A Microsoft Entra Connect szinkronizálási szolgáltatás funkciói
A Microsoft Entra Connect szinkronizálási funkciója két összetevőből áll:
- A Microsoft Entra Connect Sync nevű helyszíni összetevő, más néven szinkronizálási motor.
- A Microsoft Entra ID-ban található szolgáltatás, más néven Microsoft Entra Connect Sync szolgáltatás
Ez a témakör bemutatja, hogyan működnek a Microsoft Entra Connect Sync szolgáltatás alábbi funkciói, és hogyan konfigurálhatja őket a PowerShell használatával.
A Microsoft Entra-címtár konfigurációjának a Graph PowerShell használatával történő megtekintéséhez használja a következő parancsokat:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Az eredmény így néz ki:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Feljegyzés
2016. augusztus 24-től az ismétlődő attribútum rugalmassága alapértelmezés szerint engedélyezve van az új Microsoft Entra-könyvtárak esetében. Ez a funkció a dátum előtt létrehozott címtárakon is megjelenik és engedélyezve lesz. E-mailben értesítést kap, ha a címtára engedélyezni szeretné ezt a funkciót.
A következő beállítások vannak konfigurálva a Microsoft Entra Connectben:
| DirSyncFeature | Megjegyzés |
|---|---|
| SoftMatchOnUpn | Lehetővé teszi, hogy az objektumok az elsődleges SMTP-cím mellett csatlakozzanak a userPrincipalName fájlhoz. |
| SynchronizeUpnForManagedUsers | Lehetővé teszi a szinkronizálási motor számára, hogy frissítse a userPrincipalName attribútumot a felügyelt/licencelt (nem felügyelt) felhasználók számára. |
| DeviceWriteback | Microsoft Entra Connect: Eszközvisszaíró engedélyezése |
| DirectoryExtensions | Microsoft Entra Connect Sync: Címtárbővítmények |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Lehetővé teszi, hogy egy attribútum karanténba legyen helyezve, ha az egy másik objektum duplikálása, nem pedig a teljes objektum meghibásodása az exportálás során. |
| Jelszókivonat szinkronizálása | Jelszókivonat-szinkronizálás implementálása a Microsoft Entra Connect Synctel |
| Jelszóvisszaíró | Nem támogatott. Ez a szolgáltatásfunkció megszűnt. A jelszóvisszaíró konfigurálásához lásd: Jelszóvisszaíró engedélyezése a Microsoft Entra Connectben |
| Átmenő hitelesítés | Felhasználói bejelentkezés a Microsoft Entra átmenő hitelesítésével |
| UnifiedGroupWriteback | Group writeback (Csoportvisszaíró) |
| UserWriteback | Jelenleg nem támogatott. |
Duplikált attribútum rugalmassága
Ahelyett, hogy duplikált UPN-ekkel/ proxyAddresses-ekkel nem építenek ki objektumokat, a duplikált attribútum "karanténba van helyezve", és egy ideiglenes érték van hozzárendelve. Az ütközés feloldásakor az ideiglenes UPN automatikusan a megfelelő értékre változik. További információ: Identitásszinkronizálás és ismétlődő attribútumok rugalmassága.
UserPrincipalName helyreállítható egyezés
Ha ez a funkció engedélyezve van, a helyreállítható egyezés engedélyezve van az UPN-hez az elsődleges SMTP-cím mellett, amely mindig engedélyezve van. A soft-match a Microsoft Entra ID-ban meglévő felhőfelhasználók helyszíni felhasználókkal való egyeztetésére szolgál.
Ha meg kell egyeznie a helyszíni AD-fiókokkal a felhőben létrehozott meglévő fiókokkal, és nem használja az Exchange Online-t, akkor ez a funkció hasznos. Ebben a forgatókönyvben általában nincs oka beállítani az SMTP attribútumot a felhőben.
Ez a funkció alapértelmezés szerint be van kapcsolva az újonnan létrehozott Microsoft Entra-címtárak esetében. A következő futtatásával ellenőrizheti, hogy ez a funkció engedélyezve van-e:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Ha ez a funkció nincs engedélyezve a Microsoft Entra-címtárban, akkor a következő futtatásával engedélyezheti:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Ha ez a funkció engedélyezve van, letiltja a Helyreállítható egyezés funkciót. Javasoljuk az ügyfeleknek, hogy engedélyezzék ezt a funkciót, és maradjanak engedélyezve, amíg újra meg nem követelik a Soft Matching használatát a bérlői szerződésükhöz. Ezt a jelzőt újra engedélyezni kell, miután a helyreállítható egyeztetés befejeződött, és már nincs rá szükség.
Példa – A bérlő helyreállítható egyeztetésének letiltása:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
UserPrincipalName-frissítések szinkronizálása
Korábban a Helyszíni szinkronizálási szolgáltatást használó UserPrincipalName attribútum frissítései le lettek tiltva, kivéve, ha mindkét feltétel teljesült:
- A felhasználó felügyelt (nem felügyelt).
- A felhasználóhoz nincs hozzárendelve licenc.
Feljegyzés
2019 márciusától engedélyezett az összevont felhasználói fiókok UPN-módosításainak szinkronizálása.
A funkció engedélyezésével a szinkronizálási motor frissítheti a userPrincipalName nevet a helyszíni módosításkor, és jelszókivonat-szinkronizálást vagy átmenő hitelesítést használ.
Ez a funkció alapértelmezés szerint be van kapcsolva az újonnan létrehozott Microsoft Entra-címtárak esetében. A következő futtatásával ellenőrizheti, hogy ez a funkció engedélyezve van-e:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Ha ez a funkció nincs engedélyezve a Microsoft Entra-címtárban, akkor a következő futtatásával engedélyezheti:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
A funkció engedélyezése után a userPrincipalName meglévő értékei változatlanok maradnak. A helyszíni userPrincipalName attribútum következő módosításakor a felhasználók normál delta-szinkronizálása frissíti az UPN-et. Ha ez a funkció engedélyezve van, nem lehet letiltani.