Funzionalità del servizio sincronizzazione di Microsoft Entra Connect
La funzionalità di sincronizzazione di Microsoft Entra Connessione include due componenti:
- Il componente locale denominato Microsoft Entra Connessione Sync, detto anche motore di sincronizzazione.
- Il servizio che risiede in Microsoft Entra ID noto anche come servizio Microsoft Entra Connessione Sync
Questo argomento illustra come funzionano le funzionalità seguenti del servizio Microsoft Entra Connessione Sync e come configurarle usando PowerShell.
Per visualizzare la configurazione nella directory di Microsoft Entra usando Graph PowerShell, usare i comandi seguenti:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Il risultato è simile all'output seguente:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Dopo aver abilitato una funzionalità, non può essere disabilitata di nuovo.
Nota
Dal 24 agosto 2016 la funzionalità Resilienza degli attributi duplicati è abilitata per impostazione predefinita per le nuove directory di Microsoft Entra. Questa funzionalità sarà implementata e abilitata anche nelle directory create prima di tale data. Si riceverà una notifica tramite posta elettronica quando sta per essere abilitata questa funzionalità nella directory dell'utente.
Le impostazioni seguenti sono configurate da Microsoft Entra Connessione:
| DirSyncFeature | Commento |
|---|---|
| SoftMatchOnUpn | Consente l'aggiunta di oggetti a userPrincipalName oltre all'indirizzo SMTP primario. |
| SynchronizeUpnForManagedUsers | Consente al motore di sincronizzazione di aggiornare l'attributo userPrincipalName per gli utenti gestiti/con licenza (non federati). |
| DeviceWriteback | Microsoft Entra Connessione: Abilitazione del writeback dei dispositivi |
| DirectoryExtensions | Sincronizzazione di Microsoft Entra Connessione: estensioni della directory |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Consente di mettere in quarantena un attributo quando si tratta di un duplicato di un altro oggetto anziché di un errore dell'intero oggetto durante l'esportazione. |
| Sincronizzazione dell'hash delle password | Implementazione della sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync |
| Autenticazione pass-through | Accesso utente con l'autenticazione pass-through di Microsoft Entra |
| UnifiedGroupWriteback | Writeback dei gruppi |
| UserWriteback | Attualmente non supportata. |
Resilienza degli attributi duplicati
Invece di causare un errore di provisioning degli oggetti con UPN o proxyAddress duplicati, l'attributo duplicato viene "messo in quarantena" e viene assegnato un valore temporaneo. Una volta risolto il conflitto, l'UPN temporaneo viene modificato automaticamente con il valore appropriato. Per altre informazioni, vedere Sincronizzazione delle identità e resilienza degli attributi duplicati.
Corrispondenza flessibile di userPrincipalName
Quando questa funzionalità è abilitata, la corrispondenza flessibile viene abilitata per l'UPN, oltre all' indirizzo SMTP primarioche è sempre abilitato. La corrispondenza temporanea viene usata per abbinare gli utenti cloud esistenti in Microsoft Entra ID con gli utenti locali.
Se è necessario associare gli account AD locali con gli account esistenti creati nel cloud e non si usa Exchange Online, questa funzionalità è utile. In questo scenario non esiste in genere un motivo per impostare l'attributo SMTP nel cloud.
Questa funzionalità è attivata per impostazione predefinita per le directory microsoft Entra appena create. Per vedere se la funzionalità è abilitata per l'utente corrente, eseguire:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Se questa funzionalità non è abilitata per la directory Microsoft Entra, è possibile abilitarla eseguendo:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Quando questa funzionalità è abilitata, blocca la funzionalità Soft Match. I clienti sono invitati ad abilitare questa funzionalità e mantenerla abilitata fino a quando la corrispondenza temporanea non è necessaria di nuovo per la tenancy. Questo flag deve essere nuovamente abilitato dopo il completamento di qualsiasi corrispondenza temporanea e non è più necessario.
Esempio: per bloccare la corrispondenza temporanea nel tenant, eseguire questo cmdlet:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Sincronizzare gli aggiornamenti di userPrincipalName
In genere, gli aggiornamenti dell'attributo UserPrincipalName tramite il servizio di sincronizzazione locale vengono bloccati, a meno che non siano rispettate entrambe le condizioni seguenti:
- L'utente è gestito (non federato).
- All'utente non è stata assegnata una licenza.
Nota
Da marzo 2019, è consentita la sincronizzazione delle modifiche UPN per gli account utente federati.
L'abilitazione di questa funzionalità consente al motore di sincronizzazione di aggiornare l'attributo userPrincipalName quando viene modificato a livello locale e si usa la sincronizzazione dell'hash delle password o l'autenticazione pass-through.
Questa funzionalità è attivata per impostazione predefinita per le directory microsoft Entra appena create. Per vedere se la funzionalità è abilitata per l'utente corrente, eseguire:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Se questa funzionalità non è abilitata per la directory Microsoft Entra, è possibile abilitarla eseguendo:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Dopo aver abilitato questa funzionalità, i valori di userPrincipalName esistenti rimarranno invariati. Alla successiva modifica dell'attributo userPrincipalName locale, la normale sincronizzazione differenziale degli utenti aggiornerà l'UPN.