Synchronizace služby Microsoft Entra Connect: Principy výchozí konfigurace

Tento článek vysvětluje předefinovaná pravidla konfigurace. Dokumentuje pravidla a vliv těchto pravidel na konfiguraci. Provede vás také výchozí konfigurací microsoft Entra Připojení Sync. Cílem je, aby čtenář rozuměl tomu, jak konfigurační model s názvem deklarativní zřizování pracuje v skutečném příkladu. Tento článek předpokládá, že jste již nainstalovali a nakonfigurovali synchronizaci microsoft Entra Připojení pomocí průvodce instalací.

Pokud chcete porozumět podrobnostem konfiguračního modelu, přečtěte si článek Principy deklarativního zřizování.

Předefinovaná pravidla z místního prostředí na ID Microsoft Entra

Následující výrazy najdete v předem dostupné konfiguraci.

Předefinovaná pravidla uživatele

Tato pravidla platí také pro typ objektu iNetOrgPerson.

Aby bylo možné synchronizovat objekt uživatele, musí splňovat následující podmínky:

• Musí mít sourceAnchor.
• Po vytvoření objektu v Microsoft Entra ID, sourceAnchor nemůže změnit. Pokud se hodnota změní místně, objekt se přestane synchronizovat, dokud se zdrojAnchor nezmění zpět na předchozí hodnotu.
• Musí mít vyplněný atribut accountEnabled (userAccountControl). Při místní Active Directory je tento atribut vždy přítomný a naplněný.

Následující objekty uživatele nejsou synchronizovány s Microsoft Entra ID:

• IsPresent([isCriticalSystemObject]). Ujistěte se, že se mnoho předdefinovaných objektů ve službě Active Directory, například předdefinovaný účet správce, nesynchronuje.
• IsPresent([sAMAccountName]) = False. Ujistěte se, že uživatelské objekty bez atributu sAMAccountName nejsou synchronizovány. K tomuto případu může dojít pouze v doméně upgradované z NT4.
• Left([sAMAccountName], 4) = "AAD_", . Left([sAMAccountName], 5) = "MSOL_" Nesynchronizovat účet služby používaný aplikací Microsoft Entra Připojení Sync a jeho dřívějšími verzemi.
• Nesynchronizovat účty Exchange, které by v Exchangi Online nefungovaly.
  • [sAMAccountName] = "SUPPORT_388945a0"
  • Left([mailNickname], 14) = "SystemMailbox{"
  • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))
  • (Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
• Nesynchronizovat objekty, které by v Exchangi Online nefungovaly. CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
  Tato maska bitů (&H21C07000) by vyfiltrovala následující objekty:
  • Veřejná složka s povolenou poštou (ve verzi Preview ve verzi 1.1.524.0)
  • Systémová telefonická poštovní schránka
  • Poštovní schránka Databázová pošta box (systémová poštovní schránka)
  • Univerzální skupina zabezpečení (neplatí pro uživatele, ale je k dispozici ze starších důvodů)
  • Jiná než univerzální skupina (nepoužila by se pro uživatele, ale je k dispozici ze starších důvodů)
  • Plán poštovní schránky
  • Poštovní schránka zjišťování
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Nesynchronizujte žádné objekty ovlivněné replikací.

Platí následující pravidla atributů:

• sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). Atribut sourceAnchor nepřispíná z propojené poštovní schránky. Předpokládá se, že pokud byla nalezena propojená poštovní schránka, skutečný účet se připojí později.
• Atributy související s Exchangem se synchronizují pouze v případě, že atribut mailNickName má hodnotu.
• Pokud existuje více doménových struktur, atributy se spotřebovávají v následujícím pořadí:
  1. Atributy související s přihlášením (například userPrincipalName) se přispívají z doménové struktury s povoleným účtem.
  2. Atributy, které lze najít v globálním adresáři Exchange (globální adresář), se přispívají z doménové struktury s poštovní schránkou Exchange.
  3. Pokud se žádná poštovní schránka nenajde, můžou tyto atributy pocházet z jakékoli doménové struktury.
  4. Atributy související s exchangem (technické atributy, které nejsou v globálním adresáři viditelné) se přispívají z doménové struktury, kde mailNickname ISNOTNULL.
  5. Pokud existuje více doménových struktur, které by splňovaly jedno z těchto pravidel, použije se pořadí vytvoření (datum a čas) Připojení orů (doménové struktury) k určení, která doménová struktura přispívá k atributům. První propojená doménová struktura bude první doménovou strukturou, která se má synchronizovat.

