Microsoft Entra Connect Sync: Compreender a configuração predefinida
Este artigo explica as regras de configuração prontas para uso. Ele documenta as regras e como elas afetam a configuração. Ele também orienta você pela configuração padrão do Microsoft Entra Connect Sync. O objetivo é que o leitor entenda como o modelo de configuração, chamado provisionamento declarativo, está funcionando em um exemplo do mundo real. Este artigo pressupõe que você já tenha instalado e configurado a sincronização do Microsoft Entra Connect usando o assistente de instalação.
Para entender os detalhes do modelo de configuração, leia Noções básicas sobre provisionamento declarativo.
Regras prontas para uso do local para o ID do Microsoft Entra
As expressões a seguir podem ser encontradas na configuração pronta para uso.
Regras prontas para uso pelo usuário
Essas regras também se aplicam ao tipo de objeto iNetOrgPerson.
Um objeto de usuário deve satisfazer o seguinte para ser sincronizado:
- Deve ter um sourceAnchor.
- Depois que o objeto tiver sido criado no ID do Microsoft Entra, sourceAnchor não poderá ser alterado. Se o valor for alterado localmente, o objeto para de sincronizar até que sourceAnchor seja alterado de volta ao seu valor anterior.
- Deve ter o atributo accountEnabled (userAccountControl) preenchido. Com um Ative Directory local, esse atributo está sempre presente e preenchido.
Os seguintes objetos de usuário não são sincronizados com o ID do Microsoft Entra:
IsPresent([isCriticalSystemObject]). Verifique se muitos objetos prontos para uso no Ative Directory, como a conta de administrador interna, não estão sincronizados.IsPresent([sAMAccountName]) = False. Verifique se os objetos de usuário sem atributo sAMAccountName não estão sincronizados. Este caso só aconteceria praticamente em um domínio atualizado do NT4.Left([sAMAccountName], 4) = "AAD_",Left([sAMAccountName], 5) = "MSOL_". Não sincronize a conta de serviço usada pelo Microsoft Entra Connect Sync e suas versões anteriores.- Não sincronize contas do Exchange que não funcionariam no Exchange Online.
[sAMAccountName] = "SUPPORT_388945a0"Left([mailNickname], 14) = "SystemMailbox{"(Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))(Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
- Não sincronize objetos que não funcionariam no Exchange Online.
CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
Essa máscara de bits (&H21C07000) filtraria os seguintes objetos:- Pasta pública habilitada para email (em visualização a partir da versão 1.1.524.0)
- Caixa de Correio do Atendedor do Sistema
- Caixa de Correio do Banco de Dados de Caixa de Correio (Caixa de Correio do Sistema)
- Universal Security Group (não se aplica a um usuário, mas está presente por motivos herdados)
- Grupo não universal (não se aplicaria a um usuário, mas está presente por motivos herdados)
- Plano de Caixa de Correio
- Caixa de Correio de Descoberta
CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Não sincronize objetos de vítimas de replicação.
Aplicam-se as seguintes regras de atributo:
sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). O atributo sourceAnchor não é contribuído de uma caixa de correio vinculada. Presume-se que, se uma caixa de correio vinculada tiver sido encontrada, a conta real será associada posteriormente.- Os atributos relacionados ao Exchange só serão sincronizados se o atributo mailNickName tiver um valor.
- Quando há várias florestas, os atributos são consumidos na seguinte ordem:
- Os atributos relacionados ao login (por exemplo, userPrincipalName) são contribuídos da floresta com uma conta habilitada.
- Os atributos que podem ser encontrados em uma GAL (Lista de Endereços Global) do Exchange são contribuídos da floresta com uma Caixa de Correio do Exchange.
- Se nenhuma caixa de correio puder ser encontrada, esses atributos poderão vir de qualquer floresta.
- Atributos relacionados ao câmbio (atributos técnicos não visíveis na GAL) são contribuídos a partir da floresta onde
mailNickname ISNOTNULL. - Se houver várias florestas que satisfaçam uma dessas regras, a ordem de criação (data/hora) dos Conectores (florestas) será usada para determinar qual floresta contribui com os atributos. A primeira floresta conectada será a primeira floresta a sincronizar.
