Microsoft Entra Подключение: если у вас есть существующий клиент
Большинство разделов по использованию Microsoft Entra Подключение предполагает, что вы начинаете с нового клиента Microsoft Entra и что нет пользователей или других объектов. Но если вы начали работу с клиентом Microsoft Entra, заполняли его пользователями и другими объектами, а теперь хотите использовать Подключение, то этот раздел предназначен для вас.
Основные принципы
Объект в идентификаторе Microsoft Entra управляется в облаке или локальной среде. Для одного объекта нельзя управлять некоторыми атрибутами в локальной среде и некоторыми другими атрибутами в идентификаторе Microsoft Entra. У каждого объекта имеется флаг, указывающий, где осуществляется управление этим объектом.
Вы можете управлять некоторыми пользователями в локальной среде и другими пользователями в облаке. Распространенный сценарий для этой конфигурации — организация, состоящая из сотрудников отдела бухгалтерии и отдела продаж. У работников учета есть локальная учетная запись AD, но у работников продаж нет, но у них есть учетная запись в идентификаторе Microsoft Entra ID. Вы будете управлять некоторыми пользователями в локальной среде и некоторыми в идентификаторе Microsoft Entra.
При запуске управления пользователями в идентификаторе Microsoft Entra необходимо учитывать некоторые дополнительные проблемы, которые также присутствуют в локальной среде, а затем использовать Microsoft Entra Подключение.
Синхронизация с существующими пользователями в идентификаторе Microsoft Entra
При синхронизации с Microsoft Entra Подключение API службы Microsoft Entra проверка каждый новый входящий объект и пытается найти существующий объект для сопоставления. Для этого используются три атрибута: userPrincipalName, proxyAddresses и sourceAnchor/immutableID. Совпадение для userPrincipalName или proxyAddresses называется "soft-match". Совпадение в sourceAnchor называется "hard=match". Для атрибута proxyAddresses используется только значение с SMTP:, которое является основной адрес электронной почты, используется для оценки.
Соответствие оценивается только для новых объектов, поступающих из Connect. Если изменить существующий объект таким образом, чтобы он соответствовал любому из этих атрибутов, вместо этого появится ошибка.
Если идентификатор Microsoft Entra id находит объект, в котором значения атрибутов совпадают с новым входящим объектом из Microsoft Entra Подключение, то он принимает объект в идентификаторе Microsoft Entra ID, а ранее управляемый облаком объект преобразуется в локальный управляемый объект. Все атрибуты в идентификаторе Microsoft Entra с значением в локальной службе AD перезаписываются соответствующим локальным значением.
Предупреждение
Так как все атрибуты в идентификаторе Microsoft Entra будут перезаписаны локальным значением, убедитесь, что у вас есть хорошие данные в локальной среде. Например, если у вас есть только управляемый адрес электронной почты в Microsoft 365 и он не обновлялся в локальной службе AD DS, то вы потеряете значения в идентификаторе Microsoft Entra ID / Microsoft 365, не присутствующих в AD DS.
Внимание
Если вы используете синхронизацию паролей, которая всегда используется экспресс-параметрами, пароль в идентификаторе Microsoft Entra перезаписывается паролем в локальной AD. Если пользователи используются для управления разными паролями, необходимо сообщить им, что они должны использовать локальный пароль при установке Подключение.
При планировании необходимо учитывать предыдущий раздел и приведенные предупреждения. Если вы внесли много изменений в идентификатор Microsoft Entra, которые не были отражены в локальных AD DS, то для предотвращения потери данных необходимо спланировать заполнение AD DS обновленными значениями из идентификатора Microsoft Entra, прежде чем синхронизировать объекты с Microsoft Entra Подключение.
Если вы соответствовали объектам с мягким совпадением, источникAnchor добавляется в объект в идентификаторе Microsoft Entra id, чтобы жесткое совпадение можно было использовать позже.
Внимание
Корпорация Майкрософт настоятельно рекомендует синхронизировать локальные учетные записи с предварительно существующими учетными записями администратора в идентификаторе Microsoft Entra.
