Microsoft Entra Connect Sync: informazioni su utenti, gruppi e contatti
I motivi per cui possono essere presenti più foreste Active Directory e sono disponibili più topologie di distribuzione sono diversi. I modelli comuni prevedono una distribuzione account-risorse e foreste sincronizzate tramite Elenco indirizzi globale dopo operazioni di fusione e acquisizione. Anche se esistono modelli puri, sono molto diffusi anche i modelli ibridi. La configurazione predefinita in Microsoft Entra Connect Sync non presuppone alcun modello specifico. Tuttavia, a seconda del metodo con cui si è scelto di impostare la corrispondenza utente nella guida all'installazione, si possono osservare comportamenti differenti.
Questo argomento illustra il comportamento della configurazione predefinita in determinate topologie. Verrà esaminata anche la configurazione tramite l'editor delle regole di sincronizzazione.
La configurazione presuppone le regole generali seguenti:
- Indipendentemente dall'ordine di importazione dalle directory di Active Directory di origine, il risultato finale sarà sempre lo stesso.
- Un account attivo fornisce informazioni di accesso, tra cui userPrincipalName e sourceAnchor.
- Un account disabilitato fornirà gli attributi userPrincipalName e sourceAnchor, a meno che non si tratti di una cassetta postale collegata, se non è presente alcun account attivo da trovare.
- Un account con una cassetta postale collegata non deve mai essere usato per userPrincipalName e sourceAnchor. Si presuppone che un account attivo venga trovato in seguito.
- È possibile effettuare il provisioning di un oggetto contatto in Microsoft Entra ID come contatto o come utente. Non si sa fino a quando non vengono elaborate tutte le foreste di Active Directory di origine.
Gruppi
Nota
Tenere presente che quando si aggiunge al gruppo un utente di un'altra foresta, è presente un ancoraggio creato in Active Directory in cui i gruppi esistono all'interno di un'unità organizzativa specifica. Questo ancoraggio è un'entità di sicurezza esterna e viene archiviata all'interno dell'unità organizzativa "ForeignSecurityPrincipals". Se non si sincronizza questa unità organizzativa, gli utenti vengono rimossi dall'appartenenza al gruppo.
Aspetti importanti da tenere presenti durante la sincronizzazione dei gruppi di Active Directory con Microsoft Entra ID:
Microsoft Entra Connect esclude i gruppi di sicurezza predefiniti dalla sincronizzazione delle directory.
Microsoft Entra Connect non supporta la sincronizzazione delle appartenenze ai gruppi primari con Microsoft Entra ID.
Microsoft Entra Connect non supporta la sincronizzazione delle appartenenze ai gruppi di distribuzione dinamici con Microsoft Entra ID.
Per sincronizzare un gruppo di Active Directory con Microsoft Entra ID come gruppo abilitato alla posta elettronica:
Se l'attributo proxyAddress del gruppo è vuoto, il relativo attributo mail deve avere un valore
Se l'attributo proxyAddress del gruppo non è vuoto, deve contenere almeno un valore dell'indirizzo proxy SMTP. Di seguito sono riportati alcuni esempi.
Un gruppo di Active Directory il cui attributo proxyAddress ha il valore {"X500:/0=contoso.com/ou=users/cn=testgroup"} non sarà abilitato per la posta elettronica in Microsoft Entra ID. Non dispone di un indirizzo SMTP.
Un gruppo di Active Directory il cui attributo proxyAddress ha valori {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} sarà abilitato per la posta elettronica in Microsoft Entra ID.
Un gruppo di Active Directory il cui attributo proxyAddress ha valori {"X500:/0=contoso.com/ou=users/cn=testgroup","smtp:johndoe@contoso.com"} sarà abilitato anche per la posta elettronica in Microsoft Entra ID.