Kontaktování předefinovaných pravidel

Objekt kontaktu musí splňovat následující položky, které se mají synchronizovat:

• Musí mít hodnotu atributu pošty.
• Kontakt musí být povolený e-mailem. Ověřuje se pomocí následujících pravidel:
  • IsPresent([proxyAddresses]) = True). Musí být vyplněn atribut proxyAddresses.
  • Primární e-mailovou adresu najdete buď v atributu proxyAddresses, nebo atributu pošty. Přítomnost @ slouží k ověření, že obsah je e-mailová adresa. Jedna z těchto dvou pravidel musí být vyhodnocena jako Pravda.
    • (Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). Je v řetězci položka s textem SMTP:" a pokud existuje, může se v řetězci najít znak @?
    • (IsPresent([mail]) = True && (InStr([mail], "@") > 0). Je atribut pošty naplněný a pokud ano, může být v řetězci nalezen znak @?

Následující objekty kontaktu se nesynchronují s ID Microsoft Entra:

• IsPresent([isCriticalSystemObject]). Ujistěte se, že nejsou synchronizované žádné objekty kontaktů označené jako kritické. Neměla by být žádná s výchozí konfigurací.
• ((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).
• (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). Tyto objekty by v Exchangi Online nefungily.
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Nesynchronizujte žádné objekty ovlivněné replikací.

Seskupování předefinovaných pravidel

Aby bylo možné synchronizovat objekt skupiny, musí splňovat následující podmínky:

• Musí mít méně než 250 000 členů. Tento počet je počet členů v místní skupině.
  • Pokud má před prvním spuštěním synchronizace více členů, skupina se nesynchronuje.
  • Pokud počet členů roste od jeho počátečního vytvoření, pak když dosáhne 250 000 členů, přestane se synchronizovat, dokud počet členství nebude znovu nižší než 250 000.
  • Poznámka: Počet členství 250 000 se také vynucuje id Microsoft Entra. Nemůžete synchronizovat skupiny s více členy, i když toto pravidlo upravíte nebo odeberete.
• Pokud je skupina distribuční skupinou, musí být povolena také pošta. Vynucování pravidel pro použití tohoto pravidla najdete v části Kontaktní pravidla .

Následující objekty skupiny se nesynchronují s ID Microsoft Entra:

• IsPresent([isCriticalSystemObject]). Ujistěte se, že mnoho předdefinovaných objektů ve službě Active Directory, například předdefinovaná skupina administrators, nejsou synchronizované.
• [sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Starší skupina používaná nástrojem DirSync
• BitAnd([msExchRecipientTypeDetails],&H40000000). Skupina rolí.
• CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Nesynchronizujte žádné objekty ovlivněné replikací.

Out-of-box rules

FsPs jsou připojeny k objektu any (*) v metaverse. Ve skutečnosti k tomuto připojení dochází jenom pro uživatele a skupiny zabezpečení. Tato konfigurace zajišťuje, aby se členství mezi doménovými strukturami vyřešilo a správně reprezentovalo v ID Microsoft Entra.

Předefinovaná pravidla počítače

Aby bylo možné synchronizovat objekt počítače, musí splňovat následující podmínky:

• userCertificate ISNOTNULL. Tento atribut naplní pouze počítače s Windows 10. Všechny počítačové objekty s hodnotou v tomto atributu jsou synchronizovány.

Vysvětlení scénáře předefinovaných pravidel

V tomto příkladu používáme nasazení s jednou doménovou strukturou účtu (A), jednou doménovou strukturou prostředků (R) a jedním adresářem Microsoft Entra.

V této konfiguraci se předpokládá, že v doménové struktuře účtu existuje povolený účet a zakázaný účet v doménové struktuře prostředků s propojenou poštovní schránkou.

Naším cílem s výchozí konfigurací je:

• Atributy související s přihlášením se synchronizují z doménové struktury s povoleným účtem.
• Atributy, které lze najít v globálním adresáři (globální adresář), se synchronizují z doménové struktury s poštovní schránkou. Pokud se žádná poštovní schránka nenajde, použije se jakákoli jiná doménová struktura.
• Pokud se najde propojená poštovní schránka, musí být nalezen propojený povolený účet, aby se objekt exportoval do Microsoft Entra ID.

