Microsoft Entra Connect: принципы проектирования

Цель этого документа — описать области, которые необходимо учитывать при настройке Microsoft Entra Connect. Здесь подробно рассмотрены некоторые области, и часть из них вкратце рассмотрена в других документах.

sourceAnchor

Атрибут sourceAnchor определяется как атрибут, который остается неизменным на протяжении всего времени существования объекта. Он однозначно идентифицирует объект как один и тот же объект в локальной среде и в идентификаторе Microsoft Entra. Этот атрибут также называется immutableId. Оба этих имени взаимозаменяемы.

Слово неизменяемое, то есть "не может быть изменено", важно для этого документа. Так как значение этого атрибута не может быть изменено после его установки, важно выбрать дизайн, поддерживающий ваш сценарий.

Данный атрибут используется в следующих случаях.

• При создании нового сервера подсистемы синхронизации или перестроении после сценария аварийного восстановления этот атрибут связывает существующие объекты в идентификаторе Microsoft Entra с локальными объектами.
• При переходе из облачного удостоверения в синхронизированную модель удостоверений этот атрибут позволяет объектам "жестко сопоставлять" существующие объекты в идентификаторе Microsoft Entra с локальными объектами.
• При использовании федерации: в этом случае данный атрибут в сочетании с userPrincipalName используется в утверждении для уникальной идентификации пользователя.

В этой статье речь идет только об атрибуте sourceAnchor в контексте его значения для пользователей. Одни и те же правила применяются ко всем типам объектов, но это касается только пользователей этой проблемы.

Выбор значений атрибута sourceAnchor.

Значение атрибута должно соответствовать следующим правилам:

• Длина менее 60 символов
  • Символы, отличные от a–z, A–Z или 0–9, кодируются, и каждый из них считается как три символа.
• Оно не должно содержать специальные символы: \ ! # $ % & * + / = ? ^ ` { } | ~ <> ( ) ' ; : , [ ] " @ _
• (оно должно быть глобально уникальным)
• Значение должно относиться к строковому, целочисленному или двоичному типу.
• Не следует основываться на имени пользователя, так как они могут измениться
• Для значения не должен учитываться регистр, и оно не должно содержать символов, которые изменяются в зависимости от регистра.
• Значение должно присваиваться при создании объекта.

Если выбранный sourceAnchor не является строкой типа, microsoft Entra Connect Base64Encode значение атрибута, чтобы не отображались специальные символы. Если вы используете сервер федерации, отличный от ADFS, убедитесь, что сервер также может кодировать атрибут в формате Base64.

Атрибут sourceAnchor чувствителен к регистру. Значение "JohnDoe" не совпадает с "johndoe". Но у вас не должно быть двух разных объектов с разницей в случае.

Если у вас есть один лес в локальной среде, то атрибут, который следует использовать, — objectGUID. Это также атрибут, используемый при использовании экспресс-параметров в Microsoft Entra Connect, а также атрибут, используемый DirSync.

Если вы используете несколько лесов и не перемещаете пользователей между лесами и доменами, то objectGUID является хорошим атрибутом для использования даже в этом случае.

При перемещении пользователей между лесами и доменами необходимо найти атрибут, который не изменяет или может быть перемещен с пользователями во время перемещения. Рекомендуется использовать синтетический атрибут. Для этого подходит атрибут, который может содержать что-нибудь наподобие идентификатора GUID. При создании объекта создается новый идентификатор GUID, который присваивается пользователю. Настраиваемое правило синхронизации можно создать на сервере подсистемы синхронизации, чтобы создать это значение на основе objectGUID и обновить выбранный атрибут в AD DS. При перемещении объекта убедитесь, что это значение также копируется.

Другой вариант — выбрать существующий атрибут, который наверняка никогда не изменяется. Зачастую можно использовать атрибут employeeID. Если вы считаете атрибут, содержащий буквы, убедитесь, что регистр (верхний регистр и нижний регистр) может измениться для значения атрибута. Не используйте атрибуты, содержащие имя пользователя. В браке или разводе имя, как ожидается, изменится, что не допускается для этого атрибута. Это также одна из причин, почему такие атрибуты, как userPrincipalName, mail и targetAddress , даже невозможно выбрать в мастере установки Microsoft Entra Connect. Эти атрибуты также содержат символ "@", который не допускается в sourceAnchor.

