Microsoft Entra Připojení Sync: Osvědčené postupy pro změnu výchozí konfigurace

Účelem tohoto tématu je popsat podporované a nepodporované změny služby Microsoft Entra Připojení Sync.

Konfigurace vytvořená aplikací Microsoft Entra Připojení funguje pro většinu prostředí, která synchronizují místní Active Directory s ID Microsoft Entra. V některých případech je však nutné použít některé změny konfigurace, aby vyhovovaly konkrétní potřebě nebo požadavku.

Změny účtu služby

Microsoft Entra Připojení Sync běží pod účtem služby vytvořeným průvodcem instalací. Tento účet služby obsahuje šifrovací klíče do databáze používané synchronizací. Vytvoří se s 127 znaky dlouhé heslo a heslo se nastaví tak, aby nevyprší platnost.

Upozorňující

Pokud změníte nebo resetujete heslo účtu služby ADSync, synchronizační služba se nebude moct správně spustit, dokud neopustíte šifrovací klíč a znovu inicializujete heslo účtu služby ADSync. Postup najdete v tématu Změna hesla účtu služby ADSync.

Změny plánovače

Počínaje verzemi z buildu 1.1 (únor 2016) můžete plánovač nakonfigurovat tak, aby měl jiný cyklus synchronizace než výchozí 30 minut.

Změny pravidel synchronizace

Průvodce instalací poskytuje konfiguraci, která má fungovat pro nejběžnější scénáře. V případě, že potřebujete provést změny konfigurace, musíte postupovat podle těchto pravidel a přesto mít podporovanou konfiguraci.

Upozorňující

Pokud provedete změny výchozích pravidel synchronizace, tyto změny se přepíšou při příští aktualizaci Připojení Microsoft Entra, což vede k neočekávaným a pravděpodobně nežádoucím výsledkům synchronizace.

  • Toky atributů můžete změnit, pokud výchozí toky přímých atributů nejsou vhodné pro vaši organizaci.
  • Pokud nechcete tokovat atribut a odebrat všechny existující hodnoty atributů v Microsoft Entra ID, musíte vytvořit pravidlo pro tento scénář.
  • Místo odstranění zakažte nežádoucí pravidlo synchronizace. Během upgradu se znovu vytvoří odstraněné pravidlo.
  • Pokud chcete změnit výchozí pravidlo, měli byste vytvořit kopii původního pravidla a zakázat předefinované pravidlo. Editor pravidel synchronizace vás vyzve a pomůže vám.
  • Exportujte vlastní synchronizační pravidla pomocí Editoru synchronizačních pravidel. Editor poskytuje skript PowerShellu, který můžete použít k jejich snadnému opětovnému vytvoření ve scénáři zotavení po havárii.

Upozorňující

Předefinovaná pravidla synchronizace mají kryptografický otisk. Pokud provedete změnu těchto pravidel, kryptografický otisk se už nebude shodovat. Při pokusu o použití nové verze microsoft Entra Připojení může v budoucnu dojít k problémům. Proveďte změny tak, jak je popsáno v tomto článku.

Zakázání nežádoucího pravidla synchronizace

Neodstraňovat předefinované synchronizační pravidlo. Během dalšího upgradu se znovu vytvoří.

V některých případech průvodce instalací vytvořil konfiguraci, která nefunguje pro topologii. Pokud máte například topologii doménové struktury prostředků účtu, ale rozšířili jste schéma v doménové struktuře účtu pomocí schématu Exchange, vytvoří se pravidla pro Exchange pro doménovou strukturu účtu a doménovou strukturu prostředků. V takovém případě je potřeba zakázat pravidlo synchronizace pro Exchange.

Disabled sync rule

Na obrázku výše průvodce instalací našel v doménové struktuře účtu staré schéma Exchange 2003. Toto rozšíření schématu bylo přidáno před zavedením doménové struktury prostředků v prostředí společnosti Fabrikam. Aby se zajistilo, že se nebudou synchronizovat žádné atributy ze staré implementace Exchange, pravidlo synchronizace by mělo být zakázané, jak je znázorněno.

Změna předaného pravidla

Jediným časem, kdy byste měli změnit předem zadané pravidlo, je, když potřebujete změnit pravidlo spojení. Pokud potřebujete změnit tok atributu, měli byste vytvořit pravidlo synchronizace s vyšší prioritou než předefinovaná pravidla. Jediné pravidlo, které prakticky potřebujete klonovat, je pravidlo In z AD – Připojení uživatele. Můžete přepsat všechna ostatní pravidla s vyšším pravidlem priority.

Pokud potřebujete provést změny v předefinovaných pravidlech, měli byste vytvořit kopii předefinovaných pravidel a původní pravidlo zakázat. Potom proveďte změny naklonovaného pravidla. Editor pravidel synchronizace vám pomůže s těmito kroky. Když otevřete předefinované pravidlo, zobrazí se toto dialogové okno:
Warning out of box rule

Výběrem možnosti Ano vytvořte kopii pravidla. Naklonované pravidlo se pak otevře.
Cloned rule

U tohoto naklonovaného pravidla proveďte potřebné změny oboru, spojení a transformací.

Další kroky

Témata s přehledem