Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Istnieje kilka różnych powodów, dla których można mieć wiele lasów usługi Active Directory i można stosować kilka różnych topologii wdrażania. Common models include an account-resource deployment and GAL sync’ed forests after a merger & acquisition. Ale nawet jeśli istnieją czyste modele, modele hybrydowe są również wspólne. Domyślna konfiguracja w usłudze Microsoft Entra Connect Sync nie zakłada żadnego określonego modelu. Jednak w zależności od sposobu wyboru dopasowania użytkownika w przewodniku instalacji można zaobserwować różne zachowania.
W tym artykule omówimy zachowanie konfiguracji domyślnej w niektórych topologiach. Przechodzimy przez konfigurację, a Edytor reguł synchronizacji może służyć do przyjrzenia się konfiguracji.
Istnieje kilka ogólnych reguł, które zakłada konfiguracja:
- Niezależnie od tego, która kolejność importujemy ze źródłowych katalogów aktywnych, wynik końcowy powinien być zawsze taki sam.
- Aktywne konto dostarcza dane do logowania, w tym userPrincipalName i sourceAnchor.
- A disabled account contributes userPrincipalName and sourceAnchor, unless it's a linked mailbox, if there's no active account to be found.
- An account with a linked mailbox is never be used for userPrincipalName and sourceAnchor. Zakłada się, że aktywne konto zostanie znalezione później.
- Obiekt kontaktu może być wprowadzony do usługi Microsoft Entra ID jako kontakt lub jako użytkownik. You don’t really know until all source Active Directory forests are processed.
Groups
Uwaga
Keep in mind that when you add a user from another forest to the group, there is an anchor created in the Active Directory where the groups exists inside a specific OU. This anchor is a Foreign security principal and is stored inside the OU ‘ForeignSecurityPrincipals’. Jeśli nie synchronizujesz tej jednostki organizacyjnej, użytkownicy zostaną usunięci z członkostwa w grupie.
Ważne kwestie, o których należy pamiętać podczas synchronizowania grup z usługi Active Directory do identyfikatora Entra firmy Microsoft:
Program Microsoft Entra Connect wyklucza wbudowane grupy zabezpieczeń z synchronizacji katalogów.
Program Microsoft Entra Connect nie obsługuje synchronizowania członkostwa w grupach podstawowych z identyfikatorem Entra firmy Microsoft.
Program Microsoft Entra Connect nie obsługuje synchronizowania członkostwa w dynamicznych grupach dystrybucyjnych z identyfikatorem Entra firmy Microsoft.
Aby zsynchronizować grupę usługi Active Directory z identyfikatorem Entra firmy Microsoft jako grupą z włączoną obsługą poczty:
Jeśli atrybut proxyAddress grupy jest pusty, jego atrybut poczty musi mieć wartość
Jeśli atrybut proxyAddress grupy jest niepusty , musi zawierać co najmniej jedną wartość adresu serwera proxy SMTP. Oto kilka przykładów:
Grupa usługi Active Directory, której atrybut proxyAddress ma wartość {"X500:/0=contoso.com/ou=users/cn=testgroup"}, nie będzie mieć włączonej obsługi poczty e-mail w Microsoft Entra ID. Nie ma on adresu SMTP.
An Active Directory group whose proxyAddress attribute has values {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} will be mail-enabled in Microsoft Entra ID.
An Active Directory group whose proxyAddress attribute has values {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} will also be mail-enabled in Microsoft Entra ID.
Kontakty
Having contacts representing a user in a different forest is common after a merger & acquisition where a GALSync solution is bridging two or more Exchange forests. The contact object is always joining from the connector space to the metaverse using the mail attribute. Jeśli istnieje już obiekt kontaktu lub obiekt użytkownika o tym samym adresie e-mail, obiekty są łączone razem. This is configured in the rule In from AD – Contact Join. There's also a rule named In from AD – Contact Common with an attribute flow to the metaverse attribute sourceObjectType with the constant Contact. This rule has low precedence so if any user object is joined to the same metaverse object, then the rule In from AD – User Common contributes the value User to this attribute. W przypadku tej reguły ten atrybut ma wartość Kontakt, jeśli żaden użytkownik nie jest przyłączony, a wartość Użytkownik, jeśli zostanie znaleziony co najmniej jeden użytkownik.
For provisioning an object to Microsoft Entra ID, the outbound rule Out to Microsoft Entra ID – Contact Join creates a contact object if the metaverse attribute sourceObjectType is set to Contact. If this attribute is set to User, then the rule Out to Microsoft Entra ID – User Join creates a user object instead. It's possible that an object is promoted from Contact to User when more source Active Directories are imported and synchronized.
For example, in a GALSync topology we find contact objects for everyone in the second forest when we import the first forest. This stages new contact objects in the Microsoft Entra Connector. Po późniejszym zaimportowaniu i zsynchronizowaniu drugiego lasu znajdziemy prawdziwych użytkowników i połączymy ich z istniejącymi obiektami metaverse. Następnie usuniemy obiekt kontaktu w identyfikatorze Entra firmy Microsoft i utworzymy nowy obiekt użytkownika.
W przypadku topologii, w której użytkownicy są reprezentowani jako kontakty, należy pamiętać o wybraniu opcji dopasowania użytkowników według atrybutu e-mail w przewodniku instalacji. Jeśli wybierzesz inną opcję, masz konfigurację zależną od zamówienia. Obiekty kontaktów zawsze łączą się na podstawie atrybutu poczty, ale obiekty użytkowników łączą się na podstawie atrybutu poczty tylko wtedy, gdy ta opcja została wybrana podczas instalacji wg przewodnika. Może się zatem zdarzyć, że pojawią się dwa różne obiekty w metaverse z identycznym atrybutem poczty, jeśli obiekt kontaktu zostanie zaimportowany przed obiektem użytkownika. Podczas eksportowania do identyfikatora Entra firmy Microsoft jest wyświetlany błąd. Takie zachowanie jest zgodnie z projektem i oznacza nieprawidłowe dane lub że topologia nie została prawidłowo zidentyfikowana podczas instalacji.
Wyłączone konta
Wyłączone konta są również synchronizowane z identyfikatorem Entra firmy Microsoft. Disabled accounts are common to represent resources in Exchange, for example conference rooms. Wyjątkiem są użytkownicy z połączoną skrzynką pocztową; jak wspomniano wcześniej, ci użytkownicy nigdy nie mają zakładanego konta w usłudze Microsoft Entra ID.
Założeniem jest to, że jeśli zostanie znalezione wyłączone konto użytkownika, nie znajdziemy później innego aktywnego konta. The object is provisioned to Microsoft Entra ID with the userPrincipalName and sourceAnchor found. W przypadku, gdy inne aktywne konto przyłącza się do tego samego obiektu metaverse, używane są jego atrybuty userPrincipalName i sourceAnchor.
Changing sourceAnchor
Gdy obiekt jest eksportowany do identyfikatora Entra firmy Microsoft, nie można już zmienić obiektu sourceAnchor. When the object is exported the metaverse attribute cloudSourceAnchor is set with the sourceAnchor value accepted by Microsoft Entra ID. If sourceAnchor is changed and not match cloudSourceAnchor, the rule Out to Microsoft Entra ID – User Join throws the error sourceAnchor attribute has changed. W takim przypadku konfiguracja lub dane muszą zostać poprawione, aby ten sam element sourceAnchor był ponownie obecny w metaverse, zanim obiekt będzie można ponownie zsynchronizować.