Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Большинство разделов, посвященных использованию Microsoft Entra Connect, предполагает, что вы начинаете с нового клиента Microsoft Entra и что нет пользователей или других объектов. Но если вы начали работу с клиентом Microsoft Entra, заполняли его пользователями и другими объектами, а теперь хотите использовать Connect, этот раздел предназначен для вас.
Основы
Объект в идентификаторе Microsoft Entra управляется в облаке или локальной среде. Для одного объекта нельзя управлять некоторыми атрибутами в локальной среде и некоторыми другими атрибутами в идентификаторе Microsoft Entra. Каждый объект имеет флаг, указывающий, где управляется объект.
Вы можете управлять некоторыми пользователями в локальной среде и другими пользователями в облаке. Распространенный сценарий для этой конфигурации — это организация с сочетанием работников бухгалтерского учета и работников по продажам. У сотрудников учета есть локальная учетная запись AD, а у сотрудников отдела продаж её нет, но у обоих есть учетная запись в Microsoft Entra ID. Вы будете управлять некоторыми пользователями в локальной среде и некоторыми в идентификаторе Microsoft Entra.
Когда вы начинаете управлять пользователями в Microsoft Entra ID, которые также присутствуют в локальной среде, необходимо принять во внимание несколько дополнительных аспектов, и позже хотели бы использовать Microsoft Entra Connect.
Синхронизация с существующими пользователями в идентификаторе Microsoft Entra
При синхронизации с Microsoft Entra Connect API службы Microsoft Entra проверяет каждый новый входящий объект и пытается найти существующий объект для сопоставления. Для этого процесса используются три атрибута: userPrincipalName, proxyAddressesи sourceAnchor/неизменяемый идентификатор. Совпадение по userPrincipalName или proxyAddresses называется "soft-match". Совпадение по sourceAnchor называется "hard-match". Для атрибута proxyAddresses используется только значение с SMTP:, то есть основной адрес электронной почты, для оценки.
Сопоставление производится только для новых объектов, поступающих из локальной Active Directory. Если изменить существующий объект таким образом, чтобы он соответствовал любому из этих атрибутов, вместо этого появится ошибка.
Если Microsoft Entra ID находит объект, у которого значения атрибутов совпадают с новым входящим объектом из Microsoft Entra Connect, то он поглощает объект в Microsoft Entra ID, и ранее управляемый облаком объект преобразуется в объект с локальным управлением. Все атрибуты в Microsoft Entra ID со значением в локальной службе AD заменяются соответствующими значениями из локальной службы.
Предупреждение
Так как все атрибуты в идентификаторе Microsoft Entra будут перезаписаны локальным значением, убедитесь, что у вас есть хорошие данные в локальной среде. Например, если у вас есть только управляемый адрес электронной почты в Microsoft 365 и он не обновлен в локальной службе AD DS, то вы потеряете значения в идентификаторе Microsoft Entra ID / Microsoft 365, которые не присутствуют в AD DS.
Важно
Если вы используете синхронизацию хэша паролей, которая всегда включена с экспресс-установкой, хэш паролей в идентификаторе Microsoft Entra id перезаписывается с хэшом паролей из локальной AD. Если ваши пользователи привыкли к управлению разными паролями, необходимо сообщить им, что они должны использовать пароль аккаунта Active Directory, установленного на собственных серверах.
В вашем планировании должны быть учтены предыдущий раздел и предупреждение. Если вы внесли много изменений в идентификатор Microsoft Entra, которые не были отражены в локальных AD DS, то чтобы предотвратить потерю данных, необходимо спланировать заполнение AD DS обновленными значениями из идентификатора Microsoft Entra, прежде чем синхронизировать объекты с Microsoft Entra Connect.
Если вы сопоставили объекты с мягким соответствием, то sourceAnchor добавляется к объекту в идентификационной системе Microsoft Entra ID, чтобы его можно было использовать позже.
Важно
Корпорация Майкрософт настоятельно не рекомендует синхронизировать локальные учетные записи с существующими административными учетными записями в Microsoft Entra ID.
Жесткое соответствие против мягкого соответствия
По умолчанию значение SourceAnchor объекта, например "abcdefghijklmnopqrstuv==", представляет собой строковое представление атрибута mS-Ds-ConsistencyGUID (или ObjectGUID в зависимости от конфигурации) из локального объекта Active Directory. Значение установлено как соответствующий ImmutableId в Microsoft Entra ID.
При добавлении новых объектов Microsoft Entra Connect или Cloud Sync служба идентификатора Microsoft Entra пытается сопоставить входящий объект с помощью значения sourceAnchor, соответствующего атрибуту ImmutableId существующих объектов в идентификаторе Microsoft Entra ID. В случае совпадения Microsoft Entra Connect берет на себя управление источником или центром (SoA) этого объекта и обновляет его с помощью свойств входящего локального объекта Active Directory, что называется «жестким соответствием». Когда Microsoft Entra ID не может найти какой-либо объект с ImmutableId, который соответствует значению SourceAnchor, он пытается использовать userPrincipalName входящего объекта или основной SMTP-адрес, чтобы найти совпадение в так называемом «мягком соответствии».
И твердое сопоставление, и мягкое сопоставление пытаются сопоставить объекты, уже имеющиеся и управляемые в Microsoft Entra ID, с новыми входящими объектами, представляющими ту же локальную сущность. Если Microsoft Entra ID не удается найти жесткое совпадение или мягкое совпадение для входящего объекта, он создает новый объект в каталоге Microsoft Entra ID.