Regras prontas para contato
Um objeto de contato deve satisfazer o seguinte para ser sincronizado:
- Deve ter o valor do atributo mail.
- O contato deve ser habilitado para email. É verificado com as seguintes regras:
IsPresent([proxyAddresses]) = True). O atributo proxyAddresses deve ser preenchido.- Um endereço de e-mail principal pode ser encontrado no atributo proxyAddresses ou no atributo mail. A presença de um @ é usada para verificar se o conteúdo é um endereço de e-mail. Uma dessas duas regras deve ser avaliada como True.
(Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). Existe uma entrada com "SMTP:" e, se houver, pode ser encontrado um @ na string?(IsPresent([mail]) = True && (InStr([mail], "@") > 0). O atributo mail está preenchido e, se for, pode ser encontrado um @ na cadeia de caracteres?
Os seguintes objetos de contato não são sincronizados com o Microsoft Entra ID:
IsPresent([isCriticalSystemObject]). Garanta que não são sincronizados objetos de contacto marcados como críticos. Não deve ser qualquer com uma configuração padrão.((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).(Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). Esses objetos não funcionariam no Exchange Online.CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Não sincronize objetos de vítimas de replicação.
Regras prontas para uso do grupo
Um objeto de grupo deve satisfazer o seguinte para ser sincronizado:
- Deve ter menos de 250.000 membros. Essa contagem é o número de membros no grupo local.
- Se tiver mais membros antes do início da sincronização pela primeira vez, o grupo não será sincronizado.
- Se o número de membros crescer a partir de quando foi criado inicialmente, quando atingir 250.000 membros, ele para de sincronizar até que a contagem de membros seja inferior a 250.000 novamente.
- Nota: A contagem de 250.000 membros também é imposta pelo Microsoft Entra ID. Não é possível sincronizar grupos com mais membros, mesmo que modifique ou remova esta regra.
- Se o grupo for um Grupo de Distribuição, ele também deverá estar habilitado para email. Consulte Regras de contato prontas para uso para que esta regra seja imposta.
Os seguintes objetos de grupo não são sincronizados com o Microsoft Entra ID:
IsPresent([isCriticalSystemObject]). Verifique se muitos objetos prontos para uso no Ative Directory, como o grupo interno de administradores, não estão sincronizados.[sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Grupo herdado usado pelo DirSync.BitAnd([msExchRecipientTypeDetails],&H40000000). Grupo de Funções.CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Não sincronize objetos de vítimas de replicação.
Segurança EstrangeiraPrincipal regras prontas para uso
FSPs são unidos a "qualquer" (*) objeto no metaverso. Na realidade, essa junção só acontece para usuários e grupos de segurança. Essa configuração garante que as associações entre florestas sejam resolvidas e representadas corretamente no ID do Microsoft Entra.
Regras prontas para uso no computador
Um objeto de computador deve satisfazer o seguinte para ser sincronizado:
userCertificate ISNOTNULL. Apenas os computadores com Windows 10 preenchem este atributo. Todos os objetos de computador com um valor neste atributo são sincronizados.
Noções básicas sobre o cenário de regras prontas para uso
Neste exemplo, estamos usando uma implantação com uma floresta de conta (A), uma floresta de recursos (R) e um diretório do Microsoft Entra.
Nessa configuração, presume-se que há uma conta habilitada na floresta de conta e uma conta desabilitada na floresta de recursos com uma caixa de correio vinculada.
Nosso objetivo com a configuração padrão é:
- Os atributos relacionados ao login são sincronizados da floresta com a conta habilitada.
- Os atributos que podem ser encontrados na GAL (Lista de Endereços Global) são sincronizados da floresta com a caixa de correio. Se nenhuma caixa de correio puder ser encontrada, qualquer outra floresta será usada.
- Se uma caixa de correio vinculada for encontrada, a conta habilitada vinculada deverá ser encontrada para que o objeto seja exportado para o ID do Microsoft Entra.
Editor de regras de sincronização
A configuração pode ser visualizada e alterada com a ferramenta Synchronization Rules Editor (SRE) e um atalho para ela pode ser encontrado no menu Iniciar.
