Microsoft Entra Połączenie Sync: wprowadź zmianę domyślnej konfiguracji

Celem tego artykułu jest zapoznanie się ze sposobem wprowadzania zmian w konfiguracji domyślnej w usłudze Microsoft Entra Połączenie Sync. Zawiera on kroki dla niektórych typowych scenariuszy. Dzięki tej wiedzy powinno być możliwe wprowadzenie prostych zmian we własnej konfiguracji na podstawie własnych reguł biznesowych.

Ostrzeżenie

Jeśli wprowadzisz zmiany w domyślnych regułach synchronizacji gotowej do użycia, te zmiany zostaną zastąpione następnym razem, gdy program Microsoft Entra Połączenie zostanie zaktualizowany, co spowoduje nieoczekiwane i prawdopodobnie niepożądane wyniki synchronizacji.

Domyślne reguły synchronizacji gotowej do użycia mają odcisk palca. Jeśli wprowadzisz zmianę w tych regułach, odcisk palca nie jest już zgodny. W przyszłości mogą wystąpić problemy podczas próby zastosowania nowej wersji programu Microsoft Entra Połączenie. Wprowadzaj tylko zmiany w sposób opisany w tym artykule.

Edytor reguł synchronizacji

Edytor reguł synchronizacji służy do wyświetlenia i zmiany konfiguracji domyślnej. Można go znaleźć w menu Start w grupie Microsoft Entra Połączenie.

Po otwarciu edytora zobaczysz domyślne reguły gotowe do użycia.

Nawigowanie w edytorze

Korzystając z list rozwijanych w górnej części edytora, możesz szybko znaleźć określoną regułę. Jeśli na przykład chcesz zobaczyć reguły, w których znajduje się atrybut proxyAddresses, możesz zmienić listy rozwijane na następujące:

Aby zresetować filtrowanie i załadować nową konfigurację, naciśnij klawisz F5 na klawiaturze.

W prawym górnym rogu znajduje się przycisk Dodaj nową regułę. Ten przycisk służy do tworzenia własnej reguły niestandardowej.

U dołu znajdują się przyciski służące do działania w wybranej regule synchronizacji. Edytuj i usuń , czego oczekujesz. Eksport tworzy skrypt programu PowerShell do ponownego tworzenia reguły synchronizacji. Ta procedura umożliwia przeniesienie reguły synchronizacji z jednego serwera do innego.

Tworzenie pierwszej reguły niestandardowej

Najbardziej typowe zmiany dotyczą przepływów atrybutów. Dane w katalogu źródłowym mogą nie być takie same jak w identyfikatorze Entra firmy Microsoft. W przykładzie w tej sekcji upewnij się, że dana nazwa użytkownika jest zawsze w odpowiednim przypadku.

Wyłączanie harmonogramu

Harmonogram jest uruchamiany co 30 minut domyślnie. Upewnij się, że nie uruchamia się podczas wprowadzania zmian i rozwiązywania problemów z nowymi regułami. Aby tymczasowo wyłączyć harmonogram, uruchom program PowerShell i uruchom polecenie Set-ADSyncScheduler -SyncCycleEnabled $false.

Tworzenie reguły

1. Kliknij pozycję Dodaj nową regułę.
2. Na stronie Opis wprowadź następujące informacje:
   
   • Nazwa: nadaj regule nazwę opisową.
   • Opis: Podaj wyjaśnienie, aby ktoś inny mógł zrozumieć, co jest regułą.
   • Połączenie system: jest to system, w którym można znaleźć obiekt. W tym przypadku wybierz pozycję Połączenie or usługi Active Directory.
   • Połączenie typ obiektu System/Metaverse: wybierz odpowiednio pozycję Użytkownik i Osoba.
   • Typ łącza: zmień tę wartość na Join.
   • Pierwszeństwo: podaj wartość unikatową w systemie. Niższa wartość liczbowa wskazuje wyższy priorytet.
   • Tag: pozostaw to puste. Tylko gotowe reguły firmy Microsoft powinny mieć to pole wypełnione wartością.
3. Na stronie Filtr określania zakresu wprowadź wartość givenName ISNOTNULL.
   
