Microsoft Entra Connect Sync: inzicht in gebruikers, groepen en contactpersonen
Er zijn verschillende redenen waarom u meerdere Active Directory-forests zou hebben en er verschillende implementatietopologieën zijn. Veelvoorkomende modellen zijn onder andere een implementatie van accountresources en gal-synchronisatieforests na een fusie en overname. Maar zelfs als er pure modellen zijn, zijn hybride modellen ook gebruikelijk. Bij de standaardconfiguratie in Microsoft Entra Verbinding maken Sync wordt niet uitgegaan van een bepaald model, maar afhankelijk van de manier waarop gebruikerskoppeling is geselecteerd in de installatiehandleiding, kunnen verschillende gedragingen worden waargenomen.
In dit onderwerp gaan we door hoe de standaardconfiguratie zich gedraagt in bepaalde topologieën. We doorlopen de configuratie en de editor voor synchronisatieregels kan worden gebruikt om de configuratie te bekijken.
Er zijn enkele algemene regels die door de configuratie worden aangenomen:
- Ongeacht welke volgorde we importeren uit de active directory's van de bron, moet het eindresultaat altijd hetzelfde zijn.
- Een actief account draagt altijd bij aan aanmeldingsgegevens, waaronder userPrincipalName en sourceAnchor.
- Een uitgeschakeld account draagt bij aan userPrincipalName en sourceAnchor, tenzij het een gekoppeld postvak is, als er geen actief account is gevonden.
- Een account met een gekoppeld postvak wordt nooit gebruikt voor userPrincipalName en sourceAnchor. Er wordt vanuit gegaan dat er later een actief account wordt gevonden.
- Een contactpersoonobject kan worden ingericht voor Microsoft Entra ID als contactpersoon of als gebruiker. U weet het pas echt als alle Active Directory-bronforests zijn verwerkt.
Groepen
Notitie
Houd er rekening mee dat wanneer u een gebruiker vanuit een ander forest aan de groep toevoegt, er een anker is gemaakt in de Active Directory waarin de groepen zich in een specifieke organisatie-eenheid bevinden. Dit anker is een externe beveiligingsprincipal en wordt opgeslagen in de OE 'ForeignSecurityPrincipals'. Als u deze organisatie-eenheid niet synchroniseert, worden de gebruikers die zijn verwijderd uit het groepslidmaatschap, niet gesynchroniseerd.
Belangrijke punten waar u rekening mee moet houden bij het synchroniseren van groepen van Active Directory naar Microsoft Entra-id:
Microsoft Entra Connect sluit ingebouwde beveiligingsgroepen uit van adreslijstsynchronisatie.
Microsoft Entra Verbinding maken biedt geen ondersteuning voor het synchroniseren van primaire groepslidmaatschappen naar Microsoft Entra-id.
Microsoft Entra Verbinding maken biedt geen ondersteuning voor het synchroniseren van lidmaatschappen van dynamische distributiegroepen naar Microsoft Entra-id.
Een Active Directory-groep synchroniseren met Microsoft Entra-id als een e-mailgroep:
Als het kenmerk proxyAddress van de groep leeg is, moet het e-mailkenmerk een waarde hebben
Als het kenmerk proxyAddress van de groep niet leeg is, moet deze ten minste één SMTP-proxyadreswaarde bevatten. Hieronder volgen een aantal voorbeelden:
Een Active Directory-groep waarvan het kenmerk proxyAddress de waarde {"X500:/0=contoso.com/ou=users/cn=testgroup"} heeft, wordt niet ingeschakeld voor e-mail in Microsoft Entra-id. Het heeft geen SMTP-adres.
Een Active Directory-groep waarvan het kenmerk proxyAddress de waarden {"X500:/0=contoso.com/ou=users/cn=testgroup" heeft,"SMTP:johndoe@contoso.com"} is ingeschakeld voor e-mail in Microsoft Entra ID.
Een Active Directory-groep waarvan het kenmerk proxyAddress de waarden {"X500:/0=contoso.com/ou=users/cn=testgroup" heeft, "smtp:johndoe@contoso.com"} is ook ingeschakeld voor e-mail in Microsoft Entra ID.
