Служба синхронизации Microsoft Entra Connect: общие сведения о пользователях, группах и контактах
Существует несколько разных причин, по которым нужно иметь несколько лесов Active Directory. Кроме того, существует несколько разных топологий развертывания. Распространенные модели включают развертывание ресурсов учетной записи и лесов с синхронизированным глобальным списком адресов после слияния и поглощения. Но даже при наличии чистых моделей гибридные модели не менее часто используются. Конфигурация по умолчанию в Службе синхронизации Microsoft Entra Connect не предполагает какой-либо конкретной модели, но в зависимости от способа сопоставления пользователей в руководстве по установке можно наблюдать различные действия.
В этом разделе рассматривается поведение конфигурации по умолчанию в определенных топологиях. Мы рассмотрим конфигурацию, а редактор правил синхронизации можно использовать для просмотра конфигурации.
Конфигурация предполагает наличие нескольких общих правил.
- Конечный результат всегда должен быть одинаковым, независимо от используемого порядка импорта исходных каталогов Active Directory.
- Активная учетная запись всегда будет передавать данные для входа, включая атрибуты userPrincipalName и sourceAnchor.
- Отключенная учетная запись вносит вклад userPrincipalName и sourceAnchor, если только это связанный почтовый ящик, если не найдена активная учетная запись.
- Учетная запись со связанным почтовым ящиком никогда не будет использоваться для передачи атрибутов userPrincipalName и sourceAnchor. Предполагается, что активная учетная запись будет найдена позже.
- Объект контакта может быть подготовлен к идентификатору Microsoft Entra как контакту или пользователю. Фактически, это остается неизвестным до тех пор, пока не будут обработаны все исходные леса Active Directory.
Группы
Примечание.
Помните, что при добавлении пользователя из другого леса в группу существует привязка, созданная в Active Directory, где группы существуют внутри определенного подразделения. Эта привязка является субъектом внешней безопасности и хранится в подразделении "ForeignSecurityPrincipals". Если вы не синхронизируете эту подразделение, пользователи будут удалены из членства в группе.
Важные моменты, которые следует учитывать при синхронизации групп из Active Directory с идентификатором Microsoft Entra:
Microsoft Entra Connect не синхронизирует встроенные группы безопасности.
Microsoft Entra Connect не поддерживает синхронизацию членства в основной группе с идентификатором Microsoft Entra.
Microsoft Entra Connect не поддерживает синхронизацию членства в динамических группах рассылки с идентификатором Microsoft Entra.
Чтобы синхронизировать группу Active Directory с идентификатором Microsoft Entra в качестве группы с поддержкой почты:
Если атрибут группы proxyAddress пуст, атрибут mail должен иметь значение.
Если атрибут proxyAddress группы не является пустым, он должен содержать хотя бы одно значение адреса прокси-сервера SMTP. Далее приводятся некоторые примеры.
Группа Active Directory, атрибут proxyAddress которой имеет значение {"X500:/0=contoso.com/ou=users/cn=testgroup"} , не будет включена почта в идентификаторе Microsoft Entra. У него нет SMTP-адреса.
Группа Active Directory, атрибут proxyAddress которой имеет значения {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} будет включена почта в идентификаторе Microsoft Entra ID.
Группа Active Directory, атрибут proxyAddress которой имеет значения {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} также будет включена почта в идентификаторе Microsoft Entra ID.
Контакты
Наличие контактов, представляющих пользователя в разных лесах, — распространенное явление. Это происходит после слияния и поглощения, когда решение GALSync связывает два и более леса Exchange. Контактный объект всегда присоединяется из пространства соединителя к метавселенной с помощью атрибута mail. Если объект контакта или объект пользователя с одним адресом электронной почты уже существуют, такие объекты объединяются. Это настраивается в правиле In from AD – Contact Join. Также существует правило с именем In from AD — Contact Common с потоком атрибутов в атрибут метавселенной sourceObjectType с константой Contact. Это правило имеет низкий приоритет, поэтому если любой объект пользователя присоединен к одному объекту метавселенной, то правило In from AD — User Common будет вносить значение User в этот атрибут. В этом правиле этот атрибут имеет значение Contact, если пользователь не был присоединен, и значение User, если обнаружен хотя бы один пользователь.
Чтобы подготовить объект к идентификатору Microsoft Entra ID, исходящее исключение Out в идентификатор Microsoft Entra ID. Contact Join создаст объект контакта, если атрибут метавселенной атрибута SourceObjectType имеет значение Contact. Если для этого атрибута задано значение User, то вместо этого будет создан объект пользователя для правила Out идентификатора Microsoft Entra . Повышение значения Contact до User возможно, если большее количество дополнительных исходных каталогов Active Directory будет импортировано и синхронизировано.
Например, в топологии GALSync мы находим контактные объекты для всех во втором лесу при импорте первого леса. Это этапирует новые объекты контакта в соединителе Microsoft Entra Connector. При последующем импорте и синхронизации второго леса мы находим реальных пользователей и присоединяем их к существующим метавселенной объектам. Затем мы удалим объект контакта в идентификаторе Microsoft Entra и создадим новый объект пользователя.
Если у вас есть топология, в которой пользователи представлены как контакты, убедитесь, что вы выбрали в руководстве по установке сопоставление пользователей по атрибуту почты (mail). Если выбрать другой вариант, у вас есть конфигурация, зависящая от порядка. Контактные объекты всегда присоединяются по атрибуту mail. При этом объекты-пользователи будут присоединяться по атрибуту mail только в том случае, если этот вариант выбран в руководстве по установке. Если контактный объект импортирован до объекта-пользователя, вы можете получить два разных объекта в метавселенной с одинаковым атрибутом mail. Во время экспорта в идентификатор Microsoft Entra отображается ошибка. Такое поведение является запланированным. Оно указывает на наличие неправильных данных или на неправильное определение топологии во время установки.
Отключенные учетные записи
Отключенные учетные записи синхронизируются, а также с идентификатором Microsoft Entra. Обычно отключенные учетные записи представляют ресурсы в Exchange, включая переговорные. Исключение — это пользователи с связанным почтовым ящиком; как упоминалось ранее, они никогда не будут подготавливать учетную запись для идентификатора Microsoft Entra.
Предполагается, что если обнаружена отключенная учетная запись пользователя, то мы не найдем другую активную учетную запись позже, а объект подготавливается к идентификатору Microsoft Entra с именем userPrincipalName и sourceAnchor. Если к тому же объекту метавселенной присоединяется другая активная учетная запись, будет использоваться его userPrincipalName и sourceAnchor.
Изменение атрибута sourceAnchor
Когда объект экспортируется в идентификатор Microsoft Entra, его больше не разрешено изменять sourceAnchor. При экспорте объекта атрибута метавселенной cloudSourceAnchor задано значение sourceAnchor, принятое идентификатором Microsoft Entra. Если sourceAnchor изменен и не совпадает с cloudSourceAnchor, правило Out с идентификатором Microsoft Entra ID. Присоединение пользователя вызовет изменение атрибута sourceAnchor ошибки. В таком случае необходимо исправить конфигурацию или данные, чтобы в метавселенной снова был представлен прежний атрибут sourceAnchor, прежде чем объект снова можно будет синхронизировать.