Microsoft Entra Csatlakozás Szinkronizálás: Módosítsa az alapértelmezett konfigurációt

A cikk célja, hogy megismerje, hogyan módosíthatja a Microsoft Entra Csatlakozás Sync alapértelmezett konfigurációját. Néhány gyakori forgatókönyvhöz biztosít lépéseket. Ennek a tudásnak a birtokában képesnek kell lennie arra, hogy saját üzleti szabályai alapján egyszerű módosításokat hajtson végre a saját konfigurációján.

Figyelmeztetés

Ha módosítja az alapértelmezett beépített szinkronizálási szabályokat, a microsoft entra Csatlakozás következő frissítésekor felülírja ezeket a módosításokat, ami váratlan és valószínűleg nemkívánatos szinkronizálási eredményeket eredményez.

Az alapértelmezett beépített szinkronizálási szabályok ujjlenyomattal rendelkeznek. Ha módosítja ezeket a szabályokat, az ujjlenyomat már nem egyezik. A Microsoft Entra Csatlakozás új kiadásának alkalmazásakor a jövőben problémák merülhetnek fel. Csak a jelen cikkben ismertetett módon végezze el a módosításokat.

Szinkronizálási szabályok szerkesztője

A szinkronizálási szabályok szerkesztője az alapértelmezett konfiguráció megtekintésére és módosítására szolgál. A Microsoft Entra Csatlakozás csoport Start menüjében található.

A szerkesztő megnyitásakor megjelennek az alapértelmezett házon kívülre vonatkozó szabályok.

Navigálás a szerkesztőben

A szerkesztő tetején található legördülő menük segítségével gyorsan megtalálhatja az adott szabályt. Ha például meg szeretné tekinteni azokat a szabályokat, ahol az attribútumproxyAddresses szerepel, a legördülő listákat a következőre módosíthatja:

A szűrés visszaállításához és a friss konfiguráció betöltéséhez nyomja le az F5 billentyűt.

A jobb felső sarokban található az Új szabály hozzáadása gomb. Ezzel a gombbal saját egyéni szabályt hozhat létre.

Alul a kijelölt szinkronizálási szabályon való működésre szolgáló gombok találhatók. A szerkesztés és a törlés azt teszi, amit elvár. Az Exportálás egy PowerShell-szkriptet hoz létre a szinkronizálási szabály újbóli létrehozásához. Ezzel az eljárással áthelyezhet egy szinkronizálási szabályt az egyik kiszolgálóról a másikra.

Az első egyéni szabály létrehozása

A leggyakoribb változások az attribútumfolyamatok. Előfordulhat, hogy a forráskönyvtár adatai nem ugyanazok, mint a Microsoft Entra-azonosítóban. Az ebben a szakaszban szereplő példában győződjön meg arról, hogy a felhasználó utóneve mindig megfelelő.

Az ütemező letiltása

Az ütemező alapértelmezés szerint 30 percenként fut. Győződjön meg arról, hogy a módosítás és az új szabályok hibaelhárítása közben nem indul el. Az ütemező ideiglenes letiltásához indítsa el a PowerShellt, és futtassa Set-ADSyncScheduler -SyncCycleEnabled $false.

A szabály létrehozása

1. Kattintson az Új szabály hozzáadása elemre.
2. A Leírás lapon adja meg a következőket:
   
   • Név: Adjon egy leíró nevet a szabálynak.
   • Leírás: Adjon némi pontosítást, hogy valaki más megértse a szabályt.
   • Csatlakozás rendszer: Ez az a rendszer, amelyben az objektum megtalálható. Ebben az esetben válassza az Active Directory Csatlakozás or lehetőséget.
   • Csatlakozás rendszer-/metaverzumobjektum-típus: Felhasználó és személy kiválasztása.
   • Hivatkozás típusa: Módosítsa ezt az értéket csatlakozásra.
   • Elsőbbség: Adjon meg egy olyan értéket, amely egyedi a rendszerben. Az alacsonyabb számérték magasabb elsőbbséget jelez.
   • Címke: Hagyja üresen. Ezt a mezőt csak a Microsoft beépített szabályainak kell kitöltenie egy értékkel.
3. A Hatókörszűrő lapon adja meg a givenName ISNOTNULL nevet.
   
