Sincronizzazione di Microsoft Entra Connessione: procedure consigliate per modificare la configurazione predefinita

Lo scopo di questo argomento è descrivere le modifiche supportate e non supportate in Microsoft Entra Connessione Sync.

La configurazione creata da Microsoft Entra Connessione funziona "così come è" per la maggior parte degli ambienti che sincronizzano Active Directory locale con Microsoft Entra ID. In alcuni casi, tuttavia, è necessario applicare alcune modifiche a una configurazione per soddisfare un'esigenza o un requisito specifico.

Modifiche apportate all'account del servizio

Microsoft Entra Connessione Sync viene eseguito con un account del servizio creato dall'installazione guidata. Questo account del servizio contiene le chiavi di crittografia per il database usato dalla sincronizzazione. Viene creato con una password lunga 127 caratteri e la password è impostata per non scadere.

Avviso

Se si modifica o si reimposta la password dell'account del servizio ADSync, il servizio di sincronizzazione non sarà in grado di avviarsi correttamente finché non si è abbandonata la chiave di crittografia e la password dell'account del servizio ADSync. A tale scopo, vedere Modifica della password dell'account del servizio ADSync.

Modifiche apportate all'utilità di pianificazione

A partire dalle versioni rilasciate con la build 1.1 (febbraio 2016), è possibile configurare l' utilità di pianificazione per ottenere un ciclo di sincronizzazione diverso dai 30 minuti predefiniti.

Modifiche apportate alle regole di sincronizzazione

L'installazione guidata fornisce una configurazione valida per gli scenari più comuni. Nel caso in cui sia necessario apportare modifiche alla configurazione, seguire queste regole per disporre ancora di una configurazione supportata.

Avviso

Se si apportano modifiche alle regole di sincronizzazione predefinite, queste modifiche verranno sovrascritte alla successiva aggiornamento di Microsoft Entra Connessione, causando risultati imprevisti e probabilmente indesiderati di sincronizzazione.

• È possibile modificare i flussi degli attributi se quelli diretti e predefiniti non sono adatti alla propria organizzazione.
• Se si desidera non eseguire il flusso di un attributo e rimuovere i valori di attributo esistenti in Microsoft Entra ID, è necessario creare una regola per questo scenario.
• Disabilitare una regola di sincronizzazione indesiderata invece di eliminarla. Una regola eliminata viene ricreata durante un aggiornamento.
• Per modificare una regola predefinita, creare una copia della regola originale e disabilitare quella predefinita. L'editor delle regole di sincronizzazione visualizza istruzioni e fornisce informazioni.
• Esportare le regole di sincronizzazione personalizzate usando l'Editor regole di sincronizzazione. L'editor fornisce uno script di PowerShell che è possibile usare per ricrearle facilmente in uno scenario di ripristino di emergenza.

Avviso

Le regole di sincronizzazione predefinite hanno un'identificazione personale associata. Se si apporta una modifica a queste regole, l'identificazione personale non sarà più corrispondente. Potrebbero verificarsi problemi in futuro quando si tenta di applicare una nuova versione di Microsoft Entra Connessione. Apportare modifiche solo nel modo descritto in questo articolo.

Disabilitare una regola di sincronizzazione indesiderata

Non eliminare una regola di sincronizzazione predefinita. Verrà ricreata durante l'aggiornamento successivo.

In alcuni casi l'installazione guidata ha generato una configurazione che non funziona per la topologia dell'utente. Ad esempio, se è disponibile una topologia di foresta di account o di risorse, ma lo schema nella foresta di account è stato esteso con lo schema di Exchange, per le foresta di account e per quella di risorse vengono quindi create regole per Exchange. In questo caso è necessario disabilitare la regola di sincronizzazione per Exchange.

Nella figura precedente l'installazione guidata ha rilevato un vecchio schema di Exchange 2003 nella foresta di account. Questa estensione dello schema è stata aggiunta prima dell'introduzione della foresta di risorse nell'ambiente di Fabrikam. Per assicurarsi che non vengano sincronizzati gli attributi dall'implementazione di Exchange precedente, la regola di sincronizzazione deve essere disabilitata come illustrato.

modificare una regola predefinita

È necessario modificare una regola predefinita solo se è necessario modificare la regola join. Se si vuole modificare un flusso di attributi, creare una regola di sincronizzazione con una precedenza superiore rispetto alle regole predefinite. L'unica regola che è in pratica necessario clonare è la regola In from AD – User Join. È possibile eseguire l'override di tutte le altre regole con una regola di precedenza superiore.

Se è necessario apportare modifiche a una regola predefinita, effettuarne una copia e disabilitare la regola originale. Quindi apportare le modifiche alla regola clonata. L'editor delle regole di sincronizzazione facilita l'esecuzione di questa procedura. Quando si apre una regola predefinita, viene visualizzata questa finestra di dialogo:

Selezionare Sì per creare una copia della regola. Viene quindi aperta la regola clonata.

In questa regola clonata, apportare le modifiche necessarie all'ambito, al join e alle trasformazioni.

Passaggi successivi

Argomenti generali

• Microsoft Entra Connessione Sync: Informazioni e personalizzazione della sincronizzazione
• Integrazione delle identità locali con Microsoft Entra ID