Microsoft Entra Connect: Koncepty návrhu

Účelem tohoto dokumentu je popsat oblasti, které je potřeba při konfiguraci služby Microsoft Entra Connect zvážit. Tento dokument podrobně popisuje určité oblasti a tyto koncepty jsou stručně popsány i v dalších dokumentech.

SourceAnchor (Zdrojové ukotvení)

Atribut sourceAnchor je definován jako atribut neměnný během životnosti objektu. Jednoznačně identifikuje objekt jako stejný objekt v místním prostředí a v ID Microsoft Entra. Atribut se také nazývá immutableId a dva názvy se používají zaměnitelně.

Pro tento dokument je důležité slovo neměnné, tedy "nelze změnit". Vzhledem k tomu, že hodnotu tohoto atributu nelze po nastavení změnit, je důležité vybrat návrh, který podporuje váš scénář.

Atribut se používá pro následující scénáře:

• Pokud je vytvořen nový server synchronizačního stroje nebo znovu sestaven po scénáři zotavení po havárii, tento atribut propojuje existující objekty v Microsoft Entra ID s místními objekty.
• Pokud se přesunete z cloudové identity na model synchronizované identity, pak tento atribut umožňuje objektům "pevně spárovat" existující objekty v Microsoft Entra ID s místními objekty.
• Pokud používáte federaci, použije se tento atribut společně s userPrincipalName v deklaraci identity k jednoznačné identifikaci uživatele.

Toto téma se týká pouze sourceAnchoru, protože souvisí s uživateli. Stejná pravidla platí pro všechny typy objektů, ale tento problém je obvykle jen pro uživatele.

Výběr vhodného atributu sourceAnchor

Hodnota atributu musí dodržovat následující pravidla:

• Délka kratší než 60 znaků
  • Znaky, které nejsou a-z, A-Z nebo 0-9, jsou kódovány a počítány jako 3 znaky.
• Neobsahuje speciální znak: \ ! # $ % & * + / = ? ^ ` { } | ~ <> ( ) ' ; : , [ ] " @ _
• Musí být globálně jedinečný.
• Musí to být řetězec, celé číslo nebo binární.
• Nemělo by být založeno na uživatelském jménu, protože se můžou změnit.
• Nemělo by se rozlišovat malá a velká písmena a vyhnout se hodnotám, které se můžou lišit v jednotlivých případech.
• Při vytváření objektu by se mělo přiřazovat.

Pokud vybraný sourceAnchor není typu řetězec, pak Microsoft Entra Connect Base64Encode hodnotu atributu, aby se zajistilo, že se nezobrazí žádné speciální znaky. Pokud používáte jiný federační server než ADFS, ujistěte se, že váš server může atribut také Base64Encode.

Atribut sourceAnchor rozlišují malá a velká písmena. Hodnota "JohnDoe" není stejná jako "johndoe". Neměli byste ale mít dva různé objekty, pouze s rozdílem v případě.

Pokud máte místní doménovou strukturu, pak atribut, který byste měli použít, je objectGUID. Jedná se také o atribut používaný při použití expresního nastavení v nástroji Microsoft Entra Connect a také atributu používaném nástrojem DirSync.

Pokud máte více doménových struktur a nepřesunujete uživatele mezi doménovými strukturami a doménami, je objektGUID dobrým atributem, který můžete použít i v tomto případě.

Pokud přesunete uživatele mezi doménovými strukturami a doménami, musíte najít atribut, který se nezmění nebo se dá během přesunu přesunout s uživateli. Doporučeným přístupem je zavedení syntetického atributu. Atribut, který by mohl obsahovat něco, co vypadá jako identifikátor GUID, by byl vhodný. Během vytváření objektu se vytvoří nový identifikátor GUID a označí se na uživatele. Na serveru synchronizačního stroje lze vytvořit vlastní pravidlo synchronizace, které vytvoří tuto hodnotu na základě objectGUID a aktualizuje vybraný atribut ve službě AD DS. Při přesunutí objektu nezapomeňte také zkopírovat obsah této hodnoty.