   Ez a szakasz határozza meg, hogy a szabály mely objektumokra vonatkozzon. Ha üres marad, a szabály az összes felhasználói objektumra érvényes lesz. Ez azonban magában foglalná a konferenciatermeket, a szolgáltatásfiókokat és más, nem személyekkel rendelkező felhasználói objektumokat.
4. A Csatlakozás szabályok lapon hagyja üresen a mezőt.
5. Az Átalakítások lapon módosítsa a FlowType-t kifejezésre. Célattribútum esetén válassza a givenName lehetőséget. A Forrás mezőben adja meg a PCase([givenName]) értéket.
   A szinkronizálási motor megkülönbözteti a függvény nevét és az attribútum nevét is. Ha hibát ír be, figyelmeztetés jelenik meg a szabály hozzáadásakor. Menthet és folytathat, de újra meg kell nyitnia és ki kell javítania a szabályt.
6. A szabály mentéséhez kattintson a Hozzáadás gombra.

Az új egyéni szabálynak láthatónak kell lennie a rendszer többi szinkronizálási szabályával.

A módosítás ellenőrzése

Ezzel az új módosítással meg szeretné győződni arról, hogy a várt módon működik, és nem okoz hibát. A rendelkezésre álló objektumok számától függően kétféleképpen teheti meg ezt a lépést:

• Teljes szinkronizálás futtatása az összes objektumon.
• Egyetlen objektumon futtathat előnézetet és teljes szinkronizálást.

Nyissa meg a Szinkronizálási szolgáltatást a Start menüből. Az ebben a szakaszban ismertetett lépések mind ebben az eszközben találhatók.

Teljes szinkronizálás az összes objektumon

1. Válassza ki a Csatlakozás orokat a tetején. Azonosítsa az előző szakaszban módosított összekötőt (ebben az esetben Active Directory tartományi szolgáltatások), és jelölje ki.
2. Műveletek esetén válassza a Futtatás lehetőséget.
3. Válassza a Teljes szinkronizálás lehetőséget, majd kattintson az OK gombra.
   Az objektumok most frissülnek a metaversen. Ellenőrizze a módosításokat a metaversen lévő objektum megtekintésével.

Előnézet és teljes szinkronizálás egyetlen objektumon

1. Válassza ki a Csatlakozás orokat a tetején. Azonosítsa az előző szakaszban módosított összekötőt (ebben az esetben Active Directory tartományi szolgáltatások), és jelölje ki.
2. Válassza a Keresés Csatlakozás vagy szóköz lehetőséget.
3. A Hatókör használatával megkeresheti a módosítás teszteléséhez használni kívánt objektumot. Jelölje ki az objektumot, és kattintson az Előnézet gombra.
4. Az új képernyőn válassza a Véglegesítés előnézete lehetőséget.
   
   A módosítás most már a metaverzumhoz van kötve.

Az objektum megtekintése a metaversen

1. Válasszon ki néhány mintaobjektumot, hogy meggyőződjön arról, hogy az érték várható, és hogy a szabály érvényes-e.
2. Felülről válassza a Metaverse Search lehetőséget . Adjon hozzá minden olyan szűrőt, amely a megfelelő objektumok megkereséséhez szükséges.
3. A keresési eredményből nyisson meg egy objektumot. Tekintse meg az attribútumértékeket, és ellenőrizze a Szabályok szinkronizálása oszlopban, hogy a szabály a várt módon van-e alkalmazva.
   

Az ütemező engedélyezése

Ha minden a vártnak megfelelően történik, újra engedélyezheti az ütemezőt. Futtassa Set-ADSyncScheduler -SyncCycleEnabled $truea PowerShellben.

Egyéb gyakori attribútumfolyamat-módosítások

Az előző szakasz azt ismertette, hogyan módosíthatja az attribútumfolyamatokat. Ebben a szakaszban további példákat is bemutatunk. A szinkronizálási szabály létrehozásának lépései rövidítve jelennek meg, de az előző szakaszban megtalálja a teljes lépéseket.

Az alapértelmezett értéken kívül más attribútum használata

Ebben a Fabrikam-forgatókönyvben van egy erdő, ahol a helyi ábécét használják a keresztnévhez, a vezetéknévhez és a megjelenítendő névhez. Ezeknek az attribútumoknak a latin karakterábrázolása a bővítményattribútumokban található. Ha globális címlistát szeretne létrehozni a Microsoft Entra ID-ben és a Microsoft 365-ben, a szervezet inkább ezeket az attribútumokat szeretné használni.