   Ta sekcja służy do definiowania obiektów, które mają być stosowane przez regułę. Jeśli pozostanie ona pusta, reguła będzie stosowana do wszystkich obiektów użytkownika. Dotyczyłoby to jednak sal konferencyjnych, kont usług i innych obiektów użytkowników niebędących osobami.
4. Na stronie Reguły dołączania pozostaw pole puste.
5. Na stronie Przekształcenia zmień wartość FlowType na Wyrażenie. W polu Atrybut docelowy wybierz wartość givenName. W polu Źródło wprowadź wartość PCase([givenName]).
   Aparat synchronizacji uwzględnia wielkość liter zarówno dla nazwy funkcji, jak i nazwy atrybutu. Jeśli wpiszesz coś nie tak, podczas dodawania reguły zostanie wyświetlone ostrzeżenie. Możesz zapisać i kontynuować, ale musisz ponownie otworzyć i poprawić regułę.
6. Kliknij przycisk Dodaj , aby zapisać regułę.

Nowa reguła niestandardowa powinna być widoczna z innymi regułami synchronizacji w systemie.

Weryfikowanie zmiany

Dzięki tej nowej zmianie chcesz upewnić się, że działa zgodnie z oczekiwaniami i nie zgłasza żadnych błędów. W zależności od liczby posiadanych obiektów istnieją dwa sposoby wykonania tego kroku:

• Uruchom pełną synchronizację we wszystkich obiektach.
• Uruchamianie podglądu i pełnej synchronizacji w jednym obiekcie.

Otwórz usługę synchronizacji z menu Start. Wszystkie kroki opisane w tej sekcji znajdują się w tym narzędziu.

Pełna synchronizacja wszystkich obiektów

1. Wybierz Połączenie or u góry. Zidentyfikuj łącznik, który został zmieniony w poprzedniej sekcji (w tym przypadku domena usługi Active Directory Services), a następnie wybierz go.
2. W obszarze Akcje wybierz pozycję Uruchom.
3. Wybierz pozycję Pełna synchronizacja, a następnie wybierz przycisk OK.
   Obiekty są teraz aktualizowane w metaverse. Sprawdź zmiany, przeglądając obiekt w metaverse.

Podgląd i pełna synchronizacja pojedynczego obiektu

1. Wybierz Połączenie or u góry. Zidentyfikuj łącznik, który został zmieniony w poprzedniej sekcji (w tym przypadku domena usługi Active Directory Services), a następnie wybierz go.
2. Wybierz pozycję Wyszukaj Połączenie or Spacja.
3. Użyj opcji Zakres , aby znaleźć obiekt, którego chcesz użyć do przetestowania zmiany. Wybierz obiekt i kliknij pozycję Podgląd.
4. Na nowym ekranie wybierz pozycję Zatwierdź podgląd.
   
   Zmiana jest teraz zatwierdzana w metaverse.

Wyświetlanie obiektu w metaverse

1. Wybierz kilka przykładowych obiektów, aby upewnić się, że wartość jest oczekiwana i czy zastosowana reguła.
2. Wybierz pozycję Metaverse Search (Wyszukiwanie metaverse) u góry. Dodaj dowolny filtr, który chcesz znaleźć odpowiednie obiekty.
3. W wyniku wyszukiwania otwórz obiekt. Przyjrzyj się wartościom atrybutów, a także sprawdź w kolumnie Reguły synchronizacji, że reguła jest stosowana zgodnie z oczekiwaniami.
   

Włączanie harmonogramu

Jeśli wszystko jest zgodnie z oczekiwaniami, możesz ponownie włączyć harmonogram. W programie PowerShell uruchom polecenie Set-ADSyncScheduler -SyncCycleEnabled $true.

Inne typowe zmiany przepływu atrybutów

W poprzedniej sekcji opisano sposób wprowadzania zmian w przepływie atrybutów. W tej sekcji podano kilka dodatkowych przykładów. Kroki tworzenia reguły synchronizacji są skracane, ale pełne kroki można znaleźć w poprzedniej sekcji.

Użyj atrybutu innego niż domyślny

W tym scenariuszu firmy Fabrikam istnieje las, w którym lokalny alfabet jest używany dla danego imienia, nazwiska i nazwy wyświetlanej. Reprezentacja znaków łacińskich tych atrybutów można znaleźć w atrybutach rozszerzenia. Aby utworzyć globalną listę adresów w usługach Microsoft Entra ID i Microsoft 365, organizacja chce zamiast tego użyć tych atrybutów.

