Características del servicio de sincronización de Microsoft Entra Connect
La característica de sincronización de Microsoft Entra Connect tiene dos componentes:
- El componente local denominado sincronización de Microsoft Entra Connect, también conocido como motor de sincronización.
- El servicio que reside en Microsoft Entra ID, también conocido como servicio de sincronización de Microsoft Entra Connect.
En este tema se explica cómo funcionan las siguientes características del servicio de sincronización de Microsoft Entra Connect y cómo puede configurarlas mediante PowerShell.
Para ver la configuración en el directorio de Microsoft Entra mediante Graph PowerShell, use los siguientes comandos:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
El resultado podría tener este aspecto:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Después de habilitar una característica, no se puede volver a deshabilitar.
Nota:
Desde el 24 de agosto de 2016, la característica Resistencia de atributos duplicados está habilitada de forma predeterminada para nuevos directorios de Microsoft Entra. Esta característica también se implantará y habilitará en directorios creados antes de esta fecha. Recibirá una notificación por correo electrónico cuando el directorio esté próximo a habilitar esta característica.
Las siguientes opciones se configuran mediante Microsoft Entra Connect:
| DirSyncFeature | Comentario |
|---|---|
| SoftMatchOnUpn | Permite que los objetos se unan a userPrincipalName además de la dirección SMTP principal. |
| SynchronizeUpnForManagedUsers | Permite que el motor de sincronización actualice el atributo userPrincipalName para los usuarios administrados y con licencia (no federados). |
| DeviceWriteback | Microsoft Entra Connect: habilitación de la escritura diferida de dispositivos |
| DirectoryExtensions | Sincronización de Microsoft Entra Connect: extensiones de directorio |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Permite poner un atributo en cuarentena si es un duplicado de otro objeto en lugar de consignar un error en todo el objeto durante la exportación. |
| Sincronización de hash de contraseñas | Implementación de la sincronización de hash de contraseña con la sincronización de Microsoft Entra Connect |
| Autenticación de paso a través | Inicio de sesión del usuario mediante la autenticación transferida de Microsoft Entra |
| UnifiedGroupWriteback | Escritura diferida de grupos |
| UserWriteback | Actualmente no se admite. |
Resistencia de atributos duplicados
En lugar de no aprovisionar objetos con atributos UPN/proxyAddresses duplicados, el atributo duplicado se "pone en cuarentena" y se le asigna un valor temporal. Cuando se resuelve el conflicto, el UPN temporal se cambia por el valor correcto automáticamente. Para obtener más información, consulte Sincronización de identidades y resistencia de atributos duplicados.
Coincidencia parcial de UserPrincipalName
Cuando esta característica está habilitada, se activa la coincidencia parcial en UPN, así como la dirección SMTP principal, que siempre está habilitada. La coincidencia parcial se utiliza para hacer coincidir los usuarios en la nube existentes de Microsoft Entra ID con los usuarios locales.
Si necesita que coincidan las cuentas de AD locales con las cuentas existentes creadas en la nube y no está utilizando Exchange Online, esta característica resulta útil. En este escenario, normalmente no tiene una razón para establecer el atributo de SMTP en la nube.
Esta característica está activada de forma predeterminada para los directorios de Microsoft Entra recién creados. Puede ver si esta característica está habilitada en su caso ejecutando lo siguiente:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Si esta característica no está habilitada para el directorio de Microsoft Entra ID, puede habilitarla ejecutando lo siguiente:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Cuando esta característica está habilitada, bloquea la característica Coincidencia parcial. Se recomienda a los clientes habilitar esta característica y mantenerla habilitada hasta que se vuelva a necesitar la coincidencia parcial para su inquilino. Esta marca se debe habilitar de nuevo después de que se haya completado cualquier coincidencia parcial y ya no sea necesaria.
Ejemplo: para bloquear la coincidencia parcial en el inquilino, ejecute este cmdlet:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Sincronización de las actualizaciones de userPrincipalName
Históricamente, las actualizaciones para el atributo UserPrincipalName con el servicio de sincronización desde una instancia local han estado bloqueadas, a menos que se cumplieran las siguientes condiciones:
- El usuario está administrado (no federado).
- Al usuario no se le ha asignado una licencia.
Nota:
Desde marzo de 2019, se permite sincronizar los cambios de UPN para las cuentas de usuario federadas.
La habilitación de esta característica permite al motor de sincronización actualizar el valor de userPrincipalName cuando se modifica de manera local y se usa la sincronización de hash de contraseñas o la autenticación de paso a través.
Esta característica está activada de forma predeterminada para los directorios de Microsoft Entra recién creados. Puede ver si esta característica está habilitada en su caso ejecutando lo siguiente:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Si esta característica no está habilitada para el directorio de Microsoft Entra ID, puede habilitarla ejecutando lo siguiente:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Después de habilitar esta característica, los valores existentes de userPrincipalName permanecerán tal cual. En el próximo cambio del atributo userPrincipalName en la instancia local, la sincronización diferencial normal de los usuarios actualizará el UPN.