Módosított alapértelmezett szabályok javítása a Microsoft Entra Csatlakozás
A Microsoft Entra Csatlakozás alapértelmezett szabályokat használ a szinkronizáláshoz. Sajnos ezek a szabályok nem vonatkoznak általánosan minden szervezetre. A követelmények alapján előfordulhat, hogy módosítania kell őket. Ez a cikk két példát mutat be a leggyakoribb testreszabásokra, és ismerteti a testreszabások megfelelő módját.
Megjegyzés:
A meglévő alapértelmezett szabályok módosítása a szükséges testreszabás eléréséhez nem támogatott. Ha így tesz, megakadályozza a szabályok frissítését a legújabb verzióra a jövőbeli kiadásokban. Nem fogja megkapni a szükséges hibajavításokat vagy új funkciókat. Ez a dokumentum bemutatja, hogyan érheti el ugyanazt az eredményt a meglévő alapértelmezett szabályok módosítása nélkül.
Módosított alapértelmezett szabályok azonosítása
A Microsoft Entra Csatlakozás 1.3.7.0-s verziójától kezdve könnyen azonosítható a módosított alapértelmezett szabály. Nyissa meg az Asztali alkalmazások lapot, és válassza a Szinkronizálási szabályok szerkesztője lehetőséget.
A Szerkesztőben minden módosított alapértelmezett szabály megjelenik egy figyelmeztető ikonnal a név előtt.
Megjelenik a mellette lévő azonos nevű letiltott szabály is (ez a szokásos alapértelmezett szabály).
Gyakori testreszabások
Az alapértelmezett szabályok gyakori testreszabásai a következők:
- Attribútumfolyamat módosítása
- Hatókörszűrő módosítása
- Csatlakozás feltételének módosítása
Mielőtt bármilyen szabályt módosítanának:
Tiltsa le a szinkronizálásütemezőt. Az ütemező alapértelmezés szerint 30 percenként fut. Győződjön meg arról, hogy a módosítás és az új szabályok hibaelhárítása közben nem indul el. Az ütemező ideiglenes letiltásához indítsa el a PowerShellt, és futtassa
Set-ADSyncScheduler -SyncCycleEnabled $false
.A hatókörszűrő módosítása a célkönyvtárban lévő objektumok törlését eredményezheti. Legyen óvatos, mielőtt bármilyen módosítást végez az objektumok hatókörének meghatározásában. Javasoljuk, hogy az aktív kiszolgálón végzett módosítások előtt módosítsa az átmeneti kiszolgálót.
Az új szabály hozzáadása után futtasson egy előnézetet egyetlen objektumon, ahogyan az a Szinkronizálási szabály érvényesítése szakaszban is szerepel.
Új szabály hozzáadása vagy egyéni szinkronizálási szabály módosítása után futtassa a teljes szinkronizálást. Ez a szinkronizálás új szabályokat alkalmaz az összes objektumra.
Attribútumfolyamat módosítása
Az attribútumfolyamat módosításának három különböző forgatókönyve van:
- Új attribútum hozzáadása.
- Meglévő attribútum értékének felülírása.
- Meglévő attribútum szinkronizálásának tiltásával.
Ezeket a szokásos alapértelmezett szabályok módosítása nélkül is megteheti.
Új attribútum hozzáadása
Ha azt tapasztalja, hogy egy attribútum nem áramlik a forráskönyvtárból a célkönyvtárba, használja a Microsoft Entra Csatlakozás Sync: Directory bővítményeket a probléma megoldásához.
Ha a bővítmények nem működnek Önnek, próbáljon meg hozzáadni két új szinkronizálási szabályt, amelyet az alábbi szakaszokban ismertetünk.
Bejövő szinkronizálási szabály hozzáadása
A bejövő szinkronizálási szabály azt jelenti, hogy az attribútum forrása egy összekötőtér, a cél pedig a metaverzum. Ha például egy új attribútumfolyamatot szeretne létrehozni helyi Active Directory és a Microsoft Entra ID között, hozzon létre egy új bejövő szinkronizálási szabályt. Indítsa el a Szinkronizálási szabályok szerkesztőt, válassza az Irányként a Bejövő , majd az Új szabály hozzáadása lehetőséget.
A szabály elnevezéséhez kövesse a saját elnevezési konvencióját. Itt a Custom Int használjuk az AD-felhasználótól. Ez azt jelenti, hogy a szabály egy egyéni szabály, és egy bejövő szabály az Active Directory-összekötő területétől a metaverseig.
Adja meg a szabály saját leírását, hogy a szabály későbbi karbantartása egyszerű legyen. A leírás például attól függ, hogy mi a szabály célja, és miért van rá szükség.
Válassza ki a Csatlakozás rendszer, Csatlakozás rendszerobjektum típusa és metaverzum objektumtípus mezőit.