Alapértelmezett konfiguráció esetén a helyi erdőből származó objektumok a következőképpen néznek ki:

Ha más attribútumfolyamatokkal szeretne szabályt létrehozni, tegye a következőket:

1. Nyissa meg a Szinkronizálási szabályok szerkesztőt a Start menüből.
2. Ha a bejövő forgalom továbbra is balra van kiválasztva, kattintson az Új szabály hozzáadása gombra.
3. Adjon nevet és leírást a szabálynak. Válassza ki a helyi Active Directory példányt és a megfelelő objektumtípusokat. A Hivatkozás típusa területen válassza a Csatlakozás lehetőséget. Az Elsőbbség beállításnál válasszon egy másik szabály által nem használt számot. A dobozon kívüli szabályok 100-zal kezdődnek, így az 50 érték használható ebben a példában.
4. Hagyja üresen a hatókörszűrőt . (Vagyis az erdő összes felhasználói objektumára érvényesnek kell lennie.)
5. Hagyja üresen az illesztés szabályait . (Vagyis hagyja, hogy a beépített szabály kezelje az illesztéseket.)
6. Az Átalakítások területen hozza létre a következő folyamatokat:
   
7. A szabály mentéséhez kattintson a Hozzáadás gombra.
8. Lépjen a Szinkronizálási szolgáltatáskezelőbe. A Csatlakozás orokon válassza ki azt az összekötőt, amelyben hozzáadta a szabályt. Válassza a Futtatás, majd a Teljes szinkronizálás lehetőséget. A teljes szinkronizálás az összes objektumot újraszámítja az aktuális szabályok használatával.

Ez az eredmény ugyanazzal az objektummal, ezzel az egyéni szabmánnyal:

Attribútumok hossza

A sztringattribútumok alapértelmezés szerint indexelhetők, a maximális hossz pedig 448 karakter. Ha olyan sztringattribútumokkal dolgozik, amelyek esetleg többet is tartalmazhatnak, mindenképpen vegye fel a következőket az attribútumfolyamatba:
attributeName<- . Left([attributeName],448)

A userPrincipalSuffix módosítása

Az Active Directory userPrincipalName attribútumát a felhasználók nem mindig ismerik, és nem feltétlenül alkalmasak bejelentkezési azonosítóként. A Microsoft Entra Csatlakozás szinkronizálási telepítővarázslójával választhat egy másik attribútumot , például a levelezést. Bizonyos esetekben azonban az attribútumot ki kell számítani.

A Contoso vállalatnak például két Microsoft Entra-címtára van, egyet éles környezetben, egyet pedig tesztelésre. Azt szeretnék, hogy a tesztbérlében lévő felhasználók egy másik utótagot használjanak a bejelentkezési azonosítóban:
Word([userPrincipalName],1,"@") & "@contosotest.com".

Ebben a kifejezésben az első @-jel (Word) minden elemét hagyja hátra, és összefűz egy rögzített sztringgel.

Többértékű attribútum átalakítása egyetlen értékre

Az Active Directory egyes attribútumai többértékűek a sémában, annak ellenére, hogy egyértékűnek tűnnek Active Directory - felhasználók és számítógépek. Ilyen például a leírás attribútuma:
description<- . IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448))

Ebben a kifejezésben, ha az attribútum értéke van, vegye fel az első elemet (Elem) az attribútumból, távolítsa el a kezdő és záró szóközöket (Vágás), majd tartsa meg az első 448 karaktert (balra) a sztringben.

Attribútumok nem áramltatása

A szakasz forgatókönyvének hátteréről lásd : Az attribútumfolyamat folyamatának szabályozása.

Az attribútumok kétféleképpen nem áramolnak. Az első az, hogy a telepítővarázslóval eltávolítja a kijelölt attribútumokat. Ez a beállítás akkor működik, ha még soha nem szinkronizálta az attribútumot. Ha azonban megkezdte az attribútum szinkronizálását, majd később eltávolítja ezzel a funkcióval, a szinkronizálási motor leállítja az attribútum kezelését, és a meglévő értékek megmaradnak a Microsoft Entra-azonosítóban.

Ha el szeretné távolítani egy attribútum értékét, és meg szeretné győződni arról, hogy a jövőben nem fog folyni, létre kell hoznia egy egyéni szabályt.

