Delen via


Microsoft Entra Connect: Ontwerpconcepten

Het doel van dit document is om gebieden te beschrijven die moeten worden overwogen tijdens het configureren van Microsoft Entra Connect. Dit document is een uitgebreide beschrijving van bepaalde domeinen en deze concepten worden ook kort beschreven in andere documenten.

sourceAnchor

Het kenmerk sourceAnchor is gedefinieerd als een kenmerk dat onveranderbaar is tijdens de levensduur van een gebruikersobject. Het identificeert een object op unieke wijze als hetzelfde object on-premises en in Microsoft Entra-id. Het kenmerk wordt ook wel immutableId genoemd en de twee namen worden door elkaar gebruikt.

Het woord onveranderbaar, dat is 'kan niet worden gewijzigd', is belangrijk voor dit document. Omdat de waarde van dit kenmerk niet kan worden gewijzigd nadat het is ingesteld, is het belangrijk om een ontwerp te kiezen dat uw scenario ondersteunt.

Het kenmerk wordt gebruikt voor de volgende scenario's:

  • Wanneer een nieuwe synchronisatie-engineserver wordt gebouwd of opnieuw wordt opgebouwd na een noodherstelscenario, koppelt dit kenmerk bestaande objecten in Microsoft Entra-id aan objecten on-premises.
  • Als u overstapt van een identiteit in de cloud naar een gesynchroniseerd identiteitsmodel, staat dit kenmerk toe dat objecten bestaande objecten in Microsoft Entra ID 'hard matchen' met on-premises objecten.
  • Als u federatie gebruikt, wordt dit kenmerk samen met de userPrincipalName gebruikt in de claim om een gebruiker uniek te identificeren.

In dit onderwerp wordt alleen gesproken over sourceAnchor, omdat het betrekking heeft op gebruikers. Dezelfde regels zijn van toepassing op alle objecttypen, maar dit probleem is meestal alleen voor gebruikers van belang.

Een goed sourceAnchor-kenmerk selecteren

De kenmerkwaarde moet voldoen aan de volgende regels:

  • Minder dan 60 tekens lang
    • Tekens die geen a-z, A-Z of 0-9 zijn, worden gecodeerd en worden geteld als 3 tekens
  • Bevatten geen speciaal teken: \ ! # $ % & * + / = ? ^ ` { } | ~ <> ( ) ' ; : , [ ] " @ _
  • Moet wereldwijd uniek zijn
  • Moet een tekenreeks, geheel getal of binair getal zijn
  • Mag niet zijn gebaseerd op de naam van de gebruiker, omdat deze kunnen worden gewijzigd
  • Mag niet hoofdlettergevoelig zijn en waarden vermijden die per hoofdletter kunnen verschillen
  • Moet worden toegewezen wanneer het object wordt gemaakt

Als de geselecteerde sourceAnchor niet van het type tekenreeks is, wordt de kenmerkwaarde door Microsoft Entra Connect Base64Encode gebruikt om ervoor te zorgen dat er geen speciale tekens worden weergegeven. Als u een andere federatieserver gebruikt dan ADFS, moet u ervoor zorgen dat uw server ook Base64Encode kan uitvoeren op het kenmerk.

Het kenmerk sourceAnchor is hoofdlettergevoelig. De waarde 'JohnDoe' is niet hetzelfde als 'johndoe'. Maar u mag niet twee verschillende objecten hebben met slechts een verschil in het geval van een verschil.

Als u één forest on-premises hebt, is het kenmerk dat u moet gebruiken objectGUID. Dit is ook het kenmerk dat wordt gebruikt wanneer u snelle instellingen gebruikt in Microsoft Entra Connect en ook het kenmerk dat wordt gebruikt door DirSync.

Als u meerdere forests hebt en gebruikers niet verplaatst tussen forests en domeinen, is objectGUID een goed kenmerk dat u zelfs in dit geval kunt gebruiken.

Als u gebruikers tussen forests en domeinen verplaatst, moet u tijdens de verplaatsing een kenmerk vinden dat niet wordt gewijzigd of met de gebruikers kan worden verplaatst. Een aanbevolen benadering is het introduceren van een synthetisch kenmerk. Een kenmerk dat iets kan bevatten dat eruitziet als een GUID, zou geschikt zijn. Tijdens het maken van een object wordt een nieuwe GUID gemaakt en op de gebruiker gestempeld. Er kan een aangepaste synchronisatieregel worden gemaakt op de synchronisatie-engineserver om deze waarde te maken op basis van de objectGUID en het geselecteerde kenmerk in AD DS bij te werken. Wanneer u het object verplaatst, moet u ook de inhoud van deze waarde kopiëren.

