Fatores que influenciam o desempenho do Microsoft Entra Connect
O Microsoft Entra Connect sincroniza o Ative Directory com o Microsoft Entra ID. Este servidor é um componente crítico para mover suas identidades de usuário para a nuvem. Os principais fatores que afetam o desempenho de um Microsoft Entra Connect são:
Fator de conceção | Definição |
---|---|
Topologia | A distribuição dos pontos de extremidade e componentes que o Microsoft Entra Connect deve gerenciar na rede. |
Escala | O número de objetos como usuários, grupos e OUs, gerenciados pelo Microsoft Entra Connect. |
Hardware | O hardware (físico ou virtual) para o Microsoft Entra Connect e a capacidade de desempenho dependente de cada componente de hardware, incluindo configuração de CPU, memória, rede e disco rígido. |
Configuração | Como o Microsoft Entra Connect processa os diretórios e as informações. |
Carregamento | Frequência das alterações de objetos. As cargas podem variar durante uma hora, dia ou semana. Dependendo do componente, você pode ter que projetar para carga de pico ou carga média. |
O objetivo deste documento é descrever os fatores que influenciam o desempenho do mecanismo de provisionamento do Microsoft Entra Connect. Organizações grandes ou complexas (organizações que provisionam mais de 100.000 objetos) podem usar as recomendações para otimizar sua implementação do Microsoft Entra Connect, se tiverem algum problema de desempenho descrito aqui. Os outros componentes do Microsoft Entra Connect, como o Microsoft Entra Connect Health e os agentes, não são abordados aqui.
Importante
A Microsoft não oferece suporte à modificação ou operação do Microsoft Entra Connect fora das ações formalmente documentadas. Qualquer uma dessas ações pode resultar em um estado inconsistente ou sem suporte do Microsoft Entra Connect Sync. Como resultado, a Microsoft não pode fornecer suporte técnico para essas implantações.
Fatores de componente do Microsoft Entra Connect
O diagrama a seguir mostra uma arquitetura de alto nível do mecanismo de provisionamento conectando-se a uma única floresta, embora várias florestas sejam suportadas. Esta arquitetura mostra como os vários componentes interagem uns com os outros.
O mecanismo de provisionamento se conecta a cada floresta do Ative Directory e à ID do Microsoft Entra. O processo de leitura de informações de cada diretório é chamado de Import. Exportação refere-se à atualização dos diretórios a partir do mecanismo de provisionamento. O Sync avalia as regras de como os objetos fluem dentro do mecanismo de provisionamento. Para uma análise mais aprofundada, pode consultar Microsoft Entra Connect Sync: Compreender a arquitetura.
O Microsoft Entra Connect usa as seguintes áreas de preparação, regras e processos para permitir a sincronização do Ative Directory para o Microsoft Entra ID:
- Espaço do conector (CS) - Os objetos de cada diretório conectado (CD), os diretórios reais, são preparados aqui primeiro antes de poderem ser processados pelo mecanismo de provisionamento. O Microsoft Entra ID tem seu próprio CS e cada floresta à qual você se conecta tem seu próprio CS.
- Metaverso (MV) - Os objetos que precisam ser sincronizados são criados aqui com base nas regras de sincronização. Os objetos devem existir no MV antes de poderem preencher objetos e atributos para os outros diretórios conectados. Há apenas um MV.
- Regras de sincronização - Eles decidem quais objetos são criados (projetados) ou conectados (unidos) a objetos no MV. As regras de sincronização também decidem quais valores de atributo são copiados ou transformados de e para os diretórios.
- Executar perfis - Agrupa as etapas do processo de cópia de objetos e seus valores de atributo de acordo com as regras de sincronização entre as áreas de preparo e os diretórios conectados.