Dalším řešením je vybrat existující atribut, který víte, že se nezmění. Mezi běžně používané atributy patří EMPLOYEEID. Pokud uvažujete o atributu, který obsahuje písmena, ujistěte se, že neexistuje žádná šance, že by se velikost písmen (velká a malá písmena) u hodnoty atributu změnila. Mezi chybné atributy, které by se neměly používat, patří tyto atributy se jménem uživatele. V manželství nebo rozvodu se očekává, že se jméno změní, což není pro tento atribut povoleno. To je také jeden z důvodů, proč atributy, jako je userPrincipalName, mail a targetAddress , nejsou dokonce možné vybrat v průvodci instalací Microsoft Entra Connect. Tyto atributy obsahují také znak @, který není v objektu sourceAnchor povolený.

Změna atributu sourceAnchor

Hodnotu atributu sourceAnchor nelze po vytvoření objektu v Microsoft Entra ID změnit a identita se synchronizuje.

Z tohoto důvodu platí následující omezení pro Microsoft Entra Connect:

• Atribut sourceAnchor lze nastavit pouze během počáteční instalace. Pokud znovu spustíte průvodce instalací, tato možnost je jen pro čtení. Pokud potřebujete toto nastavení změnit, musíte ho odinstalovat a přeinstalovat.
• Pokud nainstalujete jiný server Microsoft Entra Connect, musíte vybrat stejný atribut sourceAnchor jako dříve použitý. Pokud jste dříve používali nástroj DirSync a přešli na Microsoft Entra Connect, musíte použít objectGUID , protože se jedná o atribut používaný nástrojem DirSync.
• Pokud je hodnota sourceAnchor změněna po exportu objektu do Microsoft Entra ID, Microsoft Entra Connect Sync vyvolá chybu a nepovoluje žádné další změny tohoto objektu předtím, než bude problém opraven a sourceAnchor se změní zpět ve zdrojovém adresáři.

Použití ms-DS-ConsistencyGuid jako sourceAnchor

Ve výchozím nastavení používá Microsoft Entra Connect (verze 1.1.486.0 a starší) objectGUID jako atribut sourceAnchor. ObjectGUID je systémem generovaný. Při vytváření místních objektů AD nemůžete zadat její hodnotu. Jak je vysvětleno v části sourceAnchor, existují scénáře, ve kterých potřebujete zadat hodnotu sourceAnchor. Pokud jsou scénáře použitelné pro vás, musíte jako atribut sourceAnchor použít konfigurovatelný atribut AD (například ms-DS-ConsistencyGuid).

Microsoft Entra Connect (verze 1.1.524.0 a novější) nyní usnadňuje použití ms-DS-ConsistencyGuid jako atribut sourceAnchor. Při použití této funkce Microsoft Entra Connect automaticky nakonfiguruje synchronizační pravidla tak, aby:

1. Jako atribut sourceAnchor pro objekty User použijte ms-DS-ConsistencyGuid. ObjectGUID se používá pro jiné typy objektů.

2. U každého daného místního objektu uživatele SLUŽBY AD, jehož atribut ms-DS-ConsistencyGuid není naplněný, zapíše Microsoft Entra Connect hodnotu objectGUID zpět do atributu ms-DS-ConsistencyGuid v místní Active Directory. Jakmile se naplní atribut ms-DS-ConsistencyGuid, Microsoft Entra Connect pak exportuje objekt do Microsoft Entra ID.

Požadováno oprávnění

Aby tato funkce fungovala, musí mít účet služby AD DS používaný k synchronizaci s místní Active Directory udělené oprávnění k zápisu atributu ms-DS-ConsistencyGuid v místní Active Directory.

Povolení funkce ConsistencyGuid – nová instalace

Během nové instalace můžete povolit použití ConsistencyGuid jako sourceAnchor. Tato část obsahuje podrobné informace o expresní i vlastní instalaci.

Povolení funkce ConsistencyGuid

Expresní instalace

Při instalaci microsoft Entra Connect s express režimem průvodce Microsoft Entra Connect automaticky určí nejvhodnější atribut AD, který se má použít jako atribut sourceAnchor, pomocí následující logiky:

• Nejprve průvodce Microsoft Entra Connect dotazuje vašeho tenanta Microsoft Entra, aby načetl atribut AD použitý jako atribut sourceAnchor v předchozí instalaci Microsoft Entra Connect (pokud existuje). Pokud jsou tyto informace k dispozici, microsoft Entra Connect používá stejný atribut AD.

  Poznámka:

  Informace o atributu sourceAnchor použitém během instalace ukládají pouze novější verze microsoft Entra Connect (1.1.524.0 a novější). Starší verze microsoft Entra Connect ne.