Een andere oplossing is het kiezen van een bestaand kenmerk dat u weet niet verandert. Veelgebruikte kenmerken zijn onder meer employeeID. Als u een kenmerk met letters beschouwt, moet u ervoor zorgen dat het hoofdlettergebruik (hoofdletters en kleine letters) niet kan worden gewijzigd voor de waarde van het kenmerk. Ongeldige kenmerken die niet moeten worden gebruikt, bevatten deze kenmerken met de naam van de gebruiker. In een huwelijk of scheiding wordt verwacht dat de naam verandert, wat niet is toegestaan voor dit kenmerk. Dit is ook een reden waarom kenmerken zoals userPrincipalName, mail en targetAddress niet eens kunnen worden geselecteerd in de installatiewizard van Microsoft Entra Connect. Deze kenmerken bevatten ook het teken @, dat niet is toegestaan in sourceAnchor.

Het kenmerk sourceAnchor wijzigen

De kenmerkwaarde sourceAnchor kan niet worden gewijzigd nadat het object is gemaakt in Microsoft Entra-id en de identiteit wordt gesynchroniseerd.

Daarom gelden de volgende beperkingen voor Microsoft Entra Connect:

  • Het kenmerk sourceAnchor kan alleen worden ingesteld tijdens de eerste installatie. Als u de installatiewizard opnieuw uitvoert, is deze optie alleen-lezen. Als u deze instelling wilt wijzigen, moet u de installatie ongedaan maken en opnieuw installeren.
  • Als u een andere Microsoft Entra Connect-server installeert, moet u hetzelfde sourceAnchor-kenmerk selecteren als eerder gebruikt. Als u eerder DirSync hebt gebruikt en naar Microsoft Entra Connect bent overgegaan, moet u objectGUID gebruiken omdat dat het kenmerk is dat door DirSync wordt gebruikt.
  • Als de waarde voor sourceAnchor wordt gewijzigd nadat het object is geëxporteerd naar Microsoft Entra-id, genereert Microsoft Entra Connect Sync een fout en staat geen wijzigingen meer toe aan dat object voordat het probleem is opgelost en wordt sourceAnchor weer gewijzigd in de bronmap.

Ms-DS-ConsistencyGuid gebruiken als sourceAnchor

Microsoft Entra Connect (versie 1.1.486.0 en ouder) maakt standaard gebruik van objectGUID als het kenmerk sourceAnchor. ObjectGUID wordt door het systeem gegenereerd. U kunt de waarde ervan niet opgeven bij het maken van on-premises AD-objecten. Zoals uitgelegd in sectie sourceAnchor, zijn er scenario's waarin u de sourceAnchor-waarde moet opgeven. Als de scenario's voor u van toepassing zijn, moet u een configureerbaar AD-kenmerk (bijvoorbeeld ms-DS-ConsistencyGuid) gebruiken als sourceAnchor-kenmerk.

Microsoft Entra Connect (versie 1.1.524.0 en later) faciliteert nu het gebruik van ms-DS-ConsistencyGuid als sourceAnchor-kenmerk. Wanneer u deze functie gebruikt, configureert Microsoft Entra Connect automatisch de synchronisatieregels voor:

  1. het gebruik van ms-DS-ConsistencyGuid als sourceAnchor-kenmerk voor gebruikersobjecten. ObjectGUID wordt gebruikt voor andere objecttypen.

  2. Voor elk on-premises AD-gebruikersobject waarvan het kenmerk ms-DS-ConsistencyGuid niet is ingevuld, schrijft Microsoft Entra Connect de objectGUID-waarde terug naar het kenmerk ms-DS-ConsistencyGuid in on-premises Active Directory. Nadat het kenmerk ms-DS-ConsistencyGuid is ingevuld, exporteert Microsoft Entra Connect het object vervolgens naar de Microsoft Entra-id.

