Microsoft Entra Connect: Ontwerpconcepten
Het doel van dit document is om gebieden te beschrijven die moeten worden overwogen tijdens het configureren van Microsoft Entra Verbinding maken. Dit document is een uitgebreide beschrijving van bepaalde domeinen en deze concepten worden ook kort beschreven in andere documenten.
sourceAnchor
Het kenmerk sourceAnchor is gedefinieerd als een kenmerk dat onveranderbaar is tijdens de levensduur van een gebruikersobject. Het identificeert een object op unieke wijze als hetzelfde object on-premises en in Microsoft Entra-id. Het kenmerk wordt ook wel immutableId genoemd en de twee namen worden door elkaar gebruikt.
Het woord onveranderbaar, dat is 'kan niet worden gewijzigd', is belangrijk voor dit document. Omdat de waarde van dit kenmerk niet kan worden gewijzigd nadat het is ingesteld, is het belangrijk om een ontwerp te kiezen dat uw scenario ondersteunt.
Het kenmerk wordt gebruikt voor de volgende scenario's:
- Wanneer een nieuwe synchronisatie-engineserver wordt gebouwd of opnieuw wordt opgebouwd na een noodherstelscenario, koppelt dit kenmerk bestaande objecten in Microsoft Entra-id aan objecten on-premises.
- Als u overstapt van een identiteit in de cloud naar een gesynchroniseerd identiteitsmodel, staat dit kenmerk toe dat objecten bestaande objecten in Microsoft Entra ID 'hard matchen' met on-premises objecten.
- Als u federatie gebruikt, wordt dit kenmerk samen met de userPrincipalName gebruikt in de claim om een gebruiker uniek te identificeren.
In dit onderwerp wordt alleen gesproken over sourceAnchor, omdat het betrekking heeft op gebruikers. Dezelfde regels zijn van toepassing op alle objecttypen, maar dit probleem is meestal alleen voor gebruikers van belang.
Een goed sourceAnchor-kenmerk selecteren
De kenmerkwaarde moet voldoen aan de volgende regels:
- Minder dan 60 tekens lang
- Tekens die geen a-z, A-Z of 0-9 zijn, worden gecodeerd en worden geteld als 3 tekens
- Bevatten geen speciaal teken: \ ! # $ % & * + / = ? ^ ' { } | ~ <> ( ) ' ; : , [ ] " @ _
- Moet wereldwijd uniek zijn
- Moet een tekenreeks, geheel getal of binair getal zijn
- Mag niet zijn gebaseerd op de naam van de gebruiker, omdat deze kunnen worden gewijzigd
- Mag niet hoofdlettergevoelig zijn en waarden vermijden die per hoofdletter kunnen verschillen
- Moet worden toegewezen wanneer het object wordt gemaakt
Als de geselecteerde sourceAnchor niet van het type tekenreeks is, dan microsoft Entra Verbinding maken Base64Encode de kenmerkwaarde om ervoor te zorgen dat er geen speciale tekens worden weergegeven. Als u een andere federatieserver gebruikt dan ADFS, moet u ervoor zorgen dat uw server ook Base64Encode kan uitvoeren op het kenmerk.
Het kenmerk sourceAnchor is hoofdlettergevoelig. De waarde 'JohnDoe' is niet hetzelfde als 'johndoe'. Maar u mag niet twee verschillende objecten hebben met slechts een verschil in het geval van een verschil.
Als u één forest on-premises hebt, is het kenmerk dat u moet gebruiken objectGUID. Dit is ook het kenmerk dat wordt gebruikt wanneer u snelle instellingen gebruikt in Microsoft Entra Verbinding maken en ook het kenmerk dat wordt gebruikt door DirSync.
Als u meerdere forests hebt en gebruikers niet verplaatst tussen forests en domeinen, is objectGUID een goed kenmerk dat u zelfs in dit geval kunt gebruiken.
Als u gebruikers tussen forests en domeinen verplaatst, moet u tijdens de verplaatsing een kenmerk vinden dat niet wordt gewijzigd of met de gebruikers kan worden verplaatst. Een aanbevolen benadering is het introduceren van een synthetisch kenmerk. Een kenmerk dat iets kan bevatten dat eruitziet als een GUID, zou geschikt zijn. Tijdens het maken van een object wordt een nieuwe GUID gemaakt en op de gebruiker gestempeld. Er kan een aangepaste synchronisatieregel worden gemaakt op de synchronisatie-engineserver om deze waarde te maken op basis van de objectGUID en het geselecteerde kenmerk in AD DS bij te werken. Wanneer u het object verplaatst, moet u ook de inhoud van deze waarde kopiëren.