Editor synchronizačních pravidel

Konfiguraci lze zobrazit a změnit pomocí editoru pravidel synchronizace nástrojů (SRE) a zástupce k ní najdete v nabídce Start.

SRE je nástroj sady prostředků a instaluje se s Microsoft Entra Připojení Sync. Abyste ji mohli spustit, musíte být členem skupiny ADSync Správa s. Po spuštění se zobrazí něco podobného:

V tomto podokně se zobrazí všechna pravidla synchronizace vytvořená pro vaši konfiguraci. Každý řádek v tabulce je jedním synchronizačním pravidlem. Nalevo pod typy pravidel jsou uvedené dva různé typy: příchozí a odchozí. Příchozí a odchozí je ze zobrazení metaverse. V tomto přehledu se zaměříte hlavně na příchozí pravidla. Skutečný seznam synchronizačních pravidel závisí na zjištěném schématu v AD. Na obrázku výše doménová struktura účtu (fabrikamonline.com) nemá žádné služby, jako je Exchange a Lync, a pro tyto služby se nevytvořila žádná pravidla synchronizace. V doménové struktuře prostředků (res.fabrikamonline.com) ale najdete pravidla synchronizace pro tyto služby. Obsah pravidel se liší v závislosti na zjištěné verzi. Například v nasazení s Exchangem 2013 je nakonfigurovaných více toků atributů než v Exchangi 2010/2007.

Synchronizační pravidlo

Synchronizační pravidlo je objekt konfigurace se sadou atributů, které proudí, když je podmínka splněna. Slouží také k popisu, jak objekt v prostoru spojnice souvisí s objektem v metaverse, označovaný jako spojení nebo shoda. Synchronizační pravidla mají přednostní hodnotu označující, jak spolu vzájemně souvisí. Pravidlo synchronizace s nižší číselnou hodnotou má vyšší prioritu a v konfliktu toku atributů vyšší prioritu vyhraje řešení konfliktů.

Podívejte se například na pravidlo synchronizace z AD – Uživatelský účetEnabled. Označte tento řádek v SRE a vyberte Upravit.

Vzhledem k tomu, že toto pravidlo je předefinované pravidlo, zobrazí se při otevření pravidla upozornění. V předefinovaných pravidlech byste neměli provádět žádné změny, takže budete požádáni o to, co máte v úmyslu. V takovém případě chcete pravidlo jenom zobrazit. Vyberte možnost Ne.

Synchronizační pravidlo má čtyři části konfigurace: popis, filtr oborů, pravidla spojení a transformace.

Popis

První část obsahuje základní informace, jako je název a popis.

Najdete také informace o tom, který připojený systém toto pravidlo souvisí s typem objektu v připojeném systému, na který se vztahuje, a typu objektu metaverse. Typ objektu metaverse je vždy osoba bez ohledu na to, kdy typ zdrojového objektu je uživatel, iNetOrgPerson nebo kontakt. Typ objektu metaverse by se nikdy neměl měnit, aby byl vytvořen jako obecný typ. Typ odkazu lze nastavit na Join (Připojit), StickyJoin (StickyJoin) nebo Provision (Zřídit). Toto nastavení spolupracuje s částí Pravidla spojení a probírá se později.

Uvidíte také, že se toto pravidlo synchronizace používá pro synchronizaci hesel. Pokud je uživatel v oboru pro toto pravidlo synchronizace, heslo se synchronizuje z místního prostředí do cloudu (za předpokladu, že jste povolili funkci synchronizace hesel).

Filtr oborů

Oddíl Filtr oborů se používá ke konfiguraci, kdy se má použít pravidlo synchronizace. Vzhledem k tomu, že název synchronizačního pravidla, na které se díváte, označuje, že by se měl použít pouze pro povolené uživatele, obor je nakonfigurovaný tak, aby atribut userAccountControl služby AD neměl mít nastavenou bit 2. Když synchronizační modul najde uživatele ve službě AD, použije toto pravidlo synchronizace, pokud je vlastnost userAccountControl nastavená na desetinnou hodnotu 512 (povoleno normální uživatel). Pravidlo se nepoužije, pokud má uživatel vlastnost userAccountControl nastavenou na hodnotu 514 (zakázáno normálního uživatele).

