Features des Microsoft Entra Connect Sync-Diensts
Das Synchronisierungsfeature von Microsoft Entra Connect besteht aus zwei Komponenten:
- Der lokalen Komponente Microsoft Entra Connect-Synchronisierung, die auch als Synchronisierungsmodul bezeichnet wird.
- Dem Dienst, der sich in Microsoft Entra ID befindet, auch bekannt als Microsoft Entra Connect Sync-Dienst
In diesem Thema wird erläutert, wie die folgenden Features des Microsoft Entra Connect-Synchronisierungsdiensts funktionieren und wie Sie diese mit PowerShell konfigurieren können.
Verwenden Sie die folgenden Befehle, um die Konfiguration in Ihrem Microsoft Entra-Verzeichnis mithilfe von Graph PowerShell anzuzeigen:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Das Ergebnis könnte wie die folgende Ausgabe aussehen:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Nachdem Sie ein Feature aktiviert haben, kann es nicht wieder deaktiviert werden.
Hinweis
Seit dem 24. August 2016 ist das Feature Resilienz bei doppelten Attributen für neue Microsoft Entra-Verzeichnisse standardmäßig aktiviert. Dieses Feature wird auch für Verzeichnisse freigegeben und aktiviert, die vor diesem Datum erstellt wurden. Sie erhalten eine E-Mail-Benachrichtigung, wenn dieses Feature für Ihr Verzeichnis aktiviert wird.
Die folgenden Einstellungen werden von Microsoft Entra Connect konfiguriert:
| DirSyncFeature | Kommentar |
|---|---|
| SoftMatchOnUpn | Ermöglicht Objekten den Beitritt zu userPrincipalName zusätzlich zur primären SMTP-Adresse. |
| SynchronizeUpnForManagedUsers | Ermöglicht dem Synchronisierungsmodul die Aktualisierung des userPrincipalName-Attributs für verwaltete/lizenzierte Benutzer (keine Verbundbenutzer). |
| DeviceWriteback | Microsoft Entra Connect: Aktivieren des Geräterückschreibens |
| DirectoryExtensions | Microsoft Entra Connect-Synchronisierung: Verzeichniserweiterungen |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Ermöglicht es, ein Attribut unter Quarantäne zu stellen, falls es sich um ein Duplikat eines anderen Objekts handelt, damit nicht der Export des gesamten Objekts mit einem Fehler abgebrochen wird. |
| Kennworthashsynchronisierung | Implementieren der Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung |
| Passthrough-Authentifizierung | Benutzeranmeldung mit Microsoft Entra Passthrough-Authentifizierung |
| UnifiedGroupWriteback | Gruppenrückschreiben |
| UserWriteback | Derzeit nicht unterstützt. |
Resilienz bei doppelten Attributen
Damit die Bereitstellung von Objekten mit doppelten UPN-/proxyAddresses-Werten nicht mit einem Fehler abgebrochen wird, wird das doppelte Attribut unter Quarantäne gestellt, und ein temporärer Wert wird zugewiesen. Wenn der Konflikt gelöst ist, wird der temporäre UPN-Wert automatisch auf den richtigen Wert gesetzt. Weitere Informationen finden Sie unter Identitätssynchronisierung und Resilienz bei doppelten Attributen.
UserPrincipalName-„Soft Match“
Wenn dieses Feature aktiviert ist, wird ein „Soft Match“ für den UPN sowie für die primäre SMTP-Adresseaktiviert, die immer aktiviert ist. Ein „Soft Match“ wird verwendet, um vorhandene Cloudbenutzer in Microsoft Entra ID mit lokalen Benutzern abzugleichen.
Dieses Feature ist besonders hilfreich, wenn Sie lokale AD-Konten mit vorhandenen, in der Cloud erstellten Konten abgleichen müssen und Exchange Online nicht verwenden. In diesem Szenario gibt es im Allgemeinen keinen Grund dafür, das SMTP-Attribut in der Cloud festzulegen.
Dieses Feature ist standardmäßig für neu erstellte Microsoft Entra-Verzeichnisse aktiviert. Sie können ermitteln, ob das Feature aktiviert ist, indem Sie Folgendes ausführen:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Wenn dieses Feature für Ihr Microsoft Entra-Verzeichnis nicht aktiviert ist, können Sie es aktivieren, indem Sie Folgendes ausführen:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Wenn dieses Feature aktiviert ist, blockiert es das Feature Soft Match. Kunden wird empfohlen, dieses Feature zu aktivieren und aktiviert zu lassen, bis für ihren Mandanten erneut Soft Matching erforderlich ist. Dieses Flag sollte wieder aktiviert werden, nachdem Soft Matching abgeschlossen wurde und nicht mehr benötigt wird.
Beispiel: Führen Sie das folgende Cmdlet aus, um Soft Matching in Ihrem Mandanten zu blockieren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Synchronisieren von userPrincipalName-Updates
Früher wurden Updates des UserPrincipalName-Attributs mithilfe des Synchronisierungsdiensts vom lokalen Standort blockiert, sofern nicht die beiden folgenden Bedingungen erfüllt waren:
- Der Benutzer ist verwaltet (kein Verbundbenutzer).
- Dem Benutzer wurde keine Lizenz zugewiesen.
Hinweis
Seit März 2019 ist das Synchronisieren von UPN-Änderungen für Verbundbenutzerkonten zulässig.
Durch die Aktivierung dieses Features kann die Synchronisierungsengine den userPrincipalName aktualisieren, wenn dieser lokal geändert wird und Sie die Kennworthashsynchronisierung oder Pass-Through-Authentifizierung verwenden.
Dieses Feature ist standardmäßig für neu erstellte Microsoft Entra-Verzeichnisse aktiviert. Sie können ermitteln, ob das Feature aktiviert ist, indem Sie Folgendes ausführen:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Wenn dieses Feature für Ihr Microsoft Entra-Verzeichnis nicht aktiviert ist, können Sie es aktivieren, indem Sie Folgendes ausführen:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Nach Aktivierung dieses Features bleiben vorhandene userPrincipalName-Werte unverändert. Nach der nächsten lokalen Änderung des userPrincipalName-Attributs wird der UPN im Rahmen der normalen Deltasynchronisierung der Benutzer aktualisiert.