Notitie

Zodra een on-premises AD-object is geïmporteerd in Microsoft Entra Connect (dat wil gezegd, geïmporteerd in de AD-connectorruimte en geprojecteerd in de Metaverse), kunt u de sourceAnchor-waarde niet meer wijzigen. Als u de sourceAnchor-waarde voor een bepaald on-premises AD-object wilt opgeven, configureert u het kenmerk ms-DS-ConsistencyGuid voordat deze wordt geïmporteerd in Microsoft Entra Connect.

Machtiging is vereist

Deze functie werkt alleen als aan het AD DS-account dat wordt gebruikt voor synchronisatie met on-premises Active Directory schrijfmachtigingen worden verleend voor het kenmerk ms-DS-ConsistencyGuid in on-premises Active Directory.

De functie ConsistencyGuid inschakelen - Nieuwe installatie

U kunt het gebruik van ConsistencyGuid als sourceAnchor inschakelen tijdens de nieuwe installatie. In deze sectie worden zowel de snelle als aangepaste installatie uitgebreid behandeld.

Notitie

Alleen nieuwere versies van Microsoft Entra Connect (1.1.524.0 en na) ondersteunen het gebruik van ConsistencyGuid als sourceAnchor tijdens de nieuwe installatie.

De functie ConsistencyGuid inschakelen

Snelle installatie

Wanneer u Microsoft Entra Connect installeert met de Express-modus, bepaalt de Microsoft Entra Connect-wizard automatisch het meest geschikte AD-kenmerk dat moet worden gebruikt als het kenmerk sourceAnchor met behulp van de volgende logica:

  • Eerst vraagt de Microsoft Entra Connect-wizard uw Microsoft Entra-tenant op om het AD-kenmerk op te halen dat wordt gebruikt als het kenmerk sourceAnchor in de vorige Microsoft Entra Connect-installatie (indien van toepassing). Als deze informatie beschikbaar is, gebruikt Microsoft Entra Connect hetzelfde AD-kenmerk.

    Notitie

    Alleen nieuwere versies van Microsoft Entra Connect (1.1.524.0 en na) slaan informatie op in uw Microsoft Entra-tenant over het kenmerk sourceAnchor dat tijdens de installatie wordt gebruikt. Oudere versies van Microsoft Entra Connect niet.

  • Als informatie over het gebruikte sourceAnchor-kenmerk niet beschikbaar is, controleert de wizard de status van het kenmerk ms-DS-ConsistencyGuid in uw on-premises Active Directory. Als het kenmerk niet is geconfigureerd voor een object in de map, gebruikt de wizard ms-DS-ConsistencyGuid als sourceAnchor-kenmerk. Als het kenmerk is geconfigureerd voor een of meer objecten in de map, wordt het kenmerk door andere toepassingen gebruikt en is het kenmerk niet geschikt als sourceAnchor-kenmerk...

  • In dat geval valt de wizard terug op het gebruik van objectGUID als sourceAnchor-kenmerk.

  • Zodra het kenmerk sourceAnchor is besloten, slaat de wizard de informatie op in uw Microsoft Entra-tenant. De informatie wordt gebruikt door toekomstige installatie van Microsoft Entra Connect.

De wizard geeft aan welk kenmerk is geselecteerd als sourceAnchor-kenmerk nadat de snelle installatie is voltooid.

De wizard geeft aan welk AD-kenmerk als sourceAnchor is geselecteerd

Aangepaste installatie

Bij het installeren van Microsoft Entra Connect met de aangepaste modus biedt de wizard Microsoft Entra Connect twee opties bij het configureren van het kenmerk sourceAnchor:

Aangepaste installatie - sourceAnchor-configuratie

Instelling Beschrijving
Microsoft Entra ID het bronanker voor mij laten beheren Selecteer deze optie als u wilt dat Microsoft Entra ID het kenmerk voor u kiest. Als u deze optie selecteert, past de Microsoft Entra Connect-wizard dezelfde bronAnchor-kenmerkselectielogica toe die tijdens de installatie van Express wordt gebruikt. Net als bij de snelle installatie geeft de wizard aan welk kenmerk is geselecteerd als sourceAnchor-kenmerk nadat de aangepaste installatie is voltooid.
Een specifiek kenmerk Selecteer deze optie als u een bestaand AD-kenmerk opgeeft als het kenmerk sourceAnchor.

De functie ConsistencyGuid inschakelen - Bestaande implementatie

Als u een bestaande Microsoft Entra Connect-implementatie hebt die objectGUID als het kenmerk Source Anchor gebruikt, kunt u deze in plaats daarvan overschakelen naar ConsistencyGuid.