Adja meg a 0 és 99 közötti elsőbbségi értéket (minél alacsonyabb a szám, annál magasabb az elsőbbség). A Címke, a Jelszószinkronizálás engedélyezése és a Letiltott mezők esetében használja az alapértelmezett beállításokat.
Hagyja üresen a hatókörszűrőt . Ez azt jelenti, hogy a szabály az Active Directory Csatlakozás rendszer és a metaverse között csatlakoztatott összes objektumra vonatkozik.
Tartsa üresen az illesztés szabályait . Ez azt jelenti, hogy ez a szabály a standard alapértelmezett szabályban meghatározott illesztés feltételt használja. Ez egy másik ok arra, hogy ne tiltsa le vagy törölje a szabványos alapértelmezett szabályt. Ha nincs csatlakozási feltétel, az attribútum nem fog áramlani.
Adjon hozzá megfelelő átalakításokat az attribútumhoz. Konstanst rendelhet hozzá, hogy állandó értékfolyamot hozzon létre a célattribútumhoz. A forrás vagy a célattribútum közötti közvetlen leképezést használhatja. Vagy használhat egy kifejezést az attribútumhoz. Az alábbiakban különböző kifejezésfüggvényeket használhat.
Kimenő szinkronizálási szabály hozzáadása
Az attribútum célkönyvtárhoz való csatolásához létre kell hoznia egy kimenő szabályt. Ez azt jelenti, hogy a forrás a metaverse, a cél pedig a csatlakoztatott rendszer. Kimenő szabály létrehozásához indítsa el a Szinkronizálási szabályok szerkesztőt, módosítsa az irányt kimenőre, és válassza az Új szabály hozzáadása lehetőséget.
A bejövő szabályhoz hasonlóan saját elnevezési konvencióval is nevezheti el a szabályt. Válassza ki a Csatlakozás rendszerét Microsoft Entra-bérlőként, és válassza ki azt a csatlakoztatott rendszerobjektumot, amelyhez be szeretné állítani az attribútum értékét. Állítsa be az elsőbbséget 0 és 99 között.
Tartsa üresen a hatókörszűrőt és az illesztés szabályait . Töltse ki az átalakítást állandóként, közvetlenként vagy kifejezésként.
Most már tudja, hogyan hozhat létre új attribútumot egy felhasználói objektumfolyamhoz az Active Directoryból a Microsoft Entra-azonosítóba. Ezekkel a lépésekkel bármilyen attribútumot hozzárendelhet bármely objektumból a forráshoz és a célhoz. További információ: Egyéni szinkronizálási szabályok létrehozása és felkészülés a felhasználók kiépítésére.
Meglévő attribútum értékének felülbírálása
Érdemes lehet felülbírálni egy már leképezett attribútum értékét. Ha például mindig null értéket szeretne beállítani egy attribútumra a Microsoft Entra ID-ban, egyszerűen csak hozzon létre egy bejövő szabályt. Adja meg a kifejezés értékét, AuthoritativeNull
és haladjon a célattribútumba.
Megjegyzés:
Ebben AuthoritativeNull
az esetben használja Null
ahelyett, hogy ezt az esetet használjuk. Ennek az az oka, hogy a nem null érték lecseréli a null értéket, még akkor is, ha alacsonyabb a elsőbbsége (magasabb számérték a szabályban). AuthoritativeNull
más szabályok viszont nem helyettesítik a nem null értékű értékeket.
Meglévő attribútum szinkronizálásának mellőzve
Ha ki szeretne zárni egy attribútumot a szinkronizálásból, használja a Microsoft Entra Csatlakozás által biztosított attribútumszűrési funkciót. Indítsa el a Microsoft Entra Csatlakozás az asztali ikonra, majd válassza a Szinkronizálási beállítások testreszabása lehetőséget.
Győződjön meg arról, hogy a Microsoft Entra alkalmazás- és attribútumszűrés ki van jelölve, majd válassza a Tovább gombot.
Törölje a szinkronizálásból kizárni kívánt attribútumokat.
Hatókörszűrő módosítása
Azure AD-szinkronizáló gondoskodik a legtöbb objektumról. Az alapértelmezett szinkronizálási szabályok módosítása nélkül csökkentheti az objektumok hatókörét, és csökkentheti az exportálandó objektumok számát.
A szinkronizált objektumok hatókörének csökkentéséhez használja az alábbi módszerek egyikét:
- cloudFiltered attribútum
- Szervezeti egység szűrése
Ha csökkenti a szinkronizált felhasználók hatókörét, a jelszókivonat szinkronizálása a szűrt felhasználók esetében is leáll. Ha az objektumok már szinkronizálva vannak, a hatókör csökkentése után a szűrt objektumok törlődnek a célkönyvtárból. Ezért győződjön meg arról, hogy a hatókört nagyon körültekintően kell kezelnie.
