Microsoft Entra Připojení Sync: Proveďte změnu výchozí konfigurace
Účelem tohoto článku je provést změny výchozí konfigurace v Microsoft Entra Připojení Sync. Obsahuje kroky pro některé běžné scénáře. S těmito znalostmi byste měli být schopni provádět jednoduché změny vlastní konfigurace na základě vlastních obchodních pravidel.
Upozorňující
Pokud provedete změny výchozích předdefinovaných pravidel synchronizace, tyto změny se přepíšou při příští aktualizaci služby Microsoft Entra Připojení, což vede k neočekávaným a pravděpodobně nežádoucím výsledkům synchronizace.
Výchozí předefinovaná pravidla synchronizace mají kryptografický otisk. Pokud provedete změnu těchto pravidel, kryptografický otisk se už nebude shodovat. Při pokusu o použití nové verze microsoft Entra Připojení může v budoucnu dojít k problémům. Proveďte změny tak, jak je popsáno v tomto článku.
Editor synchronizačních pravidel
Editor synchronizačních pravidel slouží k zobrazení a změně výchozí konfigurace. Najdete ji v nabídce Start ve skupině Microsoft Entra Připojení.
Když otevřete editor, zobrazí se výchozí předefinovaná pravidla.
Navigace v editoru
Pomocí rozevíracích seznamu v horní části editoru můžete rychle najít konkrétní pravidlo. Pokud například chcete zobrazit pravidla, ve kterých je součástí atributu proxyAddresses, můžete rozevírací seznam změnit na následující:
Pokud chcete resetovat filtrování a načíst novou konfiguraci, stiskněte klávesu F5 na klávesnici.
Vpravo nahoře je tlačítko Přidat nové pravidlo . Toto tlačítko použijete k vytvoření vlastního pravidla.
Dole jsou tlačítka pro práci s vybraným pravidlem synchronizace. Upravte a odstraňte , co očekáváte. Export vytvoří skript PowerShellu pro opětovné vytvoření pravidla synchronizace. Tímto postupem můžete přesunout pravidlo synchronizace z jednoho serveru do druhého.
Vytvoření prvního vlastního pravidla
Nejběžnějšími změnami jsou toky atributů. Data ve zdrojovém adresáři nemusí být stejná jako v Microsoft Entra ID. V příkladu v této části se ujistěte, že je dané jméno uživatele vždy ve správném případě.
Zakázání plánovače
Plánovač se ve výchozím nastavení spouští každých 30 minut. Ujistěte se, že se nespouští, když provádíte změny a řešíte potíže s novými pravidly. Pokud chcete plánovač dočasně zakázat, spusťte PowerShell a spusťte Set-ADSyncScheduler -SyncCycleEnabled $false
.
Vytvoření pravidla
- Klikněte na Přidat nové pravidlo.
- Na stránce Popis zadejte následující:
- Název: Zadejte popisný název pravidla.
- Popis: Dejte nějaké vysvětlení, aby někdo jiný mohl pochopit, k čemu je pravidlo určené.
- Připojení ed System: Toto je systém, ve kterém lze objekt najít. V tomto případě vyberte Připojení or služby Active Directory.
- Připojení typ objektu System/Metaverse: Vyberte uživatele a osobu.
- Typ propojení: Změňte tuto hodnotu na Join.
- Priorita: Zadejte hodnotu, která je v systému jedinečná. Nižší číselná hodnota označuje vyšší prioritu.
- Značka: Nechte tuto prázdnou. Toto políčko by mělo mít vyplněné pouze předefinovaná pravidla od Microsoftu s hodnotou.
- Na stránce filtru oborů zadejte givenName ISNOTNULL.
Tato část slouží k definování objektů, na které má pravidlo platit. Pokud zůstane prázdné, pravidlo se použije pro všechny objekty uživatele. To by však zahrnovalo konferenční místnosti, účty služeb a další objekty uživatelů, které nejsou uživateli. - Na stránce Pravidla spojení nechejte pole prázdné.
- Na stránce Transformace změňte Typ toku na Výraz. Jako cílový atribut vyberte givenName. A jako zdroj zadejte PCase([givenName]).
