Microsoft Entra Połączenie: jeśli masz istniejącą dzierżawę

Większość tematów dotyczących korzystania z usługi Microsoft Entra Połączenie zakłada, że zaczynasz od nowej dzierżawy firmy Microsoft Entra i że nie ma tam żadnych użytkowników ani innych obiektów. Jeśli jednak rozpoczęto pracę z dzierżawą firmy Microsoft Entra, wypełniliśmy ją użytkownikami i innymi obiektami, a teraz chcesz użyć Połączenie, ten temat jest przeznaczony dla Ciebie.

Podstawy

Obiekt w usłudze Microsoft Entra ID jest zarządzany w chmurze lub lokalnie. W przypadku jednego obiektu nie można zarządzać niektórymi atrybutami lokalnie i innymi atrybutami w identyfikatorze Entra firmy Microsoft. Każdy obiekt ma flagę wskazującą, gdzie obiekt jest zarządzany.

Możesz zarządzać niektórymi użytkownikami lokalnie i innymi w chmurze. Typowym scenariuszem tej konfiguracji jest organizacja z połączeniem pracowników księgowych i pracowników sprzedaży. Pracownicy księgowi mają lokalne konto usługi AD, ale pracownicy sprzedaży nie mają konta w identyfikatorze Microsoft Entra. Możesz zarządzać niektórymi użytkownikami lokalnie i niektórymi w identyfikatorze Entra firmy Microsoft.

Istnieją pewne dodatkowe obawy, które należy wziąć pod uwagę podczas rozpoczynania zarządzania użytkownikami w identyfikatorze Entra firmy Microsoft, które są również obecne lokalnie, a później chcą korzystać z usługi Microsoft Entra Połączenie.

Synchronizowanie z istniejącymi użytkownikami w usłudze identyfikatora Microsoft Entra

Po rozpoczęciu synchronizacji z firmą Microsoft Entra Połączenie interfejs API usługi Microsoft Entra sprawdza każdy nowy obiekt przychodzący i próbuje znaleźć istniejący obiekt do dopasowania. W tym procesie są używane trzy atrybuty: userPrincipalName, proxyAddresses i sourceAnchor/immutableID. Dopasowanie elementu userPrincipalName lub proxyAddresses jest nazywane "miękkim dopasowaniem". Dopasowanie w źródleAnchor jest znane jako "hard=match". W przypadku atrybutu proxyAddresses tylko wartość smtp:, czyli podstawowy adres e-mail, jest używany do oceny.

Dopasowanie jest oceniane tylko dla nowych obiektów pochodzących z Połączenie. Jeśli zmienisz istniejący obiekt tak, aby był zgodny z dowolnym z tych atrybutów, zostanie wyświetlony błąd.

Jeśli identyfikator Entra firmy Microsoft znajdzie obiekt, w którym wartości atrybutów są takie same jak nowy obiekt przychodzący firmy Microsoft Entra Połączenie, następnie przejmuje obiekt w identyfikatorze Entra firmy Microsoft, a wcześniej zarządzany obiekt w chmurze jest konwertowany na zarządzany lokalnie. Wszystkie atrybuty w usłudze Microsoft Entra ID z wartością w lokalnej usłudze AD są zastępowane odpowiednimi wartościami lokalnymi.

Ostrzeżenie

Ponieważ wszystkie atrybuty w identyfikatorze Entra firmy Microsoft zostaną zastąpione przez wartość lokalną, upewnij się, że masz dobre dane lokalnie. Jeśli na przykład masz tylko zarządzany adres e-mail na platformie Microsoft 365 i nie był aktualizowany w lokalnych usługach AD DS, utracisz wszystkie wartości w usłudze Microsoft Entra ID / Microsoft 365 nie ma w usługach AD DS.

Ważne

Jeśli używasz synchronizacji haseł, która jest zawsze używana przez ustawienia ekspresowe, hasło w usłudze Microsoft Entra ID zostanie zastąpione hasłem w lokalnej usłudze AD. Jeśli użytkownicy są przyzwyczajeni do zarządzania różnymi hasłami, należy poinformować ich, że powinny używać hasła lokalnego podczas instalowania Połączenie.

Poprzednia sekcja i ostrzeżenie należy uwzględnić w planowaniu. Jeśli wprowadzono wiele zmian w identyfikatorze Entra firmy Microsoft, które nie zostały odzwierciedlone w lokalnych usługach AD DS, aby zapobiec utracie danych, należy zaplanować sposób wypełniania usług AD DS zaktualizowanymi wartościami z identyfikatora Entra firmy Microsoft przed zsynchronizowanie obiektów z usługą Microsoft Entra Połączenie.

Jeśli obiekty zostały dopasowane z dopasowaniem miękkim, element sourceAnchor zostanie dodany do obiektu w identyfikatorze Entra firmy Microsoft, aby można było później użyć twardego dopasowania.

Ważne

Firma Microsoft zdecydowanie zaleca synchronizowanie kont lokalnych ze wstępnie istniejącymi kontami administracyjnymi w usłudze Microsoft Entra ID.

