Microsoft Entra Anslut: När du har en befintlig klientorganisation

De flesta avsnitten för hur du använder Microsoft Entra Anslut förutsätter att du börjar med en ny Microsoft Entra-klientorganisation och att det inte finns några användare eller andra objekt där. Men om du började med en Microsoft Entra-klientorganisation, fyllde den med användare och andra objekt och nu vill använda Anslut är det här ämnet för dig.

Grunderna

Ett objekt i Microsoft Entra-ID hanteras antingen i molnet eller lokalt. För ett enskilt objekt kan du inte hantera vissa attribut lokalt och vissa andra attribut i Microsoft Entra-ID. Varje objekt har en flagga som anger var objektet hanteras.

Du kan hantera vissa användare lokalt och andra i molnet. Ett vanligt scenario för den här konfigurationen är en organisation med en blandning av redovisningsarbetare och säljare. Redovisningspersonalen har ett lokalt AD-konto, men det har inte säljarna, men båda har ett konto i Microsoft Entra-ID. Du skulle hantera vissa användare lokalt och vissa i Microsoft Entra-ID.

Det finns några extra problem som du måste tänka på när du började hantera användare i Microsoft Entra-ID, som också finns lokalt och senare vill använda Microsoft Entra Anslut.

Synkronisera med befintliga användare i Microsoft Entra ID

När du börjar synkronisera med Microsoft Entra Anslut kontrollerar Microsoft Entra-tjänst-API:et varje nytt inkommande objekt och försöker hitta ett befintligt objekt som ska matchas. Det finns tre attribut som används för den här processen: userPrincipalName, proxyAddresses och sourceAnchor/immutableID. En matchning på userPrincipalName eller proxyAddresses kallas för en "mjuk matchning". En matchning på sourceAnchor kallas "hard=match". För proxyAddresses-attributet används endast värdet med SMTP:, som är den primära e-postadressen, för utvärderingen.

Matchningen utvärderas endast för nya objekt som kommer från Anslut. Om du ändrar ett befintligt objekt så att det matchar något av dessa attribut visas ett fel i stället.

Om Microsoft Entra ID hittar ett objekt där attributvärdena är samma som det nya inkommande objektet från Microsoft Entra Anslut, tar det över objektet i Microsoft Entra-ID och det tidigare molnhanterade objektet konverteras till lokalt hanterat. Alla attribut i Microsoft Entra-ID med ett värde i lokal AD skrivs över med respektive lokalt värde.

Varning

Eftersom alla attribut i Microsoft Entra-ID:t kommer att skrivas över av det lokala värdet kontrollerar du att du har bra data lokalt. Om du till exempel bara har hanterad e-postadress i Microsoft 365 och inte har uppdaterat den i lokal AD DS förlorar du alla värden i Microsoft Entra-ID/Microsoft 365 som inte finns i AD DS.

Viktigt!

Om du använder lösenordssynkronisering, som alltid används av expressinställningar, skrivs lösenordet i Microsoft Entra-ID över med lösenordet i lokal AD. Om användarna är vana vid att hantera olika lösenord måste du informera dem om att de ska använda det lokala lösenordet när du har installerat Anslut.

Föregående avsnitt och varning måste beaktas i planeringen. Om du har gjort många ändringar i Microsoft Entra-ID som inte återspeglades i lokal AD DS måste du planera hur du ska fylla i AD DS med de uppdaterade värdena från Microsoft Entra-ID innan du synkroniserar dina objekt med Microsoft Entra Anslut.

Om du matchade dina objekt med en mjuk matchning läggs sourceAnchor till i objektet i Microsoft Entra-ID så att en hård matchning kan användas senare.

Viktigt!

Microsoft rekommenderar starkt att du inte synkroniserar lokala konton med befintliga administrativa konton i Microsoft Entra-ID.