Synchronizační modul rozlišují malá a velká písmena pro název funkce i název atributu. Pokud zadáte něco špatně, při přidání pravidla se zobrazí upozornění. Pravidlo můžete uložit a pokračovat, ale musíte ho znovu otevřít a opravit. - Kliknutím na Přidat pravidlo uložíte.
Vaše nové vlastní pravidlo by mělo být viditelné s ostatními pravidly synchronizace v systému.
Ověření změny
S touto novou změnou chcete zajistit, aby fungovala podle očekávání a nevyvolá se žádné chyby. V závislosti na počtuobjektůch
- Spusťte úplnou synchronizaci u všech objektů.
- Na jednom objektu spusťte náhled a úplnou synchronizaci.
Otevřete synchronizační službu z nabídky Start. Všechny kroky v této části jsou v tomto nástroji.
Úplná synchronizace u všech objektů
- V horní části vyberte Připojení ory. Identifikujte konektor, který jste změnili v předchozí části (v tomto případě Doména služby Active Directory Služby) a vyberte ho.
- V případě akcí vyberte Spustit.
- Vyberte Úplnou synchronizaci a pak vyberte OK.
Objekty se teď aktualizují v metaverse. Ověřte změny tak, že se podíváte na objekt v metaverse.
Zobrazení náhledu a úplné synchronizace jednoho objektu
- V horní části vyberte Připojení ory. Identifikujte konektor, který jste změnili v předchozí části (v tomto případě Doména služby Active Directory Služby) a vyberte ho.
- Vyberte Prohledat Připojení o prostor.
- Pomocí oboru vyhledejte objekt, který chcete použít k otestování změny. Vyberte objekt a klikněte na Náhled.
- Na nové obrazovce vyberte Náhled potvrzení.
Změna se teď potvrdí do metaverse.
Zobrazení objektu v metaverse
- Vyberte několik ukázkových objektů, abyste měli jistotu, že je hodnota očekávaná a jestli se pravidlo použilo.
- V horní části vyberte Hledání metaverse. Přidejte libovolný filtr, který potřebujete k vyhledání příslušných objektů.
- Ve výsledku hledání otevřete objekt. Podívejte se na hodnoty atributů a ověřte také ve sloupci Pravidla synchronizace, že se pravidlo použilo podle očekávání.
Povolení plánovače
Pokud je všechno podle očekávání, můžete plánovač znovu povolit. V PowerShellu spusťte Set-ADSyncScheduler -SyncCycleEnabled $true
příkaz .
Další běžné změny toku atributů
Předchozí část popisuje, jak provést změny toku atributů. V této části jsou uvedeny některé další příklady. Postup vytvoření pravidla synchronizace je zkrácený, ale úplný postup najdete v předchozí části.
Použít jiný atribut než výchozí
V tomto scénáři Fabrikam je doménová struktura, ve které se místní abeceda používá pro dané jméno, příjmení a zobrazované jméno. V atributech rozšíření lze nalézt reprezentaci těchto atributů latinky. Pro vytvoření globálního seznamu adres v Microsoft Entra ID a Microsoftu 365 chce organizace místo toho tyto atributy použít.
Ve výchozí konfiguraci vypadá objekt z místní doménové struktury takto:
Pokud chcete vytvořit pravidlo s jinými toky atributů, postupujte takto:
- V nabídce Start otevřete Editorsynchronizačních pravidel.
- Pokud je příchozí spojení stále vybrané vlevo, klikněte na tlačítko Přidat nové pravidlo.
- Zadejte název a popis pravidla. Vyberte instanci místní Active Directory a příslušné typy objektů. V možnosti Typ odkazu vyberte Připojit. Pro prioritu vyberte číslo, které nepoužívá jiné pravidlo. Předvyhledaná pravidla začínají hodnotou 100, takže v tomto příkladu lze použít hodnotu 50.
- Ponechte filtr oborů prázdný. (To znamená, že by se měl použít pro všechny uživatelské objekty v doménové struktuře.)
- Nechejte pravidla join prázdná. (To znamená, že nechte předefinované pravidlo zpracovat jakékoli spojení.)