Ebben a Fabrikam-forgatókönyvben rájöttünk, hogy a felhőbe szinkronizált attribútumok némelyikének nem szabad ott lennie. Meg szeretnénk győződni arról, hogy ezek az attribútumok törlődnek a Microsoft Entra-azonosítóból.

1. Hozzon létre egy új bejövő szinkronizálási szabályt, és töltse ki a leírást.
2. Attribútumfolyamatok létrehozása a FlowType kifejezéssel és a Forrás mérvadónull elemével. A literál mérvadónull azt jelzi, hogy az értéknek üresnek kell lennie a metaversen, még akkor is, ha egy alacsonyabb szintű szinkronizálási szabály megpróbálja feltölteni az értéket.
3. Mentse a szinkronizálási szabályt. Indítsa el a szinkronizálási szolgáltatást, keresse meg az összekötőt, válassza a Futtatás, majd a Teljes szinkronizálás lehetőséget. Ez a lépés újraszámítja az összes attribútumfolyamatot.
4. Ellenőrizze, hogy a kívánt módosítások exportálása folyamatban van-e a Csatlakozás or szóközre való kereséssel.

Szabályok létrehozása a PowerShell-lel

A szinkronizálási szabályszerkesztő használata akkor működik jól, ha csak néhány módosítást kell végrehajtania. Ha sok módosítást kell végrehajtania, a PowerShell jobb megoldás lehet. Néhány speciális funkció csak a PowerShell-lel érhető el.

Házon kívülre vonatkozó szabály PowerShell-szkriptjének lekérése

A beépített szabályt létrehozó PowerShell-szkript megtekintéséhez jelölje ki a szabályt a szinkronizálási szabályok szerkesztőjében, és kattintson az Exportálás gombra. Ez a művelet megadja a szabályt létrehozó PowerShell-szkriptet.

Speciális elsőbbség

A beépített szinkronizálási szabályok 100-zal kezdődnek. Ha sok erdő van, és sok egyéni módosítást kell végrehajtania, akkor előfordulhat, hogy a 99 szinkronizálási szabály nem elegendő.

Utasíthatja a szinkronizálási motort, hogy a beépített szabályok előtt szúrjon be további szabályokat. Ennek a viselkedésnek a lekéréséhez kövesse az alábbi lépéseket:

1. Jelölje meg az első beépített szinkronizálási szabályt (In from AD-User Join) a szinkronizálási szabályok szerkesztőjében, és válassza az Exportálás lehetőséget. Másolja ki az SR-azonosító értékét.
   
2. Hozza létre az új szinkronizálási szabályt. A szinkronizálási szabályok szerkesztőjével létrehozhatja. Exportálja a szabályt egy PowerShell-szkriptbe.
3. A PrecedenceBefore tulajdonságban szúrja be az Azonosító értéket a beépített szabályból. Állítsa az elsőbbségi értéket 0-ra. Győződjön meg arról, hogy az Azonosító attribútum egyedi, és hogy nem egy másik szabályból származó GUID-azonosítót fog újrahasználni. Győződjön meg arról is, hogy az ImmutableTag tulajdonság nincs beállítva. Ezt a tulajdonságot csak házon kívülre vonatkozó szabályhoz kell beállítani.
4. Mentse a PowerShell-szkriptet, és futtassa. Ennek az az eredménye, hogy az egyéni szabályhoz a rendszer 100-nak rendeli hozzá az elsőbbségi értéket, és az összes többi beépített szabály növekszik.
   

Több egyéni szinkronizálási szabályt is használhat, ha szükség esetén ugyanazt az PrecedenceBefore értéket használja.

UserType szinkronizálásának engedélyezése

A Microsoft Entra Csatlakozás támogatja a UserType attribútum szinkronizálását a Felhasználói objektumokhoz az 1.1.524.0-s és újabb verziókban. Pontosabban a következő módosításokat vezettük be:

• A Microsoft Entra Csatlakozás or Felhasználó objektumtípusának sémája ki van terjesztve a UserType attribútummal, amely a típussztringből áll, és egyértékű.
• A metaverzum Person objektumtípusának sémája ki van terjesztve a UserType attribútummal, amely a típussztringből áll, és egyértékű.

