Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
本文档的目的是介绍配置Microsoft Entra Connect 时必须考虑的领域。 本文档是特定领域的深入探讨,其他文档中也简要描述了这些概念。
sourceAnchor
sourceAnchor 属性定义为在对象生存期内不会变化的属性。 它唯一地将对象标识为本地和Microsoft Entra ID中的同一对象。 该属性也称为“immutableId”,这两个名称可以交换使用。
在本文档中,“不可变”(即无法更改)一词非常重要。 由于此属性的值在设置之后就无法更改,因此请务必挑选可支持方案的设计。
该属性用于以下方案︰
- 在灾难恢复方案后生成或重新生成新的同步引擎服务器时,此属性会将Microsoft Entra ID中的现有对象链接到本地对象。
- 如果从仅限云的标识移动到同步的标识模型,则此属性允许对象与本地对象Microsoft Entra ID中的现有对象进行“硬匹配”。
- 如果使用联合,此属性将与 userPrincipalName 一起在声明中使用,以唯一标识用户。
本主题只讨论与用户相关的 sourceAnchor。 相同的规则适用于所有对象类型,但只有用户才需要考虑这个问题。
选择良好的 sourceAnchor 属性
属性值必须遵循以下规则:
- 长度少于 60 个字符
- 系统将 a-z、A-Z 或 0-9 以外的字符编码并计为 3 个字符
- 不包含特殊字符:\ ! # $ % & * + / = ? ^ ` { } | ~ <> ( ) ' ; : , [ ] “ @ _
- 必须全局唯一
- 必须是字符串、整数或二进制数
- 不应依赖用户的名称,因为这些可能会发生变化
- 不应区分大小写,并应避免可能因大小写不同而改变的值。
- 应在创建对象时分配
如果所选的 sourceAnchor 不是字符串类型,Microsoft Entra Connect 将对属性值进行 Base64 编码,以确保不会出现特殊字符。 如果使用除 ADFS 以外的其他联合服务器,请确保服务器也能将此属性进行 Base64Encode 处理。
sourceAnchor 属性区分大小写。 “JohnDoe”与“johndoe”是有所不同的值。 但是,两个对象的不同之处不能只是大小写不同。
如果您有单个本地森林,则应使用的属性是 objectGUID。 这也是在 Microsoft Entra Connect 中使用快速设置时使用的属性,也是 DirSync 使用的属性。
如果有多个林,并且不在林和域之间移动用户,则 objectGUID 是适当的属性(即使在本例中)。
如果要在林和域之间移动用户,必须查找不会更改的属性或者在移动时可随用户移动的属性。 建议的方法是引入合成属性。 适合保存类似 GUID 内容的属性。 在对象创建期间,将创建新 GUID 并标记到用户上。 可以在同步引擎服务器中创建自定义同步规则,根据 objectGUID 创建此值,并在 AD DS 中更新选择的属性。 当移动对象时,请务必同时复制此值的内容。
另一个解决方案是选择已知不会更改的现有属性。 常用的属性包括 employeeID。 如果考虑使用包含字母的属性,请确保属性值的大小写(大写与小写)不会发生变化。 不应使用的不合适属性包括那些包含用户名称的属性。 因为在结婚或离婚时,此姓名很可能会更改,所以不适用于此属性。 这些属性,如userPrincipalName、mail和targetAddress,在 Microsoft Entra Connect 安装向导中甚至无法选择,这也是原因之一。 这些属性还包含 sourceAnchor 中不允许的“@”字符。
更改 sourceAnchor 属性
在Microsoft Entra ID中创建对象并同步标识后,无法更改 sourceAnchor 属性值。
因此,以下限制适用于 Microsoft Entra Connect:
- 只能在初始安装期间设置 sourceAnchor 属性。 如果重新运行安装向导,此选项是只读的。 如果需要更改此设置,必须卸载然后重新安装。
- 如果安装另一个 Microsoft Entra Connect 服务器,则必须选择之前使用的同样的 sourceAnchor 属性。 如果以前使用 DirSync 并移动到 Microsoft Entra Connect,则必须使用 objectGUID,因为这是 DirSync 使用的属性。
- 如果在对象被导出到 Microsoft Entra ID 后,sourceAnchor 的值被更改,那么 Microsoft Entra Connect Sync 进而会引发错误,并且在问题解决以及 sourceAnchor 改回源目录之前,不允许对此对象进行任何进一步更改。
将 ms-DS-ConsistencyGuid 用作源锚点
默认情况下,Microsoft Entra Connect(版本 1.1.486.0 和更早版本)使用 objectGUID 作为 sourceAnchor 属性。 ObjectGUID 是系统生成的。 创建本地 AD 对象时,不能指定其值。 如 sourceAnchor 部分所述,在某些情况下,需要指定 sourceAnchor 值。 如果这些方案适用于您,则必须使用可配置的 AD 属性(例如 ms-DS-ConsistencyGuid)作为 sourceAnchor 属性。
Microsoft Entra Connect(版本 1.1.524.0 及之后)现在支持将 ms-DS-ConsistencyGuid 用作 sourceAnchor 属性。 使用此功能时,Microsoft Entra Connect 会自动将同步规则配置为:
将 ms-DS-ConsistencyGuid 用作用户对象的 sourceAnchor 属性。 ObjectGUID 用于其他对象类型。
