Funkcje usługi Microsoft Entra Connect Sync
Funkcja synchronizacji Połączenie firmy Microsoft ma dwa składniki:
- Składnik lokalny o nazwie Microsoft Entra Połączenie Sync, nazywany również aparatem synchronizacji.
- Usługa będąca w usłudze Microsoft Entra ID znana również jako Microsoft Entra Połączenie Sync
W tym temacie wyjaśniono, jak działają następujące funkcje usługi Microsoft Entra Połączenie Sync oraz jak można je skonfigurować przy użyciu programu PowerShell.
Aby wyświetlić konfigurację w katalogu Microsoft Entra przy użyciu programu PowerShell programu Graph, użyj następujących poleceń:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Wynik wygląda następująco:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Po włączeniu funkcji nie można jej ponownie wyłączyć.
Uwaga
Od 24 sierpnia 2016 r. odporność atrybutu Duplikuj funkcję jest domyślnie włączona dla nowych katalogów microsoft Entra. Ta funkcja zostanie również wdrożona i włączona w katalogach utworzonych przed tą datą. Otrzymasz powiadomienie e-mail, gdy katalog ma uzyskać tę funkcję włączoną.
Następujące ustawienia są konfigurowane przez firmę Microsoft Entra Połączenie:
| DirSyncFeature | Komentarz |
|---|---|
| SoftMatchOnUpn | Umożliwia dołączanie obiektów do atrybutu userPrincipalName oprócz podstawowego adresu SMTP. |
| SynchronizeUpnForManagedUsers | Umożliwia aparatowi synchronizacji zaktualizowanie atrybutu userPrincipalName dla użytkowników zarządzanych/licencjonowanych (innych niż federacyjne). |
| DeviceWriteback | Microsoft Entra Połączenie: włączanie zapisywania zwrotnego urządzeń |
| Rozszerzenia katalogu | Microsoft Entra Połączenie Sync: rozszerzenia katalogu |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Umożliwia kwarantannę atrybutu, gdy jest duplikatem innego obiektu, a nie niepowodzeniem całego obiektu podczas eksportowania. |
| Synchronizacja skrótów haseł | Implementowanie synchronizacji skrótów haseł za pomocą usługi Microsoft Entra Połączenie Sync |
| Uwierzytelnianie przekazywane | Logowanie użytkownika przy użyciu uwierzytelniania przekazywanego usługi Microsoft Entra |
| UnifiedGroupWriteback | Zapisywanie zwrotne grup |
| UserWriteback | Obecnie nieobsługiwane. |
Odporność zduplikowanych atrybutów
Zamiast nie aprowizować obiektów z zduplikowanymi nazwami UPN/proxyAddresses, zduplikowany atrybut jest "poddane kwarantannie", a przypisana jest wartość tymczasowa. Gdy konflikt zostanie rozwiązany, tymczasowa nazwa UPN zostanie automatycznie zmieniona na odpowiednią wartość. Aby uzyskać więcej informacji, zobacz Synchronizacja tożsamości i odporność zduplikowanych atrybutów.
Dopasowanie miękkie UserPrincipalName
Po włączeniu tej funkcji dopasowanie nietrwałe jest włączone dla nazwy UPN oprócz podstawowego adresu SMTP, który jest zawsze włączony. Dopasowanie nietrwałe służy do dopasowywania istniejących użytkowników chmury w usłudze Microsoft Entra ID do użytkowników lokalnych.
Jeśli musisz dopasować lokalne konta usługi AD z istniejącymi kontami utworzonymi w chmurze i nie używasz usługi Exchange Online, ta funkcja jest przydatna. W tym scenariuszu zazwyczaj nie masz powodu, aby ustawić atrybut SMTP w chmurze.
Ta funkcja jest domyślnie włączona dla nowo utworzonych katalogów firmy Microsoft Entra. Możesz sprawdzić, czy ta funkcja jest włączona, uruchamiając następujące polecenie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Jeśli ta funkcja nie jest włączona dla katalogu Microsoft Entra, możesz ją włączyć, uruchamiając polecenie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Po włączeniu tej funkcji blokuje ona funkcję Dopasowania miękkiego. Zachęcamy klientów do włączenia tej funkcji i utrzymania jej włączonej do momentu ponownego wymagania dopasowania miękkiego dla dzierżawy. Ta flaga powinna być ponownie włączona po zakończeniu wszystkich miękkich dopasowań i nie jest już potrzebna.
Przykład — aby zablokować miękkie dopasowywanie w dzierżawie, uruchom następujące polecenie cmdlet:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Synchronizowanie aktualizacji userPrincipalName
W przeszłości aktualizacje atrybutu UserPrincipalName przy użyciu usługi synchronizacji ze środowiska lokalnego zostały zablokowane, chyba że oba te warunki zostały spełnione:
- Użytkownik jest zarządzany (bez federacji).
- Użytkownik nie ma przypisanej licencji.
Uwaga
Od marca 2019 r. synchronizowanie zmian nazw UPN dla kont użytkowników federacyjnych jest dozwolone.
Włączenie tej funkcji umożliwia aparatowi synchronizacji aktualizowanie elementu userPrincipalName po zmianie lokalnie i użycie synchronizacji skrótów haseł lub uwierzytelniania przekazywanego.
Ta funkcja jest domyślnie włączona dla nowo utworzonych katalogów firmy Microsoft Entra. Możesz sprawdzić, czy ta funkcja jest włączona, uruchamiając następujące polecenie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Jeśli ta funkcja nie jest włączona dla katalogu Microsoft Entra, możesz ją włączyć, uruchamiając polecenie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Po włączeniu tej funkcji istniejące wartości userPrincipalName pozostaną tak, jak jest. W następnej zmianie atrybutu userPrincipalName lokalnie normalna synchronizacja różnicowa dla użytkowników zaktualizuje nazwę UPN.
Zobacz też
- Microsoft Entra Połączenie Sync
- Integrowanie tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.