Microsoft Entra Connect-synkronisering: Förstå standardkonfigurationen

  • Artikel

I den här artikeln beskrivs de färdiga konfigurationsreglerna. Den dokumenterar reglerna och hur dessa regler påverkar konfigurationen. Den vägleder dig också genom standardkonfigurationen för Microsoft Entra Anslut Sync. Målet är att läsaren förstår hur konfigurationsmodellen, med namnet deklarativ etablering, fungerar i ett verkligt exempel. Den här artikeln förutsätter att du redan har installerat och konfigurerat Microsoft Entra Anslut synkronisering med installationsguiden.

Information om konfigurationsmodellen finns i Förstå deklarativ etablering.

Färdiga regler från lokalt till Microsoft Entra-ID

Följande uttryck finns i den färdiga konfigurationen.

Färdiga regler för användare

Dessa regler gäller även för objekttypen iNetOrgPerson.

Ett användarobjekt måste uppfylla följande för att synkroniseras:

  • Måste ha en sourceAnchor.
  • När objektet har skapats i Microsoft Entra-ID kan sourceAnchor inte ändras. Om värdet ändras lokalt slutar objektet att synkroniseras tills sourceAnchor ändras tillbaka till dess tidigare värde.
  • Attributet accountEnabled (userAccountControl) måste vara fyllt. Med en lokal Active Directory är det här attributet alltid närvarande och ifyllt.

Följande användarobjekt synkroniseras inte med Microsoft Entra-ID:

  • IsPresent([isCriticalSystemObject]). Se till att många färdiga objekt i Active Directory, till exempel det inbyggda administratörskontot, inte synkroniseras.
  • IsPresent([sAMAccountName]) = False. Kontrollera att användarobjekt utan sAMAccountName-attribut inte synkroniseras. Det här fallet skulle bara ske praktiskt taget i en domän som uppgraderats från NT4.
  • Left([sAMAccountName], 4) = "AAD_", . Left([sAMAccountName], 5) = "MSOL_" Synkronisera inte tjänstkontot som används av Microsoft Entra Anslut Sync och dess tidigare versioner.
  • Synkronisera inte Exchange-konton som inte fungerar i Exchange Online.
    • [sAMAccountName] = "SUPPORT_388945a0"
    • Left([mailNickname], 14) = "SystemMailbox{"
    • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))
    • (Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
  • Synkronisera inte objekt som inte skulle fungera i Exchange Online. CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
    Den här bitmasken (&H21C07000) skulle filtrera bort följande objekt:
    • E-postaktiverad gemensam mapp (i förhandsversion från och med version 1.1.524.0)
    • System dirigeringspostlåda
    • Postlådedatabaspostlåda (systempostlåda)
    • Universell säkerhetsgrupp (skulle inte gälla för en användare, men finns av äldre skäl)
    • Icke-universell grupp (skulle inte gälla för en användare, men finns av äldre skäl)
    • Postlådeplan
    • Identifieringspostlåda
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Synkronisera inte några replikeringsofferobjekt.

Följande attributregler gäller:

  • sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). Attributet sourceAnchor har inte bidragit från en länkad postlåda. Det förutsätts att om en länkad postlåda har hittats ansluts det faktiska kontot senare.
  • Exchange-relaterade attribut synkroniseras endast om attributet mailNickName har ett värde.
  • När det finns flera skogar används attribut i följande ordning:
    1. Attribut som är relaterade till inloggning (till exempel userPrincipalName) har bidragit från skogen med ett aktiverat konto.
    2. Attribut som finns i en Exchange GAL (global adresslista) har bidragit från skogen med en Exchange-postlåda.
    3. Om ingen postlåda kan hittas kan dessa attribut komma från vilken skog som helst.
    4. Exchange-relaterade attribut (tekniska attribut som inte visas i GAL) har bidragit från skogen där mailNickname ISNOTNULL.
    5. Om det finns flera skogar som uppfyller någon av dessa regler används skapandeordningen (datum/tid) för Anslut orerna (skogar) för att avgöra vilken skog som bidrar med attributen. Den första anslutna skogen är den första skogen som synkroniseras.