Hard-match vs Soft-match

Domyślnie wartość SourceAnchor "abcdefghijklmnopqrstuv==" jest obliczana przez firmę Microsoft Entra Połączenie przy użyciu atrybutu MsDs-ConsistencyGUID (lub ObjectGUID w zależności od konfiguracji) z lokalna usługa Active Directory. Ta wartość atrybutu jest odpowiadającym immutableId w identyfikatorze Entra firmy Microsoft. Gdy program Microsoft Entra Połączenie (aparat synchronizacji) dodaje lub aktualizuje obiekty, identyfikator Entra firmy Microsoft pasuje do obiektu przychodzącego przy użyciu wartości sourceAnchor odpowiadającej atrybutowi ImmutableId istniejącego obiektu w identyfikatorze Entra firmy Microsoft. Jeśli istnieje dopasowanie, firma Microsoft Entra Połączenie przejąć ten obiekt i zaktualizować go właściwościami przychodzącego obiektu lokalna usługa Active Directory w tym, co jest nazywane "twardym dopasowaniem". Gdy identyfikator Entra firmy Microsoft nie może odnaleźć żadnego obiektu o identyfikatorze NiezmiennymId zgodnym z wartością SouceAnchor, próbuje użyć atrybutu userPrincipalName lub primary ProxyAddress, aby znaleźć dopasowanie w tym, co jest znane jako *"soft-match". Dopasowanie miękkie próbuje dopasować obiekty już obecne i zarządzane w usłudze Microsoft Entra ID z dodanymi lub zaktualizowanymi nowymi obiektami przychodzącymi, które reprezentują tę samą jednostkę lokalną. Jeśli identyfikator Entra firmy Microsoft nie może znaleźć twardego lub miękkiego dopasowania dla obiektu przychodzącego, aprowizuje on nowy obiekt w katalogu Microsoft Entra ID. Dodaliśmy opcję konfiguracji, aby wyłączyć twardą funkcję dopasowania w identyfikatorze Entra firmy Microsoft. Zalecamy klientom wyłączenie twardego dopasowywania, chyba że muszą przejąć tylko konta w chmurze.

Aby wyłączyć twarde dopasowywanie, użyj polecenia cmdlet Update-MgDirectoryOnPremiseSynchronization programu Microsoft Graph PowerShell:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Podobnie dodaliśmy opcję konfiguracji, aby wyłączyć opcję dopasowywania nietrwałego w identyfikatorze Entra firmy Microsoft. Zalecamy klientom wyłączenie miękkiego dopasowywania, chyba że muszą przejąć tylko konta w chmurze.

Aby wyłączyć dopasowywanie nietrwałe, użyj polecenia cmdlet Update-MgDirectoryOnPremiseSynchronization programu Microsoft Graph PowerShell:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Uwaga

BlockCloudObjectTakeoverThroughHardMatchEnabled i BlockSoftMatchEnabled są używane do blokowania dopasowywania wszystkich obiektów, jeśli są włączone dla dzierżawy. Klienci są zachęcani do wyłączania tych funkcji tylko w okresie, gdy do ich dzierżawy jest wymagana procedura dopasowania. Ta flaga powinna być ponownie ustawiona na True po zakończeniu dopasowania i nie jest już potrzebna.

Inne obiekty niż użytkownicy

W przypadku grup i kontaktów z obsługą poczty można dopasować nietrwałe na podstawie adresów proxyAddresses. Dopasowanie twarde nie ma zastosowania, ponieważ można zaktualizować tylko element sourceAnchor/immutableID (przy użyciu programu PowerShell) tylko dla użytkowników. W przypadku grup, które nie są włączone pocztą, obecnie nie ma obsługi miękkiego dopasowania lub twardego dopasowania.

Administracja zagadnienia dotyczące roli

Aby chronić użytkowników lokalnych przed niezaufanymi użytkownikami lokalnymi, identyfikator Entra firmy Microsoft nie będzie zgodny z użytkownikami lokalnymi z użytkownikami chmury, którzy mają rolę administratora. To zachowanie jest domyślnie. Aby obejść ten problem, możesz wykonać następujące czynności:

1. Usuń role katalogu z obiektu użytkownika tylko w chmurze.
2. Trwale usuń obiekt poddane kwarantannie w chmurze.
3. Wyzwalanie synchronizacji.
4. Opcjonalnie dodaj role katalogu z powrotem do obiektu użytkownika w chmurze po zakończeniu dopasowywania.

Tworzenie nowego lokalna usługa Active Directory na podstawie danych w identyfikatorze Entra firmy Microsoft

Niektórzy klienci zaczynają od rozwiązania tylko w chmurze z identyfikatorem Entra firmy Microsoft i nie mają lokalnej usługi AD. Później chcą korzystać z zasobów lokalnych i chcą utworzyć lokalną usługę AD na podstawie danych firmy Microsoft Entra. Firma Microsoft Entra Połączenie nie może ci pomóc w tym scenariuszu. Nie tworzy on użytkowników lokalnych i nie ma możliwości ustawienia hasła lokalnie tak samo jak w identyfikatorze Entra firmy Microsoft.

Jeśli jedynym powodem, dla którego planujesz dodać lokalną usługę AD, jest obsługa aplikacji BIZNESOWYCH (aplikacje biznesowe), być może warto rozważyć użycie usług Microsoft Entra Domain Services .

Następne kroki

Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.