Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Entra Connect maakt gebruik van standaardregels voor synchronisatie. Helaas zijn deze regels niet universeel van toepassing op alle organisaties. Op basis van uw vereisten moet u deze mogelijk wijzigen. In dit artikel worden twee voorbeelden van de meest voorkomende aanpassingen besproken en wordt de juiste manier uitgelegd om deze aanpassingen te bereiken.
Notitie
Het wijzigen van bestaande standaardregels om een vereiste aanpassing te bereiken, wordt niet ondersteund. Als u dit doet, voorkomt u dat deze regels worden bijgewerkt naar de nieuwste versie in toekomstige versies. U krijgt niet de oplossingen voor problemen die u nodig hebt of nieuwe functies. In dit document wordt uitgelegd hoe u hetzelfde resultaat kunt bereiken zonder de bestaande standaardregels te wijzigen.
Aangepaste standaardregels identificeren
Vanaf versie 1.3.7.0 van Microsoft Entra Connect is het eenvoudig om de gewijzigde standaardregel te identificeren. Ga naar Apps op het bureaubladen selecteer Editor voor synchronisatieregels.
In de editor worden alle gewijzigde standaardregels weergegeven met een waarschuwingspictogram voor de naam.
Er wordt ook een uitgeschakelde regel met dezelfde naam weergegeven (dit is de standaardregel).
Algemene aanpassingen
Hier volgen algemene aanpassingen aan de standaardregels:
- Kenmerkstroom wijzigen
- Bereikfilter wijzigen
- Voorwaarde voor samenvoegen wijzigen
Voordat u regels wijzigt:
Schakel de synchronisatieplanner uit. De scheduler wordt standaard elke 30 minuten uitgevoerd. Zorg ervoor dat deze niet begint terwijl u wijzigingen aanbrengt en problemen met uw nieuwe regels opgeeft. Als u de planner tijdelijk wilt uitschakelen, start u PowerShell en voert u
Set-ADSyncScheduler -SyncCycleEnabled $falseuit.
De wijziging in het bereikfilter kan leiden tot het verwijderen van objecten in de doelmap. Pas op voordat u wijzigingen aanbrengt in het bereik van objecten. U wordt aangeraden wijzigingen aan te brengen in een faseringsserver voordat u wijzigingen aanbrengt op de actieve server.
Voer een voorbeeld uit op één object, zoals vermeld in de sectie Synchronisatieregel valideren, nadat u een nieuwe regel hebt toegevoegd.
Voer een volledige synchronisatie uit nadat u een nieuwe regel hebt toegevoegd of een aangepaste synchronisatieregel hebt gewijzigd. Met deze synchronisatie worden nieuwe regels toegepast op alle objecten.
Kenmerkstroom wijzigen
Er zijn drie verschillende scenario's voor het wijzigen van de kenmerkstroom:
- Een nieuw kenmerk toevoegen.
- De waarde van een bestaand kenmerk overschrijven.
- Kies ervoor om een bestaand kenmerk niet te synchroniseren.
U kunt dit doen zonder standaardregels te wijzigen.
Een nieuw kenmerk toevoegen
Als u merkt dat een kenmerk niet van uw bronmap naar de doelmap stroomt, gebruikt u de Microsoft Entra Connect Sync: Directory-extensies om dit op te lossen.
Als de extensies niet voor u werken, voegt u twee nieuwe synchronisatieregels toe, zoals beschreven in de volgende secties.
Een regel voor binnenkomende synchronisatie toevoegen
Een regel voor binnenkomende synchronisatie betekent dat de bron voor het kenmerk een connectorruimte is en het doel de metaverse is. Als u bijvoorbeeld een nieuwe kenmerkstroom wilt hebben van on-premises Active Directory naar Microsoft Entra ID, maakt u een nieuwe regel voor binnenkomende synchronisatie. Start de Editor voor synchronisatieregels, selecteer binnenkomende als richting en selecteer Nieuwe regel toevoegen.
Volg uw eigen benamingsconventie om de regel een naam te geven. Hier gebruiken we Custom In van AD - User. Dit betekent dat de regel een aangepaste regel is en een binnenkomende regel is van de Active Directory-connectorruimte naar de metaverse.
Geef uw eigen beschrijving van de regel op, zodat toekomstig onderhoud van de regel eenvoudig is. De beschrijving kan bijvoorbeeld zijn gebaseerd op wat het doel van de regel is en waarom deze nodig is.
Selecteer de Connected System, het Connected System Object Type, en de Metaverse Object Type velden.