O SRE é uma ferramenta de kit de recursos e é instalado com o Microsoft Entra Connect Sync. Para poder iniciá-lo, você deve ser membro do grupo ADSyncAdmins. Quando começa, você vê algo assim:
Neste painel, você verá todas as Regras de Sincronização criadas para sua configuração. Cada linha na tabela é uma Regra de Sincronização. À esquerda, em Tipos de Regras, os dois tipos diferentes são listados: Entrada e Saída. Inbound e Outbound é do ponto de vista do metaverso. Você vai se concentrar principalmente nas regras de entrada nesta visão geral. A lista real de Regras de Sincronização depende do esquema detetado no AD. Na imagem acima, a floresta de conta (fabrikamonline.com) não tem nenhum serviço, como Exchange e Lync, e nenhuma Regra de Sincronização foi criada para esses serviços. No entanto, na floresta de recursos (res.fabrikamonline.com), você encontrará Regras de Sincronização para esses serviços. O conteúdo das regras é diferente dependendo da versão detetada. Por exemplo, em uma implantação com o Exchange 2013, há mais fluxos de atributos configurados do que no Exchange 2010/2007.
Regra de sincronização
Uma Regra de Sincronização é um objeto de configuração com um conjunto de atributos fluindo quando uma condição é satisfeita. Ele também é usado para descrever como um objeto em um espaço de conector está relacionado a um objeto no metaverso, conhecido como junção ou correspondência. As Regras de Sincronização têm um valor de precedência que indica como elas se relacionam entre si. Uma Regra de Sincronização com um valor numérico mais baixo tem uma precedência maior e, em um conflito de fluxo de atributos, uma precedência maior vence a resolução do conflito.
Como exemplo, veja a Regra de Sincronização em do AD – User AccountEnabled. Marque esta linha no SRE e selecione Editar.
Como essa regra é uma regra pronta para uso, você recebe um aviso quando a abre. Você não deve fazer nenhuma alteração nas regras prontas para uso, então você é perguntado quais são suas intenções. Nesse caso, você só deseja exibir a regra. Selecione Não.
Uma Regra de Sincronização tem quatro seções de configuração: Descrição, Filtro de escopo, Regras de associação e Transformações.
Description
A primeira seção fornece informações básicas, como nome e descrição.
Você também encontra informações sobre a qual sistema conectado essa regra está relacionada, a qual tipo de objeto no sistema conectado ela se aplica e o tipo de objeto do metaverso. O tipo de objeto do metaverso é sempre pessoa, independentemente de quando o tipo de objeto de origem é um usuário, iNetOrgPerson ou contato. O tipo de objeto do metaverso nunca deve mudar, por isso é criado como um tipo genérico. O Tipo de Link pode ser definido como Join, StickyJoin ou Provision. Essa configuração funciona em conjunto com a seção Regras de Ingresso e é abordada posteriormente.
Você também pode ver que essa regra de sincronização é usada para sincronização de senha. Se um usuário estiver no escopo dessa regra de sincronização, a senha será sincronizada do local para a nuvem (supondo que você tenha ativado o recurso de sincronização de senha).
Filtro de escopo
A seção Filtro de Escopo é usada para configurar quando uma Regra de Sincronização deve ser aplicada. Como o nome da Regra de Sincronização que você está examinando indica que ela só deve ser aplicada para usuários habilitados, o escopo é configurado para que o atributo do AD userAccountControl não tenha o bit 2 definido. Quando o mecanismo de sincronização encontra um usuário no AD, ele aplica essa regra de sincronização quando userAccountControl é definido como o valor decimal 512 (usuário normal habilitado). Ele não aplica a regra quando o usuário tem userAccountControl definido como 514 (usuário normal desabilitado).
O filtro de escopo tem Grupos e Cláusulas que podem ser aninhados. Todas as cláusulas dentro de um grupo devem ser satisfeitas para que uma Regra de Sincronização seja aplicada. Quando vários grupos são definidos, pelo menos um grupo deve ser satisfeito para que a regra se aplique. Ou seja, um OR lógico é avaliado entre grupos e um E lógico é avaliado dentro de um grupo. Um exemplo dessa configuração pode ser encontrado na saída Synchronization Rule out to Microsoft Entra ID – Group Join. Existem vários grupos de filtros de sincronização, por exemplo, um para grupos de segurança () e outro para grupos de distribuição (securityEnabled EQUAL TruesecurityEnabled EQUAL False).