- V transformacích vytvořte následující toky:
- Kliknutím na Přidat pravidlo uložíte.
- Přejděte na Synchronization Service Manager. Na Připojení orů vyberte konektor, do kterého jste pravidlo přidali. Vyberte Spustit a pak vyberte Úplná synchronizace. Úplná synchronizace přepočítá všechny objekty pomocí aktuálních pravidel.
Toto je výsledek pro stejný objekt s tímto vlastním pravidlem:
Délka atributů
Atributy řetězců jsou ve výchozím nastavení indexovatelné a maximální délka je 448 znaků. Pokud pracujete s atributy řetězců, které můžou obsahovat více, nezapomeňte do toku atributů zahrnout následující:
attributeName
<- . Left([attributeName],448)
Změna přípony userPrincipalSuffix
Atribut userPrincipalName ve službě Active Directory není vždy znám uživateli a nemusí být vhodný jako PŘIHLAŠOVACÍ ID. Pomocí průvodce instalací synchronizace Microsoft Entra Připojení můžete zvolit jiný atribut– například poštu. V některých případech se ale musí vypočítat atribut.
Například společnost Contoso má dva adresáře Microsoft Entra, jeden pro produkční a druhý pro testování. Chtějí, aby uživatelé ve svém testovacím tenantovi použili jinou příponu v přihlašovacím ID:
Word([userPrincipalName],1,"@") & "@contosotest.com"
.
V tomto výrazu převezměte všechno nalevo od prvního znaku @(Word) a zřetězení s pevným řetězcem.
Převod atributu s více hodnotami na jednu hodnotu
Některé atributy ve službě Active Directory jsou ve schématu více hodnot, i když vypadají v Uživatelé a počítače služby Active Directory s jednou hodnotou. Příkladem je atribut popisu:
description
<- . IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448))
V tomto výrazu, pokud má atribut hodnotu, vezměte první položku (Item) v atributu, odeberte úvodní a koncové mezery (Trim) a pak ponechte prvních 448 znaků (vlevo) v řetězci.
Neprotékejte atributem
Základní informace o scénáři pro tuto část najdete v tématu Řízení procesu toku atributů.
Atribut nelze provést dvěma způsoby. První je odebrání vybraných atributů pomocí průvodce instalací. Tato možnost funguje, pokud jste atribut ještě nikdy nesynchronovali. Pokud jste ale začali synchronizovat tento atribut a později ho pomocí této funkce odeberete, synchronizační modul přestane spravovat atribut a existující hodnoty zůstanou v Microsoft Entra ID.
Pokud chcete odebrat hodnotu atributu a ujistit se, že v budoucnu nedochází k toku, musíte vytvořit vlastní pravidlo.
V tomto scénáři Fabrikam jsme si uvědomili, že některé atributy, které synchronizujeme s cloudem, by tam neměly být. Chceme zajistit, aby se tyto atributy odebraly z ID Microsoft Entra.
- Vytvořte nové příchozí synchronizační pravidlo a vyplňte popis.
- Vytváření toků atributů pomocí výrazu pro FlowType a autoritativnínull pro zdroj Literál AuthoritativeNull označuje, že hodnota by měla být prázdná v metaverse, i když se pravidlo synchronizace s nižší prioritou pokusí hodnotu naplnit.
- Uložte pravidlo synchronizace. Spusťte synchronizační službu, vyhledejte konektor, vyberte Spustit a pak vyberte Úplnou synchronizaci. Tento krok přepočítá všechny toky atributů.
- Zkontrolujte, jestli se mají požadované změny vyexportovat, a to tak, že prohledáte Připojení usektorového prostoru.
Vytváření pravidel pomocí PowerShellu
Použití editoru pravidel synchronizace funguje správně, když máte jenom několik změn, které je potřeba udělat. Pokud potřebujete provést mnoho změn, může být PowerShell lepší volbou. Některé pokročilé funkce jsou dostupné jenom v PowerShellu.
Získání skriptu PowerShellu pro předefinované pravidlo
Pokud chcete zobrazit skript PowerShellu, který vytvořil předem vytvořené pravidlo, vyberte pravidlo v editoru pravidel synchronizace a klikněte na Exportovat. Tato akce vám poskytne skript PowerShellu, který pravidlo vytvořil.