Hård matchning kontra mjuk matchning

Som standard beräknas SourceAnchor-värdet "abcdefghijklmnopqrstuv==" av Microsoft Entra Anslut med hjälp av attributet MsDs-ConsistencyGUID (eller ObjectGUID beroende på konfigurationen) från lokal Active Directory. Det här attributvärdet är motsvarande ImmutableId i Microsoft Entra-ID. När Microsoft Entra Anslut (synkroniseringsmotor) lägger till eller uppdaterar objekt matchar Microsoft Entra-ID det inkommande objektet med hjälp av värdet sourceAnchor som motsvarar attributet ImmutableId för det befintliga objektet i Microsoft Entra-ID. Om det finns en matchning tar Microsoft Entra Anslut över objektet och uppdaterar det med egenskaperna för det inkommande lokal Active Directory-objektet i det som kallas "hård matchning". När Microsoft Entra-ID:t inte kan hitta något objekt med ett ImmutableId som matchar SouceAnchor-värdet försöker det använda det inkommande objektets userPrincipalName eller primära ProxyAddress för att hitta en matchning i det som kallas *"mjuk matchning". Den mjuka matchningen försöker matcha objekt som redan finns och hanteras i Microsoft Entra-ID med de nya inkommande objekt som läggs till eller uppdateras som representerar samma entitet lokalt. Om Microsoft Entra-ID inte kan hitta en hård matchning eller mjuk matchning för det inkommande objektet etablerar det ett nytt objekt i Microsoft Entra ID-katalogen. Vi har lagt till ett konfigurationsalternativ för att inaktivera funktionen för hård matchning i Microsoft Entra-ID. Vi rekommenderar kunder att inaktivera hård matchning om de inte behöver det för att ta över enbart molnkonton.

Om du vill inaktivera hård matchning använder du Cmdleten Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

På samma sätt har vi lagt till ett konfigurationsalternativ för att inaktivera alternativet mjuk matchning i Microsoft Entra-ID. Vi rekommenderar kunder att inaktivera mjuk matchning om de inte behöver det för att ta över endast molnkonton.

Om du vill inaktivera mjuk matchning använder du Microsoft Graph PowerShell-cmdleten Update-MgDirectoryOnPremiseSynchronization :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Kommentar

BlockCloudObjectTakeoverThroughHardMatchEnabled och BlockSoftMatchEnabled används för att blockera matchning för alla objekt om det är aktiverat för klientorganisationen. Kunder uppmanas att inaktivera dessa funktioner endast under den period då en matchande procedur krävs för deras innehavare. Den här flaggan ska anges till True igen när matchningen har slutförts och behövs inte längre.

Andra objekt än användare

För e-postaktiverade grupper och kontakter kan du matcha mjukt baserat på proxyAddresses. Hård matchning är inte tillämpligt eftersom du endast kan uppdatera sourceAnchor/immutableID (med PowerShell) på användare. För grupper som inte är e-postaktiverade finns det för närvarande inget stöd för mjuk matchning eller hård matchning.

Överväganden för administratörsroll

Microsoft Entra-ID matchar inte lokala användare med molnanvändare som har en administratörsroll för att skydda mot icke betrodda lokala användare. Det här beteendet är som standard. Du kan kringgå det här genom att göra följande:

  1. Ta bort katalogrollerna från det molnbaserade användarobjektet.
  2. Ta bort objektet i karantän i molnet.
  3. Utlös en synkronisering.
  4. Du kan också lägga till katalogrollerna i användarobjektet i molnet när matchningen är klar.

Skapa en ny lokal Active Directory från data i Microsoft Entra-ID

Vissa kunder börjar med en molnbaserad lösning med Microsoft Entra-ID och de har ingen lokal AD. Senare vill de använda lokala resurser och vill skapa en lokal AD baserat på Microsoft Entra-data. Microsoft Entra Anslut kan inte hjälpa dig med det här scenariot. Den skapar inte användare lokalt och har ingen möjlighet att ställa in lösenordet lokalt på samma sätt som i Microsoft Entra-ID.

Om den enda anledningen till att du planerar att lägga till lokal AD är att stödja LOB (verksamhetsspecifika appar) kanske du bör överväga att använda Microsoft Entra Domain Services i stället.

Nästa steg

Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.