Oprava upravených výchozích pravidel v microsoft entra Připojení
Microsoft Entra Připojení používá výchozí pravidla pro synchronizaci. Tato pravidla se bohužel nevztahují na všechny organizace obecně. V závislosti na vašich požadavcích je možná budete muset upravit. Tento článek popisuje dva příklady nejběžnějších přizpůsobení a vysvětluje správný způsob, jak tato přizpůsobení dosáhnout.
Poznámka:
Úprava stávajících výchozích pravidel pro dosažení potřebného přizpůsobení se nepodporuje. Pokud to uděláte, zabráníte aktualizaci těchto pravidel na nejnovější verzi v budoucích verzích. Nebudete dostávat opravy chyb, které potřebujete, ani nové funkce. Tento dokument vysvětluje, jak dosáhnout stejného výsledku beze změny stávajících výchozích pravidel.
Identifikace upravených výchozích pravidel
Počínaje verzí 1.3.7.0 microsoft Entra Připojení je snadné identifikovat upravené výchozí pravidlo. Přejděte na Aplikace na ploše a vyberte Editor synchronizačních pravidel.
V editoru se před názvem zobrazí všechna upravená výchozí pravidla s ikonou upozornění.
Zobrazí se také zakázané pravidlo se stejným názvem (toto je standardní výchozí pravidlo).
Běžná přizpůsobení
Následují běžná přizpůsobení výchozích pravidel:
- Změna toku atributů
- Změnit filtr oborů
- Změna podmínky spojení
Před změnou pravidel:
Zakažte plánovač synchronizace. Plánovač se ve výchozím nastavení spouští každých 30 minut. Ujistěte se, že se nespouští, když provádíte změny a řešíte potíže s novými pravidly. Pokud chcete plánovač dočasně zakázat, spusťte PowerShell a spusťte
Set-ADSyncScheduler -SyncCycleEnabled $false.
Změna oboru filtru může vést k odstranění objektů v cílovém adresáři. Před provedením jakýchkoli změn v oboru objektů buďte opatrní. Před provedením změn na aktivním serveru doporučujeme provést změny přípravného serveru.
Po přidání nového pravidla spusťte náhled u jednoho objektu , jak je uvedeno v části Ověřit pravidlo synchronizace.
Po přidání nového pravidla nebo úpravě vlastního pravidla synchronizace spusťte úplnou synchronizaci. Tato synchronizace aplikuje nová pravidla na všechny objekty.
Změna toku atributů
Pro změnu toku atributů existují tři různé scénáře:
- Přidání nového atributu
- Přepsání hodnoty existujícího atributu
- Volba nesynchronizovat existující atribut.
Můžete to udělat beze změny standardních výchozích pravidel.
Přidání nového atributu
Pokud zjistíte, že atribut neteče ze zdrojového adresáře do cílového adresáře, opravte to pomocí rozšíření Microsoft Entra Připojení Sync: Directory.
Pokud rozšíření nefungují, zkuste přidat dvě nová pravidla synchronizace popsaná v následujících částech.
Přidání pravidla příchozí synchronizace
Příchozí pravidlo synchronizace znamená, že zdrojem atributu je prostor konektoru a cílem je metaverse. Pokud například chcete mít nový tok atributů z místní Active Directory do ID Microsoft Entra, vytvořte nové příchozí pravidlo synchronizace. Spusťte Editor synchronizačních pravidel, jako směr vyberte Příchozí a vyberte Přidat nové pravidlo.
Pokud chcete pravidlo pojmenovat, postupujte podle vlastních zásad vytváření názvů. Tady používáme funkci Custom In z AD – Uživatel. To znamená, že pravidlo je vlastní pravidlo a jedná se o příchozí pravidlo z prostoru konektoru služby Active Directory do metaverse.
Zadejte vlastní popis pravidla, aby budoucí údržba pravidla byla snadná. Popis může být například založený na tom, co je cílem pravidla a proč je potřeba.
Vyberte pole Připojení Ed System, Připojení ed System Object Type (Typ systémového objektu) a Metaverse Object Type (Typ objektu metaverse).
