Correzione delle regole predefinite modificate in Microsoft Entra Connessione
Microsoft Entra Connessione usa le regole predefinite per la sincronizzazione. Sfortunatamente, queste regole non si applicano universalmente a tutte le organizzazioni. In base ai requisiti, potrebbe essere necessario modificarli. Questo articolo illustra due esempi delle personalizzazioni più comuni e illustra il modo corretto per ottenere queste personalizzazioni.
Nota
La modifica delle regole predefinite esistenti per ottenere una personalizzazione necessaria non è supportata. In questo caso, impedisce l'aggiornamento di queste regole alla versione più recente nelle versioni future. Non si otterranno le correzioni di bug necessarie o nuove funzionalità. Questo documento illustra come ottenere lo stesso risultato senza modificare le regole predefinite esistenti.
Come identificare le regole predefinite modificate
A partire dalla versione 1.3.7.0 di Microsoft Entra Connessione, è facile identificare la regola predefinita modificata. Passare ad App sul desktop e selezionare Editor regole di sincronizzazione.
Nell'editor vengono visualizzate tutte le regole predefinite modificate con un'icona di avviso davanti al nome.
Viene visualizzata anche una regola disabilitata con lo stesso nome accanto a essa (si tratta della regola predefinita standard).
Personalizzazioni comuni
Di seguito sono riportate le personalizzazioni comuni per le regole predefinite:
- Modificare il flusso degli attributi
- Modificare il filtro di ambito
- Modificare la condizione di join
Prima di modificare le regole:
Disabilitare l'utilità di pianificazione della sincronizzazione. Per impostazione predefinita, l' utilità di pianificazione viene eseguita ogni 30 minuti. Assicurarsi che non si avvii durante l'esecuzione delle modifiche e la risoluzione dei problemi delle nuove regole. Per disabilitare temporaneamente l'utilità di pianificazione, avviare PowerShell ed eseguire
Set-ADSyncScheduler -SyncCycleEnabled $false.
La modifica nel filtro di ambito può comportare l'eliminazione di oggetti nella directory di destinazione. Prestare attenzione prima di apportare modifiche nell'ambito degli oggetti. È consigliabile apportare modifiche a un server di staging prima di apportare modifiche al server attivo.
Eseguire un'anteprima su un singolo oggetto, come indicato nella sezione Convalida regola di sincronizzazione , dopo aver aggiunto una nuova regola.
Eseguire una sincronizzazione completa dopo l'aggiunta di una nuova regola o la modifica di qualsiasi regola di sincronizzazione personalizzata. Questa sincronizzazione applica nuove regole a tutti gli oggetti .
Modificare il flusso degli attributi
Esistono tre diversi scenari per la modifica del flusso di attributi:
- Aggiunta di un nuovo attributo.
- Override del valore di un attributo esistente.
- Scelta di non sincronizzare un attributo esistente.
È possibile eseguire queste operazioni senza modificare le regole predefinite standard.
Aggiungere un nuovo attributo
Se si rileva che un attributo non viene propagato dalla directory di origine alla directory di destinazione, usare Microsoft Entra Connessione Sync: Estensioni della directory per risolvere il problema.
Se le estensioni non funzionano automaticamente, provare ad aggiungere due nuove regole di sincronizzazione, descritte nelle sezioni seguenti.
Aggiungere una regola di sincronizzazione in ingresso
Una regola di sincronizzazione in ingresso indica che l'origine per l'attributo è uno spazio connettore e la destinazione è il metaverse. Ad esempio, per avere un nuovo flusso di attributi da Active Directory locale a MICROSOFT Entra ID, creare una nuova regola di sincronizzazione in ingresso. Avviare l'Editor regole di sincronizzazione, selezionare Inbound (Inbound) come direzione e selezionare Aggiungi nuova regola.
Seguire la convenzione di denominazione personalizzata per denominare la regola. In questo caso viene usato Custom In from AD - User (Personalizzato in da AD - Utente). Ciò significa che la regola è una regola personalizzata ed è una regola in ingresso dallo spazio connettore di Active Directory al metaverse.
Fornire una descrizione personalizzata della regola, in modo che la manutenzione futura della regola sia semplice. Ad esempio, la descrizione può essere basata sull'obiettivo della regola e sul motivo per cui è necessaria.
