Sincronização do Microsoft Entra Connect: noções básicas sobre usuários, grupos e contatos

Há vários motivos diferentes de por que existem várias florestas do Active Directory e várias topologias de implantação diferentes. Os modelos comuns incluem uma implantação do recurso em conta e florestas sincronizadas de GAL (Lista de Endereços Global) após uma fusão e aquisição. Mas mesmo que haja modelos puros, modelos híbridos são comuns também. A configuração padrão na sincronização do Microsoft Entra Connect não pressupõe nenhum modelo específico, mas dependendo de como a correspondência do usuário foi selecionada no guia de instalação, diferentes comportamentos podem ser observados.

Neste tópico, veremos como a configuração padrão se comporta em determinadas topologias. Passamos pela configuração e o Editor de Regras de Sincronização pode ser usado para analisar a configuração.

A configuração pressupõe algumas regras gerais:

• Independentemente da ordem em que importamos por meio dos Active Directories de origem, o resultado final seria sempre o mesmo.
• Uma conta ativa sempre também contribuirá com informações de logon, incluindo userPrincipalName e sourceAnchor.
• Uma conta desabilitada contribui com o userPrincipalName e sourceAnchor, a menos que seja uma caixa de correio vinculada, se não houver nenhuma conta ativa a ser encontrada.
• Uma conta com uma caixa de correio vinculada nunca será usada para userPrincipalName e sourceAnchor. Presume-se que uma conta ativa será encontrada posteriormente.
• Um objeto de contato pode ser provisionado para o ID do Microsoft Entra como um contato ou como um usuário. Você realmente não sabe até que todas as florestas do Active Directory de origem sejam processadas.

Grupos

Observação

Lembre-se de que, quando você adiciona um usuário de outra floresta ao grupo, é criada uma âncora no Active Directory na qual os grupos existirão dentro de uma UO específica. Essa âncora é uma entidade de segurança Estrangeira e é armazenada dentro da UO "ForeignSecurityPrincipals". Se você não sincronizar essa UO, os usuários serão removidos da associação do grupo.

Pontos importantes a serem observados ao sincronizar grupos do Active Directory para o ID do Microsoft Entra:

• O Microsoft Entra Connect exclui grupos de segurança internos da sincronização de diretórios.

• O Microsoft Entra Connect não oferece suporte à sincronização de associações de grupo principal com o ID do Microsoft Entra.

• O Microsoft Entra Connect não oferece suporte à sincronização de associações do Grupo de Distribuição Dinâmica com o ID do Microsoft Entra.

• Para sincronizar um grupo do Active Directory com o ID do Microsoft Entra como um grupo habilitado para email:

  • Se o atributo proxyAddress do grupo estiver vazio, seu atributo email deverá ter um valor

  • Se o atributo proxyAddress do grupo não estiver vazio, ele deverá conter, pelo menos, um valor de endereço de proxy SMTP. Estes são alguns exemplos:

    • Um grupo do Active Directory cujo atributo proxyAddress tem o valor {"X500:/0=contoso.com/ou=users/cn=testgroup"} não será habilitado para email no ID do Microsoft Entra. Ele não tem um endereço SMTP.

    • Um grupo do Active Directory cujo atributo proxyAddress tem valores {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} será habilitado para email no ID do Microsoft Entra.

    • Um grupo do Active Directory cujo atributo proxyAddress tem valores {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} também será habilitado para email no ID do Microsoft Entra.

Contatos

Ter contatos que representam um usuário em uma floresta diferente é comum após uma fusão e aquisição em que uma solução GALSync está fazendo a ponte entre duas ou mais florestas do Exchange. O objeto de contato está sempre unindo o espaço do conector ao metaverso, usando o atributo de email. Se já houver um objeto de contato ou um objeto de usuário com o mesmo endereço de email, os objetos serão unidos. Isso é configurado na regra Entrada do AD – Ingresso do Contato. Também há uma regra chamada Entrada do AD – Contato Comum com um fluxo de atributos para o atributo de metaverso sourceObjectType com a constante Contato. Essa regra tem baixa precedência, portanto, se qualquer objeto do usuário for conectado ao mesmo objeto do metaverso, a regra Em do AD – Usuário Comum contribuirá com o valor Usuário para esse atributo. Com esta regra, este atributo tem o valor Contato se nenhum usuário tiver sido associado e o valor Usuário se pelo menos um usuário tiver sido encontrado.

Para provisionar um objeto para o ID do Microsoft Entra, a regra de Saída para ID do Microsoft Entra – Ingresso de contato criará um objeto de contato se o atributo do metaverso sourceObjectType estiver definido como Contato. Se esse atributo for definido como Usuário, a regra Saída para o ID do Microsoft Entra – Ingresso do usuário criará um objeto de usuário. É possível que um objeto seja promovido de Contato para Usuário quando mais Active Directories de origem forem importados e sincronizados.

Por exemplo, em uma topologia GALSync, encontramos objetos de contato para todos na segunda floresta quando importamos a primeira floresta. Isso prepara novos objetos de contato no Microsoft Entra Connector. Quando mais tarde importamos e sincronizamos a segunda floresta, encontraremos os usuários reais e os juntaremos aos objetos do metaverso existentes. Em seguida, excluiremos o objeto de contato no ID do Microsoft Entra e criaremos um novo objeto de usuário.

Se você tiver uma topologia em que usuários são representados como contatos, certifique-se de selecionar para combinar usuários no atributo de email no guia de instalação. Se você selecionar outra opção, terá uma configuração dependente do pedido. Objetos de contato sempre ingressarão no atributo de email, mas objetos de usuário só ingressarão no atributo de email se essa opção foi selecionada no guia de instalação. Você pode acabar com dois objetos diferentes no metaverso, com o mesmo atributo de email, se o objeto de contato tiver sido importado antes do objeto de usuário. Durante a exportação para o ID do Microsoft Entra, um erro é mostrado. Esse comportamento ocorre por design e indica dados incorretos ou que a topologia não foi identificada corretamente durante a instalação.

Contas desabilitadas

As contas desabilitadas também são sincronizadas com o ID do Microsoft Entra. Contas desabilitadas são comuns para representar recursos no Exchange, por exemplo, salas de conferência. A exceção são os usuários com uma caixa de correio vinculada; como mencionado anteriormente, eles nunca provisionarão uma conta para o ID do Microsoft Entra.

A suposição é que, se uma conta de usuário desabilitada for encontrada, não encontraremos outra conta ativa mais tarde e o objeto será provisionado para o ID do Microsoft Entra com o userPrincipalName e sourceAnchor encontrados. Caso outra conta ativa ingresse no mesmo objeto do metaverso, seu userPrincipalName e sourceAnchor serão usados.

Alterando o sourceAnchor

Quando um objeto foi exportado para o ID do Microsoft Entra, ele não tem mais permissão para alterar o sourceAnchor. Quando o objeto foi exportado, o atributo do metaverso cloudSourceAnchor é definido com o valor sourceAnchor aceito pelo ID do Microsoft Entra. Se sourceAnchor for alterado e não corresponder a cloudSourceAnchor, a regra Saída para o ID do Microsoft Entra – Ingresso do usuário gerará o erro o atributo sourceAnchor foi alterado. Nesse caso, a configuração ou os dados ou devem ser corrigidos para que o mesmo sourceAnchor esteja presente no metaverso novamente antes que o objeto possa ser sincronizado outra vez.

Recursos adicionais

• Microsoft Entra Connect Sync: Personalizando Opções de sincronização
• Integração de identidades locais com o Microsoft Entra ID