Служба синхронизации Microsoft Entra Connect: общие сведения о стандартной конфигурации

  • Статья

В этой статье описываются стандартные правила конфигурации и то, как они влияют на конфигурацию. В ней также описана конфигурация Microsoft Entra Подключение Sync по умолчанию. Цель заключается в том, что читатель понимает, как модель конфигурации, именованной декларативной подготовкой, работает в реальном примере. В этой статье предполагается, что вы уже установили и настроили синхронизацию Microsoft Entra Подключение с помощью мастера установки.

Дополнительные сведения о модели конфигурации см. в статье Служба синхронизации Azure AD Connect: общие сведения о декларативной подготовке.

Встроенные правила из локальной среды в идентификатор Microsoft Entra

Приведенные ниже выражения доступны в стандартной конфигурации.

Стандартные правила: объект-пользователь

Эти правила также применяются к типу объекта iNetOrgPerson.

Для синхронизации объект-пользователь должен соответствовать следующим условиям:

  • Должен присутствовать атрибут sourceAnchor.
  • После создания объекта в идентификаторе Microsoft Entra не удается изменить sourceAnchor. Если значение sourceAnchor изменено локально, синхронизация объекта будет остановлена, пока это значение не будет изменено на предыдущее.
  • Атрибут accountEnabled (userAccountControl) должен быть заполнен. Для локальной службы Active Directory этот атрибут всегда присутствует и является заполненным.

Следующие пользовательские объекты не синхронизируются с идентификатором Microsoft Entra.

  • IsPresent([isCriticalSystemObject]). Многие стандартные объекты в Active Directory (например, встроенная учетная запись администратора) не должны синхронизироваться.
  • IsPresent([sAMAccountName]) = False. Объекты-пользователи без атрибута sAMAccountName не должны синхронизироваться. На практике этот случай может произойти только в домене, обновленном с уровня NT4.
  • Left([sAMAccountName], 4) = "AAD_", Left([sAMAccountName], 5) = "MSOL_". Не синхронизируйте учетную запись службы, используемую Microsoft Entra Подключение Sync и более ранними версиями.
  • Не синхронизируйте учетные записи Exchange, которые не будут работать в Exchange Online.
    • [sAMAccountName] = "SUPPORT_388945a0"
    • Left([mailNickname], 14) = "SystemMailbox{"
    • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))
    • (Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
  • Не синхронизируйте объекты, которые не будут работать в Exchange Online. CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
    Эта битовая маска (&H21C07000) отфильтрует следующие объекты:
    • общая папка с поддержкой электронной почты (в предварительной версии начиная с версии 1.1.524.0);
    • почтовый ящик системного помощника;
    • почтовый ящик базы данных почтовых ящиков (системный почтовый ящик);
    • универсальную группу безопасности (не применяется для пользователя, но доступно для прежних версий);
    • неуниверсальную группу (не применяется для пользователя, но доступно для прежних версий);
    • план почтового ящика;
    • почтовый ящик найденных сообщений.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Не синхронизируйте объекты, являющиеся жертвами репликации.

Применяются следующие правила атрибутов:

  • sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). Атрибут sourceAnchor не предоставляется из связанного почтового ящика. Предполагается, что при обнаружении связанного почтового ящика фактическая учетная запись присоединяется позже.
  • Связанные с Exchange атрибуты синхронизируются, только если у атрибута mailNickName есть значение.
  • При наличии нескольких лесов атрибуты используются в следующем порядке:
    1. Атрибуты, связанные с входом (например, userPrincipalName), предоставляются из леса с действующей учетной записью.
    2. Атрибуты, которые можно обнаружить в глобальном списке адресов (GAL), предоставляются из леса с почтовым ящиком Exchange.
    3. Если почтовый ящик не найден, эти атрибуты могут поступать из любого леса.
    4. Атрибуты, связанные с Exchange (технические атрибуты не отображаются в глобальном списке адресов), предоставляются из леса, где mailNickname ISNOTNULL.
    5. Если есть несколько лесов, соответствующих одному из этих правил, для определения леса, предоставляющего атрибуты, используется порядок создания (дата и время) соединителей (лесов). Первый подключенный лес — первый лес, который необходимо синхронизировать.