Upřesňující priorita
Předefinovaná pravidla synchronizace začínají hodnotou priority 100. Pokud máte mnoho doménových struktur a potřebujete provést mnoho vlastních změn, nemusí stačit pravidla synchronizace 99.
Synchronizační modul můžete instruovat, že chcete vložit další pravidla před předem zavedená pravidla. Pokud chcete toto chování získat, postupujte takto:
- V editoru pravidel synchronizace označte první předem použité synchronizační pravidlo (In from AD-User Join) a vyberte Exportovat. Zkopírujte hodnotu identifikátoru čtečky obrazovky.
- Vytvořte nové pravidlo synchronizace. Editor pravidel synchronizace můžete použít k jeho vytvoření. Export pravidla do skriptu PowerShellu
- Do vlastnosti PriorityBefore vložte hodnotu Identifikátor z předvyplněného pravidla. Nastavte prioritu na hodnotu 0. Ujistěte se, že je atribut Identifikátor jedinečný a že identifikátor GUID nepoužíváte z jiného pravidla. Také se ujistěte, že vlastnost ImmutableTag není nastavena. Tato vlastnost by měla být nastavena pouze pro předefinované pravidlo.
- Uložte skript PowerShellu a spusťte ho. Výsledkem je, že vlastní pravidlo má přiřazenou prioritu 100 a všechna ostatní předem zadaná pravidla se zvýší.
V případě potřeby můžete mít mnoho vlastních pravidel synchronizace pomocí stejné hodnoty PriorityBefore .
Povolení synchronizace typu UserType
Microsoft Entra Připojení podporuje synchronizaci atributu UserType pro objekty Uživatele ve verzi 1.1.524.0 a novější. Konkrétně byly zavedeny následující změny:
- Schéma typu objektu User v Microsoft Entra Připojení or je rozšířeno o atribut UserType, který je typu řetězec a je jednohodnotový.
- Schéma typu objektu Person v metaverse je rozšířeno o atribut UserType, který je typu řetězec a je s jednou hodnotou.
Ve výchozím nastavení atribut UserType není povolen pro synchronizaci, protože v místní Active Directory neexistuje odpovídající atribut UserType. Synchronizaci musíte povolit ručně. Než to uděláte, musíte si uvědomit následující chování vynucované id Microsoft Entra:
- Microsoft Entra-only přijímá dvě hodnoty pro atribut UserType: Member a Guest.
- Pokud atribut UserType není povolen pro synchronizaci v aplikaci Microsoft Entra Připojení, uživatelé Microsoft Entra vytvořené prostřednictvím synchronizace adresářů budou mít atribut UserType nastavený na Member.
- Před verzí 1.5.30.0 nepovolila ID Microsoft Entra atribut UserType u stávajících uživatelů Microsoft Entra změnit microsoft Entra Připojení. Ve starších verzích je možné ji nastavit pouze při vytváření uživatelů Microsoft Entra a změně prostřednictvím PowerShellu.
Před povolením synchronizace atributu UserType musíte nejprve rozhodnout, jak je atribut odvozen z místní Active Directory. Nejběžnější přístupy jsou následující:
Určete nepoužívaný místní atribut AD (například extensionAttribute1), který se použije jako zdrojový atribut. Určený místní atribut AD by měl být typu řetězec, měl by mít jednu hodnotu a obsahovat hodnotu Člen nebo Host.
Pokud zvolíte tento přístup, musíte před povolením synchronizace atributu UserType zajistit, aby byl určený atribut naplněn správnou hodnotou pro všechny existující uživatelské objekty v místní Active Directory, které jsou synchronizovány s Microsoft Entra ID.
Případně můžete odvodit hodnotu atributu UserType z jiných vlastností. Chcete například synchronizovat všechny uživatele jako hosta, pokud jejich místní atribut AD userPrincipalName končí částí domény @partners.fabrikam123.org.
