Microsoft Entra Connect Sync-servicefuncties

De synchronisatiefunctie van Microsoft Entra Connect heeft twee onderdelen:

• Het on-premises onderdeel met de naam Microsoft Entra Connect Sync, ook wel synchronisatie-engine genoemd.
• De service die zich in de Microsoft Entra-id ook wel Microsoft Entra Connect Sync-service genoemd

In dit onderwerp wordt uitgelegd hoe de volgende functies van de Microsoft Entra Connect Sync-service werken en hoe u deze kunt configureren met behulp van PowerShell.

Gebruik de volgende opdrachten om de configuratie in uw Microsoft Entra-map te zien met behulp van Graph PowerShell:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List

Het resultaat ziet er als volgt uit:

BlockCloudObjectTakeoverThroughHardMatchEnabled  : False
BlockSoftMatchEnabled                            : False
BypassDirSyncOverridesEnabled                    : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled                : False
ConcurrentOrgIdProvisioningEnabled               : False
DeviceWritebackEnabled                           : False
DirectoryExtensionsEnabled                       : True
FopeConflictResolutionEnabled                    : False
GroupWriteBackEnabled                            : False
PasswordSyncEnabled                              : True
PasswordWritebackEnabled                         : False
QuarantineUponProxyAddressesConflictEnabled      : False
QuarantineUponUpnConflictEnabled                 : False
SoftMatchOnUpnEnabled                            : True
SynchronizeUpnForManagedUsersEnabled             : False
UnifiedGroupWritebackEnabled                     : True
UserForcePasswordChangeOnLogonEnabled            : False
UserWritebackEnabled                             : True
AdditionalProperties                             : {}

Notitie

Vanaf 24 augustus 2016 is de tolerantie voor dubbele kenmerken standaard ingeschakeld voor nieuwe Microsoft Entra-directory's. Deze functie wordt ook geïmplementeerd en ingeschakeld voor mappen die vóór deze datum zijn gemaakt. U ontvangt een e-mailmelding wanneer uw map op het punt staat om deze functie te ontvangen.

De volgende instellingen zijn geconfigureerd in Microsoft Entra Connect:

DirSyncFeature	Opmerking
SoftMatchOnUpn	Hiermee kunnen objecten worden samengevoegd voor userPrincipalName, naast het primaire SMTP-adres.
SynchronizeUpnForManagedUsers	Hiermee kan de synchronisatie-engine het kenmerk userPrincipalName bijwerken voor beheerde/gelicentieerde (niet-gelicentieerde) gebruikers.
DeviceWriteback	Microsoft Entra Connect: Terugschrijven van apparaten inschakelen
DirectoryExtensions	Microsoft Entra Connect Sync: Directory-extensies
DuplicateProxyAddressResiliency DuplicateUPNResiliency	Hiermee kan een kenmerk in quarantaine worden geplaatst wanneer het een duplicaat is van een ander object in plaats van het hele object tijdens het exporteren uit te voeren.
Wachtwoordhashsynchronisatie	Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Connect Sync
Wachtwoord terugschrijven	Wordt niet ondersteund. Deze servicefunctie wordt stopgezet. Zie Wachtwoord terugschrijven inschakelen in Microsoft Entra Connect als u Wachtwoord terugschrijven wilt configureren
Passthrough-verificatie	Gebruikersaanmelding met passthrough-verificatie van Microsoft Entra
UnifiedGroupWriteback	Groep terugschrijven
UserWriteback	Momenteel niet ondersteund.

Tolerantie van dubbel kenmerk

In plaats van objecten in te richten met dubbele UPN's/proxyAddresses, wordt het gedupliceerde kenmerk in quarantaine geplaatst en wordt er een tijdelijke waarde toegewezen. Wanneer het conflict is opgelost, wordt de tijdelijke UPN automatisch gewijzigd in de juiste waarde. Zie Identiteitssynchronisatie en dubbele kenmerktolerantie voor meer informatie.

UserPrincipalName Soft Matching

Wanneer deze functie is ingeschakeld, wordt Soft Matching ingeschakeld voor UPN, naast het primaire SMTP-adres, dat altijd is ingeschakeld. Soft-match wordt gebruikt om bestaande cloudgebruikers in Microsoft Entra ID te vinden met on-premises gebruikers.

Als u on-premises AD-accounts wilt koppelen aan bestaande accounts die in de cloud zijn gemaakt en u Exchange Online niet gebruikt, is deze functie handig. In dit scenario hebt u over het algemeen geen reden om het SMTP-kenmerk in de cloud in te stellen.

Deze functie is standaard ingeschakeld voor nieuw gemaakte Microsoft Entra-mappen. U kunt zien of deze functie voor u is ingeschakeld door het volgende uit te voeren:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled

Als deze functie niet is ingeschakeld voor uw Microsoft Entra-directory, kunt u deze inschakelen door het volgende uit te voeren:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

BlockSoftMatch

Wanneer deze functie is ingeschakeld, wordt de functie Soft Match geblokkeerd. Klanten wordt aangeraden deze functie in te schakelen en deze ingeschakeld te houden totdat Soft Matching opnieuw is vereist is voor hun tenancy. Deze vlag moet opnieuw worden ingeschakeld wanneer Soft Matching is voltooid en niet meer nodig is.

Voorbeeld: het blokkeren van zachte overeenkomsten in uw tenant:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

UserPrincipalName-updates synchroniseren

In het verleden zijn updates van het kenmerk UserPrincipalName met behulp van de synchronisatieservice van on-premises geblokkeerd, tenzij aan beide voorwaarden wordt voldaan:

• De gebruiker beheerd (niet-federated).
• De gebruiker heeft geen licentie toegewezen.

Notitie

Vanaf maart 2019 is het synchroniseren van UPN-wijzigingen voor federatieve gebruikersaccounts toegestaan.

Als u deze functie inschakelt, kan de synchronisatie-engine de userPrincipalName bijwerken wanneer deze on-premises wordt gewijzigd en u wachtwoordhashsynchronisatie of passthrough-verificatie gebruikt.

Deze functie is standaard ingeschakeld voor nieuw gemaakte Microsoft Entra-mappen. U kunt zien of deze functie voor u is ingeschakeld door het volgende uit te voeren:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled

Als deze functie niet is ingeschakeld voor uw Microsoft Entra-directory, kunt u deze inschakelen door het volgende uit te voeren:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

Na het inschakelen van deze functie blijven bestaande userPrincipalName-waarden ongewijzigd. Bij de volgende wijziging van het kenmerk userPrincipalName on-premises werkt de normale deltasynchronisatie voor gebruikers de UPN bij. Zodra deze functie is ingeschakeld, is het niet mogelijk om deze uit te schakelen.

Zie ook

• Microsoft Entra Connect Sync
• Uw on-premises identiteiten integreren met Microsoft Entra ID.