Freigeben über

Verwenden des BypassDirSyncOverridesEnabled-Features eines Microsoft Entra-Mandanten

  • Artikel

In diesem Artikel wird das Feature BypassDirSyncOverridesEnabled beschrieben und erklärt, wie die Synchronisierung der Attribute „Mobile“ und „otherMobile“ von Microsoft Entra ID in einem lokalen Active Directory wiederhergestellt wird.

Im Allgemeinen können synchronisierte Benutzerdaten nicht über das Azure-Portal oder das Microsoft 365-Administratorportal geändert werden, weder über PowerShell mithilfe von Microsoft Entra ID noch über Microsoft Graph PowerShell-Module. Die Ausnahme hierfür sind die Attribute des Microsoft Entra-Benutzers namens MobilePhone und AlternateMobilePhones. Diese Attribute werden von Attributen des lokalen Active Directory namens „Mobile“ und „otherMobile“ synchronisiert, Endbenutzer können jedoch ihre eigene Telefonnummer im MobilePhone-Attribut in Microsoft Entra ID über ihre Profilseite aktualisieren. Administratoren können auch die MobilePhone- und AlternativeMobilePhones-Werte synchronisierter Benutzer in Microsoft Entra ID mithilfe des Microsoft Graph PowerShell-Moduls ändern.

Wenn Benutzer und Administratoren die Möglichkeit haben, Telefonnummern direkt in Microsoft Entra ID zu aktualisieren, können Unternehmen den administrativen Aufwand für die Verwaltung der Telefonnummern von Benutzern im lokalen Active Directory reduzieren, da sich diese häufiger ändern können.

Es besteht jedoch das Problem, dass die Synchronisierungs-API nach dem Ändern der MobilePhone- oder AlternativeMobilePhones-Nummer eines synchronisierten Benutzers über das Administratorportal oder PowerShell keine Änderungen dieser Attribute mehr berücksichtigt, wenn sie vom lokalen Active Directory stammen. Dies ist allgemein als „DirSyncOverrides“-Feature bekannt. Administratoren werden dieses Verhalten beobachten, wenn Änderungen der Attribute „Mobile“ oder „otherMobile“ in Active Directory vorgenommen werden, aber „MobilePhone“ oder „AlternativeMobilePhones“ des entsprechenden Benutzers in Microsoft Entra ID nicht entsprechend aktualisiert wird, obwohl das Objekt erfolgreich über die Microsoft Entra Connect-Engine synchronisiert wurde.

Identifizieren von Benutzern mit unterschiedlichen „Mobile“- und „otherMobile“-Werten

Sie können eine Liste von Benutzern exportieren, deren „Mobile“- und „otherMobile“-Werte in Active Directory und Microsoft Entra ID sich unterscheiden, indem Sie Compare-ADSyncToolsDirSyncOverrides aus dem PowerShell-Modul ADSyncTools verwenden. Dadurch können Sie die Benutzer und entsprechenden Werte bestimmen, die nicht im lokalen Active Directory und Microsoft Entra ID übereinstimmen. Dies ist wichtig zu wissen, da die Aktivierung des BypassDirSyncOverridesEnabled-Features alle verschiedenen Werte in Microsoft Entra ID mit dem Wert überschrieben wird, der aus dem lokalen Active Directory stammt.

Verwenden von Compare-ADSyncToolsDirSyncOverrides

Als Voraussetzung müssen Sie Microsoft Entra Connect ab Version 2 ausführen und das neueste ADSyncTools-Modul mit dem folgenden Befehl aus dem PowerShell-Katalog installieren:

Install-Module ADSyncTools

Führen Sie den folgenden Befehl aus, um alle synchronisierten Benutzerwerte für „Mobile“ und „otherMobile“ zu vergleichen:

Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential)

Hinweis

Die von diesem Feature verwendete Ziel-API handhabt keine Authentifizierungsinteraktionen für Benutzer. MFA oder die Richtlinien für bedingten Zugriff blockieren die Authentifizierung. Wenn Sie aufgefordert werden, Anmeldeinformationen einzugeben, verwenden Sie ein globales Administratorkonto, für das keine MFA aktiv ist bzw. auf das keine Richtlinie für bedingten Zugriff Anwendung findet. Erstellen Sie als letzte Möglichkeit ein temporäres globales Administrator-Benutzerkonto ohne MFA oder bedingten Zugriff, das nach Abschluss der gewünschten ADSyncToolsDirSyncOverrides-Vorgänge gelöscht werden kann.

Diese Funktion exportiert eine CSV-Datei mit einer Liste der Benutzer, deren „Mobile“- oder „otherMobile“-Wert im lokalen Active Directory anders sind als der jeweilige „MobilePhone“- oder „AlternativeMobilePhones“-Wert in Microsoft Entra ID.

Jetzt können Sie diese Daten verwenden, um die Werte der Mobile- und otherMobile-Eigenschaften im lokalen Active Directory auf die Werte zurückzusetzen, die in Microsoft Entra ID vorliegen. Auf diese Weise können Sie die aktualisierten Telefonnummern von Microsoft Entra ID erfassen und diese Daten im lokalen Active Directory speichern, bevor Sie das BypassDirSyncOverridesEnabled-Feature aktivieren. Importieren Sie dazu die Daten aus der resultierenden CSV-Datei, und verwenden Sie dann Set-ADSyncToolsDirSyncOverrides aus dem ADSyncTools-Modul, um den Wert im lokalen Active Directory dauerhaft zu speichern.

Verwenden Sie beispielsweise den folgenden Befehl, um Daten aus der CSV-Datei zu importieren und die Werte in Microsoft Entra ID für einen bestimmten UserPrincipalName zu extrahieren:

$upn = '<UserPrincipalName>' 
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' | 
where UserPrincipalName -eq $upn | 
select UserPrincipalName,*InAAD  
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD

Aktivieren des BypassDirSyncOverridesEnabled-Features

Standardmäßig ist das BypassDirSyncOverridesEnabled-Feature deaktiviert. Die Aktivierung von BypassDirSyncOverridesEnabled ermöglicht es Ihrem Mandanten, Änderungen an MobilePhone oder AlternativeMobilePhones von Benutzern oder Administratoren direkt in Microsoft Entra ID zu umgehen und immer die Mobile- oder OtherMobile-Werte im lokalen Active Directory zu verwenden.

Wenn Endbenutzer nicht ihre eigenen Mobiltelefonnummern ändern sollen oder es nicht erforderlich ist, dass Administratoren Mobiltelefonnummern oder alternative Mobiltelefonnummern mithilfe von PowerShell aktualisieren, sollten Sie das BypassDirSyncOverridesEnabled-Feature für den Mandanten aktiviert lassen.

Wenn dieses Feature aktiviert ist, werden die vom lokalen Active Directory synchronisierten Werte während des nächsten Synchronisierungszyklus beibehalten, auch wenn ein Endbenutzer oder Administrator MobilePhone oder AlternativeMobilePhones in Microsoft Entra ID ändert. Dies bedeutet, dass nur Änderungen dieser Werte beibehalten werden, die im lokalen Active Directory getätigt und dann mit Microsoft Entra ID synchronisiert werden.

Aktivieren des BypassDirSyncOverridesEnabled-Features

Um das BypassDirSyncOverridesEnabled-Feature zu aktivieren, verwenden Sie das Microsoft Graph PowerShell-Modul.

$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}

Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features

Nachdem das Feature aktiviert ist, starten Sie einen vollständigen Synchronisierungszyklus in Microsoft Entra Connect mithilfe des folgenden Befehls:

Start-ADSyncSyncCycle -PolicyType Initial

Hinweis

Nur Objekte mit einem anderen MobilePhone- oder AlternateMobilePhones-Wert aus dem lokalen Active Directory werden aktualisiert.

Überprüfen des Status des BypassDirSyncOverridesEnabled-Features:

(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled

Deaktivieren des BypassDirSyncOverridesEnabled-Features

Wenn Sie die Möglichkeit zum Aktualisieren von Mobiltelefonnummern im Portal oder mit PowerShell wiederherstellen möchten, können Sie das BypassDirSyncOverridesEnabled-Feature mithilfe des folgenden Befehls des Microsoft Graph PowerShell-Moduls deaktivieren:

$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}

Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features

Wenn dieses Feature deaktiviert ist, wird immer, wenn ein Benutzer oder Administrator MobilePhone oder AlternativeMobilePhones direkt in Microsoft Entra ID aktualisiert, ein DirSyncOverrides erstellt, das verhindert, dass zukünftige Änderungen dieser Attribute vom lokalen Active Directory stammen. Ab dann können Benutzer oder Administratoren diese Attribute nur von Microsoft Entra ID aus verwalten, da alle neuen Updates von lokalem Mobile oder OtherMobile verworfen werden.

Verwalten von Mobiltelefonnummern in Microsoft Entra ID und im lokalen Active Directory

Um die Telefonnummern des Benutzers zu verwalten, kann ein Administrator den folgenden Satz von Funktionen aus dem ADSyncTools-Modul verwenden, um die Werte in Microsoft Entra ID oder im lokalen Active Directory zu lesen, zu schreiben und zu löschen.

Abrufen der Eigenschaften Mobile und otherMobile aus dem lokalen Active Directory:

Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD

Abrufen der Eigenschaften MobilePhone und AlternateMobilePhones von Microsoft Entra ID:

Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD

Abrufen der Eigenschaften MobilePhone und AlternateMobilePhones in Microsoft Entra ID:

Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'

Festlegen der Eigenschaften Mobile und otherMobile im lokalen Active Directory:

Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'

Abrufen der Eigenschaften MobilePhone und AlternateMobilePhones in Microsoft Entra ID:

Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD

Löschen der Eigenschaften Mobile und otherMobile im lokalen Active Directory:

Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD

Nächste Schritte

Weitere Informationen finden Sie unter Microsoft Entra Connect: PowerShell-Modul ADSyncTools.