Поделиться через

Синхронизация Microsoft Entra Connect: общие сведения о конфигурации по умолчанию

  • Статья

В этой статье описываются правила конфигурации, применяемые по умолчанию. Он документирует правила и как эти правила влияют на конфигурацию. Кроме того, он описывает настройку по умолчанию службы синхронизации Microsoft Entra Connect. Цель заключается в том, что читатель понимает, как модель конфигурации, именованной декларативной подготовкой, работает в реальном примере. В этой статье предполагается, что вы установили и настроили синхронизацию Microsoft Entra Connect с помощью мастера установки.

Чтобы понять сведения о модели конфигурации, ознакомьтесь с Обзор декларативной подготовки.

Стандартные правила из локальной среды в систему идентификации Microsoft Entra

Следующие выражения можно найти в конфигурации по умолчанию.

Правила по умолчанию для пользователя

Эти правила также применяются к типу объекта iNetOrgPerson.

Объект пользователя должен удовлетворять следующим требованиям для синхронизации:

  • Должен иметь sourceAnchor.
  • После создания объекта в идентификаторе Microsoft Entra не удается изменить sourceAnchor. Если значение изменяется локально, объект перестает синхронизироваться до тех пор, пока источникAnchor не будет изменен на предыдущее значение.
  • Атрибут accountEnabled (userAccountControl) должен быть заполнен. В локальной среде Active Directory этот атрибут всегда присутствует и заполняется.

Следующие пользовательские объекты не синхронизированы с идентификатором Microsoft Entra:

  • IsPresent([isCriticalSystemObject]). Убедитесь, что многие устаревшие объекты в Active Directory, например встроенная учетная запись администратора, не синхронизированы.
  • IsPresent([sAMAccountName]) = False. Убедитесь, что пользовательские объекты без атрибута sAMAccountName не синхронизируются. Этот случай практически происходит только в домене, обновленном с NT4.
  • Left([sAMAccountName], 4) = "AAD_", Left([sAMAccountName], 5) = "MSOL_". Не синхронизируйте учетную запись службы, используемую в Microsoft Entra Connect Sync и в его более ранних версиях.
  • Не синхронизируйте учетные записи Exchange, которые не будут работать в Exchange Online.
    • [sAMAccountName] = "SUPPORT_388945a0"
    • Left([mailNickname], 14) = "SystemMailbox{"
    • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))
    • (Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
  • Не синхронизируйте объекты, которые не будут работать в Exchange Online. CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
    Эта битовая маска (&H21C07000) отфильтрует следующие объекты:
    • Общедоступная папка с поддержкой почты (в предварительной версии 1.1.524.0)
    • Почтовый ящик участника системы
    • Почтовый ящик базы данных (системный почтовый ящик)
    • Универсальная группа безопасности (не будет применяться для пользователя, но присутствует по устаревшим причинам)
    • Не универсальная группа (не будет применяться к пользователю, но присутствует по устаревшим причинам)
    • План почтового ящика
    • Поисковый почтовый ящик
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Не синхронизируйте объекты жертв репликации.

Применяются следующие правила атрибутов:

  • sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). Атрибут sourceAnchor не вносится из связанного почтового ящика. Предполагается, что при обнаружении связанного почтового ящика фактическая учетная запись присоединяется позже.
  • Связанные с Exchange атрибуты синхронизируются только в том случае, если атрибут mailNickName имеет значение.
  • При наличии нескольких лесов атрибуты используются в следующем порядке:
    1. Атрибуты, связанные с входом (например, userPrincipalName), вносятся из леса с включенной учетной записью.
    2. Атрибуты, которые можно найти в глобальном списке адресов Exchange (GAL), поступают из леса каталогов почтового ящика Exchange.
    3. Если почтовый ящик не найден, эти атрибуты могут поступать из любого леса.
    4. Атрибуты, связанные с Exchange (технические атрибуты, не видимые в GAL), вносятся из леса, где mailNickname ISNOTNULL.
    5. Если существует несколько лесов, удовлетворяющих одному из этих правил, то порядок создания (дата и время) соединителей (леса) используется для определения того, какой лес вносит вклад в атрибуты. Первый лес, подключенный, является первым лесом для синхронизации.