Kontakta färdiga regler

Ett kontaktobjekt måste uppfylla följande för att synkroniseras:

  • Måste ha värdet e-postattribut.
  • Kontakten måste vara e-postaktiverad. Den verifieras med följande regler:
    • IsPresent([proxyAddresses]) = True). Attributet proxyAddresses måste fyllas i.
    • En primär e-postadress finns i antingen attributet proxyAddresses eller e-postattributet. Förekomsten av ett @ används för att verifiera att innehållet är en e-postadress. En av dessa två regler måste utvärderas till True.
      • (Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). Finns det en post med "SMTP:" och om det finns kan ett @ hittas i strängen?
      • (IsPresent([mail]) = True && (InStr([mail], "@") > 0). Fylls e-postattributet i och om det är det kan ett @ hittas i strängen?

Följande kontaktobjekt synkroniseras inte med Microsoft Entra-ID:

  • IsPresent([isCriticalSystemObject]). Se till att inga kontaktobjekt som markerats som kritiska synkroniseras. Bör inte vara någon med en standardkonfiguration.
  • ((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).
  • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). De här objekten fungerar inte i Exchange Online.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Synkronisera inte några replikeringsofferobjekt.

Gruppera färdiga regler

Ett gruppobjekt måste uppfylla följande för att synkroniseras:

  • Måste ha färre än 250 000 medlemmar. Det här antalet är antalet medlemmar i den lokala gruppen.
    • Om den har fler medlemmar innan synkroniseringen startar första gången synkroniseras inte gruppen.
    • Om antalet medlemmar växer från när det ursprungligen skapades slutar antalet medlemmar att synkroniseras tills antalet medlemmar är lägre än 250 000 igen när det når 250 000 medlemmar.
    • Obs! Antalet 250 000 medlemskap tillämpas också av Microsoft Entra ID. Du kan inte synkronisera grupper med fler medlemmar även om du ändrar eller tar bort den här regeln.
  • Om gruppen är en distributionsgrupp måste den också vara e-postaktiverad. Se Kontakta färdiga regler för att den här regeln ska tillämpas.

Följande gruppobjekt synkroniseras inte med Microsoft Entra-ID:

  • IsPresent([isCriticalSystemObject]). Se till att många färdiga objekt i Active Directory, till exempel den inbyggda administratörsgruppen, inte synkroniseras.
  • [sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Äldre grupp som används av DirSync.
  • BitAnd([msExchRecipientTypeDetails],&amp;H40000000). Rollgrupp.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Synkronisera inte några replikeringsofferobjekt.

ForeignSecurityPrincipal färdiga regler

FSP:er är anslutna till "alla" (*) objekt i metaversum. I själva verket sker den här kopplingen endast för användare och säkerhetsgrupper. Den här konfigurationen säkerställer att medlemskap mellan skogar matchas och representeras korrekt i Microsoft Entra-ID.

Inbyggda regler för datorn

Ett datorobjekt måste uppfylla följande för att synkroniseras:

  • userCertificate ISNOTNULL. Endast Windows 10-datorer fyller i det här attributet. Alla datorobjekt med ett värde i det här attributet synkroniseras.

Förstå scenariot med färdiga regler

I det här exemplet använder vi en distribution med en kontoskog (A), en resursskog (R) och en Microsoft Entra-katalog.

Picture with scenario description

I den här konfigurationen antas det att det finns ett aktiverat konto i kontoskogen och ett inaktiverat konto i resursskogen med en länkad postlåda.

Vårt mål med standardkonfigurationen är:

  • Attribut som rör inloggning synkroniseras från skogen med det aktiverade kontot.
  • Attribut som finns i GAL (global adresslista) synkroniseras från skogen med postlådan. Om ingen postlåda kan hittas används alla andra skogar.
  • Om en länkad postlåda hittas måste det länkade aktiverade kontot hittas för att objektet ska kunna exporteras till Microsoft Entra-ID.

Redigeraren för synkroniseringsregel

Konfigurationen kan visas och ändras med verktyget Synchronization Rules Editor (SRE) och en genväg till den finns på Start-menyn.

