Share via

Microsoft Entra Connect: zagadnienia dotyczące projektowania

  • Artykuł

Celem tego dokumentu jest opisanie obszarów, które należy wziąć pod uwagę podczas konfigurowania Połączenie firmy Microsoft. Ten dokument zawiera szczegółowe informacje na temat niektórych obszarów, a te pojęcia zostały krótko opisane w innych dokumentach.

sourceAnchor

Atrybut sourceAnchor jest definiowany jako atrybut niezmienny w okresie istnienia obiektu. Jednoznacznie identyfikuje obiekt jako ten sam obiekt lokalnie i w identyfikatorze Entra firmy Microsoft. Atrybut jest również nazywany niezmiennymIdem , a dwie nazwy są używane zamiennie.

Słowo niezmienne, czyli "nie można go zmienić", jest ważne dla tego dokumentu. Ponieważ nie można zmienić wartości tego atrybutu po jego ustawieniu, ważne jest, aby wybrać projekt, który obsługuje twój scenariusz.

Atrybut jest używany w następujących scenariuszach:

  • Gdy nowy serwer aparatu synchronizacji zostanie skompilowany lub utworzony po scenariuszu odzyskiwania po awarii, ten atrybut łączy istniejące obiekty w identyfikatorze Entra firmy Microsoft z obiektami lokalnymi.
  • Jeśli przeniesiesz się z tożsamości tylko do chmury do zsynchronizowanego modelu tożsamości, ten atrybut umożliwia obiektom "twarde dopasowanie" istniejących obiektów w identyfikatorze Entra firmy Microsoft z obiektami lokalnymi.
  • Jeśli używasz federacji, ten atrybut wraz z userPrincipalName jest używany w oświadczeniu w celu unikatowego zidentyfikowania użytkownika.

W tym temacie omówiono tylko element sourceAnchor w odniesieniu do użytkowników. Te same reguły dotyczą wszystkich typów obiektów, ale dotyczy to tylko użytkowników, których problem dotyczy zwykle.

Wybieranie dobrego atrybutu sourceAnchor

Wartość atrybutu musi być zgodna z następującymi regułami:

  • Długość mniej niż 60 znaków
    • Znaki nie są znakami a-z, A-Z lub 0-9 są kodowane i liczone jako 3 znaki
  • Nie zawiera znaku specjalnego: \ ! # $ % & * + / = ? ^ ' { } | ~ <> ( ) ' ; : , [ ] " @ _
  • Musi ona być unikatowa w skali globalnej
  • Musi być ciągiem, liczbą całkowitą lub binarnym
  • Nie należy opierać się na nazwie użytkownika, ponieważ mogą one ulec zmianie
  • Nie należy uwzględniać wielkości liter i unikać wartości, które mogą się różnić w zależności od wielkości liter
  • Należy przypisać podczas tworzenia obiektu

Jeśli wybrany element sourceAnchor nie jest ciągiem typu, firma Microsoft Połączenie Base64Encode wartość atrybutu, aby upewnić się, że nie są wyświetlane żadne znaki specjalne. Jeśli używasz innego serwera federacyjnego niż usługi ADFS, upewnij się, że serwer może również zakodować atrybut Base64Encode.

Atrybut sourceAnchor uwzględnia wielkość liter. Wartość "JohnDoe" nie jest taka sama jak "johndoe". Nie należy jednak mieć dwóch różnych obiektów z różnicą tylko w przypadku.

Jeśli masz lokalny pojedynczy las, należy użyć atrybutu objectGUID. Jest to również atrybut używany podczas korzystania z ustawień ekspresowych w usłudze Microsoft Entra Połączenie, a także atrybutu używanego przez narzędzie DirSync.

Jeśli masz wiele lasów i nie przenosisz użytkowników między lasami i domenami, identyfikator objectGUID jest dobrym atrybutem do użycia nawet w tym przypadku.

Jeśli przenosisz użytkowników między lasami i domenami, musisz znaleźć atrybut, który nie ulegnie zmianie lub może zostać przeniesiony z użytkownikami podczas przenoszenia. Zalecanym podejściem jest wprowadzenie atrybutu syntetycznego. Atrybut, który może zawierać coś, co wygląda jak identyfikator GUID, będzie odpowiedni. Podczas tworzenia obiektu tworzony jest nowy identyfikator GUID i oznaczany przez użytkownika. Niestandardową regułę synchronizacji można utworzyć na serwerze aparatu synchronizacji, aby utworzyć tę wartość na podstawie identyfikatora objectGUID i zaktualizować wybrany atrybut w usługach AD DS. Podczas przenoszenia obiektu pamiętaj, aby skopiować również zawartość tej wartości.