Notitie

Alleen nieuwere versies van Microsoft Entra Connect (1.1.552.0 en na) ondersteunen het overschakelen van ObjectGuid naar ConsistencyGuid als het kenmerk Source Anchor.

Overschakelen van objectGUID naar ConsistencyGuid als sourceAnchor-kenmerk:

  1. Start de wizard Microsoft Entra Connect en klik op Configureren om naar het scherm Taken te gaan.

  2. Selecteer de optie sourceAnchor configureren en klik op Volgende.

    ConsistencyGuid inschakelen voor een bestaande implementatie - stap 2

  3. Voer de referenties van uw Microsoft Entra-beheerder in en klik op Volgende.

  4. De Microsoft Entra Connect-wizard analyseert de status van het kenmerk ms-DS-ConsistencyGuid in uw on-premises Active Directory. Als het kenmerk niet is geconfigureerd voor een object in de map, concludeert Microsoft Entra Connect dat er momenteel geen andere toepassing het kenmerk gebruikt en veilig is om het te gebruiken als het kenmerk Source Anchor. Klik op Volgende om verder te gaan.

    ConsistencyGuid inschakelen voor een bestaande implementatie - stap 4

  5. Klik in het scherm Gereed om te configureren op Configureren om de configuratie te wijzigen.

    ConsistencyGuid inschakelen voor een bestaande implementatie - stap 5

  6. Zodra de configuratie is voltooid, geeft de wizard aan dat ms-DS-ConsistencyGuid nu wordt gebruikt als sourceAnchor-kenmerk.

    ConsistencyGuid inschakelen voor een bestaande implementatie - stap 6

Als het kenmerk tijdens de analyse (stap 4) is geconfigureerd voor een of meer objecten in de map, wordt het kenmerk door een andere toepassing gebruikt en wordt een fout geretourneerd, zoals wordt geïllustreerd in het onderstaande diagram. Deze fout kan ook optreden als u de functie ConsistencyGuid eerder hebt ingeschakeld op uw primaire Microsoft Entra Connect-server en u probeert hetzelfde te doen op uw faseringsserver.

ConsistencyGuid inschakelen voor een bestaande implementatie - fout

Als u zeker weet dat het kenmerk niet wordt gebruikt door andere bestaande toepassingen, kunt u de fout onderdrukken door de wizard Microsoft Entra Connect opnieuw te starten met de opgegeven switch /SkipLdapSearch . Voer hiervoor de volgende opdracht uit in de opdrachtprompt:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Invloed op de configuratie van AD FS of federatie van derden

Als u Microsoft Entra Connect gebruikt om on-premises AD FS-implementatie te beheren, werkt Microsoft Entra Connect automatisch de claimregels bij om hetzelfde AD-kenmerk te gebruiken als sourceAnchor. Dit zorgt ervoor dat de immutableID-claim die door ADFS wordt gegenereerd, consistent is met de sourceAnchor-waarden die zijn geëxporteerd naar Microsoft Entra-id.

Als u AD FS buiten Microsoft Entra Connect beheert of als u federatieservers van derden gebruikt voor verificatie, moet u de claimregels voor ImmutableID-claim handmatig bijwerken om consistent te zijn met de sourceAnchor-waarden die zijn geëxporteerd naar Microsoft Entra-id, zoals beschreven in artikelsectie AD FS-claimregels wijzigen. De wizard retourneert de volgende waarschuwing nadat de installatie is voltooid:

Configuratie van federatie van derden

Nieuwe mappen toevoegen aan een bestaande implementatie

Stel dat u Microsoft Entra Connect hebt geïmplementeerd met de functie ConsistencyGuid ingeschakeld en nu wilt u een andere map toevoegen aan de implementatie. Wanneer u de map probeert toe te voegen, controleert de Microsoft Entra Connect-wizard de status van het kenmerk ms-DS-ConsistencyGuid in de map. Als het kenmerk is geconfigureerd voor een of meer objecten in de map, wordt het kenmerk door andere toepassingen gebruikt en wordt een fout geretourneerd, zoals wordt geïllustreerd in het onderstaande diagram. Als u zeker weet dat het kenmerk niet wordt gebruikt door bestaande toepassingen, kunt u de fout onderdrukken door de wizard Microsoft Entra Connect opnieuw te starten met de switch /SkipLdapSearch die hierboven is opgegeven of u moet contact opnemen met ondersteuning voor meer informatie.