Стандартные правила: объект-контакт

Для синхронизации объект-контакт должен соответствовать следующим условиям:

  • Должен иметь значение атрибута почты.
  • Контакт должен поддерживать электронную почту. Проверяется с помощью следующих правил:
    • IsPresent([proxyAddresses]) = True). Атрибут proxyAddresses должен быть заполнен.
    • Основной адрес электронной почты можно найти в атрибуте proxyAddresses или в атрибуте mail. Символ @ подтверждает, что содержимое является адресом электронной почты. Одно из этих двух правил должно иметь значение True.
      • (Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). Есть ли запись с "SMTP:"? Если да, есть ли в строке символ \"\@\"?
      • (IsPresent([mail]) = True && (InStr([mail], "@") > 0). Заполнен ли атрибут mail? Если да, есть ли в строке символ \"\@\"?

Следующие объекты контактов не синхронизированы с идентификатором Microsoft Entra:

  • IsPresent([isCriticalSystemObject]). Объекты-контакты, отмеченные как критические, не должны синхронизироваться. Не допускаются объекты с конфигурацией по умолчанию.
  • ((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).
  • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). Эти объекты не будут работать в Exchange Online.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Не синхронизируйте объекты, являющиеся жертвами репликации.

Стандартные правила: объект-группа

Для синхронизации объект-группа должен соответствовать следующим условиям:

  • Должно быть менее 250 000 членов. Это число равно количеству членов локальной группы.
    • Если группа включает большее количество членов перед первым запуском синхронизации, такая группа не будет синхронизирована.
    • Если число членов растет с момента его создания, то при достижении 250 000 членов он перестает синхронизироваться до тех пор, пока число членов не будет ниже 250 000 снова.
    • Примечание. Число членства в 250 000 также применяется идентификатором Microsoft Entra. Вы не сможете синхронизировать группы с превышающим это значение количеством членов, даже если измените или удалите это правило.
  • Если группа выступает в качестве группы рассылки, для нее также должна быть включена поддержка почты. Сведения о принудительном применении этого правила см. разделе Стандартные правила: объект-контакт.

Следующие объекты группы не синхронизируются с идентификатором Microsoft Entra:

  • IsPresent([isCriticalSystemObject]). Многие стандартные объекты в Active Directory (например, встроенная группа администраторов) не должны синхронизироваться.
  • [sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Устаревшие группы, используемые DirSync.
  • BitAnd([msExchRecipientTypeDetails],&amp;H40000000). Группа ролей.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Не синхронизируйте объекты, являющиеся жертвами репликации.

Стандартные правила: ForeignSecurityPrincipal

Внешние субъекты безопасности присоединяются к любому (*) объекту в метавселенной. В действительности это присоединение происходит только для пользователей и групп безопасности. Эта конфигурация гарантирует разрешение членства между лесами и правильное представление в идентификаторе Microsoft Entra.

Стандартные правила: объект-компьютер

Для синхронизации объект-компьютер должен соответствовать следующим условиям:

  • userCertificate ISNOTNULL. Этот атрибут заполняют только компьютеры с Windows 10. Синхронизируются все объекты-компьютеры со значением для этого атрибута.

Основные сведения об использовании стандартных правил

В этом примере мы используем развертывание с одним лесом учетных записей (A), одним лесом ресурсов (R) и одним каталогом Microsoft Entra.

Picture with scenario description

В этой конфигурации ожидается, что будет одна активная учетная запись в лесу учетных записей и одна отключенная учетная запись в лесу ресурсов, к которому привязан почтовый ящик.

Наша цель при использовании конфигурации по умолчанию:

  • Атрибуты, связанные с именем входа, синхронизируются из леса с активной учетной записью.
  • Атрибуты, находящиеся в глобальном списке адресов, синхронизируются из леса с почтовым ящиком. Если ни одного почтового ящика нет, используется любой другой лес.
  • Если обнаружен связанный почтовый ящик, для экспорта объекта в идентификатор Microsoft Entra необходимо найти связанную учетную запись с включенным параметром.