Een andere oplossing is het kiezen van een bestaand kenmerk dat u weet niet verandert. Veelgebruikte kenmerken zijn onder meer employeeID. Als u een kenmerk met letters beschouwt, moet u ervoor zorgen dat het hoofdlettergebruik (hoofdletter versus kleine letters) niet kan worden gewijzigd voor de waarde van het kenmerk. Ongeldige kenmerken die niet moeten worden gebruikt, bevatten deze kenmerken met de naam van de gebruiker. In een huwelijk of scheiding wordt verwacht dat de naam verandert, wat niet is toegestaan voor dit kenmerk. Dit is ook een reden waarom kenmerken zoals userPrincipalName, mail en targetAddress niet eens mogelijk zijn om te selecteren in de installatiewizard van Microsoft Entra Verbinding maken. Deze kenmerken bevatten ook het teken @, dat niet is toegestaan in sourceAnchor.
Het kenmerk sourceAnchor wijzigen
De kenmerkwaarde sourceAnchor kan niet worden gewijzigd nadat het object is gemaakt in Microsoft Entra-id en de identiteit wordt gesynchroniseerd.
Daarom zijn de volgende beperkingen van toepassing op Microsoft Entra Verbinding maken:
- Het kenmerk sourceAnchor kan alleen worden ingesteld tijdens de eerste installatie. Als u de installatiewizard opnieuw uitvoert, is deze optie alleen-lezen. Als u deze instelling wilt wijzigen, moet u de installatie ongedaan maken en opnieuw installeren.
- Als u een andere Microsoft Entra-Verbinding maken-server installeert, moet u hetzelfde sourceAnchor-kenmerk selecteren als eerder gebruikt. Als u eerder DirSync hebt gebruikt en naar Microsoft Entra Verbinding maken bent overgegaan, moet u objectGUID gebruiken omdat dat het kenmerk is dat door DirSync wordt gebruikt.
- Als de waarde voor sourceAnchor wordt gewijzigd nadat het object is geëxporteerd naar Microsoft Entra-id, genereert Microsoft Entra Verbinding maken Sync een fout en staat geen wijzigingen meer toe aan dat object voordat het probleem is opgelost en wordt de sourceAnchor weer gewijzigd in de bronmap.
Ms-DS-ConsistencyGuid gebruiken als sourceAnchor
Microsoft Entra Verbinding maken (versie 1.1.486.0 en ouder) maakt standaard gebruik van objectGUID als het kenmerk sourceAnchor. ObjectGUID wordt door het systeem gegenereerd. U kunt de waarde ervan niet opgeven bij het maken van on-premises AD-objecten. Zoals uitgelegd in sectie sourceAnchor, zijn er scenario's waarin u de sourceAnchor-waarde moet opgeven. Als de scenario's voor u van toepassing zijn, moet u een configureerbaar AD-kenmerk (bijvoorbeeld ms-DS-ConsistencyGuid) gebruiken als sourceAnchor-kenmerk.
Microsoft Entra Verbinding maken (versie 1.1.524.0 en later) vereenvoudigt nu het gebruik van ms-DS-ConsistencyGuid als sourceAnchor-kenmerk. Wanneer u deze functie gebruikt, configureert Microsoft Entra Verbinding maken automatisch de synchronisatieregels voor:
het gebruik van ms-DS-ConsistencyGuid als sourceAnchor-kenmerk voor gebruikersobjecten. ObjectGUID wordt gebruikt voor andere objecttypen.
Voor elk on-premises AD-gebruikersobject waarvan het kenmerk ms-DS-ConsistencyGuid niet is ingevuld, schrijft Microsoft Entra Verbinding maken de objectGUID-waarde terug naar het kenmerk ms-DS-ConsistencyGuid in on-premises Active Directory. Nadat het kenmerk ms-DS-ConsistencyGuid is ingevuld, exporteert Microsoft Entra Verbinding maken het object vervolgens naar Microsoft Entra-id.