Innym rozwiązaniem jest wybranie istniejącego atrybutu, który wiesz, że nie zmienia się. Często używane atrybuty to employeeID. Jeśli rozważysz atrybut zawierający litery, upewnij się, że wielkość liter (wielkie litery i małe litery) może ulec zmianie dla wartości atrybutu. Nieprawidłowe atrybuty, które nie powinny być używane, obejmują te atrybuty z nazwą użytkownika. W małżeństwie lub rozwodzie nazwa ma ulec zmianie, co nie jest dozwolone dla tego atrybutu. Jest to również jeden z powodów, dla których atrybuty, takie jak userPrincipalName, mail i targetAddress, nie są nawet możliwe do wybrania w kreatorze instalacji usługi Microsoft Entra Połączenie. Te atrybuty zawierają również znak "@", który nie jest dozwolony w źródleAnchor.

Zmienianie atrybutu sourceAnchor

Nie można zmienić wartości atrybutu sourceAnchor po utworzeniu obiektu w identyfikatorze Entra firmy Microsoft i zsynchronizowaniu tożsamości.

Z tego powodu następujące ograniczenia dotyczą Połączenie firmy Microsoft:

  • Atrybut sourceAnchor można ustawić tylko podczas instalacji początkowej. Jeśli uruchomisz ponownie kreatora instalacji, ta opcja jest tylko do odczytu. Jeśli musisz zmienić to ustawienie, musisz odinstalować i ponownie zainstalować.
  • Jeśli zainstalujesz inny serwer Microsoft Entra Połączenie, musisz wybrać ten sam atrybut sourceAnchor, co wcześniej używane. Jeśli wcześniej używasz narzędzia DirSync i przechodzisz do usługi Microsoft Entra Połączenie, musisz użyć identyfikatora objectGUID, ponieważ jest to atrybut używany przez narzędzie DirSync.
  • Jeśli wartość parametru sourceAnchor zostanie zmieniona po wyeksportowaniu obiektu do identyfikatora Entra firmy Microsoft, usługa Microsoft Entra Połączenie Sync zgłasza błąd i nie zezwala na więcej zmian w tym obiekcie przed rozwiązaniem problemu, a element sourceAnchor zostanie zmieniony z powrotem w katalogu źródłowym.

Używanie atrybutu ms-DS-ConsistencyGuid jako sourceAnchor

Domyślnie microsoft Entra Połączenie (wersja 1.1.486.0 i starsza) używa objectGUID jako atrybutu sourceAnchor. Identyfikator ObjectGUID jest generowany przez system. Nie można określić jej wartości podczas tworzenia lokalnych obiektów usługi AD. Jak wyjaśniono w sekcji sourceAnchor, istnieją scenariusze, w których należy określić wartość sourceAnchor. Jeśli scenariusze mają zastosowanie do Ciebie, należy użyć konfigurowalnego atrybutu usługi AD (na przykład ms-DS-ConsistencyGuid) jako atrybutu sourceAnchor.

Microsoft Entra Połączenie (wersja 1.1.524.0 i nowsze) teraz ułatwia korzystanie z atrybutu ms-DS-ConsistencyGuid jako atrybut sourceAnchor. W przypadku korzystania z tej funkcji firma Microsoft Entra Połączenie automatycznie konfiguruje reguły synchronizacji na:

  1. Użyj atrybutu ms-DS-ConsistencyGuid jako atrybutu sourceAnchor dla obiektów użytkownika. Identyfikator ObjectGUID jest używany dla innych typów obiektów.

  2. W przypadku każdego obiektu użytkownika lokalnej usługi AD, którego atrybut ms-DS-ConsistencyGuid nie został wypełniony, firma Microsoft Entra Połączenie zapisuje wartość objectGUID z powrotem do atrybutu ms-DS-ConsistencyGuid w lokalna usługa Active Directory. Po wypełnieniu atrybutu ms-DS-ConsistencyGuid firma Microsoft Entra Połączenie następnie eksportuje obiekt do identyfikatora Entra firmy Microsoft.

Uwaga

Po zaimportowaniu lokalnego obiektu usługi AD do usługi Microsoft Entra Połączenie (czyli zaimportowanego do obszaru usługi AD Połączenie or i przewidywanego do metaverse), nie można już zmienić jego wartości sourceAnchor. Aby określić wartość sourceAnchor dla danego lokalnego obiektu usługi AD, skonfiguruj jego atrybut ms-DS-ConsistencyGuid przed zaimportowanie go do usługi Microsoft Entra Połączenie.