Alapértelmezés szerint a UserType attribútum nincs engedélyezve a szinkronizáláshoz, mert nincs megfelelő UserType attribútum a helyi Active Directory. Manuálisan kell engedélyeznie a szinkronizálást. Ehhez vegye figyelembe a Microsoft Entra ID által kikényszerített alábbi viselkedést:

• A Microsoft Entra csak két értéket fogad el a UserType attribútumhoz: Tag és Vendég.
• Ha a UserType attribútum nincs engedélyezve a Microsoft Entra Csatlakozás szinkronizálásához, a címtár-szinkronizálással létrehozott Microsoft Entra-felhasználók a UserType attribútumot Tag értékre állítják be.
• Az 1.5.30.0-s verzió előtt a Microsoft Entra ID nem engedélyezte a Meglévő Microsoft Entra-felhasználók UserType attribútumának módosítását a Microsoft Entra Csatlakozás. A régebbi verziókban ez csak a Microsoft Entra-felhasználók létrehozásakor állítható be, és a PowerShell-lel módosítható.

A UserType attribútum szinkronizálásának engedélyezése előtt először el kell döntenie, hogy az attribútum hogyan származik helyi Active Directory. A leggyakoribb módszerek a következők:

• Jelöljön ki egy nem használt helyszíni AD-attribútumot (például extensionAttribute1) forrásattribútumként. A kijelölt helyszíni AD attribútumnak sztring típusúnak kell lennie, egyértékűnek kell lennie, és tartalmaznia kell a Tag vagy a Vendég értéket.

  Ha ezt a módszert választja, a UserType attribútum szinkronizálásának engedélyezése előtt győződjön meg arról, hogy a kijelölt attribútum a megfelelő értékkel van feltöltve a helyi Active Directory összes meglévő felhasználói objektumához, amelyek szinkronizálva vannak a Microsoft Entra-azonosítóval.

• Másik lehetőségként a UserType attribútum értékét más tulajdonságokból is levezetheti. Például minden felhasználót vendégként szeretne szinkronizálni, ha a helyszíni AD userPrincipalName attribútuma a @partners.fabrikam123.org tartományrészrel végződik.

  Ahogy korábban említettük, a Microsoft Entra Csatlakozás régebbi verziói nem teszik lehetővé a Meglévő Microsoft Entra-felhasználók UserType attribútumának módosítását a Microsoft Entra Csatlakozás. Ezért gondoskodnia kell arról, hogy az Ön által meghatározott logika összhangban legyen azzal, ahogyan a UserType attribútum már konfigurálva van a bérlő összes meglévő Microsoft Entra-felhasználójához.

A UserType attribútum szinkronizálásának engedélyezéséhez szükséges lépések a következőképpen foglalhatók össze:

1. Tiltsa le a szinkronizálásütemezőt, és ellenőrizze, hogy nincs-e folyamatban szinkronizálás.
2. Adja hozzá a forrásattribútumot a helyszíni AD Csatlakozás or sémához.
3. Adja hozzá a UserType-t a Microsoft Entra Csatlakozás or sémához.
4. Hozzon létre egy bejövő szinkronizálási szabályt az attribútumérték helyi Active Directory.
5. Hozzon létre egy kimenő szinkronizálási szabályt, amely az attribútum értékét a Microsoft Entra-azonosítóba folyamozza.
6. Futtasson teljes szinkronizálási ciklust.
7. Engedélyezze a szinkronizálásütemezőt.

Feljegyzés

A szakasz további részei ezeket a lépéseket ismertetik. Ezeket egy egyerdős topológiával és egyéni szinkronizálási szabályok nélküli Microsoft Entra-telepítés kontextusában ismertetjük. Ha többerdős topológia, egyéni szinkronizálási szabályok vannak konfigurálva, vagy átmeneti kiszolgálóval rendelkezik, a lépéseket ennek megfelelően kell módosítania.

1. lépés: A szinkronizálásütemező letiltása és annak ellenőrzése, hogy nincs-e folyamatban szinkronizálás

A Microsoft Entra-azonosító nem kívánt módosításainak exportálásának elkerülése érdekében győződjön meg arról, hogy a szinkronizálási szabályok frissítése közben nem történik szinkronizálás. A beépített szinkronizálásütemező letiltása:

1. Indítsa el a PowerShell-munkamenetet a Microsoft Entra Csatlakozás kiszolgálón.
2. Az ütemezett szinkronizálás letiltása a parancsmag Set-ADSyncScheduler -SyncCycleEnabled $falsefuttatásával.
3. Nyissa meg a Szinkronizálási szolgáltatáskezelőt a Szinkronizálási szolgáltatás elindításával.>
4. Lépjen a Műveletek lapra, és győződjön meg arról, hogy nincs folyamatban lévő állapotú művelet.