Synchronization Rules Editor icon

SRE är ett verktyg för resurspaket och installeras med Microsoft Entra Anslut Sync. För att kunna starta den måste du vara medlem i gruppen ADSyncAdmins. När den startar ser du ungefär så här:

Synchronization Rules Inbound

I det här fönstret visas alla synkroniseringsregler som skapats för konfigurationen. Varje rad i tabellen är en synkroniseringsregel. Till vänster under Regeltyper visas de två olika typerna: Inkommande och Utgående. Inkommande och utgående är från metaversumvyn. Du kommer främst att fokusera på reglerna för inkommande trafik i den här översikten. Den faktiska listan över synkroniseringsregler beror på det identifierade schemat i AD. På bilden ovan har kontoskogen (fabrikamonline.com) inga tjänster, till exempel Exchange och Lync, och inga synkroniseringsregler har skapats för dessa tjänster. I resursskogen (res.fabrikamonline.com) hittar du dock synkroniseringsregler för dessa tjänster. Innehållet i reglerna skiljer sig beroende på vilken version som har identifierats. I en distribution med Exchange 2013 finns det till exempel fler attributflöden som konfigurerats än i Exchange 2010/2007.

Synkroniseringsregel

En synkroniseringsregel är ett konfigurationsobjekt med en uppsättning attribut som flödar när ett villkor är uppfyllt. Den används också för att beskriva hur ett objekt i ett anslutningsutrymme är relaterat till ett objekt i metaversumet, som kallas koppling eller matchning. Synkroniseringsreglerna har ett prioritetsvärde som anger hur de relaterar till varandra. En synkroniseringsregel med ett lägre numeriskt värde har högre prioritet och i en attributflödeskonflikt vinner högre prioritet konfliktlösningen.

Som ett exempel kan du titta på synkroniseringsregeln in från AD – User AccountEnabled. Markera den här raden i SRE och välj Redigera.

Eftersom den här regeln är en inaktuell regel får du en varning när du öppnar regeln. Du bör inte göra några ändringar i färdiga regler, så du tillfrågas om vad dina avsikter är. I det här fallet vill du bara visa regeln. Välj Nej.

Synchronization Rules warning

En synkroniseringsregel har fyra konfigurationsavsnitt: Beskrivning, omfångsfilter, kopplingsregler och transformeringar.

beskrivning

Det första avsnittet innehåller grundläggande information, till exempel ett namn och en beskrivning.

Description tab in Sync rule editor

Du hittar också information om vilket anslutet system den här regeln är relaterad till, vilken objekttyp i det anslutna systemet den gäller för och objekttypen metaversum. Objekttypen metaversum är alltid person oavsett när källobjekttypen är en användare, iNetOrgPerson eller kontakt. Metaversumobjekttypen bör aldrig ändras så att den skapas som en allmän typ. Länktypen kan anges till Join, StickyJoin eller Provision. Den här inställningen fungerar tillsammans med avsnittet Kopplingsregler och beskrivs senare.

Du kan också se att den här synkroniseringsregeln används för lösenordssynkronisering. Om en användare är i omfånget för den här synkroniseringsregeln synkroniseras lösenordet från lokalt till molnet (förutsatt att du har aktiverat funktionen för lösenordssynkronisering).

Omfångsfilter

Avsnittet Omfångsfilter används för att konfigurera när en synkroniseringsregel ska tillämpas. Eftersom namnet på synkroniseringsregeln som du tittar på anger att den endast ska tillämpas för aktiverade användare, konfigureras omfånget så AD-attributet userAccountControl får inte ha bit 2-uppsättningen. När synkroniseringsmotorn hittar en användare i AD tillämpas den här synkroniseringsregeln när userAccountControl är inställt på decimalvärdet 512 (aktiverad normal användare). Den tillämpar inte regeln när användaren har userAccountControl inställt på 514 (inaktiverad normal användare).

