Microsoft Entra Connect Eşitleme: Kullanıcıları, Grupları ve Kişileri Anlama
Birden çok Active Directory ormanınız olmasının ve birkaç farklı dağıtım topolojisi olmasının birkaç farklı nedeni vardır. Ortak modeller arasında hesap kaynağı dağıtımı ve birleştirme ve alımdan sonra GAL eşitleme ormanları bulunur. Ancak saf modeller olsa bile hibrit modeller de yaygındır. Microsoft Entra Bağlan Sync'teki varsayılan yapılandırma belirli bir modeli varsaymıyor, ancak yükleme kılavuzunda kullanıcı eşleştirmenin nasıl seçildiğine bağlı olarak farklı davranışlar gözlemlenebilir.
Bu konu başlığında, varsayılan yapılandırmanın belirli topolojilerde nasıl davrandığını inceleyeceğiz. Yapılandırmayı gözden geçiriyoruz ve Eşitleme Kuralları Düzenleyicisi yapılandırmaya bakmak için kullanılabilir.
Yapılandırmanın varsaymış olduğu birkaç genel kural vardır:
- Kaynak Etkin Dizinlerden hangi sırayı içeri aktardığımıza bakılmaksızın, sonuç her zaman aynı olmalıdır.
- Etkin bir hesap her zaman userPrincipalName ve sourceAnchor gibi oturum açma bilgilerine katkıda bulunur.
- Devre dışı bırakılmış bir hesap, etkin bir hesap bulunamazsa, bağlantılı bir posta kutusu olmadığı sürece userPrincipalName ve sourceAnchor'a katkıda bulunur.
- Bağlantılı posta kutusu olan bir hesap hiçbir zaman userPrincipalName ve sourceAnchor için kullanılmaz. Etkin bir hesabın daha sonra bulunacağı varsayılır.
- Microsoft Entra Id'ye kişi veya kullanıcı olarak bir kişi nesnesi sağlanabilir. Tüm kaynak Active Directory ormanları işlenene kadar bunu gerçekten bilemezsiniz.
Gruplar
Dekont
Gruba başka bir ormandan kullanıcı eklediğinizde, Active Directory'de grupların belirli bir OU içinde bulunduğu bir yer işareti oluşturulduğunu unutmayın. Bu yer işareti bir Yabancı güvenlik sorumlusudur ve OU 'ForeignSecurityPrincipals' içinde depolanır. Bu OU'nun grup üyeliğinden kaldırıldığı kullanıcılarla eşitlemezseniz.
Grupları Active Directory'den Microsoft Entra Id'ye eşitlerken dikkat edilmesi gereken önemli noktalar:
Microsoft Entra Connect, yerleşik güvenlik gruplarını dizin eşitlemesinin dışında tutar.
Microsoft Entra Bağlan, Birincil Grup üyeliklerinin Microsoft Entra Id ile eşitlenmesini desteklemez.
Microsoft Entra Bağlan, Dinamik Dağıtım Grubu üyeliklerinin Microsoft Entra Id ile eşitlenmesini desteklemez.
Bir Active Directory grubunu Posta özellikli bir grup olarak Microsoft Entra Id ile eşitlemek için:
Grubun proxyAddress özniteliği boşsa, posta özniteliğinin bir değeri olmalıdır
Grubun proxyAddress özniteliği boş değilse, en az bir SMTP proxy adresi değeri içermelidir. Burada bazı örnekler verilmiştir:
proxyAddress özniteliği {"X500:/0=contoso.com/ou=users/cn=testgroup"} değerine sahip bir Active Directory grubu, Microsoft Entra ID'de posta etkin olmaz. SMTP adresi yok.
proxyAddress özniteliği {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} değerlerine sahip bir Active Directory grubu, Microsoft Entra Id'de posta etkin olacaktır.
proxyAddress özniteliği {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} değerlerine sahip bir Active Directory grubu, Microsoft Entra ID'de de posta etkin olur.