Esta regra é usada para definir quais Grupos devem ser provisionados para o Microsoft Entra ID. Os Grupos de Distribuição devem estar habilitados para email para serem sincronizados com o Microsoft Entra ID, mas para grupos de segurança não é necessário um email.
Regras de adesão
A terceira seção é usada para configurar como os objetos no espaço do conector se relacionam com os objetos no metaverso. A regra que você examinou anteriormente não tem nenhuma configuração para Regras de Ingresso, portanto, em vez disso, você vai olhar para In de AD – User Join.
O conteúdo da regra de junção depende da opção de correspondência selecionada no assistente de instalação. Para uma regra de entrada, a avaliação começa com um objeto no espaço do conector de origem e cada grupo nas regras de junção é avaliado em sequência. Se um objeto de origem for avaliado para corresponder exatamente a um objeto no metaverso usando uma das regras de junção, os objetos serão unidos. Se todas as regras tiverem sido avaliadas e não houver correspondência, o Tipo de link na página de descrição será usado. Se essa configuração for definida como Provision, um novo objeto será criado no destino, o metaverso, se pelo menos um atributo nos critérios de junção estiver presente (tiver um valor). Provisionar um novo objeto para o metaverso também é conhecido como projetar um objeto para o metaverso.
As regras de adesão são avaliadas apenas uma vez. Quando um objeto de espaço de conector e um objeto de metaverso são unidos, eles permanecem unidos enquanto o escopo da Regra de Sincronização ainda estiver satisfeito.
Ao avaliar as Regras de Sincronização, apenas uma Regra de Sincronização com regras de associação definidas deve estar no escopo. Se várias Regras de Sincronização com regras de junção forem encontradas para um objeto, um erro será gerado. Por esse motivo, a prática recomendada é ter apenas uma Regra de Sincronização com junção definida quando várias Regras de Sincronização estiverem no escopo de um objeto. Na configuração pronta para uso do Microsoft Entra Connect Sync, essas regras podem ser encontradas olhando para o nome e encontrando aquelas com a palavra Join no final do nome. Uma Regra de Sincronização sem nenhuma regra de associação definida aplica os fluxos de atributos quando outra Regra de Sincronização uniu os objetos ou provisionou um novo objeto no destino.
Se você olhar para a imagem acima, poderá ver que a regra está tentando unir objectSID com msExchMasterAccountSid (Exchange) e msRTCSIP-OriginatorSid (Lync), que é o que esperamos em uma topologia de floresta de recursos de conta. Você encontra a mesma regra em todas as florestas. O pressuposto é que cada floresta poderia ser uma floresta de conta ou de recursos. Essa configuração também funciona se você tiver contas que vivem em uma única floresta e não precisam ser associadas.
Transformações
A seção de transformação define todos os fluxos de atributos que se aplicam ao objeto de destino quando os objetos são unidos e o filtro de escopo é satisfeito. Voltando à Regra de Sincronização In from AD – User AccountEnabled , você encontrará as seguintes transformações:
Para contextualizar essa configuração, em uma implantação de floresta de Recursos de Conta, espera-se encontrar uma conta habilitada na floresta de conta e uma conta desabilitada na floresta de recursos com configurações do Exchange e do Lync. A Regra de Sincronização que você está examinando contém os atributos necessários para entrar e esses atributos devem fluir da floresta onde há uma conta habilitada. Todos esses fluxos de atributos são reunidos em uma Regra de Sincronização.
Uma transformação pode ter diferentes tipos: Constante, Direta e Expressão.
- Um fluxo constante sempre flui um valor codificado. No caso acima, ele sempre define o valor True no atributo do metaverso chamado accountEnabled.
- Um fluxo direto sempre flui o valor do atributo na origem para o atributo de destino no estado em que se encontra.
- O terceiro tipo de fluxo é o Expression e permite configurações mais avançadas.