Existem diferentes perfis de execução para otimizar o desempenho do mecanismo de provisionamento. A maioria das organizações usa as agendas padrão e os perfis de execução para operações normais, mas algumas organizações podem ter que alterar a agenda ou acionar outros perfis de execução para atender a situações incomuns. Os seguintes perfis de execução estão disponíveis:
Perfil de sincronização inicial
O perfil de sincronização inicial é o processo de leitura dos diretórios conectados, como uma floresta do Ative Directory, pela primeira vez. Em seguida, ele faz uma análise em todas as entradas no banco de dados do mecanismo de sincronização. O ciclo inicial cria novos objetos no Microsoft Entra ID e leva tempo extra para ser concluído se as florestas do Ative Directory forem grandes. A sincronização inicial inclui as seguintes etapas:
- Importação completa em todos os conectores
- Sincronização completa em todos os conectores
- Exportar em todos os conectores
Perfil de sincronização delta
Para otimizar o processo de sincronização, este perfil de execução processa apenas as alterações (cria, exclui e atualiza) de objetos em seus diretórios conectados, desde o último processo de sincronização. Por padrão, o perfil de sincronização delta é executado a cada 30 minutos. As organizações devem se esforçar para manter o tempo necessário abaixo de 30 minutos, para garantir que a ID do Microsoft Entra esteja atualizada. Para monitorar a integridade do Microsoft Entra Connect, use o agente de monitoramento de integridade para ver quaisquer problemas com o processo. O perfil de sincronização delta inclui as seguintes etapas:
- Importação delta em todos os conectores
- Sincronização delta em todos os conectores
- Exportar em todos os conectores
Um cenário típico de sincronização delta de organização empresarial é:
- ~1% dos objetos são excluídos
- ~1% dos objetos são criados
- ~5% dos objetos são modificados
Sua taxa de alteração pode variar dependendo da frequência com que sua organização atualiza os usuários no Ative Directory. Por exemplo, taxas de mudança mais elevadas podem ocorrer com a sazonalidade da contratação e redução da força de trabalho.
Perfil de sincronização completo
Um ciclo de sincronização completo será necessário se você tiver feito qualquer uma das seguintes alterações de configuração:
- Aumentou o escopo dos objetos ou atributos a serem importados dos diretórios conectados. Por exemplo, quando você adiciona um domínio ou UO ao escopo de importação.
- Feitas alterações nas regras de sincronização. Por exemplo, quando você cria uma nova regra para preencher o título de um usuário no Microsoft Entra ID a partir de extension_attribute3 no Ative Directory. Esta atualização requer que o mecanismo de provisionamento reexamine todos os usuários existentes para atualizar seus títulos para aplicar a alteração no futuro.
As seguintes operações estão incluídas em um ciclo de sincronização completo:
- Importação completa em todos os conectores
- Sincronização total/delta em todos os conectores
- Exportar em todos os conectores
Nota
É necessário um planejamento cuidadoso ao fazer atualizações em massa para muitos objetos no Ative Directory ou no ID do Microsoft Entra. As atualizações em massa fazem com que o processo de sincronização delta demore mais ao importar, já que muitos objetos foram alterados. Importações longas podem acontecer mesmo que a atualização em massa não influencie o processo de sincronização. Por exemplo, atribuir licenças a muitos usuários no Microsoft Entra ID causa um longo ciclo de importação do Microsoft Entra ID, mas não resultará em nenhuma alteração de atributo no Ative Directory.
Sincronização
O tempo de execução do processo de sincronização tem as seguintes características de desempenho:
- A sincronização é de thread único, o que significa que o mecanismo de provisionamento não faz nenhum processamento paralelo de perfis de execução de diretórios, objetos ou atributos conectados.
- O tempo de importação cresce linearmente com o número de objetos sendo sincronizados. Por exemplo, se 10.000 objetos levarem 10 minutos para serem importados, 20.000 objetos levarão aproximadamente 20 minutos no mesmo servidor.
- A exportação também é linear.
- A sincronização cresce exponencialmente com base no número de objetos com referências a outros objetos. As associações de grupo e os grupos aninhados têm o principal impacto no desempenho, porque seus membros se referem a objetos de usuário ou outros grupos. Essas referências devem ser encontradas e referenciadas a objetos reais no MV para concluir o ciclo de sincronização.
- Alterar um membro do grupo leva a uma reavaliação de todos os membros do grupo. Por exemplo, se você tiver um grupo com 50 K membros e atualizar apenas 1 membro, isso acionará uma sincronização de todos os membros de 50 K.
Filtragem
O tamanho da topologia do Ative Directory que você deseja importar é o fator número um que influencia o desempenho e o tempo geral que os componentes internos do mecanismo de provisionamento levam para serem concluídos.
