Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Существует несколько разных причин, по которым нужно иметь несколько лесов Active Directory. Кроме того, существует несколько разных топологий развертывания. Распространенные модели включают развертывание ресурсов учётной записи и лесов, синхронизированных с глобальным списком адресов (GAL) после слияния и поглощения. Но даже при наличии чистых моделей гибридные модели не менее часто используются. Конфигурация по умолчанию в Службе синхронизации Microsoft Entra Connect не предполагает какой-либо конкретной модели. Однако в зависимости от того, как выбрано сопоставление пользователей в руководстве по установке, можно наблюдать различные действия.
В этой статье рассматривается поведение конфигурации по умолчанию в определенных топологиях. Мы рассмотрим конфигурацию, а редактор правил синхронизации можно использовать для просмотра конфигурации.
Конфигурация предполагает наличие нескольких общих правил.
- Конечный результат всегда должен быть одинаковым, независимо от используемого порядка импорта исходных каталогов Active Directory.
- Активная учетная запись содержит информацию для входа, включая userPrincipalName и sourceAnchor.
- Отключенная учетная запись вносит вклад в userPrincipalName и sourceAnchor, если не найдена активная учетная запись, за исключением случаев, когда это связанный почтовый ящик.
- Учетная запись с связанным почтовым ящиком никогда не используется для userPrincipalName и sourceAnchor. Предполагается, что активная учетная запись будет найдена позже.
- Объект контакта может быть создан в Microsoft Entra ID в виде контакта или пользователя. Вы не знаете, пока не будут обработаны все исходные леса Active Directory.
Группы
Примечание.
Помните, что при добавлении пользователя из другого леса в группу создается якорь в Active Directory, где группы находятся внутри конкретного организационного подразделения. Эта привязка является внешним субъектом безопасности и хранится в подразделении 'ForeignSecurityPrincipals'. Если вы не синхронизируете эту организационную единицу, пользователи удаляются из состава группы.
Важные моменты, которые следует учитывать при синхронизации групп из Active Directory с идентификатором Microsoft Entra:
Microsoft Entra Connect исключает встроенные группы безопасности из синхронизации каталога.
Microsoft Entra Connect не поддерживает синхронизацию членства в основной группе с идентификатором Microsoft Entra.
Microsoft Entra Connect не поддерживает синхронизацию членства в динамических группах рассылки с идентификатором Microsoft Entra.
Чтобы синхронизировать группу Active Directory с идентификатором Microsoft Entra в качестве группы с поддержкой почты:
Если атрибут группы proxyAddress пуст, атрибут mail должен иметь значение.
Если атрибут proxyAddress группы не является пустым, он должен содержать хотя бы одно значение адреса прокси-сервера SMTP. Далее приводятся некоторые примеры.
Группа Active Directory, атрибут proxyAddress которой имеет значение {"X500:/0=contoso.com/ou=users/cn=testgroup"}, не будет иметь почтовую поддержку в Microsoft Entra ID. У него нет SMTP-адреса.
Группа Active Directory, атрибут proxyAddress которой имеет значения {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:[email protected]"}, будет иметь возможность отправки почты в Microsoft Entra ID.
Группа Active Directory, атрибут proxyAddress которой имеет значения {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:[email protected]"}, также будет поддерживать почту в Microsoft Entra ID.
Контакты
Наличие контактов, представляющих пользователя в разных лесах, — распространенное явление. Это происходит после слияния и поглощения, когда решение GALSync связывает два и более леса Exchange. Контактный объект всегда присоединяется из пространства соединителя к метавселенной с помощью атрибута mail. Если объект контакта или объект пользователя с одним адресом электронной почты уже существуют, такие объекты объединяются. Это настраивается в правиле In from AD – Contact Join. Существует также правило с именем In from AD – Contact Common с потоком атрибутов к атрибуту метавселенной sourceObjectType с константой Contact. Это правило имеет низкий приоритет, поэтому если любой объект пользователя присоединен к одному и тому же объекту метавселенной, то правило in from AD — User Common вносит значение User в этот атрибут. В этом правиле этот атрибут имеет значение Contact, если пользователь не присоединяется, и значение User, если найден по крайней мере один пользователь.
Чтобы обеспечить предоставление объекта в Microsoft Entra ID, правило исходящего трафика Out to Microsoft Entra ID – Contact Join создает объект контакта, если атрибут метавселенной sourceObjectType имеет значение Contact. Если для этого атрибута задано значение User, то правило Out в Microsoft Entra ID – User Join создает объект пользователя вместо этого. Возможно, что объект продвигается от контакта к пользователю, когда импортируются и синхронизируются более исходные активные каталоги.
Например, в топологии GALSync мы находим контактные объекты для всех во втором лесу при импорте первого леса. Это загружает новые объекты контактов в соединителе Microsoft Entra. При последующем импорте и синхронизации второго леса мы находим реальных пользователей и присоединяем их к существующим метавселенной объектам. Затем мы удалим объект контакта в идентификаторе Microsoft Entra ID и создадим новый объект пользователя.
Если у вас есть топология, в которой пользователи представлены как контакты, убедитесь, что вы выбрали в руководстве по установке сопоставление пользователей по атрибуту почты (mail). Если выбрать другой вариант, у вас есть конфигурация, зависящая от порядка. Контактные объекты всегда присоединяются к атрибуту почты, но пользовательские объекты присоединяются только к атрибуту почты, если этот параметр выбран в руководстве по установке. Если контактный объект будет импортирован до пользовательского объекта, тогда в метавселенной могут оказаться два разных объекта с одинаковым атрибутом mail. Во время экспорта в идентификатор Microsoft Entra отображается ошибка. Это поведение по проектированию и будет указывать на плохие данные или что топология не была правильно определена во время установки.
Отключенные учетные записи
Отключенные учетные записи также синхронизируются с Microsoft Entra ID. Отключенные учетные записи часто используются для представления ресурсов в Exchange, например, переговорных. Исключение составляют пользователи с привязанным почтовым ящиком; как упоминалось ранее, они никогда не создают учетную запись в Microsoft Entra ID.
Предполагается, что если обнаружена отключенная учетная запись пользователя, мы не найдем другую активную учетную запись позже. Объект добавлен в Microsoft Entra ID, при этом userPrincipalName и sourceAnchor найдены. Если к тому же объекту метавселенной подключается другая активная учетная запись, используются её userPrincipalName и sourceAnchor.
Изменение атрибута sourceAnchor
При экспорте объекта в Microsoft Entra ID больше нельзя изменять значение sourceAnchor. При экспорте объекта атрибут метавселенной cloudSourceAnchor устанавливается значением sourceAnchor, которое принимается идентификатором Microsoft Entra ID. Если sourceAnchor изменен и не совпадает с cloudSourceAnchor, правило Out для Microsoft Entra ID – Присоединение пользователя порождает ошибку: атрибут sourceAnchor изменился. В таком случае необходимо исправить конфигурацию или данные, чтобы в метавселенной снова был представлен прежний атрибут sourceAnchor, прежде чем объект снова можно будет синхронизировать.