Contatti
I contatti che rappresentano un utente in una foresta diversa costituiscono una situazione comune dopo un'operazione di acquisizione o fusione in cui la soluzione GALSync collega due o più foreste di Exchange. L'oggetto contatto viene sempre aggiunto dallo spazio connettore allo spazio metaverse usando l'attributo mail. Se è già presente un oggetto contatto o un oggetto utente con lo stesso indirizzo di posta elettronica, gli oggetti vengono uniti. Questo comportamento è configurato nella regola In ingresso da Active Directory - Aggiunta contatto. Esiste anche una regola denominata In ingresso da Active Directory - Contatto comune con un flusso dell'attributo all'attributo metaverse sourceObjectType con la costante Contact. Questa regola ha una precedenza bassa, quindi se un oggetto utente viene unito allo stesso oggetto metaverse, la regola In from AD - User Common contribuisce il valore User a questo attributo. Con questa regola, questo attributo ha il valore Contact se non viene aggiunto alcun utente e il valore User se viene trovato almeno un utente.
Per effettuare il provisioning di un oggetto in Microsoft Entra ID, la regola di uscita Out to Microsoft Entra ID – Contact Join crea un oggetto contatto se l'attributo metaverse sourceObjectType è impostato su Contact. Se questo attributo è impostato su User, la regola Out to Microsoft Entra ID – User Join crea invece un oggetto utente. È possibile che un oggetto venga innalzato di livello da Contact a User quando vengono importate e sincronizzate più directory di Active Directory di origine.
Ad esempio, in una topologia GALSync sono presenti oggetti contatto per tutti gli oggetti della seconda foresta quando si importa la prima. In questa fase vengono inseriti nuovi oggetti contatto nel connettore Microsoft Entra. Quando in seguito si importa e si sincronizza la seconda foresta, saranno presenti gli utenti effettivi che verranno aggiunti agli oggetti metaverse esistenti. Si eliminerà quindi l'oggetto contatto in Microsoft Entra ID e si creerà invece un nuovo oggetto utente.
In una topologia in cui gli utenti sono rappresentati come contatti, nella guida all'installazione assicurarsi di selezionare la corrispondenza degli utenti in base all'attributo Mail. Se si seleziona un'altra opzione, si otterrà una configurazione dipendente dall'ordine. Gli oggetti Contact si aggiungono sempre all'attributo mail, ma gli oggetti utente vengono aggiunti solo all'attributo mail se questa opzione è stata selezionata nella guida all'installazione. Se l'oggetto contatto viene importato prima dell'oggetto utente, nell'oggetto metaverse potrebbero essere presenti due oggetti diversi con lo stesso attributo Mail. Durante l'esportazione in Microsoft Entra ID viene visualizzato un errore. Questo comportamento è previsto dalla progettazione e indica dati non corretti o che la topologia non è stata identificata correttamente durante l'installazione.
Account disabilitati
Anche gli account disabilitati vengono sincronizzati con Microsoft Entra ID. Gli account disabilitati in genere rappresentano le risorse in Exchange, ad esempio le sale riunioni. L'eccezione riguarda gli utenti con una cassetta postale collegata; come accennato in precedenza, non viene mai creato un account su Microsoft Entra ID.
Il presupposto è che se viene trovato un account utente disabilitato, non verrà trovato un altro account attivo in un secondo momento. Viene effettuato il provisioning dell'oggetto in Microsoft Entra ID con userPrincipalName e sourceAnchor trovato. Nel caso in cui un altro account attivo venga aggiunto allo stesso oggetto metaverse, vengono usati il relativo userPrincipalName e sourceAnchor.
Modifica dell'attributo sourceAnchor
Quando un oggetto viene esportato nell'ID Microsoft Entra, non è più consentito modificare sourceAnchor. Quando l'oggetto viene esportato, l'attributo metaverse cloudSourceAnchor viene impostato con il valore sourceAnchor accettato da Microsoft Entra ID. Se sourceAnchor è cambiato e non corrisponde a cloudSourceAnchor, la regola Out to Microsoft Entra ID - User Join produce l'errore l'attributo sourceAnchor è stato modificato. In questo caso, è necessario correggere la configurazione o i dati in modo che lo stesso attributo sourceAnchor sia di nuovo presente nell'oggetto metaverse prima che l'oggetto venga sincronizzato di nuovo.