• Pokud nejsou dostupné informace o použitém atributu sourceAnchor, průvodce zkontroluje stav atributu ms-DS-ConsistencyGuid ve vašem místní Active Directory. Pokud atribut není nakonfigurován pro žádný objekt v adresáři, průvodce použije ms-DS-ConsistencyGuid jako atribut sourceAnchor. Pokud je atribut nakonfigurován pro jeden nebo více objektů v adresáři, průvodce dospěl k závěru, že atribut používá jiné aplikace a není vhodný jako atribut sourceAnchor...

• V takovém případě se průvodce vrátí zpět k použití objectGUID jako atribut sourceAnchor.

• Jakmile se rozhodne atribut sourceAnchor, průvodce uloží informace ve vašem tenantovi Microsoft Entra. Informace budou použity budoucí instalací microsoft Entra Connect.

Jakmile se expresní instalace dokončí, průvodce vás informuje, který atribut byl vybrán jako atribut Zdrojové ukotvení.

Vlastní instalace

Při instalaci nástroje Microsoft Entra Connect s vlastním režimem poskytuje průvodce Microsoft Entra Connect dvě možnosti při konfiguraci atributu sourceAnchor:

Povolení funkce ConsistencyGuid – Existující nasazení

Pokud máte existující nasazení Microsoft Entra Connect, které jako atribut zdrojové ukotvení používá objectGUID, můžete ho místo toho přepnout na použití ConsistencyGuid.

Přepnutí z objectGUID na ConsistencyGuid jako atribut Zdrojové ukotvení:

1. Spusťte průvodce Microsoft Entra Connect a kliknutím na Konfigurovat přejděte na obrazovku Úkoly.

2. Vyberte možnost Konfigurovat zdrojová ukotvení a klepněte na tlačítko Další.

   

3. Zadejte svoje přihlašovací údaje správce Microsoft Entra a klikněte na Další.

4. Průvodce Microsoft Entra Connect analyzuje stav atributu ms-DS-ConsistencyGuid ve vašem místní Active Directory. Pokud atribut není nakonfigurovaný u žádného objektu v adresáři, Microsoft Entra Connect dospěl k závěru, že atribut aktuálně nepoužívá žádná jiná aplikace a je bezpečné ho používat jako atribut Source Anchor. Pokračujte výběrem tlačítka Další.

   

5. Na obrazovce Připraveno ke konfiguraci klikněte na Konfigurovat a proveďte změnu konfigurace.

   

6. Po dokončení konfigurace průvodce indikuje, že ms-DS-ConsistencyGuid se teď používá jako atribut Zdrojové ukotvení.

   

Pokud je atribut nakonfigurovaný u jednoho nebo více objektů v adresáři, průvodce během analýzy (krok 4) dospěl k závěru, že atribut používá jiná aplikace a vrátí chybu, jak je znázorněno v následujícím diagramu. K této chybě může dojít také v případě, že jste dříve na primárním serveru Microsoft Entra Connect povolili funkci ConsistencyGuid a pokoušíte se provést totéž na přípravném serveru.

Pokud jste si jisti, že atribut nepoužívá jiné existující aplikace, můžete potlačit chybu restartováním průvodce Microsoft Entra Connect pomocí přepínače /SkipLdapSearch zadaného. Uděláte to tak, že na příkazovém řádku spustíte následující příkaz:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Dopad na konfiguraci federace služby AD FS nebo třetí strany

Pokud ke správě místního nasazení služby AD FS používáte Microsoft Entra Connect, Microsoft Entra Connect automaticky aktualizuje pravidla deklarací identity tak, aby používala stejný atribut AD jako sourceAnchor. Tím se zajistí, že deklarace identity ImmutableID vygenerovaná službou ADFS je konzistentní s hodnotami sourceAnchor exportovanými do Microsoft Entra ID.

