Microsoft Entra Csatlakozás Sync: Ajánlott eljárások az alapértelmezett konfiguráció módosításához

  • Cikk

A témakör célja a Microsoft Entra Csatlakozás Sync támogatott és nem támogatott módosításainak ismertetése.

A Microsoft Entra Csatlakozás által létrehozott konfiguráció a legtöbb olyan környezet esetében működik, amely szinkronizálja helyi Active Directory a Microsoft Entra-azonosítóval. Bizonyos esetekben azonban bizonyos módosításokat kell alkalmazni egy konfigurációra egy adott igény vagy követelmény kielégítése érdekében.

A szolgáltatásfiók módosítása

A Microsoft Entra Csatlakozás Sync a telepítővarázsló által létrehozott szolgáltatásfiók alatt fut. Ez a szolgáltatásfiók tartalmazza a szinkronizálás által használt adatbázis titkosítási kulcsait. 127 karakter hosszú jelszóval jön létre, és a jelszó nem jár le.

Figyelmeztetés

Ha módosítja vagy alaphelyzetbe állítja az ADSync szolgáltatásfiók jelszavát, a szinkronizálási szolgáltatás nem fog tudni megfelelően elindulni, amíg el nem hagyta a titkosítási kulcsot, és újraindult az ADSync szolgáltatásfiók jelszava. Ehhez lásd : Az ADSync szolgáltatásfiók jelszavának módosítása.

Az ütemező módosításai

Az 1.1-es build (2016. február) kiadásaitól kezdve az ütemezőt úgy konfigurálhatja, hogy az alapértelmezett 30 percnél eltérő szinkronizálási ciklussal rendelkezzen.

Szinkronizálási szabályok módosítása

A telepítővarázsló olyan konfigurációt biztosít, amely a leggyakoribb forgatókönyvekhez használható. Ha módosítania kell a konfigurációt, akkor ezeket a szabályokat kell követnie ahhoz, hogy továbbra is támogatott konfigurációval rendelkezzen.

Figyelmeztetés

Ha módosítja az alapértelmezett szinkronizálási szabályokat, a microsoft Entra Csatlakozás következő frissítésekor felülírja ezeket a módosításokat, ami váratlan és valószínűleg nemkívánatos szinkronizálási eredményeket eredményez.

  • Ha az alapértelmezett közvetlen attribútumfolyamatok nem megfelelőek a szervezet számára, módosíthatja az attribútumfolyamatokat .
  • Ha nem szeretne attribútumot áramolni, és el szeretné távolítani a Microsoft Entra ID-ban lévő meglévő attribútumértékeket, akkor létre kell hoznia egy szabályt ehhez a forgatókönyvhöz.
  • Tiltsa le a nem kívánt szinkronizálási szabályt a törlés helyett. A rendszer a frissítés során újra létrehozza a törölt szabályt.
  • Ha módosítani szeretne egy beépített szabályt, készítsen másolatot az eredeti szabályról, és tiltsa le a házon kívül szabályt. A Szinkronizálási szabályszerkesztő kéri és segít.
  • Exportálja az egyéni szinkronizálási szabályokat a Szinkronizálási szabályok szerkesztőjével. A szerkesztő egy PowerShell-szkriptet biztosít, amellyel egyszerűen létrehozhatja őket vészhelyreállítási forgatókönyvekben.

Figyelmeztetés

A beépített szinkronizálási szabályok ujjlenyomattal rendelkeznek. Ha módosítja ezeket a szabályokat, az ujjlenyomat már nem egyezik. A Microsoft Entra Csatlakozás új kiadásának alkalmazásakor a jövőben problémák merülhetnek fel. Csak a jelen cikkben ismertetett módon végezze el a módosításokat.

Nemkívánatos szinkronizálási szabály letiltása

Ne törölje a beépített szinkronizálási szabályt. A következő frissítés során újra létre lesz hozva.

Bizonyos esetekben a telepítővarázsló olyan konfigurációt hozott létre, amely nem működik a topológiához. Ha például rendelkezik fiókerőforrás-erdő topológiával, de kiterjesztette a fiókerdő sémáját az Exchange-sémával, akkor az Exchange szabályai létrejönnek a fiókerdőhöz és az erőforráserdőhöz. Ebben az esetben le kell tiltania az Exchange szinkronizálási szabályát.

Disabled sync rule

A fenti képen a telepítővarázsló egy régi Exchange 2003-sémát talált a fiókerdőben. Ez a sémabővítmény még azelőtt lett hozzáadva, hogy az erőforráserdőt bevezették a Fabrikam környezetében. Annak érdekében, hogy a régi Exchange-implementáció egyik attribútuma sem szinkronizálva legyen, a szinkronizálási szabályt le kell tiltani az ábrán látható módon.

Beépített szabály módosítása

Az egyetlen alkalom, amikor módosítania kell egy beépített szabályt, ha módosítania kell az illesztőszabályt. Ha módosítania kell egy attribútumfolyamatot, akkor egy olyan szinkronizálási szabályt kell létrehoznia, amely nagyobb elsőbbséget élvez a beépített szabályoknál. Az egyetlen szabály, amelyet gyakorlatilag klónoznia kell, az AD -User Join szabály. Az összes többi szabályt felülbírálhatja magasabb elsőbbséget élvező szabálysal.

Ha módosítania kell egy beépített szabályt, készítsen másolatot a házon kívül szabályról, és tiltsa le az eredeti szabályt. Ezután végezze el a klónozott szabály módosításait. A Szinkronizálási szabályszerkesztő segít a lépések végrehajtásában. Amikor megnyit egy dobozon kívüli szabályt, a következő párbeszédpanel jelenik meg:
Warning out of box rule

Válassza az Igen lehetőséget a szabály másolatának létrehozásához. Ezután megnyílik a klónozott szabály.
Cloned rule

Ezen a klónozott szabályon végezze el a hatókör, az illesztés és az átalakítás szükséges módosításait.

További lépések

Áttekintési témakörök