Effettuare le selezioni per i campi System Connessione ed System, System Object Type Connessione ed e Metaverse Object Type .
Specificare il valore di precedenza compreso tra 0 e 99 (minore è il numero, maggiore è la precedenza). Per i campi Tag, Abilita sincronizzazione password e Disabilitato , usare le selezioni predefinite.
Mantenere vuoto il filtro di ambito. Ciò significa che la regola si applica a tutti gli oggetti uniti tra Active Directory Connessione ed System e il metaverse.
Mantenere vuote le regole di join. Ciò significa che questa regola usa la condizione di join definita nella regola predefinita standard. Questo è un altro motivo per cui non disabilitare o eliminare la regola predefinita standard. Se non è presente alcuna condizione di join, l'attributo non verrà eseguito.
Aggiungere trasformazioni appropriate per l'attributo. È possibile assegnare una costante per creare un flusso di valori costante all'attributo di destinazione. È possibile usare il mapping diretto tra l'attributo di origine o di destinazione. In alternativa, è possibile usare un'espressione per l'attributo . Di seguito sono riportate varie funzioni di espressione che è possibile usare.
Aggiungere una regola di sincronizzazione in uscita
Per collegare l'attributo alla directory di destinazione, è necessario creare una regola in uscita. Ciò significa che l'origine è il metaverse e la destinazione è il sistema connesso. Per creare una regola in uscita, avviare l'Editor regole di sincronizzazione, impostare Direzionesu In uscita e selezionare Aggiungi nuova regola.
Come per la regola in ingresso, è possibile usare una convenzione di denominazione personalizzata per denominare la regola. Selezionare il Connessione ed System come tenant di Microsoft Entra e selezionare l'oggetto di sistema connesso a cui si vuole impostare il valore dell'attributo. Impostare la precedenza da 0 a 99.
Mantenere vuoti i filtri di ambito e le regole di join. Compilare la trasformazione come costante, diretta o espressione.
Si è ora appreso come creare un nuovo attributo per un flusso di oggetti utente da Active Directory a Microsoft Entra ID. È possibile usare questi passaggi per eseguire il mapping di qualsiasi attributo da qualsiasi oggetto all'origine e alla destinazione. Per altre informazioni, vedere Creazione di regole di sincronizzazione personalizzate e Preparazione per il provisioning degli utenti.
Eseguire l'override del valore di un attributo esistente
È possibile eseguire l'override del valore di un attributo già mappato. Ad esempio, se si vuole sempre impostare un valore Null su un attributo in Microsoft Entra ID, è sufficiente creare una regola in ingresso. Impostare il valore dell'espressione, AuthoritativeNull, sul flusso all'attributo di destinazione.
Nota
Usare AuthoritativeNull invece di Null in questo caso. Ciò è dovuto al fatto che il valore non Null sostituisce il valore Null, anche se ha una precedenza inferiore (un valore numerico superiore nella regola). AuthoritativeNull, d'altra parte, non viene sostituito con un valore non Null da altre regole.
Non sincronizzare l'attributo esistente
Se si vuole escludere un attributo dalla sincronizzazione, usare la funzionalità di filtro degli attributi fornita in Microsoft Entra Connessione. Avviare Microsoft Entra Connessione dall'icona del desktop e quindi selezionare Personalizza opzioni di sincronizzazione.
Assicurarsi che sia selezionata l'app Microsoft Entra e il filtro degli attributi e selezionare Avanti.
Cancellare gli attributi da escludere dalla sincronizzazione.
Modificare il filtro di ambito
Azure AD Sync si occupa della maggior parte degli oggetti. È possibile ridurre l'ambito degli oggetti e ridurre il numero di oggetti da esportare, senza modificare le regole di sincronizzazione predefinite standard.
Usare uno dei metodi seguenti per ridurre l'ambito degli oggetti sincronizzati:
- attributo cloudFiltered
- Filtro unità organizzativa
Se si riduce l'ambito degli utenti sincronizzati, la sincronizzazione dell'hash delle password viene arrestata anche per gli utenti filtrati. Se gli oggetti sono già sincronizzati, dopo aver ridotto l'ambito, gli oggetti filtrati vengono eliminati dalla directory di destinazione. Per questo motivo, assicurarsi di definire con attenzione l'ambito.
Importante
Non è consigliabile aumentare l'ambito degli oggetti configurati da Microsoft Entra Connessione. In questo modo è difficile per il team di supporto Microsoft comprendere le personalizzazioni. Se è necessario aumentare l'ambito degli oggetti, modificare la regola esistente, clonarla e disabilitare la regola originale.
attributo cloudFiltered
Non è possibile impostare questo attributo in Active Directory. Impostare il valore di questo attributo aggiungendo una nuova regola in ingresso. È quindi possibile usare Trasformazione ed Espressione per impostare questo attributo nel metaverse. L'esempio seguente mostra che non si vuole sincronizzare tutti gli utenti il cui nome del reparto inizia con HRD (senza distinzione tra maiuscole e minuscole):
cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)
Per prima cosa il reparto è stato convertito dall'origine (Active Directory) in minuscolo. Quindi, usando la Left funzione , sono stati presi solo i primi tre caratteri e confrontati con hrd. Se corrisponde, il valore viene impostato su True, in caso contrario NULL. Nell'impostazione del valore su Null, altre regole con precedenza inferiore (un valore numerico superiore) possono scrivervi con una condizione diversa. Eseguire l'anteprima su un oggetto per convalidare la regola di sincronizzazione, come indicato nella sezione Convalida regola di sincronizzazione .
Filtro unità organizzativa
È possibile creare una o più unità organizzative e spostare gli oggetti che non si desidera sincronizzare con queste unità organizzative. Configurare quindi il filtro dell'unità organizzativa in Microsoft Entra Connessione. Avviare Microsoft Entra Connessione dall'icona del desktop e selezionare le opzioni seguenti. È anche possibile configurare il filtro dell'unità organizzativa al momento dell'installazione di Microsoft Entra Connessione.
Seguire la procedura guidata e deselezionare le unità organizzative che non si desidera sincronizzare.
Modificare la condizione di join
Usare le condizioni di join predefinite configurate da Microsoft Entra Connessione. La modifica delle condizioni di join predefinite rende difficile per il supporto tecnico Microsoft comprendere le personalizzazioni e supportare il prodotto.
Convalidare la regola di sincronizzazione
È possibile convalidare la regola di sincronizzazione appena aggiunta usando la funzionalità di anteprima, senza eseguire il ciclo di sincronizzazione completo. In Microsoft Entra Connessione selezionare Servizio di sincronizzazione.
Selezionare Ricerca metaverse. Selezionare l'oggetto ambito come persona, selezionare Aggiungi clausola e menzionare i criteri di ricerca. Selezionare quindi Cerca e fare doppio clic sull'oggetto nei risultati della ricerca. Assicurarsi che i dati in Microsoft Entra Connessione siano aggiornati per tale oggetto, eseguendo l'importazione e la sincronizzazione nella foresta prima di eseguire questo passaggio.
In Proprietà oggetto Metaverse selezionare Connessione ors, selezionare l'oggetto nel connettore corrispondente (foresta) e selezionare Proprietà....
Selezionare Anteprima...
Nella finestra Anteprima selezionare Genera anteprima e Importa flusso attributo nel riquadro sinistro.
In questo caso, si noti che la regola appena aggiunta viene eseguita nell'oggetto e ha impostato l'attributo cloudFiltered su true.
Per confrontare la regola modificata con la regola predefinita, esportare entrambe le regole separatamente, come file di testo. Queste regole vengono esportate come file di script di PowerShell. È possibile confrontarli usando qualsiasi strumento di confronto dei file (ad esempio, windiff) per visualizzare le modifiche.
Si noti che nella regola modificata l'attributo msExchMailboxGuid viene modificato nel tipo Expression , anziché Direct. Inoltre, il valore viene modificato in NULL e l'opzione ExecuteOnce . È possibile ignorare le differenze identificate e di precedenza.
Per correggere le regole per ripristinare le impostazioni predefinite, eliminare la regola modificata e abilitare la regola predefinita. Assicurarsi di non perdere la personalizzazione che si sta tentando di ottenere. Quando si è pronti, eseguire la sincronizzazione completa.