Geef de prioriteitswaarde op van 0 tot en met 99 (hoe lager het getal, hoe hoger de prioriteit). Gebruik de standaardselecties voor de tag, Wachtwoordsynchronisatie inschakelen, en Uitgeschakeld velden.
Houd bereikfilter leeg. Dit betekent dat de regel van toepassing is op alle objecten die zijn gekoppeld tussen het Verbonden Active Directory-systeem en de metaverse.
Houd koppelregels leeg. Dit betekent dat deze regel gebruikmaakt van de joinvoorwaarde die is gedefinieerd in de standaardstandaardregel. Dit is een andere reden om de standaardstandaardregel niet uit te schakelen of te verwijderen. Als er geen koppelvoorwaarde is, wordt het kenmerk niet doorgegeven.
Voeg de juiste transformaties toe voor uw kenmerk. U kunt een constante toewijzen om een constante waardestroom te maken aan uw doelkenmerk. U kunt een directe toewijzing maken tussen het bronattribuut en het doelattribuut. U kunt ook een expressie voor het kenmerk gebruiken. Hier zijn verschillende expressiefuncties die u kunt gebruiken.
Een uitgaande synchronisatieregel toevoegen
Als u het kenmerk wilt koppelen aan de doelmap, moet u een uitgaande regel maken. Dit betekent dat de bron de metaverse is en het doel het verbonden systeem is. Als u een uitgaande regel wilt maken, start u de editor voor synchronisatieregels, wijzigt u de Direction in uitgaandeen selecteert u Nieuwe regel toevoegen.
Net als bij de regel voor inkomend verkeer kunt u uw eigen naamconventie gebruiken om de regel een naam te geven. Selecteer de Connected System als de Microsoft Entra-tenant en selecteer het verbonden systeemobject waarop u de kenmerkwaarde wilt instellen. Stel de prioriteit in van 0 tot en met 99.
Laat bereikfilter en Join regels leeg. Vul de transformatie in als constant, direct of als expressie.
U weet nu hoe u een nieuw kenmerk maakt voor een gebruikersobjectstroom van Active Directory naar Microsoft Entra-id. U kunt deze stappen gebruiken om elk kenmerk van elk object toe te wijzen aan bron en doel. Zie Aangepaste synchronisatieregels maken en Voorbereiden voor het inrichten van gebruikersvoor meer informatie.
De waarde van een bestaand kenmerk overschrijven
Mogelijk wilt u de waarde wijzigen van een kenmerk dat al is toegewezen. Als u bijvoorbeeld altijd een null-waarde wilt instellen op een kenmerk in Microsoft Entra ID, maakt u alleen een regel voor inkomend verkeer. Maak dat de expressiewaarde, AuthoritativeNull, naar het doelkenmerk stroomt.
Notitie
Gebruik in dit geval AuthoritativeNull in plaats van Null. Dit komt doordat de niet-null-waarde de null-waarde vervangt, zelfs als deze een lagere prioriteit heeft (een hogere getalwaarde in de regel).
AuthoritativeNullwordt daarentegen niet vervangen door een niet-null-waarde door andere regels.
Bestaand kenmerk niet synchroniseren
Als u een kenmerk wilt uitsluiten van synchronisatie, gebruikt u de kenmerkfilterfunctie die is opgegeven in Microsoft Entra Connect. Start Microsoft Entra Connect vanaf het bureaubladpictogram en selecteer vervolgens Synchronisatieopties aanpassen.
Zorg ervoor dat Microsoft Entra-app en kenmerkfiltering is geselecteerd en selecteer Volgende.
Wis de kenmerken die u wilt uitsluiten van synchronisatie.
Bereikfilter wijzigen
Azure AD Sync zorgt voor de meeste objecten. U kunt het bereik van objecten verminderen en het aantal te exporteren objecten verminderen zonder de standaardsynchronisatieregels te wijzigen.
Gebruik een van de volgende methoden om het bereik te beperken van de objecten die u synchroniseert:
- kenmerk cloudFiltered
- Filteren van organisatie-eenheden
Als u het bereik van de gebruikers die worden gesynchroniseerd beperkt, stopt de synchronisatie van wachtwoord-hashs ook voor de gefilterde gebruikers. Als de objecten al worden gesynchroniseerd nadat u het bereik hebt verkleind, worden de gefilterde objecten verwijderd uit de doelmap. Zorg er daarom voor dat u de reikwijdte zeer zorgvuldig bepaalt.