Правила для контактов вне поля

Объект контакта должен соответствовать следующим требованиям для синхронизации:

  • Должен иметь значение атрибута электронной почты.
  • Контакт должен поддерживать электронную почту. Это проверяется следующими правилами:
    • IsPresent([proxyAddresses]) = True). Атрибут proxyAddresses должен быть заполнен.
    • Основной адрес электронной почты можно найти в атрибуте proxyAddresses или в атрибуте почты. Наличие @используется для проверки того, является ли содержимое адресом электронной почты. Одно из этих двух правил должно быть оценено как True.
      • (Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). Есть ли запись с smtp:, и если есть, можно ли найти @в строке?
      • (IsPresent([mail]) = True && (InStr([mail], "@") > 0). Заполняется ли атрибут почты и если это так, можно ли найти @в строке?

Следующие объекты контактов не синхронизированы с Microsoft Entra ID:

  • IsPresent([isCriticalSystemObject]). Убедитесь, что объекты контакта, помеченные как критически важные, не синхронизируются. Не должно быть проблем с конфигурацией по умолчанию.
  • ((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).
  • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). Эти объекты не будут работать в Exchange Online.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Не синхронизируйте объекты жертв репликации.

Группировать правила вне поля

Объект группы должен соответствовать следующим требованиям для синхронизации:

  • Должно быть менее 250 000 членов. Это число членов в локальной группе.
    • Если у него есть больше членов перед началом синхронизации, группа не синхронизируется.
    • Если число членов растет с момента его создания, он перестает синхронизироваться после того, как он достигнет 250 000 членов до тех пор, пока число членов не ниже 250 000 снова.
    • Примечание. Microsoft Entra ID ограничивает количество участников до 250 000. Вы не можете синхронизировать группы с большими участниками, даже если вы изменяете или удаляете это правило.
  • Если группа является группой рассылки, она также должна быть почтово активирована. Правила проверки из коробки , касающиеся правила, применяются для этого правила.

Следующие объекты группы не синхронизированы с системой идентификации Microsoft Entra ID:

  • IsPresent([isCriticalSystemObject]). Убедитесь, что многие устаревшие объекты в Active Directory, такие как встроенная группа администраторов, не синхронизируются.
  • [sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Устаревшая группа, используемая DirSync.
  • BitAnd([msExchRecipientTypeDetails],&amp;H40000000). Группа ролей.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Не синхронизируйте объекты жертв репликации.

Правила по умолчанию для ForeignSecurityPrincipal

FSPs присоединяются к объекту any (*) в метавселенной. В действительности это соединение происходит только для пользователей и групп безопасности. Эта конфигурация обеспечивает разрешение межлесного членства и его правильное представление в Microsoft Entra ID.

Встроенные правила компьютера

Объект компьютера должен удовлетворять следующим требованиям для синхронизации:

  • userCertificate ISNOTNULL. Только компьютеры Windows 10 заполняют этот атрибут. Все объекты компьютера со значением в этом атрибуте синхронизируются.

Общие сведения о сценарии встроенных правил

В этом примере мы используем развертывание с одним лесом учетных записей (A), одним лесом ресурсов (R) и одним каталогом Microsoft Entra.

Рисунок с описанием сценария

В этой конфигурации предполагается наличие включенной учетной записи в лесу учетных записей и отключенной учетной записи в лесу ресурсов со связанным почтовым ящиком.

Наша цель в отношении конфигурации по умолчанию заключается в следующем:

  • Атрибуты, связанные с входом, синхронизируются из леса с включенной учетной записью.
  • Атрибуты, которые можно найти в списке GAL (глобальный список адресов), синхронизируются из леса с почтовым ящиком. Если почтовый ящик не найден, используется любой другой лес.
  • Если обнаружен связанный почтовый ящик, для экспорта объекта в Microsoft Entra ID необходимо найти включенную связанную учетную запись.