Screenshot that shows the

Omfångsfiltret har grupper och satser som kan kapslas. Alla satser i en grupp måste vara uppfyllda för att en synkroniseringsregel ska gälla. När flera grupper har definierats måste minst en grupp uppfyllas för att regeln ska gälla. En logisk OR utvärderas mellan grupper och en logisk AND utvärderas i en grupp. Ett exempel på den här konfigurationen finns i utgående synkroniseringsregel ut till Microsoft Entra ID – Gruppanslutning. Det finns flera synkroniseringsfiltergrupper, till exempel en för säkerhetsgrupper (securityEnabled EQUAL True) och en för distributionsgrupper (securityEnabled EQUAL False).

Scoping tab in Sync rule editor

Den här regeln används för att definiera vilka grupper som ska etableras till Microsoft Entra-ID. Distributionsgrupper måste vara e-postaktiverade för att synkroniseras med Microsoft Entra-ID, men för säkerhetsgrupper krävs inget e-postmeddelande.

Kopplingsregler

Det tredje avsnittet används för att konfigurera hur objekt i anslutningsprogrammets utrymme relaterar till objekt i metaversum. Regeln som du har tittat på tidigare har ingen konfiguration för kopplingsregler, så i stället ska du titta på In från AD – Användaranslutning.

Join rules tab in Sync rule editor

Innehållet i kopplingsregeln beror på det matchande alternativ som valts i installationsguiden. För en inkommande regel börjar utvärderingen med ett objekt i källanslutningsutrymmet och varje grupp i kopplingsreglerna utvärderas i följd. Om ett källobjekt utvärderas för att matcha exakt ett objekt i metaversumet med hjälp av någon av kopplingsreglerna, kopplas objekten. Om alla regler har utvärderats och det inte finns någon matchning används länktypen på beskrivningssidan. Om den här konfigurationen är inställd på Etablera skapas ett nytt objekt i målet, metaversum, om minst ett attribut i kopplingsvillkoren finns (har ett värde). Om du vill etablera ett nytt objekt i metaversum kallas det även för att projicera ett objekt till metaversum.

Kopplingsreglerna utvärderas bara en gång. När ett anslutningsutrymmesobjekt och ett metaversumobjekt är anslutna förblir de anslutna så länge synkroniseringsregelns omfång fortfarande är uppfyllt.

När du utvärderar synkroniseringsregler måste endast en synkroniseringsregel med definierade kopplingsregler finnas i omfånget. Om flera synkroniseringsregler med kopplingsregler hittas för ett objekt utlöses ett fel. Därför är bästa praxis att bara ha en synkroniseringsregel med koppling definierad när flera synkroniseringsregler finns i omfånget för ett objekt. I den färdiga konfigurationen för Microsoft Entra Anslut Sync kan dessa regler hittas genom att titta på namnet och hitta dem med ordet Anslut i slutet av namnet. En synkroniseringsregel utan några kopplingsregler som definierats tillämpar attributflödena när en annan synkroniseringsregel anslöt objekten eller etablerade ett nytt objekt i målet.

Om du tittar på bilden ovan kan du se att regeln försöker ansluta objectSID med msExchMasterAccountSid (Exchange) och msRTCSIP-OriginatorSid (Lync), vilket är vad vi förväntar oss i en skogstopologi för kontoresurser. Du hittar samma regel för alla skogar. Antagandet är att varje skog kan vara ett konto eller en resursskog. Den här konfigurationen fungerar också om du har konton som finns i en enda skog och inte behöver vara anslutna.

Transformeringar

Transformationsavsnittet definierar alla attributflöden som gäller för målobjektet när objekten kopplas och omfångsfiltret är uppfyllt. Om du går tillbaka till In från AD – user accountEnabled Synchronization Rule (In från AD – User AccountEnabled Synchronization Rule) hittar du följande transformeringar:

Transformations tab in Sync rule editor

Om du vill placera den här konfigurationen i ett sammanhang förväntas den i en distribution av en kontoresursskog hitta ett aktiverat konto i kontoskogen och ett inaktiverat konto i resursskogen med Exchange- och Lync-inställningar. Synkroniseringsregeln som du tittar på innehåller de attribut som krävs för inloggning och dessa attribut bör flöda från skogen där det finns ett aktiverat konto. Alla dessa attributflöden sammanställs i en synkroniseringsregel.