Kişiler
GalSync çözümünün iki veya daha fazla Exchange ormanında köprü oluşturması halinde bir birleştirme ve alma işleminden sonra, farklı bir ormandaki bir kullanıcıyı temsil eden kişilerin olması yaygın bir durumdur. Kişi nesnesi her zaman posta özniteliği kullanılarak bağlayıcı alanından meta veri deposuna katılır. Zaten aynı posta adresine sahip bir kişi nesnesi veya kullanıcı nesnesi varsa, nesneler birleştirilir. Bu, AD'den Gelen – Kişi Birleştirme kuralında yapılandırılır. Ayrıca AD'den In - Contact Common adlı bir kural da vardır ve sabit Contact ile sourceObjectType metaverse özniteliğine bir öznitelik akışı ekleyin. Bu kural düşük önceliğe sahiptir, bu nedenle herhangi bir kullanıcı nesnesi aynı meta veri deposu nesnesine katılmışsa, AD'den Gelen – Kullanıcı Ortak kuralı Bu özniteliğe User değerini katkıda bulunur. Bu kuralla, bu öznitelik hiçbir kullanıcı katılmadıysa Kişi değerine ve en az bir kullanıcı bulunduysa Kullanıcı değerine sahiptir.
Bir nesneyi Microsoft Entra Id'ye sağlamak için, sourceObjectType metaveri özniteliği Kişi olarak ayarlandıysa Giden kuralı Microsoft Entra Id – Kişi Katılımı bir kişi nesnesi oluşturur. Bu öznitelik Kullanıcı olarak ayarlanırsa, Out to Microsoft Entra ID – User Join kuralı bunun yerine bir kullanıcı nesnesi oluşturur. Daha fazla kaynak Etkin Dizin içeri aktarıldığında ve eşitlendiğinde bir nesnenin Kişi'den Kullanıcıya yükseltilmiş olması mümkündür.
Örneğin, bir GALSync topolojisinde, ilk ormanı içeri aktardığımızda ikinci ormandaki herkes için kişi nesneleri buluyoruz. Bu, Microsoft Entra Bağlan veya yeni kişi nesnelerini aşamalar. daha sonra ikinci ormanı içeri aktarıp eşitlediğimizde, gerçek kullanıcıları bulur ve bunları mevcut meta veri kümesi nesnelerine ekleriz. Ardından Microsoft Entra Id içindeki kişi nesnesini silip bunun yerine yeni bir kullanıcı nesnesi oluşturacağız.
Kullanıcıların kişi olarak temsil edildiği bir topolojiniz varsa, yükleme kılavuzunda kullanıcıları posta özniteliğiyle eşleştirmeyi seçtiğinizden emin olun. Başka bir seçenek seçerseniz siparişe bağlı bir yapılandırmanız olur. Kişi nesneleri her zaman posta özniteliğinde birleştirilir ama kullanıcı nesnelerinin posta özniteliğinde birleştirilmesi için yükleme kılavuzunda bu seçeneğin belirtilmiş olması gerekir. Bundan sonra, kişi nesnesi kullanıcı nesnesinden önce içeri aktarıldıysa meta veri deposunda aynı posta özniteliğine sahip iki ayrı nesneniz olabilir. Microsoft Entra Id'ye dışarı aktarma sırasında bir hata gösterilir. Bu davranış tasarım gereğidir ve hatalı verileri veya yükleme sırasında topolojinin doğru tanımlanmadığını gösterir.
Devre dışı bırakılan hesaplar
Devre dışı bırakılan hesaplar da Microsoft Entra Id ile eşitlenir. Devre dışı bırakılan hesaplar, Exchange'deki kaynakları (örneğin konferans odaları) temsil etmek için yaygın olarak kullanılır. Özel durum, bağlantılı posta kutusu olan kullanıcılardır; Daha önce belirtildiği gibi, bunlar hiçbir zaman Microsoft Entra Id'ye hesap sağlamaz.
Varsayım, devre dışı bırakılmış bir kullanıcı hesabı bulunursa daha sonra başka bir etkin hesap bulamayacağımız ve nesnenin userPrincipalName ve sourceAnchor bulunan Microsoft Entra Kimliği'ne sağlandığıdır. Başka bir etkin hesabın aynı meta veri deposu nesnesine katılması durumunda userPrincipalName ve sourceAnchor kullanılır.
sourceAnchor'u değiştirme
Bir nesne Microsoft Entra Id'ye aktarıldığında artık sourceAnchor'u değiştirmesine izin verilmez. Nesne dışarı aktarıldığında cloudSourceAnchor metaverse özniteliği Microsoft Entra Id tarafından kabul edilen sourceAnchor değeriyle ayarlanır. sourceAnchor değiştirilirse ve cloudSourceAnchor ile eşleşmezse, Out to Microsoft Entra ID – User Join kuralı sourceAnchor özniteliği değişti hatasını oluşturur. Bu durumda, nesnenin yeniden eşitlenebilmesi için önce metaveride aynı sourceAnchor'un yeniden bulunması için yapılandırma veya verilerin düzeltilmesi gerekir.