2. lépés: A forrásattribútum hozzáadása a helyszíni AD Csatlakozás or sémához

A rendszer nem minden Microsoft Entra-attribútumot importál a helyszíni AD Csatlakozás or térbe. A forrásattribútum hozzáadása az importált attribútumok listájához:

1. Nyissa meg a Csatlakozás orok lapot a Szinkronizálási szolgáltatáskezelőben.
2. Kattintson a jobb gombbal a helyszíni AD-Csatlakozás orra, és válassza a Tulajdonságok lehetőséget.
3. Az előugró párbeszédpanelen lépjen az Attribútumok kiválasztása lapra.
4. Győződjön meg arról, hogy a forrásattribútum be van jelölve az attribútumlistában.
5. A mentéshez kattintson az OK gombra.

3. lépés: A UserType attribútum hozzáadása a Microsoft Entra Csatlakozás or sémához

Alapértelmezés szerint a UserType attribútum nincs importálva a Microsoft Entra Csatlakozás szóközbe. A UserType attribútum hozzáadása az importált attribútumok listájához:

1. Nyissa meg a Csatlakozás orok lapot a Szinkronizálási szolgáltatáskezelőben.
2. Kattintson a jobb gombbal a Microsoft Entra Csatlakozás orra, és válassza a Tulajdonságok lehetőséget.
3. Az előugró párbeszédpanelen lépjen az Attribútumok kiválasztása lapra.
4. Győződjön meg arról, hogy a UserType attribútum be van jelölve az attribútumlistában.
5. A mentéshez kattintson az OK gombra.

4. lépés: Bejövő szinkronizálási szabály létrehozása az attribútumérték helyi Active Directory

A bejövő szinkronizálási szabály lehetővé teszi, hogy az attribútum értéke a forrásattribútumból a helyi Active Directory a metaverzumba áramoljon:

1. Nyissa meg a Szinkronizálási szabályok szerkesztőt a Szinkronizálási szabályok szerkesztőjének elindításával>.

2. Állítsa be a keresési szűrő irányát bejövőnek.

3. Új bejövő szabály létrehozásához kattintson az Új szabály hozzáadása gombra.

4. A Leírás lapon adja meg a következő konfigurációt:

   Attribútum	Érték	Részletek
   Név	Adjon meg egy nevet	Például: In from AD – User UserType
   Leírás	Leírás megadása
   Csatlakozás rendszer	Válassza ki a helyszíni AD-összekötőt
   Csatlakozás rendszerobjektum típusa	Felhasználó
   Metaverzum objektumtípus	Személy
   Hivatkozástípus	Csatlakozás
   Prioritás	Szám kiválasztása 1–99 között	Az 1–99 egyéni szinkronizálási szabályokhoz van fenntartva. Ne válasszon másik szinkronizálási szabály által használt értéket.

5. Lépjen a Hatókörszűrő lapra, és adjon hozzá egyetlen hatókörkezelési szűrőcsoportot az alábbi záradékkal:

   Attribútum	Operátor	Érték
   Admindescription	NOTSTARTWITH	Felhasználó_

   A hatókörszűrő határozza meg, hogy a rendszer mely helyszíni AD-objektumokra alkalmazza ezt a bejövő szinkronizálási szabályt. Ebben a példában ugyanazt a hatókörszűrőt használjuk, amelyet az In from AD – User Common beépített szinkronizálási szabályban használunk, amely megakadályozza, hogy a szinkronizálási szabály a Microsoft Entra felhasználói visszaíró funkcióval létrehozott felhasználói objektumokra legyen alkalmazva. Előfordulhat, hogy módosítania kell a hatókörszűrőt a Microsoft Entra Csatlakozás üzemelő példányának megfelelően.