Wymagane uprawnienie

Aby ta funkcja działała, konto usług AD DS używane do synchronizacji z lokalna usługa Active Directory musi mieć przyznane uprawnienie do zapisu do atrybutu ms-DS-ConsistencyGuid w lokalna usługa Active Directory.

Jak włączyć funkcję ConsistencyGuid — nowa instalacja

Podczas nowej instalacji można włączyć użycie elementu ConsistencyGuid jako sourceAnchor. W tej sekcji szczegółowo opisano instalację ekspresową i niestandardową.

Uwaga

Tylko nowsze wersje usługi Microsoft Entra Połączenie (1.1.524.0 i nowsze) obsługują korzystanie z klasy ConsistencyGuid jako sourceAnchor podczas nowej instalacji.

Jak włączyć funkcję ConsistencyGuid

Instalacja ekspresowa

Podczas instalowania aplikacji Microsoft Entra Połączenie z trybem ekspresowym kreator Microsoft Entra Połączenie automatycznie określa najbardziej odpowiedni atrybut usługi AD do użycia jako atrybut sourceAnchor przy użyciu następującej logiki:

  • Najpierw kreator microsoft Entra Połączenie wysyła zapytanie do dzierżawy firmy Microsoft Entra w celu pobrania atrybutu usługi AD używanego jako atrybut sourceAnchor w poprzedniej instalacji microsoft Entra Połączenie (jeśli istnieje). Jeśli te informacje są dostępne, firma Microsoft Entra Połączenie używa tego samego atrybutu usługi AD.

    Uwaga

    Tylko nowsze wersje programu Microsoft Entra Połączenie (1.1.524.0 i nowsze) przechowują informacje w dzierżawie firmy Microsoft Entra o atrybucie sourceAnchor używanym podczas instalacji. Starsze wersje firmy Microsoft Entra Połączenie nie.

  • Jeśli informacje o używanym atrybucie sourceAnchor nie są dostępne, kreator sprawdza stan atrybutu ms-DS-ConsistencyGuid w lokalna usługa Active Directory. Jeśli atrybut nie jest skonfigurowany w żadnym obiekcie w katalogu, kreator używa atrybutu ms-DS-ConsistencyGuid jako atrybutu sourceAnchor. Jeśli atrybut jest skonfigurowany na co najmniej jednym obiekcie w katalogu, kreator stwierdza, że atrybut jest używany przez inne aplikacje i nie jest odpowiedni jako atrybut sourceAnchor...

  • W tym przypadku kreator wraca do używania identyfikatora objectGUID jako atrybutu sourceAnchor.

  • Po podjęciu decyzji o atrybucie sourceAnchor kreator przechowuje informacje w dzierżawie firmy Microsoft Entra. Informacje będą używane przez przyszłą instalację usługi Microsoft Entra Połączenie.

Po zakończeniu instalacji ekspresowej kreator informuje, który atrybut został wybrany jako atrybut kotwicy źródła.

Wizard informs AD attribute picked for sourceAnchor

Instalacja niestandardowa

Podczas instalowania programu Microsoft Entra Połączenie z trybem niestandardowym kreator Microsoft Entra Połączenie udostępnia dwie opcje podczas konfigurowania atrybutu sourceAnchor:

Custom installation - sourceAnchor configuration

Ustawienie opis
Pozwól firmie Microsoft Entra ID zarządzać kotwicą źródłową dla mnie Wybierz tę opcję, jeśli chcesz, aby identyfikator Entra firmy Microsoft wybrał atrybut. W przypadku wybrania tej opcji kreator microsoft Entra Połączenie stosuje tę samą logikę wyboru atrybutu sourceAnchor używaną podczas instalacji ekspresowej. Podobnie jak w przypadku instalacji ekspresowej kreator informuje o tym, który atrybut został wybrany jako atrybut Kotwica źródła po zakończeniu instalacji niestandardowej.
Określony atrybut Wybierz tę opcję, jeśli chcesz określić istniejący atrybut usługi AD jako atrybut sourceAnchor.

Jak włączyć funkcję ConsistencyGuid — istniejące wdrożenie

Jeśli masz istniejące wdrożenie microsoft Entra Połączenie, które używa objectGUID jako atrybutu kotwicy źródłowej, możesz przełączyć go na wartość ConsistencyGuid.