Belangrijk
Het verhogen van het bereik van objecten die door Microsoft Entra Connect zijn geconfigureerd, wordt niet aanbevolen. Als u dit doet, is het voor het Microsoft-ondersteuningsteam moeilijk om inzicht te krijgen in de aanpassingen. Als u het bereik van objecten moet vergroten, bewerkt u de bestaande regel, kloont u deze en schakelt u de oorspronkelijke regel uit.
kenmerk cloudFiltered
U kunt dit kenmerk niet instellen in Active Directory. Stel de waarde van dit kenmerk in door een nieuwe regel voor inkomend verkeer toe te voegen. Vervolgens kunt u Transformatie en Expression gebruiken om dit kenmerk in de metaverse in te stellen. In het volgende voorbeeld ziet u dat u niet alle gebruikers wilt synchroniseren waarvan de afdelingsnaam begint met HRD (niet-hoofdlettergevoelig):
cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)
We hebben eerst de sectie van de bron (Active Directory) omgezet naar kleine letters. Vervolgens hebben we met behulp van de Left-functie alleen de eerste drie tekens genomen en vergeleken met hrd. Als deze overeenkomt, wordt de waarde ingesteld op True, anders NULL. Bij het instellen van de waarde op null kan een andere regel met een lagere prioriteit (een hogere getalwaarde) ernaar schrijven met een andere voorwaarde. Voer een voorbeeld uit op één object om de synchronisatieregel te valideren, zoals vermeld in de sectie Synchronisatieregel valideren.
Filteren van organisatie-eenheden
U kunt een of meer organisatie-eenheden (OE's) maken en de objecten verplaatsen die u niet wilt synchroniseren met deze organisatie-eenheden. Configureer vervolgens de OU-filtering in Microsoft Entra Connect. Start Microsoft Entra Connect vanaf het bureaubladpictogram en selecteer de volgende opties. U kunt ook de OE-filtering configureren op het moment van de installatie van Microsoft Entra Connect.
Volg de wizard en verwijder de OE's die u niet wilt synchroniseren.
Voorwaarde voor samenvoegen wijzigen
Gebruik de standaardvoorwaarden voor deelname die zijn geconfigureerd door Microsoft Entra Connect. Als u de standaarddeelnamevoorwaarden wijzigt, is het voor Microsoft-ondersteuning moeilijk om inzicht te krijgen in de aanpassingen en ondersteuning van het product.
Synchronisatieregel valideren
U kunt de zojuist toegevoegde synchronisatieregel valideren met behulp van de preview-functie, zonder de volledige synchronisatiecyclus uit te voeren. Selecteer Synchronisatieservicein Microsoft Entra Connect.
Selecteer Metaverse Search. Selecteer het bereikobject als persoon, selecteer Clausule toevoegenen vermeld uw zoekcriteria. Selecteer vervolgens Zoekenen dubbelklik op het object in de zoekresultaten. Zorg ervoor dat uw gegevens in Microsoft Entra Connect actueel voor dat object zijn door import- en synchronisatieprocessen uit te voeren in de forest voordat u deze stap uitvoert.
Selecteer in Metaverse ObjecteigenschappenConnectors, selecteer het object in de bijbehorende connector (forest), en selecteer Eigenschappen....
Selecteer Voorbeeld…
Selecteer in het voorbeeldvenster aan de linkerkant Preview genereren en Kenmerkstroom importeren.
Hier ziet u dat de zojuist toegevoegde regel wordt uitgevoerd op het object en dat het kenmerk cloudFiltered is ingesteld op waar.
Als u de gewijzigde regel wilt vergelijken met de standaardregel, exporteert u beide regels afzonderlijk als tekstbestanden. Deze regels worden geëxporteerd als een PowerShell-scriptbestand. U kunt ze vergelijken met elk hulpprogramma voor bestandsvergelijking (bijvoorbeeld windiff) om de wijzigingen te bekijken.
U ziet dat in de gewijzigde regel het kenmerk msExchMailboxGuid wordt gewijzigd in het expressietype, in plaats van Direct. De waarde wordt ook gewijzigd in NULL en ExecuteOnce optie. U kunt geïdentificeerde en prioriteitsverschillen negeren.
Als u uw regels wilt herstellen om ze weer te wijzigen in standaardinstellingen, verwijdert u de gewijzigde regel en schakelt u de standaardregel in. Zorg ervoor dat u de aanpassing die u probeert te bereiken niet kwijtraakt. Wanneer u klaar bent, voert u volledige synchronisatie uit.