Строгое и нестрогое сопоставление
По умолчанию значение SourceAnchor для abcdefghijklmnopqrstuv==" вычисляется microsoft Entra Подключение с помощью атрибута MsDs-ConsistencyGUID (или ObjectGUID в зависимости от конфигурации) от локальная служба Active Directory. Это значение атрибута является соответствующим идентификатором ImmutableId в идентификаторе Microsoft Entra. При добавлении или обновлении объектов Microsoft Entra Подключение (подсистеме синхронизации) идентификатор Microsoft Entra соответствует входящему объекту с помощью значения sourceAnchor, соответствующего атрибуту ImmutableId существующего объекта в идентификаторе Microsoft Entra ID. Если есть совпадение, Microsoft Entra Подключение взять на себя этот объект и обновить его со свойствами входящего локальная служба Active Directory объекта в том, что называется "жестким совпадением". Если идентификатор Microsoft Entra не может найти объект с идентификатором ImmutableId, соответствующий значению SouceAnchor, он пытается использовать userPrincipalName или primary ProxyAddress, чтобы найти совпадение в том, что оно называется *"soft-match". Обратимое совпадение пытается сопоставить уже существующие и управляемые объекты в идентификаторе Microsoft Entra с новыми добавляемыми или обновленными объектами, представляющими ту же сущность в локальной среде. Если идентификатор Microsoft Entra ID не может найти жесткое совпадение или обратимое совпадение для входящего объекта, он подготавливает новый объект в каталоге идентификатора Microsoft Entra ID. Мы добавили параметр конфигурации, чтобы отключить функцию жесткого сопоставления в идентификаторе Microsoft Entra. Мы советуем клиентам отключать жесткое сопоставление, если они не нуждаются в том, чтобы взять на себя только облачные учетные записи.
Чтобы отключить жесткое сопоставление, используйте командлет Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Аналогичным образом мы добавили параметр конфигурации, чтобы отключить параметр обратимого сопоставления в идентификаторе Microsoft Entra. Мы советуем клиентам отключить мягкое сопоставление, если им не требуется использовать облачные учетные записи.
Чтобы отключить обратимое сопоставление, используйте командлет Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Примечание.
BlockCloudObjectTakeoverThroughHardMatchEnabled и BlockSoftMatchEnabled используются для блокировки сопоставления для всех объектов, если он включен для клиента. Клиентам рекомендуется отключить эти функции только в течение периода, когда для их аренды требуется соответствующая процедура. Этот флаг должен иметь значение True еще раз после завершения сопоставления и больше не требуется.
Объекты, отличные от пользователей
Для групп и контактов с поддержкой почты можно обратимое сопоставление на основе proxyAddresses. Жесткое совпадение неприменимо, так как вы можете обновить только sourceAnchor/immutableID (с помощью PowerShell) только для пользователей. Для групп, которые не включены в почту, в настоящее время нет поддержки мягкого совпадения или жесткого совпадения.
Особенности ролей администраторов
Чтобы защитить ненадежных локальных пользователей, идентификатор Microsoft Entra ID не будет соответствовать локальным пользователям с облачными пользователями, имеющими роль администратора. Это поведение по умолчанию. Чтобы обойти эту проблему, выполните следующие действия.
- Удалите роли каталога из облачного объекта пользователя.
- Жесткое удаление объекта в карантине в облаке.
- Запустите синхронизацию.
- При необходимости добавьте роли каталога обратно в объект пользователя в облаке после завершения сопоставления.
Создание нового локальная служба Active Directory из данных в идентификаторе Microsoft Entra
Некоторые клиенты начинают с облачного решения с идентификатором Microsoft Entra ID, и у них нет локальной службы AD. Позже они хотят использовать локальные ресурсы и хотят создать локальную AD на основе данных Microsoft Entra. Microsoft Entra Подключение не может помочь вам в этом сценарии. Он не создает локальных пользователей и не имеет возможности задать пароль локально, как и в идентификаторе Microsoft Entra.
Если единственная причина, по которой вы планируете добавить локальную службу AD, заключается в поддержке бизнес-приложений (бизнес-приложений), возможно, следует использовать доменные службы Microsoft Entra.
Следующие шаги
Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.