A Microsoft Entra Connect szinkronizálási szolgáltatás funkciói
A Microsoft Entra Csatlakozás szinkronizálási funkciója két összetevőből áll:
- A Microsoft Entra Csatlakozás Sync nevű helyszíni összetevő, más néven szinkronizálási motor.
- A Microsoft Entra ID-ban található szolgáltatás, más néven Microsoft Entra Csatlakozás Sync szolgáltatás
Ez a témakör bemutatja, hogyan működnek a Microsoft Entra Csatlakozás Sync szolgáltatás alábbi funkciói, és hogyan konfigurálhatja őket a PowerShell használatával.
A Microsoft Entra-címtár konfigurációjának a Graph PowerShell használatával történő megtekintéséhez használja a következő parancsokat:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Az eredmény így néz ki:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Miután engedélyezte a funkciót, nem tiltható le újra.
Megjegyzés:
2016. augusztus 24-től az ismétlődő attribútum rugalmassága alapértelmezés szerint engedélyezve van az új Microsoft Entra-könyvtárak esetében. Ez a funkció a dátum előtt létrehozott címtárakon is megjelenik és engedélyezve lesz. E-mailben értesítést kap, ha a címtára engedélyezni szeretné ezt a funkciót.
A Microsoft Entra Csatlakozás a következő beállításokat konfigurálja:
DirSyncFeature | Comment |
---|---|
SoftMatchOnUpn | Lehetővé teszi, hogy az objektumok az elsődleges SMTP-cím mellett csatlakozzanak a userPrincipalName fájlhoz. |
SynchronizeUpnForManagedUsers | Lehetővé teszi a szinkronizálási motor számára, hogy frissítse a userPrincipalName attribútumot a felügyelt/licencelt (nem összevont) felhasználók számára. |
DeviceWriteback | Microsoft Entra Csatlakozás: Eszközvisszaíró engedélyezése |
DirectoryExtensions | Microsoft Entra Csatlakozás Sync: Directory-bővítmények |
DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Lehetővé teszi, hogy egy attribútum karanténba legyen helyezve, ha az egy másik objektum duplikálása, nem pedig a teljes objektum meghibásodása az exportálás során. |
Jelszókivonat szinkronizálása | Jelszókivonat-szinkronizálás implementálása a Microsoft Entra Csatlakozás Synctel |
Átmenő hitelesítés | Felhasználói bejelentkezés Microsoft Entra áthaladó hitelesítéssel |
UnifiedGroupWriteback | Group writeback |
UserWriteback | Jelenleg nem támogatott. |
Duplikált attribútum rugalmassága
Ahelyett, hogy duplikált UPN-ekkel/ proxyAddresses-ekkel nem építenek ki objektumokat, a duplikált attribútum "karanténba van helyezve", és egy ideiglenes érték van hozzárendelve. Az ütközés feloldásakor az ideiglenes UPN automatikusan a megfelelő értékre változik. További részletekért lásd : Identitásszinkronizálás és ismétlődő attribútumok rugalmassága.
UserPrincipalName helyreállítható egyezés
Ha ez a funkció engedélyezve van, a helyreállítható egyezés engedélyezve van az UPN-hez az elsődleges SMTP-cím mellett, amely mindig engedélyezve van. A soft-match a Microsoft Entra ID-ban meglévő felhőfelhasználók helyszíni felhasználókkal való egyeztetésére szolgál.
Ha meg kell egyeznie a helyszíni AD-fiókokkal a felhőben létrehozott meglévő fiókokkal, és nem használja az Exchange Online-t, akkor ez a funkció hasznos. Ebben a forgatókönyvben általában nincs oka beállítani az SMTP attribútumot a felhőben.
Ez a funkció alapértelmezés szerint be van kapcsolva az újonnan létrehozott Microsoft Entra-címtárak esetében. A következő futtatásával ellenőrizheti, hogy ez a funkció engedélyezve van-e:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Ha ez a funkció nincs engedélyezve a Microsoft Entra-címtárban, akkor a következő futtatásával engedélyezheti:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Ha ez a funkció engedélyezve van, letiltja a Helyreállítható egyezés funkciót. Javasoljuk az ügyfeleknek, hogy engedélyezzék ezt a funkciót, és maradjanak engedélyezve, amíg újra meg nem követelik a Soft Matching használatát a bérlői szerződésükhöz. Ezt a jelzőt újra engedélyezni kell, miután a helyreállítható egyeztetés befejeződött, és már nincs rá szükség.
Példa – a bérlő helyreállítható egyeztetésének letiltásához futtassa ezt a parancsmagot:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
UserPrincipalName-frissítések szinkronizálása
Korábban a Helyszíni szinkronizálási szolgáltatást használó UserPrincipalName attribútum frissítései le lettek tiltva, kivéve, ha mindkét feltétel teljesült:
- A felhasználó kezelése (nem összevont).
- A felhasználó nem kapott licencet.
Megjegyzés:
2019 márciusától engedélyezett az összevont felhasználói fiókok UPN-módosításainak szinkronizálása.
A funkció engedélyezésével a szinkronizálási motor frissítheti a userPrincipalName nevet a helyszíni módosításkor, és jelszókivonat-szinkronizálást vagy átmenő hitelesítést használ.
Ez a funkció alapértelmezés szerint be van kapcsolva az újonnan létrehozott Microsoft Entra-címtárak esetében. A következő futtatásával ellenőrizheti, hogy ez a funkció engedélyezve van-e:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Ha ez a funkció nincs engedélyezve a Microsoft Entra-címtárban, akkor a következő futtatásával engedélyezheti:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
A funkció engedélyezése után a userPrincipalName meglévő értékei változatlanok maradnak. A helyszíni userPrincipalName attribútum következő módosításakor a felhasználók normál delta-szinkronizálása frissíti az UPN-et.