En transformering kan ha olika typer: Konstant, Direkt och Uttryck.

  • Ett konstant flöde flödar alltid ett hårdkodat värde. I ovanstående fall anges alltid värdet True i metaverse-attributet accountEnabled.
  • Ett direktflöde flödar alltid värdet för attributet i källan till målattributet som det är.
  • Den tredje flödestypen är Uttryck och möjliggör mer avancerade konfigurationer.

Uttrycksspråket är VBA (Visual Basic for Applications), så personer med erfarenhet av Microsoft Office eller VBScript känner igen formatet. Attribut omges av hakparenteser, [attributeName]. Attributnamn och funktionsnamn är skiftlägeskänsliga, men Redigeraren för synkroniseringsregler utvärderar uttrycken och ger en varning om uttrycket inte är giltigt. Alla uttryck uttrycks på en enda rad med kapslade funktioner. För att visa kraften i konfigurationsspråket, här är flödet för pwdLastSet, men med ytterligare kommentarer infogade:

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .NET datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

Mer information om uttrycksspråket för attributflöden finns i Förstå deklarativa etableringsuttryck .

Prioritet

Nu har du tittat på några enskilda synkroniseringsregler, men reglerna fungerar tillsammans i konfigurationen. I vissa fall bidrar ett attributvärde från flera synkroniseringsregler till samma målattribut. I det här fallet används attributpriorence för att avgöra vilket attribut som vinner. Som ett exempel kan du titta på attributet sourceAnchor. Det här attributet är ett viktigt attribut för att kunna logga in på Microsoft Entra-ID. Du hittar ett attributflöde för det här attributet i två olika synkroniseringsregler, In från AD – User AccountEnabled och In från AD – User Common. På grund av prioriteten för synkroniseringsregeln kommer attributet sourceAnchor först från skogen med ett aktiverat konto när det finns flera objekt som är anslutna till metaversumobjektet. Om det inte finns några aktiverade konton använder synkroniseringsmotorn synkroniseringsregeln catch-all in från AD – User Common. Den här konfigurationen säkerställer att även för konton som är inaktiverade finns det fortfarande en sourceAnchor.

Synchronization Rules Inbound

Prioriteten för synkroniseringsregler anges i grupper av installationsguiden. Alla regler i en grupp har samma namn, men de är anslutna till olika anslutna kataloger. Installationsguiden ger regeln In från AD – Användaranslutning högsta prioritet och itererar över alla anslutna AD-kataloger. Den fortsätter sedan med nästa grupper av regler i en fördefinierad ordning. I en grupp läggs reglerna till i den ordning Anslut orerna lades till i guiden. Om en annan Anslut eller läggs till via guiden ordnas synkroniseringsreglerna om och de nya Anslut eller-reglerna infogas sist i varje grupp.

Färdigställa allt

Nu vet vi tillräckligt om synkroniseringsregler för att kunna förstå hur konfigurationen fungerar med de olika synkroniseringsreglerna. Om du tittar på en användare och de attribut som har bidragit till metaversumet tillämpas reglerna i följande ordning:

Name Kommentar
In från AD – Användaranslutning Regel för att koppla anslutningsutrymmesobjekt med metaversum.
In från AD – UserAccount aktiverat Attribut som krävs för inloggning till Microsoft Entra ID och Microsoft 365. Vi vill ha dessa attribut från det aktiverade kontot.
In från AD – User Common från Exchange Attribut som finns i den globala adresslistan. Vi antar att datakvaliteten är bäst i skogen där vi har hittat användarens postlåda.
In från AD – User Common Attribut som finns i den globala adresslistan. Om vi inte hittar någon postlåda kan något annat kopplat objekt bidra med attributvärdet.
In från AD – User Exchange Det finns bara om Exchange har identifierats. Den flödar alla Exchange-attribut för infrastruktur.
In från AD – Användare Lync Finns bara om Lync har identifierats. Den flödar alla Lync-attribut för infrastruktur.

Nästa steg

Översiktsavsnitt