Изменение атрибута sourceAnchor.

Значение атрибута sourceAnchor нельзя изменить после создания объекта в идентификаторе Microsoft Entra и синхронизации удостоверения.

По этой причине следующие ограничения применяются к Microsoft Entra Connect:

• Атрибут sourceAnchor можно задать только при первоначальной установке. При повторном запуске мастера установки этот параметр доступен только для чтения. Для изменения этого параметра потребуется удалить и повторно установить программу.
• При установке другого сервера Microsoft Entra Connect необходимо выбрать тот же атрибут sourceAnchor, что и раньше. Если вы ранее использовали DirSync и переместились в Microsoft Entra Connect, необходимо использовать objectGUID , так как это атрибут, используемый DirSync.
• Если значение sourceAnchor изменяется после экспорта объекта в идентификатор Microsoft Entra ID, microsoft Entra Connect Sync выдает ошибку и не разрешает больше изменений в этом объекте до устранения проблемы, а источникAnchor изменяется обратно в исходном каталоге.

Использование ms-DS-ConsistencyGuid в качестве sourceAnchor

По умолчанию Microsoft Entra Connect (версия 1.1.486.0 и более ранняя версия) использует objectGUID в качестве атрибута sourceAnchor. ObjectGUID создается системой. Нельзя указать его значение при создании локальных объектов AD. Как описано в разделе sourceAnchor, в некоторых сценариях необходимо указать значение sourceAnchor. Если эти сценарии применимы по отношению к вам, то в качестве атрибута sourceAnchor необходимо использовать настраиваемый атрибут AD (например, msDS-ConsistencyGuid).

Microsoft Entra Connect (версия 1.1.524.0 и после) теперь упрощает использование ms-DS-ConsistencyGuid в качестве атрибута sourceAnchor. При использовании этой функции Microsoft Entra Connect автоматически настраивает правила синхронизации следующим образом:

1. Использование ms-DS-ConsistencyGuid в качестве атрибута sourceAnchor для объектов User Для других типов объектов используется ObjectGUID.

2. Для любого заданного локального объекта AD User, атрибут ms-DS-ConsistencyGuid не заполнен, Microsoft Entra Connect записывает значение objectGUID обратно в атрибут ms-DS-ConsistencyGuid в локальная служба Active Directory. После заполнения атрибута ms-DS-ConsistencyGuid Microsoft Entra Connect экспортирует объект в идентификатор Microsoft Entra.

Требования к разрешениям

Для работы этой функции необходимо предоставить учетной записи AD DS, используемой для синхронизации с локальным каталогом Active Directory, разрешение на запись атрибута ms-DS-ConsistencyGuid в локальном каталоге Active Directory.

Включение функции ConsistencyGuid — новая установка

Вы можете включить использование ConsistencyGuid в качестве sourceAnchor во время новой установки. В этом разделе подробно описывается экспресс- и пользовательская установка.

Включение функции ConsistencyGuid

Приступая к работе с Azure AD Connect с использованием стандартных параметров

При установке Microsoft Entra Connect в режиме Express мастер Microsoft Entra Connect автоматически определяет наиболее подходящий атрибут AD для использования в качестве атрибута sourceAnchor с помощью следующей логики:

• Сначала мастер Microsoft Entra Connect запрашивает клиент Microsoft Entra, чтобы получить атрибут AD, используемый в качестве атрибута sourceAnchor в предыдущей установке Microsoft Entra Connect (при наличии). Если эта информация доступна, Microsoft Entra Connect использует тот же атрибут AD.

  Примечание.

  Только новые версии Microsoft Entra Connect (1.1.524.0 и после) хранят сведения в клиенте Microsoft Entra о атрибуте sourceAnchor, используемом во время установки. Старые версии Microsoft Entra Connect не соответствуют.