Редактор правил синхронизации

Конфигурацию можно просмотреть и изменить с помощью Редактора правил синхронизации (SRE), ярлык которого можно найти в меню "Пуск".

Значок редактора правил синхронизации

SRE — это средство набора ресурсов, и оно устанавливается с помощью Службы синхронизации Microsoft Entra Connect. Чтобы запустить его, необходимо быть членом группы ADSyncAdmins. При запуске вы увидите следующее:

Правила синхронизации входящего

На этой панели отображаются все правила синхронизации, созданные для конфигурации. Каждая строка в таблице — это одно правило синхронизации. Слева в разделе "Типы правил" перечислены два разных типа: входящий и исходящий трафик. Входящие и исходящие — с точки зрения метавселенной. Вам в основном нужно будет сосредоточиться на правилах входящего трафика в данном обзоре. Фактический список правил синхронизации зависит от обнаруженной схемы в AD. На рисунке выше лес учетных записей (fabrikamonline.com) не имеет служб, таких как Exchange и Lync, и для этих служб не созданы правила синхронизации. Однако в лесу ресурсов (res.fabrikamonline.com) вы найдете правила синхронизации для этих служб. Содержимое правил отличается в зависимости от обнаруженной версии. Например, в развертывании с Exchange 2013 есть больше потоков атрибутов, настроенных, чем в Exchange 2010/2007.

Правило синхронизации

Правило синхронизации — это объект конфигурации с набором атрибутов, поступающих при выполнении условия. Он также используется для описания того, как объект в пространстве коннектора связан с объектом в метавселенной, известными как соединение или совпадение. Правила синхронизации имеют значение приоритета, указывающее, как они связаны друг с другом. Правило синхронизации с более низким числовым значением имеет более высокий приоритет и в конфликте потока атрибутов более высокий приоритет выигрывает разрешение конфликтов.

Например, ознакомьтесь с правилом синхронизации для входящих из AD пользователей — учетная запись активирована. Пометьте эту строку в SRE и выберите Изменить.

Так как это правило является устаревшим, при открытии правила вы получите предупреждение. Вам не следует вносить никаких изменений в предустановленные правила, поэтому вас спрашивают, каковы ваши намерения. В этом случае требуется только просмотреть правило. Выберите Нет.

Предупреждение правил синхронизации

Правило синхронизации содержит четыре раздела конфигурации: описание, фильтрация области, правила соединения и преобразования.

Описание

Первый раздел содержит основные сведения, такие как имя и описание.

вкладка "Описание

Вы также найдете сведения о том, к какой подключенной системе относится это правило, к какому типу объекта в подключенной системе оно применяется, и к какому типу объекта в метавселенной. Тип объекта метавселенной всегда является человеком, независимо от того, является ли исходный тип объекта пользователем, iNetOrgPerson или контактом. Тип объекта метавселенной никогда не должен изменяться, поэтому он создается как универсальный тип. Тип ссылки можно задать как Join, StickyJoin или Provision. Этот параметр работает вместе с разделом "Правила присоединения" и рассматривается позже.

Вы также можете увидеть, что это правило синхронизации используется для синхронизации паролей. Если пользователь находится в области для этого правила синхронизации, пароль синхронизируется из локальной среды в облако (если вы включили функцию синхронизации паролей).

Фильтр области действия

Раздел "Фильтр области" используется для настройки при применении правила синхронизации. Поскольку имя правила синхронизации, которое вы просматриваете, указывает, что его следует применять только к активным пользователям, диапазон настроен так, чтобы атрибут AD userAccountControl не содержал установленный бит 2. Когда подсистема синхронизации находит пользователя в AD, оно применяет это правило синхронизации, если userAccountControl задано десятичное значение 512 (включен обычный пользователь). Это правило не применяется, если у пользователя userAccountControl установлено значение 514 (отключенный обычный пользователь).