Uwaga

Tylko nowsze wersje usługi Microsoft Entra Połączenie (1.1.552.0 i nowsze) obsługują przełączanie z ObjectGuid na ConsistencyGuid jako atrybut kotwicy źródłowej.

Aby przełączyć się z objectGUID na ConsistencyGuid jako atrybut kotwicy źródłowej:

  1. Uruchom kreatora microsoft Entra Połączenie i kliknij przycisk Konfiguruj, aby przejść do ekranu Zadania.

  2. Wybierz opcję Konfiguruj zakotwiczenie źródła i kliknij przycisk Dalej.

    Enable ConsistencyGuid for existing deployment - step 2

  3. Wprowadź poświadczenia Administracja istratora firmy Microsoft, a następnie kliknij przycisk Dalej.

  4. Kreator Połączenie firmy Microsoft analizuje stan atrybutu ms-DS-ConsistencyGuid w lokalna usługa Active Directory. Jeśli atrybut nie jest skonfigurowany na żadnym obiekcie w katalogu, Microsoft Entra Połączenie stwierdza, że żadna inna aplikacja nie używa obecnie atrybutu i jest bezpieczna do użycia jako atrybut kotwicy źródła. Kliknij przycisk Dalej, aby kontynuować.

    Enable ConsistencyGuid for existing deployment - step 4

  5. Na ekranie Gotowe do skonfigurowania kliknij pozycję Konfiguruj , aby wprowadzić zmianę konfiguracji.

    Enable ConsistencyGuid for existing deployment - step 5

  6. Po zakończeniu konfiguracji kreator wskazuje, że atrybut ms-DS-ConsistencyGuid jest teraz używany jako atrybut kotwicy źródłowej.

    Enable ConsistencyGuid for existing deployment - step 6

Podczas analizy (krok 4), jeśli atrybut jest skonfigurowany na co najmniej jednym obiekcie w katalogu, kreator stwierdza, że atrybut jest używany przez inną aplikację i zwraca błąd, jak pokazano na poniższym diagramie. Ten błąd może również wystąpić, jeśli wcześniej włączono funkcję ConsistencyGuid na podstawowym serwerze Microsoft Entra Połączenie i próbujesz to zrobić na serwerze przejściowym.

Enable ConsistencyGuid for existing deployment - error

Jeśli masz pewność, że atrybut nie jest używany przez inne istniejące aplikacje, możesz pominąć błąd, uruchamiając ponownie kreatora Microsoft Entra Połączenie z określonym przełącznikiem /SkipLdapSearch. W tym celu uruchom następujące polecenie w wierszu polecenia:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Wpływ na konfigurację federacyjną usług AD FS lub innej firmy

Jeśli używasz usługi Microsoft Entra Połączenie do zarządzania lokalnym wdrożeniem usług AD FS, firma Microsoft Entra Połączenie automatycznie aktualizuje reguły oświadczeń, aby używać tego samego atrybutu usługi AD co sourceAnchor. Dzięki temu oświadczenie ImmutableID wygenerowane przez usługę ADFS jest zgodne z wartościami sourceAnchor wyeksportowanymi do identyfikatora Entra firmy Microsoft.

Jeśli zarządzasz usługami AD FS poza firmą Microsoft Entra Połączenie lub używasz serwerów federacyjnych innych firm do uwierzytelniania, musisz ręcznie zaktualizować reguły oświadczeń dla oświadczenia ImmutableID, aby były zgodne z wartościami sourceAnchor wyeksportowanymi do identyfikatora Entra firmy Microsoft zgodnie z opisem w sekcji artykułu Modyfikowanie reguł oświadczeń usług AD FS. Kreator zwraca następujące ostrzeżenie po zakończeniu instalacji:

Third-party federation configuration

Dodawanie nowych katalogów do istniejącego wdrożenia

Załóżmy, że wdrożono aplikację Microsoft Entra Połączenie z włączoną funkcją ConsistencyGuid, a teraz chcesz dodać kolejny katalog do wdrożenia. Podczas próby dodania katalogu kreator Microsoft Entra Połączenie sprawdza stan atrybutu ms-DS-ConsistencyGuid w katalogu. Jeśli atrybut jest skonfigurowany na co najmniej jednym obiekcie w katalogu, kreator stwierdza, że atrybut jest używany przez inne aplikacje i zwraca błąd, jak pokazano na poniższym diagramie. Jeśli masz pewność, że atrybut nie jest używany przez istniejące aplikacje, możesz pominąć błąd, uruchamiając ponownie kreatora Microsoft Entra Połączenie z przełącznikiem /SkipLdapSearch określonym zgodnie z powyższym opisem lub musisz skontaktować się z pomocą techniczną, aby uzyskać więcej informacji.