A linguagem de expressão é VBA (Visual Basic for Applications), portanto, pessoas com experiência em Microsoft Office ou VBScript reconhecerão o formato. Os atributos estão entre colchetes, [attributeName]. Nomes de atributos e nomes de funções diferenciam maiúsculas de minúsculas, mas o Editor de Regras de Sincronização avalia as expressões e fornece um aviso se a expressão não for válida. Todas as expressões são expressas em uma única linha com funções aninhadas. Para mostrar o poder da linguagem de configuração, aqui está o fluxo para pwdLastSet, mas com comentários adicionais inseridos:
// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .NET datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)
Consulte Noções básicas sobre expressões de provisionamento declarativo para obter mais informações sobre a linguagem de expressão para fluxos de atributos.
Precedência
Agora você examinou algumas Regras de Sincronização individuais, mas as regras funcionam juntas na configuração. Em alguns casos, um valor de atributo é contribuído de várias regras de sincronização para o mesmo atributo de destino. Nesse caso, a precedência do atributo é usada para determinar qual atributo vence. Como exemplo, observe o atributo sourceAnchor. Este atributo é um atributo importante para poder entrar no Microsoft Entra ID. Você pode encontrar um fluxo de atributos para esse atributo em duas Regras de Sincronização diferentes, In do AD – User AccountEnabled e In do AD – User Common. Devido à precedência da Regra de Sincronização, o atributo sourceAnchor é contribuído da floresta com uma conta habilitada primeiro quando há vários objetos unidos ao objeto do metaverso. Se não houver contas habilitadas, o mecanismo de sincronização usará a regra de sincronização catch-all do AD – User Common. Essa configuração garante que, mesmo para contas desativadas, ainda haja um sourceAnchor.
A precedência para Regras de Sincronização é definida em grupos pelo assistente de instalação. Todas as regras de um grupo têm o mesmo nome, mas estão conectadas a diferentes diretórios conectados. O assistente de instalação dá a regra In from AD – User Join mais alta precedência e itera sobre todos os diretórios AD conectados. Em seguida, continua com os próximos grupos de regras em uma ordem predefinida. Dentro de um grupo, as regras são adicionadas na ordem em que os conectores foram adicionados no assistente. Se outro Conector for adicionado através do assistente, as Regras de Sincronização serão reordenadas e as regras do novo Conector serão inseridas por último em cada grupo.
Juntar tudo
Agora sabemos o suficiente sobre as Regras de Sincronização para podermos entender como a configuração funciona com as diferentes Regras de Sincronização. Se você olhar para um usuário e os atributos que contribuem para o metaverso, as regras são aplicadas na seguinte ordem:
| Nome | Comentário |
|---|---|
| In do AD – Adesão de Utilizadores | Regra para unir objetos de espaço de conector com metaverso. |
| In do AD – UserAccount Enabled | Atributos necessários para entrar no Microsoft Entra ID e no Microsoft 365. Queremos esses atributos da conta habilitada. |
| Em do AD – Usuário Comum do Exchange | Atributos encontrados na Lista de Endereços Global. Assumimos que a qualidade dos dados é melhor na floresta onde encontramos a caixa de correio do usuário. |
| In do AD – Usuário Comum | Atributos encontrados na Lista de Endereços Global. Caso não tenhamos encontrado uma caixa de correio, qualquer outro objeto associado pode contribuir com o valor do atributo. |
| In do AD – User Exchange | Só existe se o Exchange tiver sido detetado. Ele flui todos os atributos do Exchange de infraestrutura. |
| Em do AD – Lync do Usuário | Só existe se o Lync tiver sido detetado. Ele flui todos os atributos de infraestrutura do Lync. |
Próximos passos
- Leia mais sobre o modelo de configuração em Noções básicas sobre provisionamento declarativo.
- Leia mais sobre a linguagem de expressão em Noções básicas sobre expressões de provisionamento declarativo.
- Continue lendo como a configuração pronta para uso funciona em Noções básicas sobre usuários e contatos
- Veja como fazer uma alteração prática usando o provisionamento declarativo em Como fazer uma alteração na configuração padrão.
Tópicos de visão geral