6. Lépjen az Átalakítás lapra, és hajtsa végre a kívánt átalakítási szabályt. Ha például egy nem használt helyszíni AD-attribútumot (például extensionAttribute1) jelölt ki a UserType forrásattribútumaként, alkalmazhat közvetlen attribútumfolyamatot:

   Folyamat típusa	Célattribútum	Forrás	Egyszer alkalmazva	Egyesítés típusa
   Közvetlen	UserType	extensionAttribute1	Nincs bejelölve	Frissítés

   Egy másik példában a UserType attribútum értékét más tulajdonságokból szeretné kinyerni. Például minden felhasználót vendégként szeretne szinkronizálni, ha a helyszíni AD userPrincipalName attribútuma a @partners.fabrikam123.org tartományrészrel végződik. A következőhöz hasonló kifejezést implementálhat:

   Folyamat típusa	Célattribútum	Forrás	Egyszer alkalmazva	Egyesítés típusa
   Kifejezés	UserType	IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName nincs jelen a UserType meghatározásához"))	Nincs bejelölve	Frissítés

7. A bejövő szabály létrehozásához kattintson a Hozzáadás gombra.

5. lépés: Kimenő szinkronizálási szabály létrehozása az attribútumérték Microsoft Entra-azonosítóba való áramlásához

A kimenő szinkronizálási szabály lehetővé teszi, hogy az attribútum értéke a metaverseből a Microsoft Entra ID UserType attribútuma felé haladjon:

1. Nyissa meg a Szinkronizálási szabályok szerkesztőt.

2. Állítsa be a keresési szűrő irányát kimenőnek.

3. Kattintson az Új szabály hozzáadása gombra.

4. A Leírás lapon adja meg a következő konfigurációt:

   Attribútum	Érték	Részletek
   Név	Adjon meg egy nevet	Például: Out to Microsoft Entra ID – User UserType
   Leírás	Leírás megadása
   Csatlakozás rendszer	Válassza ki a Microsoft Entra-összekötőt
   Csatlakozás rendszerobjektum típusa	Felhasználó
   Metaverzum objektumtípus	Személy
   Hivatkozástípus	Csatlakozás
   Prioritás	Szám kiválasztása 1–99 között	Az 1–99 egyéni szinkronizálási szabályokhoz van fenntartva. Ne válasszon másik szinkronizálási szabály által használt értéket.

5. Lépjen a Hatókörszűrő lapra, és adjon hozzá egyetlen hatókörkezelési szűrőcsoportot két záradékkal:

   Attribútum	Operátor	Érték
   sourceObjectType	EGYENLŐ	Felhasználó
   cloudMastered	JEGYZETQUAL	Igaz

   A hatókörszűrő határozza meg, hogy a rendszer mely Microsoft Entra objektumokat alkalmazza ezt a kimenő szinkronizálási szabályt. Ebben a példában ugyanazt a hatókörszűrőt használjuk a Kimenőtől az AD-hez – Felhasználói identitás beépített szinkronizálási szabályhoz. Megakadályozza, hogy a szinkronizálási szabály olyan felhasználói objektumokra legyen alkalmazva, amelyek nincsenek szinkronizálva a helyi Active Directory. Előfordulhat, hogy módosítania kell a hatókörszűrőt a Microsoft Entra Csatlakozás üzemelő példányának megfelelően.

6. Lépjen az Átalakítás lapra, és hajtsa végre a következő átalakítási szabályt:

   Folyamat típusa	Célattribútum	Forrás	Egyszer alkalmazva	Egyesítés típusa
   Közvetlen	UserType	UserType	Nincs bejelölve	Frissítés

7. A kimenő szabály létrehozásához kattintson a Hozzáadás gombra.

6. lépés: Teljes szinkronizálási ciklus futtatása

Általában teljes szinkronizálási ciklusra van szükség, mivel új attribútumokat adtunk hozzá mind az Active Directory, mind a Microsoft Entra Csatlakozás or sémákhoz, és egyéni szinkronizálási szabályokat vezettünk be. Mielőtt a Microsoft Entra-azonosítóba exportálja őket, ellenőriznie kell a módosításokat.

Az alábbi lépésekkel ellenőrizheti a módosításokat, miközben manuálisan futtatja a teljes szinkronizálási ciklust alkotó lépéseket.

1. Teljes importálás futtatása a helyszíni AD-Csatlakozás oron:

   1. Nyissa meg a Csatlakozás orok lapot a Szinkronizálási szolgáltatáskezelőben.

   2. Kattintson a jobb gombbal a helyszíni AD-Csatlakozás orra, és válassza a Futtatás lehetőséget.

   3. Az előugró párbeszédpanelen válassza a Teljes importálás lehetőséget, majd kattintson az OK gombra.

   4. Várja meg, amíg a művelet befejeződik.

      Feljegyzés

      A helyszíni AD Csatlakozás or teljes importálását kihagyhatja, ha a forrásattribútum már szerepel az importált attribútumok listájában. Más szóval a 2. lépés során nem kellett módosítania: Adja hozzá a forrásattribútumot a helyszíni AD Csatlakozás or sémához.