Если Microsoft Entra ID может выполнить "мягкое сопоставление" нового входящего объекта по первичному адресу SMTP с существующим объектом, управляемым в Microsoft Entra ID, но у этого нового объекта есть другое значение sourceAnchor, происходит попытка создания нового объекта, что обычно приводит к конфликту, при котором Microsoft Entra ID не может создать новый объект. Этот конфликт возникает в таких ситуациях, как:
Другое значение sourceAnchor было задано в атрибуте
mS-Ds-ConsistencyGuidна исходном локальном пользователе AD, который уже синхронизирован с идентификатором Entra.Новый локальный пользователь AD был создан с тем же UPN и основным SMTP-адресом, но имеет другой sourceAnchor и SID.
В таких случаях в Microsoft Entra Connect или Cloud Sync возникает ошибка экспорта AttributeValueMustBeUnique. В зависимости от входящих свойств пользователя эта ошибка может ссылаться на один из следующих конфликтов атрибутов:
AttributeConflictName = OnPremiseSecurityIdentifier: новый входящий объект имеет другой sourceAnchor, но тот же OnPremiseSecurityIdentifier (SID) и основной SMTP-адрес, что и существующий пользователь в каталоге Entra ID.
AttributeConflictName = ProxyAddresses: новый входящий объект имеет другой sourceAnchor и SID, но тот же основной SMTP-адрес, что и у существующего пользователя в каталоге Entra ID.
Заметка
В некоторых редких ситуациях конфликт OnPremiseSecurityIdentifier возникает из-за проблемы с локальным пулом AD RID (например, контроллер домена, восстановленный из резервной копии), который может создать нового пользователя с тем же идентификатором безопасности. В таких случаях возникает ошибка AttributeValueMustBeUnique при попытке присвоения пользователю не из-за действий "обратимого сопоставления", а потому что OnPremiseSecurityIdentifier должен быть уникальным в директории Entra ID.
Как правило, эти сценарии означают, что вы пытаетесь повторно представить того же пользователя. Чтобы устранить конфликт, необходимо обновить атрибут локального пользователя mS-Ds-ConsistencyGuid, чтобы он соответствовал тому же значению, что и неизменяемый идентификатор существующего облачного пользователя. Это изменение позволяет системе Microsoft Entra ID корректно выполнить "жесткую сопоставку".
Заблокировать точное совпадение в Microsoft Entra ID
Мы добавили параметр конфигурации, чтобы отключить функцию жесткого сопоставления в идентификаторе Microsoft Entra. Мы советуем клиентам отключать жесткое сопоставление, если им не нужно получать контроль над учетными записями, работающими только в облаке.
Чтобы отключить жесткое сопоставление, используйте командлет Microsoft Graph PowerShell Update-MgDirectoryOnPremiseSynchronization.
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Блокировать мягкое совпадение в Microsoft Entra ID
Аналогично, мы добавили параметр конфигурации, чтобы отключить опцию мягкого сопоставления в Microsoft Entra ID. Мы советуем клиентам отключить мягкое сопоставление, если им не нужно управлять только облачными учетными записями.
Чтобы отключить мягкое сопоставление, используйте командлет Microsoft Graph PowerShell Update-MgDirectoryOnPremiseSynchronization:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Заметка
BlockCloudObjectTakeoverThroughHardMatchEnabled и BlockSoftMatchEnabled используются для блокирования сопоставления всех объектов, если они включены для арендатора. Клиентам рекомендуется отключить эти функции только в течение периода, когда для их аренды требуется соответствующая процедура. Этот флаг должен быть снова установлен на True после завершения сопоставления, когда он больше не требуется.
Другие объекты, отличные от пользователей
Для групп и контактов с поддержкой почты можно использовать мягкое сопоставление на основе proxyAddresses. Точное сопоставление неприменимо, поскольку вы можете обновить sourceAnchor/immutableID (с помощью PowerShell) только для пользователей. Для групп, которые не поддерживают функции почтовых рассылок, в настоящее время нет поддержки soft-match или hard-match.
Соображения по роли администратора
Чтобы защититься от ненадежных локальных пользователей, идентификатор Microsoft Entra ID не будет сопоставлять локальных пользователей с облачными пользователями, обладающими ролью администратора. Это поведение по умолчанию. Чтобы обойти эту проблему, выполните следующие действия.
Удалите роли каталога из объекта пользователя, существующего только в облаке.
Жестко удалите новый объект в карантине, созданный в облаке.
Активируйте новый цикл синхронизации.
При необходимости добавьте роли каталога обратно в объект пользователя в облаке после завершения сопоставления.
Создание локального Active Directory из данных в идентификаторе Microsoft Entra
Некоторые клиенты начинают с облачного решения с идентификатором Microsoft Entra ID, и у них нет локальной службы AD. Позже они хотят использовать локальные ресурсы и хотят создать локальную AD на основе данных Microsoft Entra. Microsoft Entra Connect не может помочь вам в этом сценарии. Он не создает локальных пользователей и не имеет возможности задать пароль локально, как и в идентификаторе Microsoft Entra.
Если единственная причина, по которой вы планируете добавить локальный AD, заключается в поддержке бизнес-приложений, возможно, стоит рассмотреть использование доменных служб Microsoft Entra.
Дальнейшие действия
Узнайте больше о интеграции ваших локальных идентификаций с Microsoft Entra ID.