Jak už bylo zmíněno dříve, starší verze Microsoft Entra Připojení nepovolují atribut UserType u stávajících uživatelů Microsoft Entra změnit microsoft Entra Připojení. Proto musíte zajistit, aby logika, o které jste se rozhodli, je konzistentní s tím, jak je atribut UserType již nakonfigurován pro všechny stávající uživatele Microsoft Entra ve vašem tenantovi.
Postup povolení synchronizace atributu UserType lze shrnout takto:
- Zakažte plánovač synchronizace a ověřte, že neprobíhá žádná synchronizace.
- Přidejte zdrojový atribut do místního schématu ad Připojení oru.
- Přidejte userType do schématu Microsoft Entra Připojení or.
- Vytvořte příchozí synchronizační pravidlo pro tok hodnoty atributu z místní Active Directory.
- Vytvořte odchozí synchronizační pravidlo pro tok hodnoty atributu do ID Microsoft Entra.
- Spusťte úplný synchronizační cyklus.
- Povolte plánovač synchronizace.
Poznámka:
Zbývající část této části popisuje tyto kroky. Jsou popsány v kontextu nasazení Microsoft Entra s topologií s jednou doménovou strukturou a bez vlastních synchronizačních pravidel. Pokud máte topologii s více doménovými strukturami, nakonfigurovaná vlastní synchronizační pravidla nebo máte přípravný server, musíte odpovídajícím způsobem upravit kroky.
Krok 1: Zakažte plánovač synchronizace a ověřte, že neprobíhá žádná synchronizace
Abyste se vyhnuli exportu nezamýšlených změn do ID Microsoft Entra, ujistěte se, že během aktualizace pravidel synchronizace neprobíhá žádná synchronizace. Zakázání integrovaného plánovače synchronizace:
- Spusťte relaci PowerShellu na serveru Microsoft Entra Připojení.
- Zakažte plánovanou synchronizaci spuštěním rutiny
Set-ADSyncScheduler -SyncCycleEnabled $false
. - Otevřete Správce synchronizační služby tak, že přejdete na Spustit>synchronizační službu.
- Přejděte na kartu Operace a ověřte, že neexistuje žádná operace se stavem probíhajícího.
Krok 2: Přidání zdrojového atributu do místního schématu Připojení or služby AD
Ne všechny atributy Microsoft Entra se naimportují do místního prostoru služby AD Připojení or. Přidání zdrojového atributu do seznamu importovaných atributů:
- Ve Správci synchronizačních služeb přejděte na kartu Připojení orů.
- Klikněte pravým tlačítkem na místní Připojení AD a vyberte Vlastnosti.
- V automaticky otevíraných dialogových oknech přejděte na kartu Vybrat atributy .
- Ujistěte se, že je zdrojový atribut vrácený se změnami v seznamu atributů.
- Kliknutím na tlačítko OK uložte.
Krok 3: Přidání atributu UserType do schématu Microsoft Entra Připojení or
Ve výchozím nastavení není atribut UserType importován do microsoft Entra Připojení space. Přidání atributu UserType do seznamu importovaných atributů:
- Ve Správci synchronizačních služeb přejděte na kartu Připojení orů.
- Klikněte pravým tlačítkem myši na položku Microsoft Entra Připojení or a vyberte Vlastnosti.
- V automaticky otevíraných dialogových oknech přejděte na kartu Vybrat atributy .
- Ujistěte se, že je v seznamu atributů vrácen atribut UserType.
- Kliknutím na tlačítko OK uložte.
Krok 4: Vytvoření příchozího synchronizačního pravidla pro tok hodnoty atributu z místní Active Directory
Příchozí synchronizační pravidlo povoluje tok hodnoty atributu ze zdrojového atributu z místní Active Directory do metaverse:
Otevřete Editor synchronizačních pravidel tak, že přejdete>do editoru synchronizačních pravidel.
Nastavte směr filtru hledání tak, aby byl příchozí.
Kliknutím na tlačítko Přidat nové pravidlo vytvořte nové příchozí pravidlo.