Contactpersonen
Het hebben van contactpersonen die een gebruiker in een ander forest vertegenwoordigen, komt vaak voor na een fusie en overname waarbij een GALSync-oplossing twee of meer Exchange-forests overbrugt. Het contactobject wordt altijd vanuit de connectorruimte gekoppeld aan de metaverse met behulp van het e-mailkenmerk. Als er al een contactobject of gebruikersobject met hetzelfde e-mailadres is, worden de objecten samengevoegd. Dit is geconfigureerd in de regel In from AD – Contact Join. Er is ook een regel met de naam In van AD: neem contact op met een kenmerkstroom naar het metaverse-kenmerk sourceObjectType met de constante contactpersoon. Deze regel heeft een lage prioriteit, dus als een gebruikersobject is gekoppeld aan hetzelfde metaverse-object, draagt de regel In van AD – User Common de waarde Gebruiker aan dit kenmerk. Met deze regel heeft dit kenmerk de waarde Contactpersoon als er geen gebruiker is toegevoegd en de waarde Gebruiker als ten minste één gebruiker is gevonden.
Voor het inrichten van een object voor Microsoft Entra-id maakt de uitgaande regel naar Microsoft Entra-id: contactdeelname maakt een contactobject als het metaverse-kenmerk sourceObjectType is ingesteld op Contactpersoon. Als dit kenmerk is ingesteld op Gebruiker, wordt met de regel Out naar Microsoft Entra ID– User Join in plaats daarvan een gebruikersobject gemaakt. Het is mogelijk dat een object wordt gepromoveerd van contactpersoon naar gebruiker wanneer meer bron-Active Directory's worden geïmporteerd en gesynchroniseerd.
In een GALSync-topologie vinden we bijvoorbeeld contactobjecten voor iedereen in het tweede forest wanneer we het eerste forest importeren. Hiermee worden nieuwe contactobjecten in de Microsoft Entra-Verbinding maken or gefaseerd. Wanneer we later het tweede forest importeren en synchroniseren, vinden we de echte gebruikers en voegen we ze toe aan de bestaande metaverse-objecten. Vervolgens verwijderen we het contactobject in Microsoft Entra ID en maken we in plaats daarvan een nieuw gebruikersobject.
Als u een topologie hebt waarin gebruikers worden weergegeven als contactpersonen, moet u ervoor zorgen dat deze overeenkomen met gebruikers op het e-mailkenmerk in de installatiehandleiding. Als u een andere optie selecteert, hebt u een orderafhankelijke configuratie. Contactobjecten worden altijd gekoppeld aan het e-mailkenmerk, maar gebruikersobjecten worden alleen gekoppeld aan het e-mailkenmerk als deze optie is geselecteerd in de installatiehandleiding. U kunt dan eindigen met twee verschillende objecten in de metaverse met hetzelfde e-mailkenmerk als het contactobject vóór het gebruikersobject is geïmporteerd. Tijdens het exporteren naar Microsoft Entra-id wordt een fout weergegeven. Dit gedrag is standaard en zou duiden op slechte gegevens of dat de topologie niet correct is geïdentificeerd tijdens de installatie.
Uitgeschakelde accounts
Uitgeschakelde accounts worden ook gesynchroniseerd met Microsoft Entra-id. Uitgeschakelde accounts zijn gebruikelijk om resources in Exchange weer te geven, bijvoorbeeld vergaderruimten. De uitzondering hierop zijn gebruikers met een gekoppeld postvak; zoals eerder vermeld, wordt er nooit een account ingericht voor Microsoft Entra-id.
De veronderstelling is dat als er een uitgeschakeld gebruikersaccount wordt gevonden, er later geen ander actief account wordt gevonden en het object is ingericht voor Microsoft Entra-id met de userPrincipalName en sourceAnchor. Als een ander actief account lid wordt van hetzelfde metaverse-object, wordt de userPrincipalName en sourceAnchor gebruikt.
SourceAnchor wijzigen
Wanneer een object is geëxporteerd naar Microsoft Entra-id, is het niet meer toegestaan om de sourceAnchor te wijzigen. Wanneer het object is geëxporteerd, wordt het metaverse-kenmerk cloudSourceAnchor ingesteld met de sourceAnchor-waarde die wordt geaccepteerd door Microsoft Entra-id. Als sourceAnchor wordt gewijzigd en niet overeenkomt met cloudSourceAnchor, wordt het kenmerk UserAnchor gewijzigd door de regel Out naar Microsoft Entra ID: user join genereert het kenmerk sourceAnchor. In dit geval moet de configuratie of gegevens worden gecorrigeerd, zodat dezelfde sourceAnchor opnieuw aanwezig is in de metaverse voordat het object opnieuw kan worden gesynchroniseerd.