Filtr oborů obsahuje skupiny a klauzule, které je možné vnořit. Všechny klauzule uvnitř skupiny musí být splněné, aby bylo možné použít synchronizační pravidlo. Pokud je definováno více skupin, musí být splněna alespoň jedna skupina, aby pravidlo platilo. To znamená, že se mezi skupinami vyhodnocuje logický operátor OR a logický operátor AND se vyhodnocuje uvnitř skupiny. Příklad této konfigurace najdete v odchozím synchronizačním pravidle odchozích přenosů do Microsoft Entra ID – připojení ke skupině. Existuje několik skupin filtrů synchronizace, například pro skupiny zabezpečení (securityEnabled EQUAL True) a jednu pro distribuční skupiny (securityEnabled EQUAL False).

Toto pravidlo slouží k definování skupin, které se mají zřídit pro ID Microsoft Entra. Distribuční skupiny musí být povolené pro synchronizaci pošty s ID Microsoft Entra, ale pro skupiny zabezpečení není potřeba e-mail.

Pravidla připojení

Třetí část slouží ke konfiguraci vztahu objektů v prostoru spojnice k objektům v metaverse. Pravidlo, na které jste se podívali dříve, nemá žádnou konfiguraci pro pravidla připojení, takže místo toho se podíváte na In z AD – Připojení uživatele.

Obsah pravidla spojení závisí na odpovídající možnosti vybrané v průvodci instalací. U příchozího pravidla začíná vyhodnocení objektem ve zdrojovém prostoru konektoru a každá skupina v pravidlech spojení se vyhodnocuje postupně. Pokud je zdrojový objekt vyhodnocen tak, aby odpovídal přesně jednomu objektu v metaverze pomocí jednoho z pravidel spojení, objekty jsou spojené. Pokud byla vyhodnocena všechna pravidla a neexistuje žádná shoda, použije se typ odkazu na stránce popisu. Pokud je tato konfigurace nastavená na Zřízení, vytvoří se v cíli nový objekt, metaverse, pokud existuje alespoň jeden atribut v kritériích spojení (má hodnotu). Pokud chcete zřídit nový objekt pro metaverse, označuje se také jako projekt objektu do metaverse.

Pravidla spojení se vyhodnocují pouze jednou. Při spojení objektu prostoru spojnice a objektu metaverse zůstanou připojené, pokud je stále splněn rozsah synchronizačního pravidla.

Při vyhodnocování pravidel synchronizace musí být v oboru pouze jedno synchronizační pravidlo s definovanými pravidly spojení. Pokud se pro jeden objekt najde více synchronizačních pravidel s pravidly spojení, vyvolá se chyba. Z tohoto důvodu je osvědčeným postupem mít pouze jedno synchronizační pravidlo s definovaným spojením, pokud je pro objekt v oboru více pravidel synchronizace. V předem připravenou konfiguraci pro Microsoft Entra Připojení Sync najdete tato pravidla tak, že se podíváte na název a najdete je s slovem Join na konci názvu. Synchronizační pravidlo bez jakýchkoli definovaných pravidel spojení použije toky atributů, pokud jiné synchronizační pravidlo spojilo objekty dohromady nebo zřídilo nový objekt v cíli.

Pokud se podíváte na výše uvedený obrázek, uvidíte, že se pravidlo pokouší spojit objectSID s msExchMasterAccountSid (Exchange) a msRTCSIP-OriginatorSid (Lync), což je to, co očekáváme v topologii doménové struktury prostředků účtu. Stejné pravidlo najdete ve všech doménových strukturách. Předpokladem je, že každá doménová struktura může být buď účet, nebo doménová struktura prostředků. Tato konfigurace funguje také v případě, že máte účty, které žijí v jedné doménové struktuře a nemusí se připojovat.

Transformace

Oddíl transformace definuje všechny toky atributů, které se vztahují na cílový objekt, když jsou objekty spojené a filtr oboru je splněn. Když se vrátíte na tlačítko In z AD – synchronizační pravidlo Uživatelský účetEnabled , najdete následující transformace:

Pokud chcete tuto konfiguraci umístit do kontextu, očekává se, že v nasazení doménové struktury prostředku účtu najde povolený účet v doménové struktuře účtu a zakázaný účet v doménové struktuře prostředků s nastavením Exchange a Lyncu. Synchronizační pravidlo, na které se díváte, obsahuje atributy vyžadované pro přihlášení a tyto atributy by měly proudit z doménové struktury, kde je povolený účet. Všechny tyto toky atributů jsou spojeny do jednoho synchronizačního pravidla.