对于未填充 ms-DS-ConsistencyGuid 属性的任何给定本地 AD 用户对象,Microsoft Entra Connect 将其 objectGUID 值写回到 on-premises Active Directory 中的 ms-DS-ConsistencyGuid 属性。 填充 ms-DS-ConsistencyGuid 属性后,Microsoft Entra Connect 将对象导出到Microsoft Entra ID。
注意事项
将本地 AD 对象导入到 Microsoft Entra Connect(即导入 AD 连接器空间并投影到 Metaverse 中)后,将无法再更改其 sourceAnchor 值。 若要为给定的本地 AD 对象指定 sourceAnchor 值,请在将其导入到 Microsoft Entra Connect 之前配置其 ms-DS-ConsistencyGuid 属性。
所需权限
若要使此功能正常工作,必须将用于与on-premises Active Directory同步的 AD DS 帐户授予on-premises Active Directory中 ms-DS-ConsistencyGuid 属性的写入权限。
如何启用 ConsistencyGuid 功能 - 新安装
你可以在新安装时启用 ConsistencyGuid 作为 sourceAnchor。 本节将详细介绍 Express 和自定义安装。
注意事项
只有较新版本的 Microsoft Entra Connect(1.1.524.0 及之后)支持在新安装期间使用 ConsistencyGuid 作为 sourceAnchor。
如何启用 ConsistencyGuid 功能
快速安装
使用 Express 模式安装 Microsoft Entra Connect 时,Microsoft Entra Connect 向导会自动使用以下逻辑确定用作 sourceAnchor 属性的最合适的 AD 属性:
首先,Microsoft Entra Connect 向导会查询您的 Microsoft Entra 租户,以检索在之前的 Microsoft Entra Connect 安装中作为 sourceAnchor 属性使用的 AD 属性(如果有的话)。 如果此信息可用,Microsoft Entra Connect 使用相同的 AD 属性。
注意事项
只有较新版本的 Microsoft Entra Connect(1.1.524.0 及之后)会将有关安装期间使用的 sourceAnchor 属性的信息存储在 Microsoft Entra 租户中。 较旧版本的 Microsoft Entra Connect 不会。
如果所用的 sourceAnchor 属性信息不可用,向导会检查本地 Active Directory 中 ms-DS-ConsistencyGuid 属性的状态。 如果该属性未在目录中的任何对象上配置,向导会将 ms-DS-ConsistencyGuid 用作 sourceAnchor 属性。 如果已在目录中的一个或多个对象上配置该属性,向导就会认为该属性正由其他应用程序使用,不适合用作 sourceAnchor 属性...
在这种情况下,向导会回退到使用 objectGUID 作为 sourceAnchor 属性。
确定 sourceAnchor 属性后,向导会将信息存储在 Microsoft Entra 租户中。 Microsoft Entra Connect 的未来安装会使用该信息。
快速安装完成后,向导会通知你选取哪个属性作为“源定位点”属性。
自定义安装
使用自定义模式安装 Microsoft Entra Connect 时,Microsoft Entra Connect 向导在配置 sourceAnchor 属性时提供两个选项:
| 设置 | 说明 |
|---|---|
| 让 Microsoft Entra ID 管理我的源锚点 | 如果希望Microsoft Entra ID为你选择属性,请选择此选项。 如果选择此选项,Microsoft Entra Connect 向导应用在 Express 安装期间使用的相同 sourceAnchor 属性选择逻辑。 与快速安装类似,自定义安装完成后,向导会通知你选取哪个属性作为“源定位点”属性。 |
| 特定的属性 | 如果希望指定现有的 AD 属性作为 sourceAnchor 属性,请选择此选项。 |
如何启用 ConsistencyGuid 功能 - 现有部署
如果您有一个现有的 Microsoft Entra Connect 部署,并且使用 objectGUID 作为源定位点属性,则可以切换为使用 ConsistencyGuid。
注意事项
只有较新版本的 Microsoft Entra Connect(1.1.552.0 及之后)支持从 ObjectGuid 切换到 ConsistencyGuid 作为源定位点属性。
从使用 ObjectGuid 切换为使用 ConsistencyGuid 作为 Source Anchor 属性:
启动Microsoft Entra连接向导,然后选择Configure转到“任务”屏幕。
选择“配置源定位点”任务选项并选择“下一步”。
输入Microsoft Entra管理员凭据,然后选择 Next。
Microsoft Entra Connect 向导分析本地 Active Directory 中 ms-DS-ConsistencyGuid 属性的状态。 如果未在目录中的任何对象上配置该属性,则 Microsoft Entra Connect 得出结论,目前没有其他应用程序使用该属性,并且可以安全地将其用作源定位点属性。 选择下一步继续操作。
在“准备好配置”屏幕上,选择“配置”进行配置更改。
完成配置后,该向导将指示 ms-DS-ConsistencyGuid 现正用作 Source Anchor 属性。
分析期间(步骤 4),如果该属性已在目录中的一个或多个对象上配置,向导就会认为该属性正由其他应用程序使用,于是返回一个错误,如下图所示。 如果在主的 Microsoft Entra Connect 服务器上启用了 ConsistencyGuid 功能,并且尝试在备用服务器上执行相同的操作,则也会发生此错误。
如果确定其他现有应用程序不使用该属性,可以通过重启 Microsoft Entra Connect 向导,并指定/SkipLdapSearch开关来抑制错误。 为此,请在命令提示符下运行以下命令:
"c:\Program Files\Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch
对 AD FS 或第三方联合身份验证配置的影响
如果使用 Microsoft Entra Connect 管理本地 AD FS 部署,Microsoft Entra Connect 会自动更新声明规则,以使用与 sourceAnchor 相同的 AD 属性。 这可确保 ADFS 生成的 ImmutableID 声明与导出到Microsoft Entra ID的 sourceAnchor 值一致。
如果要在 Microsoft Entra Connect 外部管理 AD FS,或者使用第三方联合服务器进行身份验证,则必须手动更新 ImmutableID 声明的声明规则,以便与导出到Microsoft Entra ID的 sourceAnchor 值保持一致,如Modify AD FS 声明规则一文中所述。 安装完成后,向导会返回以下警告:
将新的目录添加到现有的部署中
假如您已部署了启用 ConsistencyGuid 功能的 Microsoft Entra 连接器,并且现在想要将另一个目录添加到现有部署中。 尝试添加目录时,Microsoft Entra Connect 向导检查目录中 ms-DS-ConsistencyGuid 属性的状态。 如果该属性已在目录中的一个或多个对象上配置,向导就会认为该属性正由其他应用程序使用,于是返回一个错误,如下图所示。 如果确定现有应用程序未使用该属性,可以通过使用前面所述的/SkipLdapSearch开关重新启动 Microsoft Entra Connect 向导来抑制错误,或者您需要联系技术支持以获取更多信息。
Microsoft Entra登录
将本地目录与Microsoft Entra ID集成时,请务必了解同步设置如何影响用户进行身份验证的方式。 Microsoft Entra ID使用 userPrincipalName (UPN) 对用户进行身份验证。 但是,在同步用户时,必须小心选择要用于 userPrincipalName 值的属性。
选择 userPrincipalName 的属性
选择属性以提供用于 Microsoft Entra ID 的 UPN 值时,应确保
- 属性值符合 UPN 语法 (RFC 822),其格式应为 username@domain
- 值后缀与Microsoft Entra ID中已验证的自定义域之一匹配
在快速设置中,属性的假设选择是 userPrincipalName。 如果用户PrincipalName 属性不包含你希望用户登录Microsoft Entra ID的值,则必须选择 Custom Installation。
注意事项
最佳做法是,建议 UPN 前缀包含多个字符。
自定义域状态和 UPN
必须确保 UPN 后缀的域已被验证。
John 是 contoso.com 中的用户。 你希望在将用户同步到你的 Microsoft Entra 目录 contoso.partner.onmschina.cn 后,John 使用本地 UPN john@contoso.com 登录到 Microsoft Entra ID。 为此,需要在Microsoft Entra ID中添加 contoso.com 作为自定义域进行添加和验证,然后才能开始同步用户。 如果 John 的 UPN 后缀(例如 contoso.com)与Microsoft Entra ID中已验证的域不匹配,则Microsoft Entra ID将 UPN 后缀替换为 contoso.partner.onmschina.cn。
Microsoft Entra ID 的不可路由本地域名和用户主体名称 (UPN)
有些组织使用不可路由的域(例如 contoso.local)或简单的单标签域(例如 contoso)。 不能在Microsoft Entra ID中验证无法路由的域。 Microsoft Entra Connect 只能同步到Microsoft Entra ID中已验证的域。 创建Microsoft Entra目录时,它会创建一个可路由的域,该域将成为Microsoft Entra ID的默认域,例如 contoso.partner.onmschina.cn。 因此,在这种情况下,如果不想同步到默认的 partner.onmschina.cn 域,您必须验证任何其他可路由的域。
有关添加和验证域的详细信息,请阅读 将自定义域名添加到 Microsoft Entra ID。
Microsoft Entra Connect 检测是否在不可路由的域环境中运行,并会适当地警告你不要继续执行快速设置。 如果在不可路由的域中操作,用户的 UPN 可能也包含不可路由的后缀。 例如,如果在 contoso.local 下运行,Microsoft Entra Connect 会建议自定义设置,而不是使用快速设置。 使用自定义设置,您可以在用户同步到 Microsoft Entra ID 后,指定用于作为 UPN 登录 Microsoft Entra ID 的属性。