A filtragem deve ser usada para reduzir os objetos ao sincronizado. Ele impede que objetos desnecessários sejam processados e exportados para o Microsoft Entra ID. Por ordem de preferência, estão disponíveis as seguintes técnicas de filtragem:
- Filtragem baseada em domínio – use esta opção para selecionar domínios específicos para sincronizar com o Microsoft Entra ID. Você deve adicionar e remover domínios da configuração do mecanismo de sincronização ao fazer alterações na infraestrutura local depois de instalar o Microsoft Entra Connect Sync.
- Filtragem de Unidade Organizacional (UO) - usa UOs para direcionar objetos específicos em domínios do Ative Directory para provisionamento para Microsoft Entra ID. A filtragem de UO é o segundo mecanismo de filtragem recomendado, porque usa consultas de escopo LDAP simples para importar um subconjunto menor de objetos do Ative Directory.
- Filtragem de atributos por objeto - usa os valores de atributo em objetos para decidir se um objeto específico no Ative Directory é provisionado no ID do Microsoft Entra. A filtragem de atributos é ótima para ajustar seus filtros, quando a filtragem de domínio e UO não atende aos requisitos específicos de filtragem. A filtragem de atributos não reduz o tempo de importação, mas pode reduzir os tempos de sincronização e exportação.
- Filtragem baseada em grupo - usa a associação ao grupo para decidir se os objetos devem ser provisionados no Microsoft Entra ID. A filtragem baseada em grupo só é adequada para situações de teste e não é recomendada para produção, devido à sobrecarga extra necessária para verificar a associação ao grupo durante o ciclo de sincronização.
Muitos objetos de desconector persistentes no CS do Ative Directory podem causar tempos de sincronização mais longos, porque o mecanismo de provisionamento deve reavaliar cada objeto de desconector para uma possível conexão no ciclo de sincronização. Para superar esse problema, considere uma das seguintes recomendações:
- Coloque os objetos de desconexão fora do escopo para importação usando filtragem de domínio ou UO.
- Projete/junte os objetos ao MV e defina o atributo cloudFiltered igual a True, para impedir o provisionamento desses objetos no Microsoft Entra CS.
Nota
Os usuários podem ficar confusos ou problemas de permissões de aplicativos podem ocorrer, quando muitos objetos são filtrados. Por exemplo, em uma implementação híbrida do Exchange online, os usuários com caixas de correio locais veem mais usuários em sua lista de endereços global do que usuários com caixas de correio no Exchange online. Em outros casos, um usuário pode querer conceder acesso em um aplicativo de nuvem a outro usuário que não faz parte do escopo do conjunto filtrado de objetos.
Fluxos de atributos
Fluxos de atributos é o processo para copiar ou transformar os valores de atributos de objetos de um diretório conectado para outro diretório conectado. Eles são definidos como parte das regras de sincronização. Por exemplo, quando o número de telefone de um usuário é alterado no Ative Directory, o número de telefone no Microsoft Entra ID é atualizado. As organizações podem modificar os fluxos de atributos para atender a vários requisitos. É recomendável copiar os fluxos de atributos existentes antes de alterá-los.
Redirecionamentos simples, como o fluxo de um valor de atributo para um atributo diferente, não têm impacto no desempenho material. Um exemplo de redirecionamento é o fluxo de um número de celular no Ative Directory para o número de telefone do escritório no Microsoft Entra ID.
A transformação de valores de atributos pode ter um impacto no desempenho do processo de sincronização. A transformação de valores de atributos inclui modificar, reformatar, concatenar ou subtrair valores de atributos.
As organizações podem impedir que determinados atributos fluam para o Microsoft Entra ID, mas isso não influenciará o desempenho do mecanismo de provisionamento.
Nota
Não exclua fluxos de atributos indesejados em suas regras de sincronização. É recomendável desativá-los, porque as regras excluídas são recriadas durante as atualizações do Microsoft Entra Connect.
Fatores de dependência do Microsoft Entra Connect
O desempenho do Microsoft Entra Connect depende do desempenho dos diretórios conectados para os quais ele importa e exporta. Por exemplo, o tamanho do Ative Directory que ele precisa importar ou a latência de rede para o serviço Microsoft Entra. O banco de dados SQL que o mecanismo de provisionamento usa também afeta o desempenho geral do ciclo de sincronização.