Notitie
Zodra een on-premises AD-object is geïmporteerd in Microsoft Entra Verbinding maken (dat wil gezegd, geïmporteerd in de AD Verbinding maken or Space en geprojecteerd in de Metaverse), kunt u de bronAnchor-waarde niet meer wijzigen. Als u de sourceAnchor-waarde voor een bepaald on-premises AD-object wilt opgeven, configureert u het kenmerk ms-DS-ConsistencyGuid voordat deze wordt geïmporteerd in Microsoft Entra Verbinding maken.
Machtiging is vereist
Deze functie werkt alleen als aan het AD DS-account dat wordt gebruikt voor synchronisatie met on-premises Active Directory schrijfmachtigingen worden verleend voor het kenmerk ms-DS-ConsistencyGuid in on-premises Active Directory.
De functie ConsistencyGuid inschakelen - Nieuwe installatie
U kunt het gebruik van ConsistencyGuid als sourceAnchor inschakelen tijdens de nieuwe installatie. In deze sectie worden zowel de snelle als aangepaste installatie uitgebreid behandeld.
Notitie
Alleen nieuwere versies van Microsoft Entra Verbinding maken (1.1.524.0 en na) ondersteunen het gebruik van ConsistencyGuid als sourceAnchor tijdens de nieuwe installatie.
De functie ConsistencyGuid inschakelen
Snelle installatie
Wanneer u Microsoft Entra Verbinding maken installeert met de Express-modus, bepaalt de wizard Microsoft Entra Verbinding maken automatisch het meest geschikte AD-kenmerk dat moet worden gebruikt als het kenmerk sourceAnchor met behulp van de volgende logica:
Eerst voert de wizard Microsoft Entra Verbinding maken een query uit op uw Microsoft Entra-tenant om het AD-kenmerk op te halen dat wordt gebruikt als het kenmerk sourceAnchor in de vorige installatie van Microsoft Entra Verbinding maken (indien van toepassing). Als deze informatie beschikbaar is, gebruikt Microsoft Entra Verbinding maken hetzelfde AD-kenmerk.
Notitie
Alleen nieuwere versies van Microsoft Entra Verbinding maken (1.1.524.0 en na) slaan informatie op in uw Microsoft Entra-tenant over het kenmerk sourceAnchor dat tijdens de installatie wordt gebruikt. Oudere versies van Microsoft Entra Verbinding maken niet.
Als informatie over het gebruikte sourceAnchor-kenmerk niet beschikbaar is, controleert de wizard de status van het kenmerk ms-DS-ConsistencyGuid in uw on-premises Active Directory. Als het kenmerk niet is geconfigureerd voor een object in de map, gebruikt de wizard ms-DS-ConsistencyGuid als sourceAnchor-kenmerk. Als het kenmerk is geconfigureerd voor een of meer objecten in de map, wordt het kenmerk door andere toepassingen gebruikt en is het kenmerk niet geschikt als sourceAnchor-kenmerk...
In dat geval valt de wizard terug op het gebruik van objectGUID als sourceAnchor-kenmerk.
Zodra het kenmerk sourceAnchor is besloten, slaat de wizard de informatie op in uw Microsoft Entra-tenant. De informatie wordt gebruikt door toekomstige installatie van Microsoft Entra Verbinding maken.
De wizard geeft aan welk kenmerk is geselecteerd als sourceAnchor-kenmerk nadat de snelle installatie is voltooid.
Aangepaste installatie
Wanneer u Microsoft Entra Verbinding maken met de aangepaste modus installeert, biedt de wizard Microsoft Entra Verbinding maken twee opties bij het configureren van het kenmerk sourceAnchor:
| Instelling | Beschrijving |
|---|---|
| Microsoft Entra ID het bronanker voor mij laten beheren | Selecteer deze optie als u wilt dat Microsoft Entra ID het kenmerk voor u kiest. Als u deze optie selecteert, past de wizard Microsoft Entra Verbinding maken dezelfde bronAnchor-kenmerkselectielogica toe die tijdens de installatie van Express wordt gebruikt. Net als bij de snelle installatie geeft de wizard aan welk kenmerk is geselecteerd als sourceAnchor-kenmerk nadat de aangepaste installatie is voltooid. |
| Een specifiek kenmerk | Selecteer deze optie als u een bestaand AD-kenmerk opgeeft als het kenmerk sourceAnchor. |
De functie ConsistencyGuid inschakelen - Bestaande implementatie
Als u een bestaande Microsoft Entra-Verbinding maken-implementatie hebt die objectGUID gebruikt als het kenmerk Source Anchor, kunt u in plaats daarvan overschakelen naar Het gebruik van ConsistencyGuid.