Pokud spravujete službu AD FS mimo Microsoft Entra Connect nebo k ověřování používáte federační servery třetích stran, musíte pravidla deklarací identity ImmutableID ručně aktualizovat, aby byla konzistentní s hodnotami sourceAnchor exportovanými do Microsoft Entra ID, jak je popsáno v části Úprava pravidel deklarací identity služby AD FS. Po dokončení instalace průvodce vrátí následující upozornění:

Přidání nových adresářů do existujícího nasazení

Předpokládejme, že jste nasadili Microsoft Entra Connect s povolenou funkcí ConsistencyGuid a teď chcete do nasazení přidat další adresář. Při pokusu o přidání adresáře průvodce Microsoft Entra Connect zkontroluje stav atributu ms-DS-ConsistencyGuid v adresáři. Pokud je atribut nakonfigurovaný na jednom nebo více objektech v adresáři, průvodce ukončí použití atributu jinými aplikacemi a vrátí chybu, jak je znázorněno v následujícím diagramu. Pokud jste si jisti, že atribut nepoužívá stávající aplikace, můžete chybu potlačit restartováním průvodce Microsoft Entra Connect pomocí přepínače /SkipLdapSearch , jak je popsáno výše, nebo potřebujete kontaktovat podporu s dalšími informacemi.

Přihlášení k Microsoft Entra

Při integraci místního adresáře s Microsoft Entra ID je důležité pochopit, jak můžou nastavení synchronizace ovlivnit způsob ověřování uživatelů. Microsoft Entra ID používá userPrincipalName (UPN) k ověření uživatele. Při synchronizaci uživatelů však musíte zvolit atribut, který se má použít pro hodnotu userPrincipalName pečlivě.

Volba atributu userPrincipalName

Při výběru atributu pro poskytnutí hodnoty hlavního názvu uživatele (UPN), které se má použít v ID Microsoft Entra, by mělo být zajištěno.

• Hodnoty atributů odpovídají syntaxi hlavního názvu uživatele (RFC 822), měla by být ve formátu username@domain
• Přípona v hodnotách odpovídá jedné z ověřených vlastních domén v Microsoft Entra ID.

V expresním nastavení je předpokládaná volba atributu userPrincipalName. Pokud atribut userPrincipalName neobsahuje hodnotu, kterou chcete, aby se vaši uživatelé přihlásili k ID Microsoft Entra, musíte zvolit vlastní instalaci.

Vlastní stav domény a hlavní název uživatele (UPN)

Je důležité zajistit, aby pro příponu hlavního názvu uživatele (UPN) byla ověřená doména.

Jan je uživatel v contoso.com. Po synchronizaci uživatelů s adresářem Microsoft Entra do adresáře Microsoft Entra chcete, aby se pomocí místního hlavního názvu uživatele přihlásil k vašemu místnímu upN john@contoso.com contoso.onmicrosoft.com. Abyste to mohli udělat, musíte před zahájením synchronizace uživatelů přidat a ověřit contoso.com jako vlastní doménu v ID Microsoft Entra. Pokud přípona hlavního názvu uživatele (UPN) například contoso.com neodpovídá ověřené doméně v MICROSOFT Entra ID, nahradí microsoft Entra ID příponu UPN contoso.onmicrosoft.com.

Nesměrovatelné místní domény a hlavní názvu uživatele (UPN) pro ID Microsoft Entra

Některé organizace mají nesměrovatelné domény, například contoso.local, nebo jednoduché domény s jedním popiskem, jako je contoso. Nemůžete ověřit nesměrovatelnou doménu v ID Microsoft Entra. Microsoft Entra Connect se může synchronizovat pouze s ověřenou doménou v MICROSOFT Entra ID. Když vytvoříte adresář Microsoft Entra, vytvoří směrovatelnou doménu, která se stane výchozí doménou vašeho ID Microsoft Entra, například contoso.onmicrosoft.com. Proto je nutné ověřit jakoukoli jinou směrovatelnou doménu v takovém scénáři, pokud nechcete synchronizovat s výchozí onmicrosoft.com doménou.

Další informace o přidávání a ověřování domén najdete v článku Přidání vlastního názvu domény do MICROSOFT Entra ID .

Microsoft Entra Connect zjistí, jestli běžíte v nesměrovatelném doménovém prostředí, a odpovídajícím způsobem vás upozorní, že se chystáte s expresním nastavením. Pokud pracujete v nesměrovatelné doméně, je pravděpodobné, že hlavní název uživatele (UPN) uživatelů má také nesměrovatelné přípony. Pokud například používáte pod názvem contoso.local, Microsoft Entra Connect vám místo použití expresního nastavení navrhne použití vlastních nastavení. Pomocí vlastních nastavení můžete zadat atribut, který se má použít jako hlavní název uživatele (UPN) pro přihlášení k ID Microsoft Entra po synchronizaci uživatelů s ID Microsoft Entra.

Další kroky

Přečtěte si další informace o integraci místních identit s ID Microsoft Entra.