2. Teljes importálás futtatása a Microsoft Entra Csatlakozás oron:

   1. Kattintson a jobb gombbal a Microsoft Entra Csatlakozás orra, és válassza a Futtatás lehetőséget.
   2. Az előugró párbeszédpanelen válassza a Teljes importálás lehetőséget, majd kattintson az OK gombra.
   3. Várja meg, amíg a művelet befejeződik.

3. Ellenőrizze a szinkronizálási szabály módosításait egy meglévő felhasználói objektumon:

   A helyi Active Directory forrásattribútum és a Microsoft Entra-azonosítóból származó UserType a megfelelő Csatlakozás or Szóközökbe lett importálva. A teljes szinkronizálás végrehajtása előtt végezze el az előzetes verziót egy meglévő felhasználói objektumon a helyszíni AD Csatlakozás or térben. A kiválasztott objektumnak fel kell töltenie a forrásattribútumot.

   A metaverzumban kitöltött UserType sikeres előzetes verziója jó jelzés arra, hogy helyesen konfigurálta a szinkronizálási szabályokat. Az előzetes verzióval kapcsolatos információkért tekintse meg a Módosítás ellenőrzése című szakaszt.

4. Teljes szinkronizálás futtatása a helyszíni AD-Csatlakozás oron:

   1. Kattintson a jobb gombbal a helyszíni AD-Csatlakozás orra, és válassza a Futtatás lehetőséget.
   2. Az előugró párbeszédpanelen válassza a Teljes szinkronizálás lehetőséget, majd kattintson az OK gombra.
   3. Várja meg, amíg a művelet befejeződik.

5. Ellenőrizze, hogy a Microsoft Entra-azonosítóra irányuló exportálás függőben van-e:

   1. Kattintson a jobb gombbal a Microsoft Entra Csatlakozás orra, és válassza a Keresés Csatlakozás or szóköz lehetőséget.

   2. A Keresés Csatlakozás or Szóköz előugró párbeszédpanelen:

      • Állítsa a hatókört függőben lévő exportálásra.
      • Jelölje be mindhárom jelölőnégyzetet: Hozzáadás, Módosítás és Törlés.
      • A Keresés gombra kattintva lekérheti az exportálni kívánt módosításokat tartalmazó objektumok listáját. Egy adott objektum módosításainak vizsgálatához kattintson duplán az objektumra.
      • Ellenőrizze, hogy a módosítások várhatóak-e.

6. Az Exportálás futtatása a Microsoft Entra Csatlakozás oron:

   1. Kattintson a jobb gombbal a Microsoft Entra Csatlakozás orra, és válassza a Futtatás lehetőséget.
   2. A Csatlakozás or futtatása előugró párbeszédpanelen válassza az Exportálás lehetőséget, majd kattintson az OK gombra.
   3. Várja meg, amíg az exportálás befejeződik a Microsoft Entra-azonosítóba.

Feljegyzés

Ezek a lépések nem tartalmazzák a Microsoft Entra Csatlakozás or teljes szinkronizálási és exportálási lépéseit. Ezek a lépések nem szükségesek, mert az attribútumértékek helyi Active Directory a Microsoft Entra-ra áramlanak.

7. lépés: A szinkronizálásütemező újbóli engedélyezése

Engedélyezze újra a beépített szinkronizálásütemezőt:

1. Indítsa el a PowerShell-munkamenetet.
2. Az ütemezett szinkronizálás ismételt engedélyezése a parancsmag Set-ADSyncScheduler -SyncCycleEnabled $truefuttatásával.

Következő lépések

• További információ a konfigurációs modellről a Deklaratív kiépítés ismertetése című témakörben.
• További információ a kifejezés nyelvéről a Deklaratív kiépítési kifejezések ismertetése című témakörben.

Áttekintési témakörök

• Microsoft Entra Csatlakozás Szinkronizálás: A szinkronizálás ismertetése és testreszabása
• Helyszíni identitások integrálása a Microsoft Entra-azonosítóval