Редактор правил синхронизации

Просмотр и изменение конфигурации выполняются с помощью редактора правил синхронизации, ярлык для которого есть в меню "Пуск".

Synchronization Rules Editor icon

SRE — это средство набора ресурсов, и оно устанавливается с помощью Microsoft Entra Подключение Sync. Чтобы запустить его, необходимо быть членом группы ADSync Администратор s. При запуске редактора вы увидите примерно следующее:

Synchronization Rules Inbound

Эта панель содержит все правила синхронизации, содержащиеся в вашей конфигурации. Каждая строка в таблице представляет одно правило синхронизации. Слева в списке типов правил указаны два разных типа: входящие и исходящие. Входящие правила взяты из представления метавселенной. В этом обзоре мы сосредоточимся на правилах для входящих подключений. Реальный список правил синхронизации зависит от схемы, обнаруженной в AD. На рисунке выше лес учетных записей (fabrikamonline.com) не имеет служб, например Exchange или Lync, и для этих служб не созданы правила синхронизации. Однако правила синхронизации для этих служб есть в лесу ресурсов (res.fabrikamonline.com). Содержание правил различается в зависимости от обнаруженной версии. Например, в развертывании с Exchange 2013 создается больше правил для потоков атрибутов, чем в развертывании с Exchange 2010 или Exchange 2007.

Правило синхронизации

Правило синхронизации является объектом конфигурации с набором атрибутов, передаваемых при удовлетворении условия. Кроме того, оно позволяет описать, как объект в пространстве соединителя связан с объектом в метавселенной, называемым соединением или совпадением. Для правил синхронизации заданы значения приоритета, которые обозначают порядок их использования. Правило синхронизации с меньшим числовым значением имеет более высокий приоритет. В случае конфликта потоков атрибутов выполняется правило с более высоким приоритетом.

В качестве примера рассмотрим правило синхронизации In from AD – User AccountEnabled(Поступление из AD — учетная запись включена). Отметьте эту строку в редакторе правил синхронизации и нажмите кнопку Изменить.

Так как это правило входит в стандартный набор, при его открытии отобразится предупреждение. Не следует без необходимости вносить изменения в стандартные правила, поэтому редактор уточняет ваши намерения. Сейчас мы будем только просматривать правило. Выберите Нет.

Synchronization Rules warning

Правило синхронизации имеет четыре раздела конфигурации: описание, преобразование, правила объединения и фильтр области действия.

Description

Первый раздел содержит основные сведения, такие как имя и описание.

Description tab in Sync rule editor

Кроме того, здесь находятся сведения о том, к какой подключенной системе это правило относится, к какому типу объекта в подключенной системе оно применяется, а также о типе объекта метавселенной. Тип объекта метавселенной — это всегда лицо, независимо от того, является ли исходный тип объекта пользователем, iNetOrgPerson или контактом. Тип объекта метавселенной никогда не должен изменяться, поэтому он создается как универсальный тип. Тип связи можно задать как Join, StickyJoin или Provision. Эта настройка работает совместно с разделом Join Rules (Правила объединения), и мы рассмотрим это позднее.

Это правило синхронизации используется для синхронизации паролей. Если пользователь находится в области действия этого правила синхронизации, пароль синхронизируется из локальной среды в облако (при условии, что включена функция синхронизации паролей).

Область действия фильтра

Раздел "Фильтр области действия" позволяет настроить, когда следует применять правило синхронизации. Имя правила синхронизации напоминает нам, что оно должно применяться только для включенных пользователей. Поэтому в настройках области действия уберите бит 2 для атрибута AD userAccountControl. Это правило применяется к пользователям, обнаруженным модулем синхронизации в AD, для атрибута userAccountControl которых задано десятичное значение 512 (включен обычный пользователь). Если атрибут userAccountControl имеет значение 514 (отключен обычный пользователь), правило применяться не будет.

