Поделиться через

Служба синхронизации Microsoft Entra Connect: общие сведения о пользователях, группах и контактах

  • Статья

Существует несколько разных причин, по которым нужно иметь несколько лесов Active Directory. Кроме того, существует несколько разных топологий развертывания. Распространенные модели включают развертывание ресурсов учетной записи и лесов с синхронизированным глобальным списком адресов после слияния и поглощения. Но даже при наличии чистых моделей гибридные модели не менее часто используются. Конфигурация по умолчанию в Службе синхронизации Microsoft Entra Connect не предполагает какой-либо конкретной модели. Однако в зависимости от того, как выбрано сопоставление пользователей в руководстве по установке, можно наблюдать различные действия.

В этой статье рассматривается поведение конфигурации по умолчанию в определенных топологиях. Мы рассмотрим конфигурацию, а редактор правил синхронизации можно использовать для просмотра конфигурации.

Конфигурация предполагает наличие нескольких общих правил.

  • Конечный результат всегда должен быть одинаковым, независимо от используемого порядка импорта исходных каталогов Active Directory.
  • Активная учетная запись содержит информацию для входа, включая userPrincipalName и sourceAnchor.
  • Отключенная учетная запись вносит вклад в userPrincipalName и sourceAnchor, если не найдена активная учетная запись, за исключением случаев, когда это связанный почтовый ящик.
  • Учетная запись с связанным почтовым ящиком никогда не используется для userPrincipalName и sourceAnchor. Предполагается, что активная учетная запись будет найдена позже.
  • Объект контакта может быть создан в Microsoft Entra ID в виде контакта или пользователя. Вы не знаете, пока не будут обработаны все исходные леса Active Directory.

Группы

Примечание.

Помните, что при добавлении пользователя из другого леса в группу создается якорь в Active Directory, где группы находятся внутри конкретного организационного подразделения. Эта привязка является внешним субъектом безопасности и хранится в подразделении 'ForeignSecurityPrincipals'. Если вы не синхронизируете эту организационную единицу, пользователи удаляются из состава группы.

Важные моменты, которые следует учитывать при синхронизации групп из Active Directory с идентификатором Microsoft Entra:

  • Microsoft Entra Connect исключает встроенные группы безопасности из синхронизации каталога.

  • Microsoft Entra Connect не поддерживает синхронизацию членства в основной группе с идентификатором Microsoft Entra.

  • Microsoft Entra Connect не поддерживает синхронизацию членства в динамических группах рассылки с идентификатором Microsoft Entra.

  • Чтобы синхронизировать группу Active Directory с идентификатором Microsoft Entra в качестве группы с поддержкой почты:

    • Если атрибут группы proxyAddress пуст, атрибут mail должен иметь значение.

    • Если атрибут proxyAddress группы не является пустым, он должен содержать хотя бы одно значение адреса прокси-сервера SMTP. Далее приводятся некоторые примеры.

      • Группа Active Directory, атрибут proxyAddress которой имеет значение {"X500:/0=contoso.com/ou=users/cn=testgroup"}, не будет иметь почтовую поддержку в Microsoft Entra ID. У него нет SMTP-адреса.

      • Группа Active Directory, атрибут proxyAddress которой имеет значения {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:[email protected]"}, будет иметь возможность отправки почты в Microsoft Entra ID.

      • Группа Active Directory, атрибут proxyAddress которой имеет значения {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:[email protected]"}, также будет поддерживать почту в Microsoft Entra ID.

Контакты

Наличие контактов, представляющих пользователя в разных лесах, — распространенное явление. Это происходит после слияния и поглощения, когда решение GALSync связывает два и более леса Exchange. Контактный объект всегда присоединяется из пространства соединителя к метавселенной с помощью атрибута mail. Если объект контакта или объект пользователя с одним адресом электронной почты уже существуют, такие объекты объединяются. Это настраивается в правиле In from AD – Contact Join. Существует также правило с именем In from AD – Contact Common с потоком атрибутов к атрибуту метавселенной sourceObjectType с константой Contact. Это правило имеет низкий приоритет, поэтому если любой объект пользователя присоединен к одному и тому же объекту метавселенной, то правило in from AD — User Common вносит значение User в этот атрибут. В этом правиле этот атрибут имеет значение Contact, если пользователь не присоединяется, и значение User, если найден по крайней мере один пользователь.

Чтобы обеспечить предоставление объекта в Microsoft Entra ID, правило исходящего трафика Out to Microsoft Entra ID – Contact Join создает объект контакта, если атрибут метавселенной sourceObjectType имеет значение Contact. Если для этого атрибута задано значение User, то правило Out в Microsoft Entra ID – User Join создает объект пользователя вместо этого. Возможно, что объект продвигается от контакта к пользователю, когда импортируются и синхронизируются более исходные активные каталоги.

Например, в топологии GALSync мы находим контактные объекты для всех во втором лесу при импорте первого леса. Это загружает новые объекты контактов в соединителе Microsoft Entra. При последующем импорте и синхронизации второго леса мы находим реальных пользователей и присоединяем их к существующим метавселенной объектам. Затем мы удалим объект контакта в идентификаторе Microsoft Entra ID и создадим новый объект пользователя.

Если у вас есть топология, в которой пользователи представлены как контакты, убедитесь, что вы выбрали в руководстве по установке сопоставление пользователей по атрибуту почты (mail). Если выбрать другой вариант, у вас есть конфигурация, зависящая от порядка. Контактные объекты всегда присоединяются к атрибуту почты, но пользовательские объекты присоединяются только к атрибуту почты, если этот параметр выбран в руководстве по установке. Если контактный объект будет импортирован до пользовательского объекта, тогда в метавселенной могут оказаться два разных объекта с одинаковым атрибутом mail. Во время экспорта в идентификатор Microsoft Entra отображается ошибка. Это поведение по проектированию и будет указывать на плохие данные или что топология не была правильно определена во время установки.

Отключенные учетные записи

Отключенные учетные записи также синхронизируются с Microsoft Entra ID. Отключенные учетные записи часто используются для представления ресурсов в Exchange, например, переговорных. Исключение составляют пользователи с привязанным почтовым ящиком; как упоминалось ранее, они никогда не создают учетную запись в Microsoft Entra ID.

Предполагается, что если обнаружена отключенная учетная запись пользователя, мы не найдем другую активную учетную запись позже. Объект добавлен в Microsoft Entra ID, при этом userPrincipalName и sourceAnchor найдены. Если к тому же объекту метавселенной подключается другая активная учетная запись, используются её userPrincipalName и sourceAnchor.

Изменение атрибута sourceAnchor

При экспорте объекта в Microsoft Entra ID больше нельзя изменять значение sourceAnchor. При экспорте объекта атрибут метавселенной cloudSourceAnchor устанавливается значением sourceAnchor, которое принимается идентификатором Microsoft Entra ID. Если sourceAnchor изменен и не совпадает с cloudSourceAnchor, правило Out для Microsoft Entra ID – Присоединение пользователя порождает ошибку: атрибут sourceAnchor изменился. В таком случае необходимо исправить конфигурацию или данные, чтобы в метавселенной снова был представлен прежний атрибут sourceAnchor, прежде чем объект снова можно будет синхронизировать.

Дополнительные ресурсы