Microsoft Entra Connect-synkronisering: Förstå användare, grupper och kontakter
Det finns flera olika orsaker till varför du skulle ha flera Active Directory-skogar och det finns flera olika distributionstopologier. Vanliga modeller inkluderar en distribution av kontoresurser och GAL-synkroniseringsskogar efter en sammanslagning och ett förvärv. Men även om det finns rena modeller är hybridmodeller också vanliga. Standardkonfigurationen i Microsoft Entra Anslut Sync förutsätter inte någon viss modell, men beroende på hur användarmatchning valdes i installationsguiden kan olika beteenden observeras.
I det här avsnittet går vi igenom hur standardkonfigurationen beter sig i vissa topologier. Vi går igenom konfigurationen och redigeraren för synkroniseringsregler kan användas för att titta på konfigurationen.
Det finns några allmänna regler som konfigurationen förutsätter:
- Oavsett vilken ordning vi importerar från källans aktiva kataloger bör slutresultatet alltid vara detsamma.
- Ett aktivt konto kommer alltid att bidra med inloggningsinformation, inklusive userPrincipalName och sourceAnchor.
- Ett inaktiverat konto bidrar med userPrincipalName och sourceAnchor, såvida det inte är en länkad postlåda, om det inte finns något aktivt konto att hitta.
- Ett konto med en länkad postlåda kommer aldrig att användas för userPrincipalName och sourceAnchor. Det förutsätts att ett aktivt konto hittas senare.
- Ett kontaktobjekt kan etableras till Microsoft Entra-ID som en kontakt eller som en användare. Du vet inte förrän alla Active Directory-källskogar har bearbetats.
Grupper
Kommentar
Tänk på att när du lägger till en användare från en annan skog i gruppen, finns det en fästpunkt som skapats i Active Directory där grupperna finns i en specifik organisationsenhet. Det här ankaret är ett sekundärt säkerhetsobjekt och lagras i organisationsenheten ForeignSecurityPrincipals. Om du inte synkroniserar den här organisationsenheten har användarna tagits bort från gruppmedlemskapet.
Viktiga punkter att vara medveten om när du synkroniserar grupper från Active Directory till Microsoft Entra ID:
Microsoft Entra ID Connect exkluderar inbyggda säkerhetsgrupper från katalogsynkronisering.
Microsoft Entra Anslut stöder inte synkronisering av primärgruppsmedlemskap till Microsoft Entra-ID.
Microsoft Entra Anslut stöder inte synkronisering av medlemskap i dynamisk distributionsgrupp till Microsoft Entra-ID.
Så här synkroniserar du en Active Directory-grupp med Microsoft Entra-ID som en e-postaktiverad grupp:
Om gruppens proxyAddress-attribut är tomt måste dess e-postattribut ha ett värde
Om gruppens proxyAddress-attribut inte är tomt måste det innehålla minst ett SMTP-proxyadressvärde. Nedan följer några exempel:
En Active Directory-grupp vars proxyAddress-attribut har värdet {"X500:/0=contoso.com/ou=users/cn=testgroup"} kommer inte att vara e-postaktiverad i Microsoft Entra-ID. Den har ingen SMTP-adress.
En Active Directory-grupp vars proxyAddress-attribut har värden {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} kommer att vara e-postaktiverad i Microsoft Entra-ID.
En Active Directory-grupp vars proxyAddress-attribut har värden {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} kommer också att vara e-postaktiverad i Microsoft Entra-ID.
Kontakter
Det är vanligt att ha kontakter som representerar en användare i en annan skog efter en sammanslagning och ett förvärv där en GALSync-lösning överbryggar två eller flera Exchange-skogar. Kontaktobjektet ansluter alltid från anslutarplatsen till metaversum med hjälp av e-postattributet. Om det redan finns ett kontaktobjekt eller användarobjekt med samma e-postadress kopplas objekten ihop. Detta konfigureras i regeln In from AD – Contact Join. Det finns också en regel med namnet In från AD – Kontakta Common med ett attributflöde till metaverse-attributet sourceObjectType med den konstanta Kontakten. Den här regeln har låg prioritet, så om något användarobjekt är kopplat till samma metaversumobjekt kommer regeln In från AD – User Common att bidra med värdet Användare till det här attributet. Med den här regeln har det här attributet värdet Kontakt om ingen användare har anslutits och värdet Användare om minst en användare har hittats.
För etablering av ett objekt till Microsoft Entra-ID skapar utgående regel ut till Microsoft Entra-ID – Kontaktanslutning ett kontaktobjekt om metaverse-attributet sourceObjectType är inställt på Kontakt. Om det här attributet är inställt på Användare skapar regeln Ut till Microsoft Entra-ID – Användaranslutning ett användarobjekt i stället. Det är möjligt att ett objekt höjs upp från Kontakt till användare när fler aktiva källkataloger importeras och synkroniseras.
I en GALSync-topologi hittar vi till exempel kontaktobjekt för alla i den andra skogen när vi importerar den första skogen. Det här stegar nya kontaktobjekt i Microsoft Entra-Anslut eller. När vi senare importerar och synkroniserar den andra skogen hittar vi de verkliga användarna och ansluter dem till de befintliga metaversumobjekten. Sedan tar vi bort kontaktobjektet i Microsoft Entra-ID och skapar ett nytt användarobjekt i stället.
Om du har en topologi där användare representeras som kontakter ser du till att du väljer att matcha användare med e-postattributet i installationsguiden. Om du väljer ett annat alternativ har du en orderberoende konfiguration. Kontaktobjekt ansluts alltid med e-postattributet, men användarobjekt ansluts bara med e-postattributet om det här alternativet har valts i installationsguiden. Då kan du få två olika objekt i metaversum med samma e-postattribut om kontaktobjektet importerades före användarobjektet. Under exporten till Microsoft Entra-ID visas ett fel. Det här beteendet är avsiktligt och anger felaktiga data eller att topologin inte identifierades korrekt under installationen.
Inaktiverade konton
Inaktiverade konton synkroniseras också med Microsoft Entra-ID. Inaktiverade konton är vanliga för att representera resurser i Exchange, till exempel konferensrum. Undantaget är användare med en länkad postlåda. Som tidigare nämnts kommer dessa aldrig att etablera ett konto till Microsoft Entra-ID.
Antagandet är att om ett inaktiverat användarkonto hittas kommer vi inte att hitta ett annat aktivt konto senare och objektet etableras till Microsoft Entra-ID med userPrincipalName och sourceAnchor hittades. Om ett annat aktivt konto ansluter till samma metaversumobjekt används dess userPrincipalName och sourceAnchor.
Ändra sourceAnchor
När ett objekt har exporterats till Microsoft Entra-ID får det inte längre ändra sourceAnchor. När objektet har exporterats anges metaversattributet cloudSourceAnchor med värdet sourceAnchor som godkänts av Microsoft Entra-ID. Om sourceAnchor ändras och inte matchar cloudSourceAnchor kommer regeln Out to Microsoft Entra ID – User Join att utlösa felet sourceAnchor attributet har ändrats. I det här fallet måste konfigurationen eller data korrigeras så att samma sourceAnchor finns i metaversum igen innan objektet kan synkroniseras igen.