• Если сведения об используемом атрибуте sourceAnchor недоступны, мастер проверяет состояние атрибута ms-DS-ConsistencyGuid в локальном каталоге Active Directory. Если для какого-либо объекта в каталоге атрибут не настроен, то мастер использует ms-DS-ConsistencyGuid в качестве атрибута sourceAnchor. Если атрибут настроен для одного или нескольких объектов в каталоге, мастер завершает использование атрибута другими приложениями и не подходит в качестве атрибута sourceAnchor...

• В этом случае мастер снова начинает использовать objectGUID в качестве атрибута sourceAnchor.

• После решения атрибута sourceAnchor мастер сохраняет сведения в клиенте Microsoft Entra. Сведения будут использоваться в будущем установке Microsoft Entra Connect.

По завершении экспресс-установки мастер сообщает, какой атрибут был выбран в качестве атрибута привязки к источнику.

Выборочная установка

При установке Microsoft Entra Connect с настраиваемым режимом мастер Microsoft Entra Connect предоставляет два варианта при настройке атрибута sourceAnchor:

Включение функции ConsistencyGuid — существующее развертывание

Если у вас есть существующее развертывание Microsoft Entra Connect, которое использует objectGUID в качестве атрибута привязки источника, вы можете переключить его на использование ConsistencyGuid.

Переключение с objectGUID на ConsistencyGuid в качестве атрибута привязки к источнику:

1. Запустите мастер Microsoft Entra Connect и нажмите кнопку "Настроить ", чтобы перейти на экран "Задачи".

2. Выберите параметр задачи Настроить привязку к источнику и нажмите кнопку Далее.

   

3. Введите учетные данные администратора Microsoft Entra и нажмите кнопку "Далее".

4. Мастер Microsoft Entra Connect анализирует состояние атрибута ms-DS-ConsistencyGuid в локальная служба Active Directory. Если атрибут не настроен для любого объекта в каталоге, Microsoft Entra Connect завершает, что ни одно другое приложение в настоящее время не использует атрибут и безопасно использовать его в качестве атрибута исходной привязки. Нажмите кнопку Next (Далее), чтобы продолжить.

   

5. На экране Готовность к настройке щелкните Настроить, чтобы внести изменения в конфигурацию.

   

6. По завершении конфигурации мастер указывает, что ms-DS-ConsistencyGuid сейчас используется как атрибут привязки к источнику.

   

Во время анализа (шаг 4), если атрибут настроен в одном объекте в каталоге или нескольких, то мастер делает вывод, что он используется другими приложениями и возвращает ошибку, как показано на снимке экрана ниже. Эта ошибка также может возникать, если вы ранее включили функцию ConsistencyGuid на основном сервере Microsoft Entra Connect, и вы пытаетесь сделать то же самое на промежуточном сервере.

Если вы уверены, что атрибут не используется другими существующими приложениями, можно отключить ошибку, перезапустите мастер Microsoft Entra Connect с указанным параметром /SkipLdapSearch . Выполните следующую команду в командной строке:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Влияние на конфигурацию AD FS или федерацию сторонних поставщиков

Если вы используете Microsoft Entra Connect для управления локальным развертыванием AD FS, Microsoft Entra Connect автоматически обновляет правила утверждений, чтобы использовать тот же атрибут AD, что и sourceAnchor. Это гарантирует, что утверждение ImmutableID, созданное ADFS, соответствует значениям sourceAnchor, экспортируемым в идентификатор Microsoft Entra.