Na kartě Popis zadejte následující konfiguraci:
Atribut Hodnota Detaily Název Zadejte název. Například In z AD – UserType Popis Zadejte popis. systém Připojení Výběr místního konektoru AD Připojení typ systémového objektu Uživatel Typ objektu Metaverse Osoba Typ propojení Join (Spojení) Pořadí podle priority Volba čísla mezi 1–99 1–99 je vyhrazeno pro vlastní pravidla synchronizace. Nevybíravujte hodnotu, kterou používá jiné pravidlo synchronizace. Přejděte na kartu Filtru oborů a přidejte jednu skupinu filtrů oborů s následující klauzulí:
Atribut Operátor Hodnota Admindescription NOTSTARTWITH Uživatele_ Filtr oborů určuje, na které místní objekty AD se toto příchozí synchronizační pravidlo použije. V tomto příkladu používáme stejný filtr oborů, který se používá v pravidle synchronizace Od uživatele z AD – Běžné uživatele, které brání použití synchronizačního pravidla na objekty Uživatele vytvořené prostřednictvím funkce zpětného zápisu uživatele Microsoft Entra. Možná budete muset upravit filtr oborů podle vašeho nasazení Microsoft Entra Připojení.
Přejděte na kartu Transformace a implementujte požadované pravidlo transformace. Pokud jste například určili nepoužívaný místní atribut AD (například extensionAttribute1) jako zdrojový atribut userType, můžete implementovat přímý tok atributů:
Typ toku Cílový atribut Source Použít jednou Typ sloučení Direct UserType extensionAttribute1 Nezaškrtnuto Aktualizovat V jiném příkladu chcete odvodit hodnotu atributu UserType z jiných vlastností. Chcete například synchronizovat všechny uživatele jako hosta, pokud jejich místní atribut AD userPrincipalName končí částí domény @partners.fabrikam123.org. Výraz můžete implementovat takto:
Typ toku Cílový atribut Source Použít jednou Typ sloučení Výraz UserType IIF(IsPresent([userPrincipalName]);IIF(CBool(InStr(LCase([userPrincipalName]);"@partners.fabrikam123.org")=0);"Member";"Guest"),Error("UserPrincipalName is not present to determine UserType")) Nezaškrtnuto Aktualizovat Kliknutím na přidat vytvoříte příchozí pravidlo.
Krok 5: Vytvoření odchozího synchronizačního pravidla pro tok hodnoty atributu do Microsoft Entra ID
Odchozí synchronizační pravidlo povoluje tok hodnoty atributu z metaverse k atributu UserType v Microsoft Entra ID:
Přejděte do Editoru synchronizačních pravidel.
Nastavte směr filtru hledání tak, aby byl odchozí.
Klikněte na tlačítko Přidat nové pravidlo .
Na kartě Popis zadejte následující konfiguraci:
Atribut Hodnota Detaily Název Zadejte název. Například Out to Microsoft Entra ID – User UserType Popis Zadejte popis. systém Připojení Výběr konektoru Microsoft Entra Připojení typ systémového objektu Uživatel Typ objektu Metaverse Osoba Typ propojení Join (Spojení) Pořadí podle priority Volba čísla mezi 1–99 1–99 je vyhrazeno pro vlastní pravidla synchronizace. Nevybíravujte hodnotu, kterou používá jiné pravidlo synchronizace. Přejděte na kartu Filtru oborů a přidejte jednu skupinu filtrů oborů se dvěma klauzulemi:
Atribut Operátor Hodnota sourceObjectType STEJNÉ Uživatelská cloudMastered NOTEQUAL True Filtr oborů určuje, na které objekty Microsoft Entra se toto odchozí synchronizační pravidlo použije. V tomto příkladu použijeme stejný filtr oborů z out-to AD – User Identity out-of-box sync rule. Zabrání použití synchronizačního pravidla na objekty Uživatele, které nejsou synchronizovány z místní Active Directory. Možná budete muset upravit filtr oborů podle vašeho nasazení Microsoft Entra Připojení.
Přejděte na kartu Transformace a implementujte následující pravidlo transformace:
Typ toku Cílový atribut Source Použít jednou Typ sloučení Direct UserType UserType Nezaškrtnuto Aktualizovat Kliknutím na Přidat vytvoříte odchozí pravidlo.