Notitie
Alleen nieuwere versies van Microsoft Entra Verbinding maken (1.1.552.0 en na) ondersteunen het overschakelen van ObjectGuid naar ConsistencyGuid als het kenmerk Source Anchor.
Overschakelen van objectGUID naar ConsistencyGuid als sourceAnchor-kenmerk:
Start de wizard Microsoft Entra Verbinding maken en klik op Configureren om naar het scherm Taken te gaan.
Selecteer de optie sourceAnchor configureren en klik op Volgende.
Voer de referenties van uw Microsoft Entra-Beheer istrator in en klik op Volgende.
De wizard Microsoft Entra Verbinding maken analyseert de status van het kenmerk ms-DS-ConsistencyGuid in uw on-premises Active Directory. Als het kenmerk niet is geconfigureerd voor een object in de map, concludeert Microsoft Entra Verbinding maken dat er momenteel geen andere toepassing het kenmerk gebruikt en veilig is om het te gebruiken als het kenmerk Source Anchor. Klik op Volgende om verder te gaan.
Klik in het scherm Gereed om te configureren op Configureren om de configuratie te wijzigen.
Zodra de configuratie is voltooid, geeft de wizard aan dat ms-DS-ConsistencyGuid nu wordt gebruikt als sourceAnchor-kenmerk.
Als het kenmerk tijdens de analyse (stap 4) is geconfigureerd voor een of meer objecten in de map, wordt het kenmerk door een andere toepassing gebruikt en wordt een fout geretourneerd, zoals wordt geïllustreerd in het onderstaande diagram. Deze fout kan ook optreden als u de functie ConsistencyGuid eerder hebt ingeschakeld op uw primaire Microsoft Entra-Verbinding maken-server en u probeert hetzelfde te doen op uw faseringsserver.
Als u zeker weet dat het kenmerk niet wordt gebruikt door andere bestaande toepassingen, kunt u de fout onderdrukken door de wizard Microsoft Entra Verbinding maken opnieuw te starten met de switch /SkipLdapSearch opgegeven. Voer hiervoor de volgende opdracht uit in de opdrachtprompt:
"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch
Invloed op de configuratie van AD FS of federatie van derden
Als u Microsoft Entra Verbinding maken gebruikt om on-premises AD FS-implementatie te beheren, werkt de Microsoft Entra-Verbinding maken automatisch de claimregels bij om hetzelfde AD-kenmerk te gebruiken als sourceAnchor. Dit zorgt ervoor dat de immutableID-claim die door ADFS wordt gegenereerd, consistent is met de sourceAnchor-waarden die zijn geëxporteerd naar Microsoft Entra-id.
Als u AD FS buiten Microsoft Entra Verbinding maken beheert of als u federatieservers van derden gebruikt voor verificatie, moet u de claimregels voor immutableID-claim handmatig bijwerken om consistent te zijn met de sourceAnchor-waarden die zijn geëxporteerd naar Microsoft Entra-id, zoals beschreven in artikelsectie AD FS-claimregels wijzigen. De wizard retourneert de volgende waarschuwing nadat de installatie is voltooid:
Nieuwe mappen toevoegen aan een bestaande implementatie
Stel dat u Microsoft Entra hebt geïmplementeerd Verbinding maken met de functie ConsistencyGuid ingeschakeld en nu wilt u een andere map toevoegen aan de implementatie. Wanneer u de map probeert toe te voegen, controleert de wizard Microsoft Entra Verbinding maken de status van het kenmerk ms-DS-ConsistencyGuid in de map. Als het kenmerk is geconfigureerd voor een of meer objecten in de map, wordt het kenmerk door andere toepassingen gebruikt en wordt een fout geretourneerd, zoals wordt geïllustreerd in het onderstaande diagram. Als u zeker weet dat het kenmerk niet wordt gebruikt door bestaande toepassingen, kunt u de fout onderdrukken door de wizard Microsoft Entra Verbinding maken opnieuw te starten met de switch /SkipLdapSearch die hierboven is opgegeven of u moet contact opnemen met ondersteuning voor meer informatie.
