn, gebruikt de synchronisatie-engine de catch-all-synchronisatieregel In from AD– User Common. Deze configuratie zorgt ervoor dat zelfs nog steeds een sourceAnchor is voor accounts die zijn uitgeschakeld.

De prioriteit voor synchronisatieregels wordt door de installatiewizard ingesteld in groepen. Alle regels in een groep hebben dezelfde naam, maar ze zijn verbonden met verschillende verbonden mappen. De installatiewizard geeft de regel In from AD – User Join hoogste prioriteit en itereert over alle verbonden AD-directory's. Vervolgens gaat hij verder met de volgende groepen regels in een vooraf gedefinieerde volgorde. Binnen een groep worden de regels toegevoegd in de volgorde waarin de connectors zijn toegevoegd in de wizard. Als er een andere connector via de wizard wordt toegevoegd, worden de synchronisatieregels opnieuw gerangschikt en worden de regels van de nieuwe connector als laatste ingevoegd in elke groep.

Alles samenvoegen

We weten nu genoeg over synchronisatieregels om te begrijpen hoe de configuratie werkt met de verschillende synchronisatieregels. Als u een gebruiker en de kenmerken bekijkt die zijn bijgedragen aan de metaverse, worden de regels in de volgende volgorde toegepast:

Naam	Opmerking
In from AD – User Lync	Regel voor het samenvoegen van verbindingsruimteobjecten met metaverse.
In from AD – UserAccount Enabled	Kenmerken die vereist zijn voor aanmelding bij Microsoft Entra ID en Microsoft 365. We willen deze kenmerken van het ingeschakelde account.
In from AD – User Common from Exchange	Kenmerken die in de algemene adreslijst zijn gevonden. We gaan ervan uit dat de gegevenskwaliteit het beste is in het forest waar we het postvak van de gebruiker hebben gevonden.
In from AD – User Common	Kenmerken die in de algemene adreslijst zijn gevonden. Als er geen postvak is gevonden, kan een ander gekoppeld object de kenmerkwaarde bijdragen.
In from AD – User Exchange	Bestaat alleen als Exchange is gedetecteerd. Hiermee worden alle Exchange-kenmerken van de infrastructuur gestroomd.
In from AD – User Lync	Bestaat alleen als Lync is gedetecteerd. Hiermee worden alle Lync-kenmerken van de infrastructuur gestroomd.

Volgende stappen

• Lees meer over het configuratiemodel in Declaratieve inrichting begrijpen.
• Lees meer over de expressietaal in Declaratieve inrichtingsexpressies begrijpen.
• Lees verder hoe de out-of-box-configuratie werkt in Gebruikers en contactpersonen begrijpen
• Lees hoe u een praktische wijziging aanbrengt met behulp van declaratieve inrichting in De standaardconfiguratie wijzigen.

Overzichtsonderwerpen

• Microsoft Entra Verbinding maken Sync: Synchronisatie begrijpen en aanpassen
• Uw on-premises identiteiten integreren met Microsoft Entra-id