Если вы управляете AD FS за пределами Microsoft Entra Connect или используете сторонние серверы федерации для проверки подлинности, необходимо вручную обновить правила утверждения для утверждения ImmutableID, чтобы они соответствовали значениям sourceAnchor, экспортируемым в идентификатор Microsoft Entra, как описано в разделе " Изменение правил утверждений AD FS". По завершении установки мастер возвращает следующее предупреждение:

Добавление новых каталогов в существующее развертывание

Предположим, что вы развернули Microsoft Entra Connect с включенной функцией ConsistencyGuid, и теперь вы хотите добавить другой каталог в развертывание. При попытке добавить каталог мастер Microsoft Entra Connect проверяет состояние атрибута ms-DS-ConsistencyGuid в каталоге. Если атрибут настроен в одном или нескольких объектах в каталоге, то мастер делает вывод, что он используется другими приложениями и возвращает ошибку, как показано на снимке экрана ниже. Если вы уверены, что атрибут не используется существующими приложениями, можно отключить ошибку, перезапустите мастер Microsoft Entra Connect с помощью переключателя /SkipLdapSearch , указанного выше, или обратитесь в службу поддержки для получения дополнительных сведений.

Вход Microsoft Entra

Интеграция локального каталога с идентификатором Microsoft Entra важно понимать, как параметры синхронизации могут повлиять на способ проверки подлинности пользователей. Идентификатор Microsoft Entra использует userPrincipalName (UPN) для проверки подлинности пользователя. Однако при синхронизации пользователей необходимо тщательно выбирать атрибут, который будет использоваться в качестве значения userPrincipalName.

Выбор атрибута для userPrincipalName

При выборе атрибута для предоставления значения имени участника-пользователя, используемого в идентификаторе Microsoft Entra ID, необходимо убедиться, что

• Значения атрибутов соответствуют синтаксису UPN (RFC 822), он должен быть в формате username@domain
• Суффикс в значениях соответствует одному из проверенных пользовательских доменов в идентификаторе Microsoft Entra

В стандартных параметрах предполагается, что для атрибута выбрано значение userPrincipalName. Если атрибут userPrincipalName не содержит значения, которое пользователи должны войти в идентификатор Microsoft Entra, необходимо выбрать пользовательскую установку.

Состояние и имя участника-пользователя пользовательского домена

Важно убедиться, что есть проверенный домен для суффикса имени участника-участника.

Джон (John) является пользователем в contoso.com. Вы хотите, чтобы Джон использовал локальную имя john@contoso.com участника-пользователя для входа в идентификатор Microsoft Entra после синхронизации пользователей с каталогом Microsoft Entra contoso.onmicrosoft.com. Для этого необходимо добавить и проверить contoso.com в качестве личного домена в идентификаторе Microsoft Entra, прежде чем начать синхронизацию пользователей. Если суффикс имени участника-пользователя, например contoso.com, не соответствует проверенном домену в идентификаторе Microsoft Entra ID, то идентификатор Microsoft Entra заменяет суффикс имени участника-пользователя на contoso.onmicrosoft.com.

Неизменяемые локальные домены и имя участника-пользователя для идентификатора Microsoft Entra

В некоторых организациях используются домены, не поддерживающие маршрутизацию, например contoso.local, или простые одноуровневые домены наподобие contoso. Вы не можете проверить неизменяемый домен в идентификаторе Microsoft Entra. Microsoft Entra Connect может синхронизироваться только с проверенным доменом в идентификаторе Microsoft Entra. При создании каталога Microsoft Entra создается маршрутизируемый домен, который становится доменом по умолчанию для идентификатора Microsoft Entra, например contoso.onmicrosoft.com. Поэтому в данной ситуации возникает необходимость подтвердить любой другой маршрутизируемый домен, на случай если вы не хотите синхронизироваться с доменом onmicrosoft.com по умолчанию.

Дополнительные сведения о добавлении и проверке доменов см. в идентификатор Microsoft Entra.

Microsoft Entra Connect обнаруживает, работает ли вы в неизменяемой среде домена и будете соответствующим образом предупреждать вас о том, что вы будете работать с экспресс-параметрами. Если вы работаете в неизменяемом домене, скорее всего, имя участника-пользователя имеет неизменяемые суффиксы. Например, если вы работаете в contoso.local, Microsoft Entra Connect предлагает использовать пользовательские параметры, а не использовать экспресс-параметры. С помощью пользовательских параметров можно указать атрибут, который должен использоваться в качестве имени участника-пользователя для входа в идентификатор Microsoft Entra после синхронизации пользователей с идентификатором Microsoft Entra.

Следующие шаги

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.