снимок экрана, на котором показан раздел

Фильтр области содержит группы и условия, которые могут быть вложены. Все условия внутри группы должны быть выполнены, чтобы правило синхронизации применилось. Если определены несколько групп, то для применения правила должна быть удовлетворена по крайней мере одна группа. То есть логическое ИЛИ вычисляется между группами, а логическое И — внутри группы. Пример этой конфигурации можно найти в правиле исходящей синхронизации для Microsoft Entra ID — Присоединение к группе. Существует несколько групп фильтров синхронизации, например один для групп безопасности (securityEnabled EQUAL True) и один для групп рассылки (securityEnabled EQUAL False).

вкладка Область настройки в редакторе правил синхронизации

Это правило используется для определения, какие группы должны быть провиженированы в Microsoft Entra ID. Группы рассылки должны быть включены для синхронизации с идентификатором Microsoft Entra, но для групп безопасности электронная почта не требуется.

Правила присоединения

Третий раздел используется для настройки того, как объекты в пространстве соединителя связаны с объектами в метавселенной. Правило, которое вы рассмотрели ранее, не имеет никакой конфигурации для правил присоединения, поэтому вместо этого вы будете смотреть на in from AD — User Join.

вкладка "Правила присоединения" в редакторе правил синхронизации

Содержимое правила соединения зависит от параметра сопоставления, выбранного в мастере установки. Для правила входящего соединения оценка начинается с объекта из пространства исходного соединителя, а каждая группа в правилах соединения оценивается последовательно. Если исходный объект оценивается на соответствие одному объекту метавселенной с помощью одного из правил соединения, то объекты объединяются. Если все правила были оценены и ни одно из них не совпало, используется тип ссылки на странице описания. Если для этой конфигурации задано значение Provision, то в целевом объекте создается новый объект, метавселенная, если присутствует хотя бы один атрибут в критерии соединения (имеет значение). Чтобы предоставить новый объект в метавселенную, это также называют проектировать объект в метавселенной.

Правила соединения оцениваются только один раз. При присоединении объекта пространства соединений и объекта метаверса они остаются связанными, пока область действия правила синхронизации по-прежнему соблюдается.

При оценке правил синхронизации в области действия должно находиться только одно правило синхронизации с заданными правилами соединения. Если для одного объекта найдено несколько правил синхронизации с правилами соединения, возникает ошибка. По этой причине рекомендуется использовать только одно правило синхронизации с соединением, определяемое при наличии нескольких правил синхронизации для объекта. В конфигурации по умолчанию для Службы синхронизации Microsoft Entra Connect эти правила можно найти, просмотрев имя и найдя те, в которых в конце имени присутствует слово Join. Правило синхронизации без определенных правил соединения применяет потоки атрибутов, когда другое правило синхронизации объединило объекты или подготовило новый объект в целевом объекте.

Если вы посмотрите на рисунок выше, вы увидите, что правило пытается объединить objectSID с msExchMasterAccountSid (Exchange) и msRTCSIP-OriginatorSid (Lync), что соответствует ожидаемой топологии леса учетных записей и ресурсов. Вы найдете одно правило во всех лесах. Предполагается, что каждый лес может быть либо лесом учетных записей, либо лесом ресурсов. Эта конфигурация также работает, если у вас есть учетные записи, которые находятся в одном лесу и не требуют присоединения.

Преобразования

Раздел преобразования определяет все потоки атрибутов, которые применяются к целевому объекту, когда объекты присоединяются и фильтр области выполняется. Вернитесь к in from AD — User AccountEnabled Synchronization Rule, вы найдете следующие преобразования:

вкладка "Преобразования

Чтобы рассмотреть эту конфигурацию в контексте, в развертывании леса Account-Resource ожидается, что включенная учетная запись будет в лесу учетных записей, а отключенная учетная запись в лесу ресурсов, с параметрами Exchange и Lync. Правило синхронизации, которое вы просматриваете, содержит атрибуты, необходимые для входа, и эти атрибуты должны передаваться из леса, где есть включенная учетная запись. Все эти потоки атрибутов объединяются в одно правило синхронизации.