Krok 6: Spuštění úplného cyklu synchronizace
Obecně platí, že se vyžaduje úplný synchronizační cyklus, protože jsme přidali nové atributy do schémat Active Directory i Microsoft Entra Připojení oru a zavedli vlastní synchronizační pravidla. Před exportem změn do ID Microsoft Entra chcete ověřit změny.
Pomocí následujících kroků můžete ověřit změny při ručním spuštění kroků, které tvoří úplný cyklus synchronizace.
Spusťte úplný import na místním Připojení AD:
Ve Správci synchronizačních služeb přejděte na kartu Připojení orů.
Klikněte pravým tlačítkem na místní Připojení AD a vyberte Spustit.
V automaticky otevírané dialogovém okně vyberte Úplný import a klepněte na tlačítko OK.
Počkejte na dokončení operace.
Poznámka:
Úplný import můžete přeskočit v místní službě AD Připojení or, pokud je zdrojový atribut již zahrnutý v seznamu importovaných atributů. Jinými slovy, během kroku 2 jste nemuseli provádět žádné změny: Přidání zdrojového atributu do místního schématu Připojení or služby AD.
Spusťte úplný import na webu Microsoft Entra Připojení or:
- Klikněte pravým tlačítkem na Připojení Microsoft Entra a vyberte Spustit.
- V automaticky otevírané dialogovém okně vyberte Úplný import a klepněte na tlačítko OK.
- Počkejte na dokončení operace.
Ověřte změny synchronizačního pravidla u existujícího objektu Uživatele:
Zdrojový atribut z místní Active Directory a UserType z ID Microsoft Entra byl importován do příslušných Připojení or Prostorů. Než budete pokračovat v úplné synchronizaci, proveďte náhled existujícího objektu uživatele v místní službě AD Připojení orovém prostoru. Objekt, který jste zvolili, by měl mít vyplněný zdrojový atribut.
Úspěšný náhled s typem UserType vyplněným v metaverse je dobrým indikátorem, že jste správně nakonfigurovali pravidla synchronizace. Informace o tom, jak provést náhled, najdete v části Ověření změny.
Spusťte úplnou synchronizaci v místní službě AD Připojení or:
- Klikněte pravým tlačítkem na místní Připojení AD a vyberte Spustit.
- V automaticky otevírané dialogovém okně vyberte možnost Úplná synchronizace a klepněte na tlačítko OK.
- Počkejte na dokončení operace.
Ověření nevyřízených exportů do MICROSOFT Entra ID:
Pravým tlačítkem myši klikněte na Připojení Microsoft Entra a vyberte Hledat Připojení or prostor.
V automaticky otevíra Připojení ných otevíra
- Nastavte obor na Čekající export.
- Zaškrtněte všechna tři políčka: Přidat, Upravit a Odstranit.
- Kliknutím na tlačítko Hledat získáte seznam objektů se změnami, které se mají exportovat. Pokud chcete zkontrolovat změny daného objektu, poklikejte na objekt.
- Ověřte, že se změny očekávají.
Spusťte export na webu Microsoft Entra Připojení or:
- Klikněte pravým tlačítkem na Připojení Microsoft Entra a vyberte Spustit.
- V automaticky otevíraných o Připojení tevíraných o
- Počkejte na dokončení exportu do Microsoft Entra ID.
Poznámka:
Tyto kroky nezahrnují úplnou synchronizaci a export kroků na Připojení oru Microsoft Entra. Tyto kroky nejsou vyžadovány, protože hodnoty atributů proudí z místní Active Directory do Microsoft Entra-only.
Krok 7: Opětovné povolení plánovače synchronizace
Opětovné povolení integrovaného plánovače synchronizace:
- Spusťte relaci PowerShellu.
- Opětovným povolením plánované synchronizace spuštěním rutiny
Set-ADSyncScheduler -SyncCycleEnabled $true
.
Další kroky
- Přečtěte si další informace o konfiguračním modelu v tématu Principy deklarativního zřizování.
- Přečtěte si další informace o jazyce výrazů v tématu Principy výrazů deklarativního zřizování výrazů.
Témata s přehledem