Microsoft Entra Połączenie Sync: najlepsze rozwiązania dotyczące zmiany konfiguracji domyślnej

Celem tego tematu jest opisanie obsługiwanych i nieobsługiwanych zmian w usłudze Microsoft Entra Połączenie Sync.

Konfiguracja utworzona przez firmę Microsoft Entra Połączenie działa w większości środowisk, które synchronizują lokalna usługa Active Directory z identyfikatorem Entra firmy Microsoft. Jednak w niektórych przypadkach konieczne jest zastosowanie pewnych zmian w konfiguracji w celu zaspokojenia konkretnej potrzeby lub wymagania.

Zmiany na koncie usługi

Program Microsoft Entra Połączenie Sync działa w ramach konta usługi utworzonego przez kreatora instalacji. To konto usługi przechowuje klucze szyfrowania do bazy danych używanej przez synchronizację. Jest on tworzony z 127 znakami długiego hasła, a hasło nie wygasa.

Ostrzeżenie

Jeśli zmienisz lub zresetowasz hasło konta usługi ADSync, usługa synchronizacji nie będzie mogła uruchomić się poprawnie, dopóki nie porzucisz klucza szyfrowania i ponownie zainicjowano hasło konta usługi ADSync. Aby to zrobić, zobacz Zmienianie hasła konta usługi ADSync.

Zmiany harmonogramu

Począwszy od wersji z kompilacji 1.1 (luty 2016 r.), możesz skonfigurować harmonogram tak, aby miał inny cykl synchronizacji niż domyślne 30 minut.

Zmiany reguł synchronizacji

Kreator instalacji udostępnia konfigurację, która ma działać w przypadku najbardziej typowych scenariuszy. Jeśli musisz wprowadzić zmiany w konfiguracji, musisz postępować zgodnie z tymi regułami, aby nadal mieć obsługiwaną konfigurację.

Ostrzeżenie

Jeśli wprowadzisz zmiany w domyślnych regułach synchronizacji, te zmiany zostaną zastąpione następnym razem, gdy program Microsoft Entra Połączenie zostanie zaktualizowany, co spowoduje nieoczekiwane i prawdopodobnie niepożądane wyniki synchronizacji.

• Przepływy atrybutów można zmienić, jeśli domyślne przepływy atrybutów bezpośrednich nie są odpowiednie dla twojej organizacji.
• Jeśli nie chcesz przepływać atrybutu i usuwać wszystkie istniejące wartości atrybutów w identyfikatorze Entra firmy Microsoft, musisz utworzyć regułę dla tego scenariusza.
• Wyłącz niechcianą regułę synchronizacji, a nie usuwając ją. Usunięta reguła jest odtwarzana podczas uaktualniania.
• Aby zmienić regułę out-of-box, należy utworzyć kopię oryginalnej reguły i wyłączyć wbudowaną regułę. Edytor reguł synchronizacji wyświetla monity i pomaga.
• Wyeksportuj niestandardowe reguły synchronizacji przy użyciu Edytora reguł synchronizacji. Edytor udostępnia skrypt programu PowerShell, którego można użyć do łatwego odtworzenia ich w scenariuszu odzyskiwania po awarii.

Ostrzeżenie

Reguły synchronizacji gotowej do użycia mają odcisk palca. Jeśli wprowadzisz zmianę w tych regułach, odcisk palca nie jest już zgodny. W przyszłości mogą wystąpić problemy podczas próby zastosowania nowej wersji programu Microsoft Entra Połączenie. Wprowadzaj tylko zmiany w sposób opisany w tym artykule.

Wyłączanie niechcianej reguły synchronizacji

Nie usuwaj wbudowanej reguły synchronizacji. Jest on odtwarzany podczas następnego uaktualniania.

W niektórych przypadkach kreator instalacji utworzył konfigurację, która nie działa dla topologii. Jeśli na przykład masz topologię lasu zasobów konta, ale schemat w lesie konta został rozszerzony przy użyciu schematu programu Exchange, reguły programu Exchange są tworzone dla lasu konta i lasu zasobów. W takim przypadku należy wyłączyć regułę synchronizacji dla programu Exchange.

Na powyższej ilustracji kreator instalacji znalazł stary schemat programu Exchange 2003 w lesie konta. To rozszerzenie schematu zostało dodane przed wprowadzeniem lasu zasobów w środowisku firmy Fabrikam. Aby upewnić się, że nie są synchronizowane żadne atrybuty ze starej implementacji programu Exchange, reguła synchronizacji powinna być wyłączona, jak pokazano poniżej.

Zmienianie reguły gotowej do użycia

Jedynym momentem, w którym należy zmienić regułę out-of-box, jest zmiana reguły sprzężenia. Jeśli musisz zmienić przepływ atrybutów, należy utworzyć regułę synchronizacji o wyższym prioryencie niż reguły gotowe do użycia. Jedyną regułą, którą praktycznie musisz sklonować, jest reguła W usłudze AD — dołączanie użytkowników. Można zastąpić wszystkie inne reguły wyższą regułą pierwszeństwa.

Jeśli musisz wprowadzić zmiany w regule gotowej do użycia, należy wprowadzić kopię reguły gotowej do użycia i wyłączyć oryginalną regułę. Następnie wprowadź zmiany w sklonowanej regule. Edytor reguł synchronizacji ułatwia wykonanie tych kroków. Po otwarciu reguły gotowej do użycia zostanie wyświetlone następujące okno dialogowe:

Wybierz pozycję Tak , aby utworzyć kopię reguły. Następnie zostanie otwarta sklonowana reguła.

W tej sklonowanej regule wprowadź wszelkie niezbędne zmiany w zakresie, sprzężeniach i przekształceniach.

Następne kroki

Tematy omówienia

• Microsoft Entra Połączenie Sync: Omówienie i dostosowywanie synchronizacji
• Integrowanie tożsamości lokalnych z identyfikatorem Entra firmy Microsoft