W przypadku konfiguracji domyślnej obiekt z lasu lokalnego wygląda następująco:

Aby utworzyć regułę z innymi przepływami atrybutów, wykonaj następujące czynności:

1. Otwórz Edytor reguł synchronizacji z menu Start.
2. Po wybraniu opcji Ruch przychodzący po lewej stronie kliknij przycisk Dodaj nową regułę.
3. Nadaj regule nazwę i opis. Wybierz wystąpienie lokalna usługa Active Directory i odpowiednie typy obiektów. W obszarze Typ łącza wybierz pozycję Dołącz. W polu Pierwszeństwo wybierz liczbę, która nie jest używana przez inną regułę. Reguły gotowe do użycia zaczynają się od 100, więc w tym przykładzie można użyć wartości 50.
4. Pozostaw pusty filtr określania zakresu. (Oznacza to, że powinno mieć zastosowanie do wszystkich obiektów użytkownika w lesie).
5. Pozostaw puste reguły sprzężenia. (Oznacza to, że niech reguła out-of-box obsłuż wszystkie sprzężenia).
6. W obszarze Przekształcenia utwórz następujące przepływy:
   
7. Kliknij przycisk Dodaj , aby zapisać regułę.
8. Przejdź do programu Synchronization Service Manager. Na Połączenie or wybierz łącznik, w którym dodano regułę. Wybierz pozycję Uruchom, a następnie wybierz pozycję Pełna synchronizacja. Pełna synchronizacja ponownie oblicza wszystkie obiekty przy użyciu bieżących reguł.

Jest to wynik dla tego samego obiektu z tą regułą niestandardową:

Długość atrybutów

Atrybuty ciągu są domyślnie indeksowalne, a maksymalna długość to 448 znaków. Jeśli pracujesz z atrybutami ciągu, które mogą zawierać więcej, pamiętaj, aby uwzględnić następujące elementy w przepływie atrybutów:
attributeName<- Left([attributeName],448).

Zmiana userPrincipalSuffix

Atrybut userPrincipalName w usłudze Active Directory nie zawsze jest znany przez użytkowników i może nie być odpowiedni jako identyfikator logowania. Za pomocą kreatora instalacji synchronizacji programu Microsoft Entra Połączenie możesz wybrać inny atrybut — na przykład pocztę. Jednak w niektórych przypadkach atrybut musi być obliczany.

Na przykład firma Contoso ma dwa katalogi firmy Microsoft Entra, jedną dla środowiska produkcyjnego i jedną do testowania. Chcą, aby użytkownicy w dzierżawie testowej używali innego sufiksu w identyfikatorze logowania:
Word([userPrincipalName],1,"@") & "@contosotest.com".

W tym wyrażeniu pozostaw wszystko z lewej strony pierwszego znaku @-sign (Word) i połącz je ze stałym ciągiem.

Konwertowanie atrybutu wielowartego na pojedynczą wartość

Niektóre atrybuty w usłudze Active Directory są wielowarte w schemacie, mimo że wyglądają one pojedynczo w Użytkownicy i komputery usługi Active Directory. Przykładem jest atrybut description:
description<- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

W tym wyrażeniu, jeśli atrybut ma wartość, pobierz pierwszy element (Element) w atrybucie, usuń spacje wiodące i końcowe (Trim), a następnie zachowaj pierwsze 448 znaków (po lewej) w ciągu.

Nie przepływaj atrybutu

Aby zapoznać się ze scenariuszem w tej sekcji, zobacz Kontrolowanie procesu przepływu atrybutów.

Istnieją dwa sposoby, aby nie przepływać atrybutu. Pierwszy z nich polega na usunięciu wybranych atrybutów za pomocą kreatora instalacji. Ta opcja działa, jeśli atrybut nigdy wcześniej nie został zsynchronizowany. Jeśli jednak rozpoczęto synchronizowanie tego atrybutu, a później usunięcie go z tą funkcją, aparat synchronizacji przestanie zarządzać atrybutem, a istniejące wartości pozostają w identyfikatorze Entra firmy Microsoft.

Jeśli chcesz usunąć wartość atrybutu i upewnić się, że nie przepływa w przyszłości, musisz utworzyć regułę niestandardową.

W tym scenariuszu firmy Fabrikam zdaliśmy sobie sprawę, że niektóre atrybuty, które synchronizujemy z chmurą, nie powinny tam znajdować się. Chcemy upewnić się, że te atrybuty zostały usunięte z identyfikatora Entra firmy Microsoft.