Adding new directories to existing deployment

Logowanie w usłudze Microsoft Entra

Podczas integrowania katalogu lokalnego z identyfikatorem Entra firmy Microsoft ważne jest, aby zrozumieć, jak ustawienia synchronizacji mogą mieć wpływ na sposób uwierzytelniania użytkownika. Identyfikator entra firmy Microsoft używa nazwy userPrincipalName (UPN) do uwierzytelniania użytkownika. Jednak podczas synchronizowania użytkowników należy dokładnie wybrać atrybut, który ma być używany dla wartości userPrincipalName.

Wybieranie atrybutu userPrincipalName

Po wybraniu atrybutu w celu podania wartości nazwy UPN, która ma być używana w identyfikatorze Entra firmy Microsoft, należy upewnić się, że

  • Wartości atrybutów są zgodne ze składnią nazwy UPN (RFC 822), powinny być w formacie username@domain
  • Sufiks w wartościach jest zgodny z jedną ze zweryfikowanych domen niestandardowych w identyfikatorze Entra firmy Microsoft

W ustawieniach ekspresowych zakładany wybór atrybutu to userPrincipalName. Jeśli atrybut userPrincipalName nie zawiera wartości, którą użytkownicy mają zalogować się do identyfikatora Entra firmy Microsoft, musisz wybrać pozycję Instalacja niestandardowa.

Uwaga

Najlepszym rozwiązaniem jest, aby prefiks nazwy UPN zawierał więcej niż jeden znak.

Stan domeny niestandardowej i nazwa UPN

Ważne jest, aby upewnić się, że istnieje zweryfikowana domena dla sufiksu nazwy UPN.

Jan jest użytkownikiem contoso.com. Chcesz, aby jan używał lokalnej nazwy UPN john@contoso.com do logowania się do identyfikatora Entra firmy Microsoft po zsynchronizowaniu użytkowników z katalogem Microsoft Entra contoso.onmicrosoft.com. W tym celu należy dodać i zweryfikować contoso.com jako domenę niestandardową w usłudze Microsoft Entra ID, zanim będzie można rozpocząć synchronizowanie użytkowników. Jeśli sufiks nazwy UPN Jan, na przykład contoso.com, nie pasuje do zweryfikowanej domeny w identyfikatorze Entra firmy Microsoft, identyfikator Entra firmy Microsoft zastępuje sufiks nazwy UPN contoso.onmicrosoft.com.

Domeny lokalne bez routingu i nazwa UPN dla identyfikatora Entra firmy Microsoft

Niektóre organizacje mają domeny bez routingu, takie jak contoso.local lub proste domeny z pojedynczą etykietą, takie jak contoso. Nie możesz zweryfikować domeny bez routingu w identyfikatorze Entra firmy Microsoft. Firma Microsoft Entra Połączenie może przeprowadzić synchronizację tylko ze zweryfikowaną domeną w identyfikatorze Entra firmy Microsoft. Podczas tworzenia katalogu Microsoft Entra tworzy on domenę routingu, która staje się domeną domyślną dla twojego identyfikatora Entra firmy Microsoft, na przykład contoso.onmicrosoft.com. W związku z tym konieczne jest zweryfikowanie dowolnej innej domeny routingu w takim scenariuszu, jeśli nie chcesz synchronizować się z domyślną domeną onmicrosoft.com.

Przeczytaj Dodawanie niestandardowej nazwy domeny do identyfikatora entra firmy Microsoft, aby uzyskać więcej informacji na temat dodawania i weryfikowania domen.

Firma Microsoft Entra Połączenie wykrywa, czy korzystasz ze środowiska domeny bez routingu i odpowiednio ostrzega cię przed rozpoczęciem korzystania z ustawień ekspresowych. Jeśli pracujesz w domenie bez routingu, prawdopodobnie nazwa UPN użytkowników również ma sufiksy bez routingu. Jeśli na przykład korzystasz z domeny contoso.local, firma Microsoft Entra Połączenie sugeruje użycie ustawień niestandardowych zamiast używania ustawień ekspresowych. Za pomocą ustawień niestandardowych możesz określić atrybut, który powinien być używany jako nazwa UPN do logowania się do identyfikatora Entra firmy Microsoft po zsynchronizowaniu użytkowników z identyfikatorem Entra firmy Microsoft.

Następne kroki

Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.