Преобразование может иметь разные типы: Константа, Прямое и Выражение.

  • Константный поток всегда передает жестко закодированное значение. В приведенном выше случае всегда устанавливает значение True для атрибута метавселенной с именем accountEnabled.
  • Прямой поток всегда передает значение атрибута в источнике в целевой атрибут as-is.
  • Третий тип потока — Expression и позволяет использовать более сложные конфигурации.

Язык выражений — VBA (Visual Basic для приложений), поэтому люди с опытом Работы с Microsoft Office или VBScript распознают формат. Атрибуты заключены в квадратные скобки [attributeName]. Имена атрибутов и функций чувствительны к регистру, но редактор правил синхронизации проверяет выражения и выдает предупреждение, если выражение недопустимо. Все выражения выражаются в одной строке с вложенными функциями. Чтобы показать возможности языка конфигурации, вот процесс для pwdLastSet, но с добавленными дополнительными комментариями:

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .NET datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

Дополнительные сведения о языке выражений для потоков атрибутов см. в разделе Понимание декларативной подготовки.

Предшествование

Теперь вы рассмотрели некоторые отдельные правила синхронизации, но правила работают вместе в конфигурации. В некоторых случаях значение атрибута вносится из нескольких правил синхронизации в один и тот же целевой атрибут. В этом случае приоритет атрибутов используется для определения, какой атрибут имеет преимущество. В качестве примера рассмотрим источник атрибутаAnchor. Этот атрибут является важным атрибутом для входа в идентификатор Microsoft Entra. Поток атрибутов для этого атрибута можно найти в двух разных правилах синхронизации, in from AD — User AccountEnabled и In from AD — User Common. Поскольку приоритет правила синхронизации предполагает, что атрибут sourceAnchor поступает из леса с включенной учетной записью в первую очередь, когда к объекту метавселенной присоединены несколько объектов. Если нет включенных учетных записей, подсистема синхронизации использует универсальное правило синхронизации In from AD – User Common. Эта конфигурация гарантирует, что даже для отключенных учетных записей по-прежнему существует sourceAnchor.

Правила синхронизации входящих

Приоритет правил синхронизации устанавливается в группах мастером установки. Все правила в группе имеют одинаковое имя, но связаны с разными подключенными каталогами. Мастер установки присваивает правилу из AD — присоединение пользователя наивысший приоритет и выполняет итерацию по всем подключенным каталогам AD. Затем он продолжается со следующими группами правил в предопределенном порядке. В группе правила добавляются в порядке добавления соединителей в мастере. Если через мастер добавляется другой соединитель, правила синхронизации переупорядочиваются, а правила нового соединителя вставляются последними в каждой группе.

Объединим всё воедино

Теперь мы достаточно знаем о правилах синхронизации, чтобы понять, как конфигурация работает с различными правилами синхронизации. Если вы посмотрите на пользователя и атрибуты, внесенные в метавселенную, правила применяются в следующем порядке:

Имя Комментарий
Вход из AD — присоединение пользователей Правило объединения объектов пространства соединителя с метавселенной.
Вход из AD — учетная запись пользователя активирована Атрибуты, необходимые для входа в идентификатор Microsoft Entra и Microsoft 365. Мы хотим получить эти атрибуты от активированной учетной записи.
Из AD — Общий пользователь из Exchange Атрибуты, найденные в глобальном списке адресов. Мы предполагаем, что качество данных в лесу, где мы нашли почтовый ящик пользователя, наилучшее.
Вход из AD — Общие пользователи Атрибуты, найденные в глобальном списке адресов. В случае, если мы не нашли почтовый ящик, любой другой присоединенный объект может внести вклад в значение атрибута.
Вход из Active Directory — Пользовательская Биржа Существует только если обнаружен Exchange. Он передает все атрибуты инфраструктуры Microsoft Exchange.
Импорт из AD — пользователь Lync Существует только при обнаружении программы Lync. Он передает все атрибуты Lync инфраструктуры.

Дальнейшие действия

темы обзора