Fontos
A Microsoft Entra Csatlakozás által konfigurált objektumok hatókörének növelése nem ajánlott. Ez megnehezíti a Microsoft támogatási csapatának a testreszabások megértését. Ha növelnie kell az objektumok hatókörét, szerkessze a meglévő szabályt, klónozza és tiltsa le az eredeti szabályt.
cloudFiltered attribútum
Ezt az attribútumot nem lehet beállítani az Active Directoryban. Az attribútum értékét egy új bejövő szabály hozzáadásával állíthatja be. Ezután az Átalakítás és kifejezés használatával beállíthatja ezt az attribútumot a metaversen. Az alábbi példa azt mutatja, hogy nem szeretné szinkronizálni az összes olyan felhasználót, akinek a részlegneve HRD-vel kezdődik (kis- és nagybetűk megkülönböztetése):
cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)
Először a részleget a forrásból (Active Directoryból) kisbetűssé alakítottuk. Ezután a Left
függvény használatával csak az első három karaktert vettük fel, és összehasonlítottuk a következővel hrd
. Ha megfeleltetve van, akkor az érték a következőre True
van állítva, ellenkező esetben NULL
. Ha az értéket null értékre állítja, más, alacsonyabb előzményű szabály (magasabb számérték) más feltétellel írhat hozzá. A szinkronizálási szabály érvényesítéséhez futtassa az előnézetet egy objektumon a szinkronizálási szabály érvényesítése szakaszban leírtak szerint.
Szervezeti egység szűrése
Létrehozhat egy vagy több szervezeti egységet (szervezeti egységeket), és áthelyezheti azokat az objektumokat, amelyeket nem szeretne szinkronizálni ezekre a szervezeti egységekre. Ezután konfigurálja a szervezeti egység szűrését a Microsoft Entra Csatlakozás. Indítsa el a Microsoft Entra Csatlakozás az asztal ikonjáról, és válassza az alábbi lehetőségeket. A szervezeti egység szűrését a Microsoft Entra Csatlakozás telepítésekor is konfigurálhatja.
Kövesse a varázslót, és törölje a nem szinkronizálni kívánt szervezeti egységek jelölését.
Csatlakozás feltételének módosítása
Használja a Microsoft Entra Csatlakozás által konfigurált alapértelmezett csatlakozási feltételeket. Az alapértelmezett illesztés feltételeinek módosítása megnehezíti a Microsoft támogatásának a testreszabások megértését és a termék támogatását.
Szinkronizálási szabály érvényesítése
Az újonnan hozzáadott szinkronizálási szabályt a teljes szinkronizálási ciklus futtatása nélkül érvényesítheti az előnézeti funkcióval. A Microsoft Entra Csatlakozás válassza a Szinkronizálási szolgáltatás lehetőséget.
Válassza a Metaverse Search lehetőséget. Jelölje ki a hatókörobjektumot személyként, válassza a Záradék hozzáadása lehetőséget, és említse meg a keresési feltételeket. Ezután válassza a Keresés lehetőséget, és kattintson duplán az objektumra a keresési eredmények között. A lépés futtatása előtt győződjön meg arról, hogy a Microsoft Entra Csatlakozás adatai naprakészek az adott objektumhoz. Ehhez futtassa az importálást és a szinkronizálást az erdőben.
A Metaverzum objektum tulajdonságai területen válassza a Csatlakozás orokat, jelölje ki az objektumot a megfelelő összekötőben (erdőben), majd válassza a Tulajdonságok...lehetőséget.
Válassza az Előnézet lehetőséget...
Az Előnézet ablakban válassza az Előzetes verzió létrehozása és az Attribútumfolyamat importálása lehetőséget a bal oldali panelen.
Itt láthatja, hogy az újonnan hozzáadott szabály az objektumon fut, és igaz értékre állította az cloudFiltered
attribútumot.
A módosított szabály és az alapértelmezett szabály összehasonlításához mindkét szabályt külön exportálja szövegfájlként. Ezek a szabályok PowerShell-szkriptfájlként lesznek exportálva. Ezeket bármely fájl-összehasonlító eszközzel (például windiff) összehasonlíthatja a módosítások megtekintéséhez.
Figyelje meg, hogy a módosított szabályban az msExchMailboxGuid
attribútum a Direct helyett a Kifejezés típusra módosul. Emellett az érték null értékűre és ExecuteOnce beállításra módosul. Figyelmen kívül hagyhatja az azonosított és az elsőbbségi különbségeket.
Ha ki szeretné javítani a szabályokat, hogy visszaállítsa őket az alapértelmezett beállításokra, törölje a módosított szabályt, és engedélyezze az alapértelmezett szabályt. Győződjön meg arról, hogy nem veszíti el az elérni kívánt testreszabást. Ha elkészült, futtassa a teljes szinkronizálást.
További lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: