Funzionalità del servizio Microsoft Entra Connessione Sync
La funzionalità di sincronizzazione di Microsoft Entra Connessione include due componenti:
- Il componente locale denominato Microsoft Entra Connessione Sync, detto anche motore di sincronizzazione.
- Il servizio che risiede in Microsoft Entra ID noto anche come servizio Microsoft Entra Connessione Sync
Questo argomento illustra come funzionano le funzionalità seguenti del servizio Microsoft Entra Connessione Sync e come configurarle usando PowerShell.
Queste impostazioni vengono configurate dal modulo Azure AD PowerShell. Scaricare e installarlo separatamente da Microsoft Entra Connessione. I cmdlet documentati in questo argomento sono stati introdotti nella versione di marzo 2016 (build 9031.1). Se i cmdlet non sono documentati in questo argomento o non producono lo stesso risultato, assicurarsi di eseguire la versione più recente.
Per visualizzare la configurazione nella directory Microsoft Entra, eseguire Get-MsolDirSyncFeatures.
Per visualizzare la configurazione nella directory di Microsoft Entra usando Graph PowerShell, usare i comandi seguenti:
Connect-MgGraph -Scopes OnPremDirectorySynchronization.Read.All, OnPremDirectorySynchronization.ReadWrite.All
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
L'output è simile a Get-MsolDirSyncFeatures:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Molte di queste impostazioni possono essere modificate solo da Microsoft Entra Connessione.
Di seguito sono riportate le impostazioni che possono essere configurate da Set-MsolDirSyncFeature:
| DirSyncFeature | Comment |
|---|---|
| EnableSoftMatchOnUpn | Consente l'aggiunta di oggetti a userPrincipalName oltre all'indirizzo SMTP primario. |
| SynchronizeUpnForManagedUsers | Consente al motore di sincronizzazione di aggiornare l'attributo userPrincipalName per gli utenti gestiti/con licenza (non federati). |
Dopo aver abilitato una funzionalità, non può essere disabilitata di nuovo.
Nota
Dal 24 agosto 2016 la funzionalità Resilienza degli attributi duplicati è abilitata per impostazione predefinita per le nuove directory di Microsoft Entra. Questa funzionalità sarà implementata e abilitata anche nelle directory create prima di tale data. Si riceverà una notifica tramite posta elettronica quando sta per essere abilitata questa funzionalità nella directory dell'utente.
Le impostazioni seguenti sono configurate da Microsoft Entra Connessione e non possono essere modificate da Set-MsolDirSyncFeature:
| DirSyncFeature | Comment |
|---|---|
| DeviceWriteback | Microsoft Entra Connessione: Abilitazione del writeback dei dispositivi |
| DirectoryExtensions | Sincronizzazione di Microsoft Entra Connessione: estensioni della directory |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Consente di mettere in quarantena un attributo quando si tratta di un duplicato di un altro oggetto anziché di un errore dell'intero oggetto durante l'esportazione. |
| Sincronizzazione dell'hash delle password | Implementazione della sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync |
| Autenticazione pass-through | Accesso utente con l'autenticazione pass-through di Microsoft Entra |
| UnifiedGroupWriteback | Writeback dei gruppi |
| UserWriteback | Attualmente non supportata. |
Resilienza degli attributi duplicati
Invece di causare un errore di provisioning degli oggetti con UPN o proxyAddress duplicati, l'attributo duplicato viene "messo in quarantena" e viene assegnato un valore temporaneo. Una volta risolto il conflitto, l'UPN temporaneo viene modificato automaticamente con il valore appropriato. Per altre informazioni, vedere Sincronizzazione delle identità e resilienza degli attributi duplicati.
Corrispondenza flessibile di userPrincipalName
Quando questa funzionalità è abilitata, la corrispondenza flessibile viene abilitata per l'UPN, oltre all' indirizzo SMTP primarioche è sempre abilitato. La corrispondenza temporanea viene usata per abbinare gli utenti cloud esistenti in Microsoft Entra ID con gli utenti locali.
Se è necessario associare gli account AD locali con gli account esistenti creati nel cloud e non si usa Exchange Online, questa funzionalità è utile. In questo scenario non esiste in genere un motivo per impostare l'attributo SMTP nel cloud.
Questa funzionalità è attivata per impostazione predefinita per le directory microsoft Entra appena create. Per vedere se la funzionalità è abilitata per l'utente corrente, eseguire:
## Using the MSOnline module
Get-MsolDirSyncFeatures -Feature EnableSoftMatchOnUpn
## Using the Graph PowerShell module
$Config = Get-MgDirectoryOnPremisSynchronization
$Config.Features.SoftMatchOnUpnEnabled
Se questa funzionalità non è abilitata per la directory Microsoft Entra, è possibile abilitarla eseguendo:
Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $true
BlockSoftMatch
Quando questa funzionalità è abilitata, blocca la funzionalità Soft Match. I clienti sono invitati ad abilitare questa funzionalità e mantenerla abilitata fino a quando la corrispondenza temporanea non è necessaria di nuovo per la tenancy. Questo flag deve essere nuovamente abilitato dopo il completamento di qualsiasi corrispondenza temporanea e non è più necessario.
Esempio: per bloccare la corrispondenza temporanea nel tenant, eseguire questo cmdlet:
PS C:\> Set-MsolDirSyncFeature -Feature BlockSoftMatch -Enable $True
Sincronizzare gli aggiornamenti di userPrincipalName
In genere, gli aggiornamenti dell'attributo UserPrincipalName tramite il servizio di sincronizzazione locale vengono bloccati, a meno che non siano rispettate entrambe le condizioni seguenti:
- L'utente è gestito (non federato).
- All'utente non è stata assegnata una licenza.
Nota
Da marzo 2019, è consentita la sincronizzazione delle modifiche UPN per gli account utente federati.
L'abilitazione di questa funzionalità consente al motore di sincronizzazione di aggiornare l'attributo userPrincipalName quando viene modificato a livello locale e si usa la sincronizzazione dell'hash delle password o l'autenticazione pass-through.
Questa funzionalità è attivata per impostazione predefinita per le directory microsoft Entra appena create. Per vedere se la funzionalità è abilitata per l'utente corrente, eseguire:
## Using the MSOnline module
Get-MsolDirSyncFeatures -Feature SynchronizeUpnForManagedUsers
## Using the Graph PowerShell module
$config = Get-MgDirectoryOnPremisSynchronization
$config.Features.SynchronizeUpnForManagedUsersEnabled
Se questa funzionalità non è abilitata per la directory Microsoft Entra, è possibile abilitarla eseguendo:
Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $true
Dopo aver abilitato questa funzionalità, i valori di userPrincipalName esistenti rimarranno invariati. Alla successiva modifica dell'attributo userPrincipalName locale, la normale sincronizzazione differenziale degli utenti aggiornerà l'UPN.