Transformace může mít různé typy: Konstanta, Přímé a Výrazy.

• Konstantní tok vždy proudí pevně zakódovanou hodnotu. V předchozím případě vždy nastaví hodnotu True v atributu metaverse s názvem accountEnabled.
• Přímý tok vždy proudí hodnotu atributu ve zdroji do cílového atributu tak, jak je.
• Třetí typ toku je Expression a umožňuje pokročilejší konfigurace.

Jazyk výrazu je jazyk VBA (jazyk Visual Basic for Application), takže lidé, kteří mají zkušenosti s systém Microsoft Office nebo VBScript, formát rozpozná. Atributy jsou uzavřené v hranatých závorkách [attributeName]. V názvech atributů a názvech funkcí se rozlišují malá a velká písmena, ale Editor synchronizačních pravidel výrazy vyhodnotí a zobrazí upozornění, pokud výraz není platný. Všechny výrazy jsou vyjádřeny na jednom řádku s vnořenými funkcemi. Pokud chcete zobrazit výkon jazyka konfigurace, tady je tok pro pwdLastSet, ale s vloženými dalšími komentáři:

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .NET datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

Další informace o jazyce výrazů výrazů pro toky atributů najdete v tématu Principy deklarativních výrazů Výrazy .

Pořadí podle priority

Teď jste se podívali na některá jednotlivá synchronizační pravidla, ale pravidla fungují společně v konfiguraci. V některých případech se hodnota atributu přispívá z více synchronizačních pravidel ke stejnému cílovému atributu. V tomto případě se priorita atributu používá k určení, který atribut vyhraje. Podívejte se například na atribut sourceAnchor. Tento atribut je důležitým atributem, který umožňuje přihlásit se k ID Microsoft Entra. Tok atributu pro tento atribut najdete ve dvou různých pravidlech synchronizace: In z AD – User AccountEnabled a In z AD – User Common. Kvůli prioritě synchronizačního pravidla se atribut sourceAnchor přispívá z doménové struktury s povoleným účtem nejprve, když je k objektu metaverse připojeno několik objektů. Pokud neexistují žádné povolené účty, synchronizační modul použije pravidlo synchronizace catch-all z AD – Uživatel Společné. Tato konfigurace zajišťuje, že i pro účty, které jsou zakázané, stále existuje sourceAnchor.

Priorita synchronizačních pravidel je nastavena ve skupinách průvodcem instalací. Všechna pravidla ve skupině mají stejný název, ale jsou připojená k různým připojeným adresářům. Průvodce instalací dává pravidlo In z AD – User Join nejvyšší prioritu a iteruje přes všechny připojené adresáře AD. Potom pokračuje s dalšími skupinami pravidel v předdefinovaném pořadí. Ve skupině se pravidla přidají v pořadí, v jakém byly v průvodci přidány Připojení ory. Pokud průvodce přidá jiný Připojení or, pravidla synchronizace se změní a nová pravidla Připojení or se vloží jako poslední do každé skupiny.

Spojení všech součástí dohromady

O synchronizačních pravidlech teď víme dostatek informací, abychom dokázali pochopit, jak konfigurace funguje s různými pravidly synchronizace. Pokud se podíváte na uživatele a atributy, které přispěly k metaverse, pravidla se použijí v následujícím pořadí:

Další kroky

• Přečtěte si další informace o konfiguračním modelu v tématu Principy deklarativního zřizování.
• Přečtěte si další informace o jazyce výrazů v tématu Principy výrazů deklarativního zřizování výrazů.
• Pokračujte ve čtení toho, jak funguje předem zapracovaná konfigurace v části Principy uživatelů a kontaktů.
• Podívejte se, jak provést praktickou změnu pomocí deklarativního zřizování v části Postup provedení změny výchozí konfigurace.

Témata s přehledem

• Microsoft Entra Připojení Sync: Principy a přizpůsobení synchronizace
• Integrace místních identit s ID Microsoft Entra