Microsoft Entra Connect Sync-servicefuncties
De synchronisatiefunctie van Microsoft Entra Verbinding maken heeft twee onderdelen:
- Het on-premises onderdeel met de naam Microsoft Entra Verbinding maken Sync, ook wel synchronisatie-engine genoemd.
- De service die zich in de Microsoft Entra-id ook wel Microsoft Entra Verbinding maken Sync-service genoemd
In dit onderwerp wordt uitgelegd hoe de volgende functies van de Microsoft Entra Verbinding maken Sync-service werken en hoe u deze kunt configureren met behulp van PowerShell.
Gebruik de volgende opdrachten om de configuratie in uw Microsoft Entra-map te zien met behulp van Graph PowerShell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Het resultaat ziet er als volgt uit:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Nadat u een functie hebt ingeschakeld, kan deze niet meer worden uitgeschakeld.
Notitie
Vanaf 24 augustus 2016 is de tolerantie voor dubbele kenmerken standaard ingeschakeld voor nieuwe Microsoft Entra-directory's. Deze functie wordt ook geïmplementeerd en ingeschakeld voor mappen die vóór deze datum zijn gemaakt. U ontvangt een e-mailmelding wanneer uw map op het punt staat om deze functie te ontvangen.
De volgende instellingen zijn geconfigureerd door Microsoft Entra Verbinding maken:
| DirSyncFeature | Opmerking |
|---|---|
| SoftMatchOnUpn | Hiermee kunnen objecten worden samengevoegd voor userPrincipalName, naast het primaire SMTP-adres. |
| SynchronizeUpnForManagedUsers | Hiermee kan de synchronisatie-engine het kenmerk userPrincipalName bijwerken voor beheerde/gelicentieerde (niet-federatieve) gebruikers. |
| DeviceWriteback | Microsoft Entra Verbinding maken: Writeback van apparaat inschakelen |
| DirectoryExtensions | Microsoft Entra Verbinding maken Sync: Directory-extensies |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Hiermee kan een kenmerk in quarantaine worden geplaatst wanneer het een duplicaat is van een ander object in plaats van het hele object tijdens het exporteren uit te voeren. |
| Wachtwoordhashsynchronisatie | Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Verbinding maken Sync |
| Passthrough-verificatie | Gebruikersaanmelding met passthrough-verificatie van Microsoft Entra |
| UnifiedGroupWriteback | Groep terugschrijven |
| UserWriteback | Momenteel niet ondersteund. |
Tolerantie van dubbel kenmerk
In plaats van dat het inrichten van objecten met dubbele UPN's/proxyadressen mislukt, is het gedupliceerde kenmerk 'in quarantaine geplaatst' en wordt een tijdelijke waarde toegewezen. Wanneer het conflict is opgelost, wordt de tijdelijke UPN automatisch gewijzigd in de juiste waarde. zie Tolerantie voor synchronisatie- en duplicatiekenmerken identificeren voor meer informatie.
UserPrincipalName Soft Matching
Wanneer deze functie is ingeschakeld, wordt Soft Matching ingeschakeld voor UPN, naast het primaire SMTP-adres, dat altijd is ingeschakeld. Soft-match wordt gebruikt om bestaande cloudgebruikers in Microsoft Entra ID te vinden met on-premises gebruikers.
Als u on-premises AD-accounts wilt koppelen aan bestaande accounts die in de cloud zijn gemaakt en u Exchange Online niet gebruikt, is deze functie handig. In dit scenario hebt u over het algemeen geen reden om het SMTP-kenmerk in de cloud in te stellen.
Deze functie is standaard ingeschakeld voor nieuw gemaakte Microsoft Entra-mappen. U kunt zien of deze functie voor u is ingeschakeld door het volgende uit te voeren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Als deze functie niet is ingeschakeld voor uw Microsoft Entra-directory, kunt u deze inschakelen door het volgende uit te voeren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Wanneer deze functie is ingeschakeld, wordt de functie Soft Match geblokkeerd. Klanten wordt aangeraden deze functie in te schakelen en deze ingeschakeld te houden totdat Soft Matching opnieuw is vereist is voor hun tenancy. Deze vlag moet opnieuw worden ingeschakeld wanneer Soft Matching is voltooid en niet meer nodig is.
Voorbeeld: als u Soft Matching in uw tenant wilt blokkeren, voert u deze cmdlet uit:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
UserPrincipalName-updates synchroniseren
In het verleden werden updates van het kenmerk UserPrincipalName met behulp van de synchronisatieservice van on-premises geblokkeerd, tenzij aan beide voorwaarden werd voldaan:
- De gebruiker wordt beheerd (niet-federatief).
- De gebruiker heeft geen licentie toegewezen.
Notitie
Vanaf maart 2019 is het synchroniseren van UPN-wijzigingen voor federatieve gebruikersaccounts toegestaan.
Als u deze functie inschakelt, kan de synchronisatie-engine de userPrincipalName bijwerken wanneer deze on-premises wordt gewijzigd en u wachtwoordhashsynchronisatie of passthrough-verificatie gebruikt.
Deze functie is standaard ingeschakeld voor nieuw gemaakte Microsoft Entra-mappen. U kunt zien of deze functie voor u is ingeschakeld door het volgende uit te voeren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Als deze functie niet is ingeschakeld voor uw Microsoft Entra-directory, kunt u deze inschakelen door het volgende uit te voeren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Na het inschakelen van deze functie blijven bestaande userPrincipalName-waarden ongewijzigd. Bij de volgende wijziging van het kenmerk userPrincipalName on-premises werkt de normale deltasynchronisatie voor gebruikers de UPN bij.