Microsoft Entra-aanmelding
Tijdens de integratie van uw on-premises adreslijst met Microsoft Entra-id is het belangrijk om te begrijpen hoe de synchronisatie-instellingen van invloed kunnen zijn op de manier waarop de gebruiker zich verifieert. Microsoft Entra ID maakt gebruik van userPrincipalName (UPN) om de gebruiker te verifiëren. Wanneer u uw gebruikers echter synchroniseert, moet u voorzichtig zijn met het kiezen van het kenmerk dat moet worden gebruikt voor de waarde van userPrincipalName.
Het kenmerk voor userPrincipalName kiezen
Wanneer u het kenmerk selecteert voor het opgeven van de waarde van UPN die moet worden gebruikt in Microsoft Entra ID, moet u ervoor zorgen dat
- De kenmerkwaarden voldoen aan de UPN-syntaxis (RFC 822), deze moet de indeling van username@domain
- Het achtervoegsel in de waarden komt overeen met een van de geverifieerde aangepaste domeinen in Microsoft Entra-id
Bij snelle instellingen is de veronderstelde keuze voor het kenmerk userPrincipalName. Als het kenmerk userPrincipalName niet de waarde bevat die uw gebruikers moeten aanmelden bij Microsoft Entra ID, moet u Aangepaste installatie kiezen.
Notitie
Als best practice wordt aanbevolen dat het UPN-voorvoegsel meer dan één teken bevat.
Status van aangepast domein en UPN
Het is belangrijk om ervoor te zorgen dat er een geverifieerd domein is voor het UPN-achtervoegsel.
John is een gebruiker in contoso.com. U wilt dat John de on-premises UPN john@contoso.com gebruikt om u aan te melden bij Microsoft Entra ID nadat u gebruikers hebt gesynchroniseerd met uw Microsoft Entra-adreslijst contoso.onmicrosoft.com. Hiervoor moet u contoso.com toevoegen en verifiëren als een aangepast domein in Microsoft Entra ID voordat u de gebruikers kunt synchroniseren. Als het UPN-achtervoegsel van John, bijvoorbeeld contoso.com, niet overeenkomt met een geverifieerd domein in Microsoft Entra-id, vervangt Microsoft Entra ID het UPN-achtervoegsel door contoso.onmicrosoft.com.
Niet-routeerbare on-premises domeinen en UPN voor Microsoft Entra-id
Sommige organisaties hebben niet-routeerbare domeinen, zoals contoso.local of eenvoudige domeinen met één label, zoals contoso. U kunt een niet-routeerbaar domein in Microsoft Entra-id niet verifiëren. Microsoft Entra Verbinding maken kan alleen synchroniseren met een geverifieerd domein in Microsoft Entra-id. Wanneer u een Microsoft Entra-directory maakt, wordt er een routeerbaar domein gemaakt dat standaarddomein wordt voor uw Microsoft Entra-id, bijvoorbeeld contoso.onmicrosoft.com. Daarom is het nodig om elk ander routeerbaar domein in een dergelijk scenario te verifiëren als u niet wilt synchroniseren met het standaarddomein onmicrosoft.com.
Lees Uw aangepaste domeinnaam toevoegen aan Microsoft Entra ID voor meer informatie over het toevoegen en verifiëren van domeinen.
Microsoft Entra Verbinding maken detecteert of u in een niet-routeerbare domeinomgeving werkt en u op de juiste manier zou waarschuwen voor snelle instellingen. Als u in een niet-routeerbaar domein werkt, heeft de UPN van de gebruikers waarschijnlijk ook niet-routeerbare achtervoegsels. Als u bijvoorbeeld werkt onder contoso.local, stelt Microsoft Entra Verbinding maken u voor om aangepaste instellingen te gebruiken in plaats van express-instellingen te gebruiken. Met behulp van aangepaste instellingen kunt u het kenmerk opgeven dat moet worden gebruikt als UPN om u aan te melden bij Microsoft Entra ID nadat de gebruikers zijn gesynchroniseerd met Microsoft Entra ID.
Volgende stappen
Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra-id.