Fitur layanan Microsoft Entra Connect Sync
Fitur sinkronisasi Microsoft Entra Koneksi memiliki dua komponen:
- Komponen lokal bernama Microsoft Entra Koneksi Sync, juga disebut mesin sinkronisasi.
- Layanan yang berada di ID Microsoft Entra juga dikenal sebagai layanan Microsoft Entra Koneksi Sync
Topik ini menjelaskan cara kerja fitur layanan Microsoft Entra Koneksi Sync berikut dan bagaimana Anda dapat mengonfigurasinya menggunakan PowerShell.
Untuk melihat konfigurasi di direktori Microsoft Entra Anda menggunakan Graph PowerShell, gunakan perintah berikut:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Hasilnya terlihat seperti output ini:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Setelah Anda mengaktifkan fitur, fitur tersebut tidak dapat dinonaktifkan lagi.
Catatan
Mulai 24 Agustus 2016, fitur Ketahanan atribut Duplikat diaktifkan secara default untuk direktori Microsoft Entra baru. Fitur ini juga akan diluncurkan dan diaktifkan pada direktori yang dibuat sebelum tanggal ini. Anda akan menerima pemberitahuan email saat direktori Anda akan mengaktifkan fitur ini.
Pengaturan berikut dikonfigurasi oleh Microsoft Entra Koneksi:
| DirSyncFeature | Komentar |
|---|---|
| SoftMatchOnUpn | Memungkinkan objek bergabung pada userPrincipalName selain alamat SMTP utama. |
| SynchronizeUpnForManagedUsers | Memungkinkan mesin sinkronisasi memperbarui atribut userPrincipalName untuk pengguna terkelola/berlisensi (tidak terfederasi). |
| DeviceWriteback | Microsoft Entra Koneksi: Mengaktifkan tulis balik perangkat |
| DirectoryExtensions | Microsoft Entra Koneksi Sync: Ekstensi direktori |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Memungkinkan atribut dikarantina ketika merupakan duplikat objek lain daripada menggagalkan seluruh objek selama ekspor. |
| Sinkronisasi Hash Kata Sandi | Menerapkan sinkronisasi hash kata sandi dengan Microsoft Entra Koneksi Sync |
| Autentikasi Pass-through | Aktivitas masuk pengguna dengan autentikasi pass-through Microsoft Entra |
| UnifiedGroupWriteback | Tulis balik grup |
| UserWriteback | Saat ini tidak didukung. |
Ketahanan atribut duplikat
Sebagai ganti gagal memprovisi objek dengan UPN/proxyAddresses duplikat, atribut duplikat “dikarantina” dan nilai sementara ditetapkan. Ketika konflik diselesaikan, UPN sementara diubah ke nilai yang tepat secara otomatis. Untuk mengetahui detail selengkapnya, lihat Sinkronisasi identitas dan ketahanan atribut duplikat.
Kecocokan sementara UserPrincipalName
Ketika fitur ini diaktifkan, kecocokan sementara diaktifkan untuk UPN selain alamat SMTP utama, yang selalu diaktifkan. Soft-match digunakan untuk mencocokkan pengguna cloud yang ada di ID Microsoft Entra dengan pengguna lokal.
Jika Anda perlu mencocokkan akun AD lokal dengan akun yang sudah ada yang dibuat di cloud dan Anda tidak menggunakan Exchange Online, fitur ini berguna. Dalam skenario ini, Anda umumnya tidak memiliki alasan untuk mengatur atribut SMTP di cloud.
Fitur ini aktif secara default untuk direktori Microsoft Entra yang baru dibuat. Anda dapat melihat apakah fitur ini diaktifkan untuk Anda dengan menjalankan:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Jika fitur ini tidak diaktifkan untuk direktori Microsoft Entra Anda, maka Anda dapat mengaktifkannya dengan menjalankan:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Ketika fitur ini diaktifkan, fitur Soft Match akan diblokir. Pelanggan didorong untuk mengaktifkan fitur ini dan tetap diaktifkan sampai Soft Matching diperlukan lagi untuk sewa mereka. Bendera ini harus diaktifkan lagi setelah pencocokan lembut selesai dan tidak lagi diperlukan.
Contoh - untuk memblokir pencocokan lembut di penyewa Anda, jalankan cmdlet ini:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Menyinkronkan pembaruan userPrincipalName
Secara historis, pembaruan pada atribut UserPrincipalName menggunakan layanan sinkronisasi dari lokal telah diblokir, kecuali kedua kondisi ini benar:
- Pengguna dikelola (tidak terfederasi).
- Pengguna belum diberi lisensi.
Catatan
Mulai Maret 2019, sinkronisasi perubahan UPN untuk akun pengguna terfederasi diizinkan.
Mengaktifkan fitur ini memungkinkan mesin sinkronisasi untuk memperbarui userPrincipalName ketika diubah di lingkungan lokal dan Anda menggunakan sinkronisasi hash kata sandi atau autentikasi pass-through.
Fitur ini aktif secara default untuk direktori Microsoft Entra yang baru dibuat. Anda dapat melihat apakah fitur ini diaktifkan untuk Anda dengan menjalankan:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Jika fitur ini tidak diaktifkan untuk direktori Microsoft Entra Anda, maka Anda dapat mengaktifkannya dengan menjalankan:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Setelah mengaktifkan fitur ini, nilai userPrincipalName yang ada akan tetap apa adanya. Pada perubahan berikutnya dari atribut userPrincipalName di lingkungan lokal, sinkronisasi delta normal pada pengguna akan memperbarui UPN.