Zadejte hodnotu priority od 0 do 99 (čím nižší je číslo, tím vyšší je priorita). Pro pole Tag, Enable Password Sync a Disabled (Povolit synchronizaci hesel) použijte výchozí výběry.
Ponechte filtr oborů prázdný. To znamená, že pravidlo platí pro všechny objekty spojené mezi službou Active Directory Připojení systémem a metaverse.
Ponechat pravidla join prázdná. To znamená, že toto pravidlo používá podmínku spojení definovanou ve standardním výchozím pravidle. Toto je další důvod, proč nezakazovat nebo odstraňovat standardní výchozí pravidlo. Pokud neexistuje podmínka spojení, atribut nebude tok.
Přidejte příslušné transformace pro atribut. Konstantu můžete přiřadit, abyste do cílového atributu nastavili tok konstantní hodnoty. Můžete použít přímé mapování mezi zdrojovým nebo cílovým atributem. Nebo můžete pro atribut použít výraz. Tady jsou různé funkce výrazů , které můžete použít.
Přidání pravidla odchozí synchronizace
Pokud chcete propojit atribut s cílovým adresářem, musíte vytvořit odchozí pravidlo. To znamená, že zdrojem je metaverse a cílem je připojený systém. Pokud chcete vytvořit odchozí pravidlo, spusťte Editor synchronizačních pravidel, změňte směr na odchozí a vyberte Přidat nové pravidlo.
Stejně jako u příchozího pravidla můžete k pojmenování pravidla použít vlastní zásady vytváření názvů. Vyberte Připojení ed System jako tenanta Microsoft Entra a vyberte připojený systémový objekt, ke kterému chcete nastavit hodnotu atributu. Nastavte prioritu od 0 do 99.
Ponechte filtr oborů a pravidla spojení prázdná. Vyplňte transformaci jako konstantu, přímou nebo výrazovou hodnotu.
Teď víte, jak vytvořit nový atribut pro tok objektu uživatele z Active Directory do Microsoft Entra ID. Pomocí těchto kroků můžete namapovat libovolný atribut z libovolného objektu na zdroj a cíl. Další informace najdete v tématu Vytváření vlastních pravidel synchronizace a příprava na zřízení uživatelů.
Přepsání hodnoty existujícího atributu
Možná budete chtít přepsat hodnotu atributu, který již byl namapován. Pokud například vždy chcete nastavit hodnotu null na atribut v Microsoft Entra ID, jednoduše vytvořte pouze příchozí pravidlo. Nastavte hodnotu výrazu , AuthoritativeNulltok do cílového atributu.
Poznámka:
Null Místo v tomto případě použijteAuthoritativeNull. Důvodem je to, že hodnota, která není null, nahrazuje hodnotu null, i když má nižší prioritu (vyšší číselná hodnota v pravidle). AuthoritativeNull, na druhou stranu se nenahradí jinou hodnotou než null jinými pravidly.
Nesynchronizovat existující atribut
Pokud chcete vyloučit atribut ze synchronizace, použijte funkci filtrování atributů uvedenou v microsoft Entra Připojení. Z ikony plochy spusťte Microsoft Entra Připojení a pak vyberte Přizpůsobit možnosti synchronizace.
Ujistěte se, že je vybraná aplikace Microsoft Entra a filtrování atributů, a vyberte Další.
Vymažte atributy, které chcete vyloučit ze synchronizace.
Změnit filtr oborů
Azure AD Sync se stará o většinu objektů. Můžete snížit rozsah objektů a snížit počet objektů, které se mají exportovat, aniž byste změnili standardní výchozí pravidla synchronizace.
Pomocí jedné z následujících metod snižte rozsah objektů, které synchronizujete:
- cloudFiltered – atribut
- Filtrování organizačních jednotek
Pokud zmenšujete rozsah synchronizovaných uživatelů, synchronizace hodnot hash hesel se také zastaví u odfiltrovaných uživatelů. Pokud se objekty již synchronizují, po zmenšení oboru se filtrované objekty z cílového adresáře odstraní. Z tohoto důvodu se ujistěte, že rozsah velmi pečlivě.
Důležité
Zvýšení rozsahu objektů nakonfigurovaných microsoftem Entra Připojení se nedoporučuje. Díky tomu je pro tým podpory Microsoftu obtížné pochopit přizpůsobení. Pokud potřebujete zvýšit rozsah objektů, upravte existující pravidlo, naklonujte ho a zakažte původní pravidlo.
cloudFiltered – atribut
Tento atribut nelze nastavit ve službě Active Directory. Nastavte hodnotu tohoto atributu přidáním nového příchozího pravidla. Potom můžete pomocí transformace a výrazu nastavit tento atribut v metaverse. Následující příklad ukazuje, že nechcete synchronizovat všechny uživatele, jejichž název oddělení začíná HRD (nerozlišuje velká a malá písmena):
cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)
Nejprve jsme převedli oddělení ze zdroje (Active Directory) na malá písmena. Pak jsme pomocí Left funkce vzali pouze první tři znaky a porovnali ho s hrd. Pokud se shoduje, hodnota je nastavena na True, jinak NULL. Když nastavíte hodnotu null, některé jiné pravidlo s nižší prioritou (vyšší číselnou hodnotou) do ní může zapisovat s jinou podmínkou. Spuštěním náhledu na jednom objektu ověřte pravidlo synchronizace, jak je uvedeno v části Ověřit pravidlo synchronizace.
Filtrování organizačních jednotek
Můžete vytvořit jednu nebo více organizačních jednotek a přesunout objekty, které nechcete synchronizovat s těmito organizačními jednotkami. Potom nakonfigurujte filtrování organizačních jednotek v Microsoft Entra Připojení. Spusťte Microsoft Entra Připojení z ikony plochy a vyberte následující možnosti. Filtrování organizačních jednotek můžete nakonfigurovat také v době instalace nástroje Microsoft Entra Připojení.
Postupujte podle průvodce a zrušte zaškrtnutí organizačních jednotek, které nechcete synchronizovat.
Změna podmínky spojení
Použijte výchozí podmínky spojení nakonfigurované službou Microsoft Entra Připojení. Změna výchozích podmínek spojení znesnadňuje podpoře Microsoftu pochopení přizpůsobení a podpory produktu.
Ověření pravidla synchronizace
Nově přidané pravidlo synchronizace můžete ověřit pomocí funkce Preview, aniž byste museli spustit celý cyklus synchronizace. V microsoft Entra Připojení vyberte Synchronizační služba.
Vyberte Hledání metaverse. Vyberte objekt oboru jako osobu, vyberte Přidat klauzuli a uveďte kritéria hledání. Dále vyberte Hledat a poklikejte na objekt ve výsledcích hledání. Před spuštěním tohoto kroku se ujistěte, že data v Microsoft Entra Připojení jsou pro tento objekt aktuální. Teprve potom spusťte import a synchronizaci v doménové struktuře.
Ve vlastnostech objektu Metaverse vyberte Připojení or, vyberte objekt v odpovídající spojnici (doménové struktuře) a vyberte Vlastnosti....
Vyberte náhled...
V okně Náhled vyberte v levém podokně v levém podokně vygenerovat náhled a Importovat tok atributů.
Zde si všimněte, že nově přidané pravidlo je spuštěno v objektu a má nastaven cloudFiltered atribut true.
Pokud chcete porovnat upravené pravidlo s výchozím pravidlem, exportujte obě pravidla samostatně jako textové soubory. Tato pravidla se exportují jako soubor skriptu PowerShellu. Můžete je porovnat pomocí libovolného nástroje pro porovnání souborů (například windiff) a zobrazit změny.
Všimněte si, msExchMailboxGuid že v upraveném pravidle se atribut změní na typ výrazu místo direct. Hodnota je také změněna na NULL a ExecuteOnce možnost. Identifikované rozdíly a rozdíly priority můžete ignorovat.
Pokud chcete pravidla opravit tak, aby se změnila zpět na výchozí nastavení, odstraňte upravené pravidlo a povolte výchozí pravidlo. Ujistěte se, že nepřijdete o přizpůsobení, které se pokoušíte dosáhnout. Až budete připraveni, spusťte úplnou synchronizaci.