Screenshot that shows the

Фильтр области действия содержит группы и предложения, которые могут быть вложенными. Для применения правила синхронизации должны удовлетворяться все предложения в группе. При определении нескольких групп для применения правила должна удовлетворяться по крайней мере одна группа. Это значит, что между группами вычисляется логический оператор OR, а внутри группы — логический оператор AND. Пример этой конфигурации можно найти в правиле исходящей синхронизации с идентификатором Microsoft Entra Id — group Join. Существуют несколько групп фильтров синхронизации, например для групп безопасности (securityEnabled EQUAL True) и для групп рассылки (securityEnabled EQUAL False).

Scoping tab in Sync rule editor

Это правило используется для определения групп, которые должны быть подготовлены к идентификатору Microsoft Entra. Группы рассылки должны быть включены для синхронизации с идентификатором Microsoft Entra, но для групп безопасности сообщение электронной почты не требуется.

Объединение правил

Третий раздел позволяет настроить, как объекты в пространстве соединителя относятся к объектам в метавселенной. Правило, рассматриваемое ранее, не содержит настроек для правил объединения, поэтому теперь мы рассмотрим правило In from AD – User Join(Поступление из AD — объединение пользователей).

Join rules tab in Sync rule editor

Содержимое правил объединения зависит от параметра совпадения, выбранного в мастере установки. Для правила входящих подключений вычисление начинается с объекта в исходном пространстве соединителя, а затем последовательно вычисляется каждая группа в правилах объединения. Если вычисленный исходный объект совпадает в точности с одним объектом в метавселенной при использовании одного из правил объединения, объекты объединяются. Если вычислены все правила и совпадений нет, то используется тип связи на странице описания. Когда конфигурация настроена на Подготовку, в целевом объекте (метавселенной) создается новый объект, если в критерии объединения существует (имеет значение) хотя бы один атрибут. Подготовка нового объекта в метавселенной также называется проекцией объекта в метавселенную.

Правила объединения вычисляются только один раз. Когда объект пространства соединителя и объект метавселенной объединяются, они остаются объединенными, пока область действия правила синхронизации продолжает выполняться.

При вычислении правил синхронизации в области действия должно находиться только одно правило синхронизации с определенными правилами объединения. Если для одного объекта найдено несколько правил синхронизации с правилами объединения, выдается ошибка. По этой причине рекомендуется определить только одно правило синхронизации с объединением, если в области действия для объекта имеется несколько правил синхронизации. В встроенной конфигурации microsoft Entra Подключение Sync эти правила можно найти, просмотрев имя и найдя их с словом Join в конце имени. Правило синхронизации без определенных правил объединения применяет потоки атрибутов, если другое правило синхронизации объединило объекты или подготовило новый объект в целевом пространстве.

На приведенном выше рисунке вы видите, что правило пытается объединить objectSID с msExchMasterAccountSid (Exchange) или msRTCSIP-OriginatorSid (Lync). Это логичное действие в рамках топологии, в которой есть леса учетных записей и ресурсов. Такое же правило можно найти в каждом из лесов. Предполагается, что каждый лес может быть лесом ресурсов или лесом учетных записей. Эта конфигурация также работает для учетных записей, которые существуют в одном лесу и не должны объединяться.

Преобразования

В разделе преобразований определяются все потоки атрибутов, применяемые к целевому объекту после объединения объектов и при удовлетворении фильтра области действия. Вернувшись к правилу синхронизации In from AD – User AccountEnabled (Поступление из AD — учетная запись включена), вы найдете следующие преобразования.

Transformations tab in Sync rule editor

В общем контексте конфигурации при развертывании леса Account-Resource ожидается, что будет найдена включенная учетная запись в лесу учетных записей и отключенная учетная запись в лесу ресурсов с параметрами Exchange и Lync. Рассматриваемое правило синхронизации содержит атрибуты, необходимые для входа, и их требуется передать из леса с включенной учетной записью. Эти потоки атрибутов вместе помещаются в одно правило синхронизации.

Преобразования могут быть разных типов: константа, прямое или выражение.