Nieuwe mappen toevoegen aan een bestaande implementatie

Microsoft Entra-aanmelding

Tijdens de integratie van uw on-premises adreslijst met Microsoft Entra-id is het belangrijk om te begrijpen hoe de synchronisatie-instellingen van invloed kunnen zijn op de manier waarop de gebruiker zich verifieert. Microsoft Entra ID maakt gebruik van userPrincipalName (UPN) om de gebruiker te verifiëren. Wanneer u uw gebruikers echter synchroniseert, moet u voorzichtig zijn met het kiezen van het kenmerk dat moet worden gebruikt voor de waarde van userPrincipalName.

Het kenmerk voor userPrincipalName kiezen

Wanneer u het kenmerk selecteert voor het opgeven van de waarde van UPN die moet worden gebruikt in Microsoft Entra ID, moet u ervoor zorgen dat

  • De kenmerkwaarden voldoen aan de UPN-syntaxis (RFC 822), deze moet de indeling van username@domain
  • Het achtervoegsel in de waarden komt overeen met een van de geverifieerde aangepaste domeinen in Microsoft Entra-id

Bij snelle instellingen is de veronderstelde keuze voor het kenmerk userPrincipalName. Als het kenmerk userPrincipalName niet de waarde bevat die uw gebruikers moeten aanmelden bij Microsoft Entra ID, moet u Aangepaste installatie kiezen.

Notitie

Als best practice wordt aanbevolen dat het UPN-voorvoegsel meer dan één teken bevat.

Status van aangepast domein en UPN

Het is belangrijk om ervoor te zorgen dat er een geverifieerd domein is voor het UPN-achtervoegsel.

John is een gebruiker in contoso.com. U wilt dat John de on-premises UPN john@contoso.com gebruikt om u aan te melden bij Microsoft Entra ID nadat u gebruikers hebt gesynchroniseerd met uw Microsoft Entra-adreslijst contoso.onmicrosoft.com. Hiervoor moet u contoso.com toevoegen en verifiëren als een aangepast domein in Microsoft Entra ID voordat u de gebruikers kunt synchroniseren. Als het UPN-achtervoegsel van John, bijvoorbeeld contoso.com, niet overeenkomt met een geverifieerd domein in Microsoft Entra-id, vervangt Microsoft Entra ID het UPN-achtervoegsel door contoso.onmicrosoft.com.

Niet-routeerbare on-premises domeinen en UPN voor Microsoft Entra-id

Sommige organisaties hebben niet-routeerbare domeinen, zoals contoso.local of eenvoudige domeinen met één label, zoals contoso. U kunt een niet-routeerbaar domein in Microsoft Entra-id niet verifiëren. Microsoft Entra Connect kan alleen worden gesynchroniseerd met een geverifieerd domein in Microsoft Entra-id. Wanneer u een Microsoft Entra-directory maakt, wordt er een routeerbaar domein gemaakt dat standaarddomein wordt voor uw Microsoft Entra-id, bijvoorbeeld contoso.onmicrosoft.com. Daarom is het nodig om elk ander routeerbaar domein in een dergelijk scenario te verifiëren als u niet wilt synchroniseren met het standaarddomein onmicrosoft.com.

Lees Uw aangepaste domeinnaam toevoegen aan Microsoft Entra ID voor meer informatie over het toevoegen en verifiëren van domeinen.

Microsoft Entra Connect detecteert of u in een niet-routeerbare domeinomgeving wordt uitgevoerd en waarschuwt u op de juiste wijze voor snelle instellingen. Als u in een niet-routeerbaar domein werkt, heeft de UPN van de gebruikers waarschijnlijk ook niet-routeerbare achtervoegsels. Als u bijvoorbeeld werkt onder contoso.local, wordt u door Microsoft Entra Connect voorgesteld om aangepaste instellingen te gebruiken in plaats van express-instellingen te gebruiken. Met behulp van aangepaste instellingen kunt u het kenmerk opgeven dat moet worden gebruikt als UPN om u aan te melden bij Microsoft Entra ID nadat de gebruikers zijn gesynchroniseerd met Microsoft Entra ID.

Volgende stappen

Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra-id.