Fatores do Ative Directory
Como mencionado anteriormente, o número de objetos a serem importados influencia significativamente o desempenho. O hardware e os pré-requisitos para o Microsoft Entra Connect descrevem camadas de hardware específicas com base no tamanho da sua implantação. O Microsoft Entra Connect suporta apenas topologias específicas, conforme descrito em Topologias para o Microsoft Entra Connect. Não há otimizações de desempenho e recomendações para topologias sem suporte.
Verifique se o servidor Microsoft Entra Connect atende aos requisitos de hardware com base no tamanho do Ative Directory que você deseja importar. A conectividade de rede ruim ou lenta entre o servidor Microsoft Entra Connect e os controladores de domínio do Ative Directory pode tornar a importação mais lenta.
Fatores de ID do Microsoft Entra
O Microsoft Entra ID usa a limitação para proteger o serviço de nuvem contra ataques de negação de serviço (DoS). Atualmente, o Microsoft Entra ID tem um limite de limitação de 7.000 gravações por 5 minutos (84.000 por hora). Por exemplo, as seguintes operações podem ser limitadas:
- Exportação do Microsoft Entra Connect para o Microsoft Entra ID.
- Scripts ou aplicativos do PowerShell atualizando a ID do Microsoft Entra diretamente, mesmo em segundo plano, como grupos de associação dinâmica.
- Usuários atualizando seus próprios registros de identidade, como registro para MFA ou SSPR (redefinição de senha de autoatendimento).
- Operações dentro da interface gráfica do usuário.
Planeje tarefas de implantação e manutenção para garantir que seu ciclo de sincronização do Microsoft Entra Connect não seja afetado por limites de limitação. Por exemplo, se você tiver uma grande onda de contratação em que crie milhares de identidades de usuário, isso poderá causar atualizações em grupos dinâmicos de associação, atribuições de licenciamento e registros de redefinição de senha de autoatendimento. É melhor espalhar essas gravações por várias horas ou alguns dias.
Fatores do banco de dados SQL
O tamanho da topologia do Ative Directory de origem influencia o desempenho do banco de dados SQL. Siga os requisitos de hardware para o banco de dados do SQL Server e considere as seguintes recomendações:
- Organizações com mais de 100.000 usuários podem reduzir as latências de rede colocando o banco de dados SQL e o mecanismo de provisionamento no mesmo servidor.
- O protocolo SQL Named Pipes não é suportado, pois introduz atrasos significativos no ciclo de sincronização e deve ser desabilitado no SQL Server Configuration Manager em SQL Native Clients e SQL Server Network. Observe que a alteração da configuração de pipes nomeados só entra em vigor após a reinicialização do banco de dados e dos serviços ADSync.
- Devido aos altos requisitos de entrada e saída de disco (E/S) do processo de sincronização, use unidades de estado sólido (SSD) para o banco de dados SQL do mecanismo de provisionamento para obter resultados ideais, se não for possível, considere as configurações RAID 0 ou RAID 1.
- Não faça uma sincronização completa preventivamente; Provoca rotatividade desnecessária e tempos de resposta mais lentos.
Conclusão
Para otimizar o desempenho da implementação do Microsoft Entra Connect, considere as seguintes recomendações:
- Use a configuração de hardware recomendada com base no tamanho da implementação para o servidor Microsoft Entra Connect.
- Ao atualizar o Microsoft Entra Connect em implantações de grande escala, considere o uso do método de migração de swing para garantir que você tenha o menor tempo de inatividade e a melhor confiabilidade.
- Use SSD para o banco de dados SQL para obter o melhor desempenho de gravação.
- O backup do Banco de Dados ADSync usando o Backup do Azure não é recomendado.
- Filtre o escopo do Ative Directory para incluir apenas objetos que precisam ser provisionados no Microsoft Entra ID, usando filtragem de domínio, UO ou atributo.
- Se você precisar alterar as regras de fluxo de atributo padrão, primeiro copie a regra e, em seguida, altere a cópia e desative a regra original. Lembre-se de executar novamente uma sincronização completa.
- Planeje o tempo adequado para o perfil inicial de execução de sincronização completa.
- Esforce-se para completar o ciclo de sincronização delta em 30 minutos. Se o perfil de sincronização delta não for concluído em 30 minutos, modifique a frequência de sincronização padrão para incluir um ciclo de sincronização delta completo.
- Monitore a integridade do Microsoft Entra Connect Sync na ID do Microsoft Entra.
Próximos passos
Saiba mais sobre como integrar suas identidades locais com a ID do Microsoft Entra.