  • Поток-константа всегда передает жестко закодированное значение. В приведенном выше случае в атрибуте метавселенной с именем accountEnabled всегда устанавливается значение True.
  • Прямой поток всегда передает значение атрибута из источника в целевой атрибут без изменений.
  • Третий тип потока — выражение (Expression). Он дает возможность создавать более сложные конфигурации.

Языком выражений является VBA (Visual Basic для приложений), поэтому пользователи, обладающие опытом работы с Microsoft Office или VBScript, распознают этот формат. Атрибуты заключаются в квадратные скобки: [attributeName]. В именах атрибутов и функций учитывается регистр, но редактор правил синхронизации проверяет выражения и предупреждает, если выражение недопустимое. Все выражения выражаются в одной строке с вложенными функциями. Для демонстрации возможностей языка конфигурации ниже приведен поток для pwdLastSet, в который вставлены дополнительные комментарии.

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .NET datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

Дополнительные сведения о языке выражений для потоков атрибутов см. в статье Служба синхронизации Azure AD Connect: общие сведения о выражениях декларативной подготовки.

Приоритет

Вы рассмотрели несколько правил синхронизации по отдельности, но в конфигурации они работают совместно. В некоторых случаях несколько правил синхронизации влияют на значение одного целевого атрибута. В таких случаях атрибут выбирается на основании приоритета атрибутов. В качестве примера рассмотрите атрибут sourceAnchor. Этот атрибут является важным атрибутом для входа в идентификатор Microsoft Entra. Потоки для этого атрибута есть в двух различных правилах синхронизации: In from AD – User AccountEnabled (Поступление из AD — учетная запись включена) и In from AD – User Common (Поступление из AD — все пользователи). Приоритет правил синхронизации таков, что атрибут sourceAnchor заполняется в первую очередь из леса с действующей учетной записью, когда к объекту метавселенной присоединяются несколько объектов. Если нет включенных учетных записей, модуль синхронизации использует универсальное правило синхронизации In from AD – User Common(Поступление из AD — все пользователи). Эта конфигурация гарантирует, что атрибут sourceAnchor будет присутствовать даже в отключенных учетных записях.

Synchronization Rules Inbound

Мастер установки определяет приоритет для групп правил синхронизации. Все правила в группе имеют одинаковое имя, но они присоединены к разным подключенным каталогам. Мастер установки устанавливает наивысший приоритет правилу In from AD – User Join (Поступление из AD — объединение пользователей) для всех подключенных каталогов AD. Затем он переходит к следующей группе правил в предопределенном порядке. Внутри группы правила добавляются в том порядке, в котором добавлены соединители в мастере. Если добавить новый соединитель с использованием мастера, он изменяет порядок правил синхронизации, при этом правила нового соединителя будут последними в каждой группе.

Сборка

Теперь мы знаем достаточно о правилах синхронизации, чтобы понимать работу конфигураций с различными правилами синхронизации. Правила в отношении пользователя и атрибутов, добавляемых в метавселенную, применяются в следующем порядке:

Имя. Комментарий
In from AD – User Join Правило для присоединения к метавселенной объектов из пространства соединителя.
Поступление из AD — учетная запись включена Атрибуты, необходимые для входа в идентификатор Microsoft Entra и Microsoft 365. Эти атрибуты нужно перенести из включенной учетной записи.
Поступление из AD — все пользователи с сервера Exchange Атрибуты из глобального списка адресов. Мы предполагаем, что качество этих данных выше в том лесу, где у пользователя есть почтовый ящик.
In from AD – User Common Атрибуты из глобального списка адресов. Если мы не нашли почтовый ящик, значение атрибута может предоставить любой присоединенный объект.
Поступление из AD — пользователь Exchange Правило существует, только если обнаружена платформа Exchange. Передает все атрибуты инфраструктуры Exchange.
Поступление из AD — пользователь Lync Правило существует, только если обнаружена платформа Lync. Передает все атрибуты инфраструктуры Lync.

Следующие шаги

Обзорные статьи