1. Utwórz nową regułę synchronizacji ruchu przychodzącego i wypełnij opis.
2. Utwórz przepływy atrybutów z wyrażeniem dla elementu FlowType i elementem AuthoritativeNull for Source. Literał AuthoritativeNull wskazuje, że wartość powinna być pusta w metaverse, nawet jeśli reguła synchronizacji o niższym pierwszeństwie próbuje wypełnić wartość.
3. Zapisz regułę synchronizacji. Uruchom usługę synchronizacji, znajdź łącznik, wybierz pozycję Uruchom, a następnie wybierz pozycję Pełna synchronizacja. Ten krok ponownie oblicza wszystkie przepływy atrybutów.
4. Sprawdź, czy planowane zmiany mają zostać wyeksportowane, wyszukując obszar Połączenie or.

Tworzenie reguł za pomocą programu PowerShell

Korzystanie z edytora reguł synchronizacji działa prawidłowo, gdy masz tylko kilka zmian do wprowadzenia. Jeśli musisz wprowadzić wiele zmian, program PowerShell może być lepszym rozwiązaniem. Niektóre funkcje zaawansowane są dostępne tylko w programie PowerShell.

Pobieranie skryptu programu PowerShell dla reguły gotowej do użycia

Aby wyświetlić skrypt programu PowerShell, który utworzył regułę out-of-box, wybierz regułę w edytorze reguł synchronizacji i kliknij przycisk Eksportuj. Ta akcja zapewnia skrypt programu PowerShell, który utworzył regułę.

Pierwszeństwo zaawansowane

Reguły synchronizacji gotowej do użycia zaczynają się od wartości pierwszeństwa 100. Jeśli masz wiele lasów i musisz wprowadzić wiele zmian niestandardowych, 99 reguł synchronizacji może nie wystarczyć.

Możesz poinstruować aparat synchronizacji, że chcesz wstawić dodatkowe reguły przed regułami gotowe do użycia. Aby uzyskać to zachowanie, wykonaj następujące kroki:

1. Oznacz pierwszą regułę synchronizacji gotowej do użycia (w programie AD-User Join) w edytorze reguł synchronizacji i wybierz pozycję Eksportuj. Skopiuj wartość identyfikatora SR.
   
2. Utwórz nową regułę synchronizacji. Możesz użyć edytora reguł synchronizacji, aby go utworzyć. Wyeksportuj regułę do skryptu programu PowerShell.
3. W właściwości PrecedenceBefore wstaw wartość Identyfikator z reguły gotowej do użycia. Ustaw pierwszeństwo na wartość 0. Upewnij się, że atrybut Identyfikator jest unikatowy i że nie korzystasz ponownie z identyfikatora GUID z innej reguły. Upewnij się również, że właściwość ImmutableTag nie jest ustawiona. Ta właściwość powinna być ustawiana tylko dla reguły gotowej do użycia.
4. Zapisz skrypt programu PowerShell i uruchom go. W rezultacie reguła niestandardowa ma przypisaną wartość pierwszeństwa 100, a wszystkie inne reguły gotowe do użycia są zwiększane.
   

W razie potrzeby można mieć wiele niestandardowych reguł synchronizacji przy użyciu tej samej wartości PrecedenceBefore .

Włączanie synchronizacji parametru UserType

Firma Microsoft Entra Połączenie obsługuje synchronizację atrybutu UserType dla obiektów użytkownika w wersji 1.1.524.0 lub nowszej. W szczególności wprowadzono następujące zmiany:

• Schemat typu obiektu User in the Microsoft Entra Połączenie or został rozszerzony w celu uwzględnienia atrybutu UserType, który jest ciągiem typu i jest jednowartościowy.
• Schemat typu obiektu Person w metaverse został rozszerzony w celu uwzględnienia atrybutu UserType, który jest ciągiem typu i jest jednowartościowy.

Domyślnie atrybut UserType nie jest włączony do synchronizacji, ponieważ w lokalna usługa Active Directory nie ma odpowiedniego atrybutu UserType. Należy ręcznie włączyć synchronizację. Przed wykonaniem tej czynności należy zanotować następujące zachowanie wymuszane przez identyfikator Entra firmy Microsoft:

• Firma Microsoft Entra akceptuje dwie wartości atrybutu UserType: Member i Guest.
• Jeśli atrybut UserType nie jest włączony do synchronizacji w usłudze Microsoft Entra Połączenie, użytkownicy microsoft Entra utworzone za pośrednictwem synchronizacji katalogów będą mieć atrybut UserType ustawiony na Member.
• Przed wersją 1.5.30.0 identyfikator Entra firmy Microsoft nie zezwolił na zmianę atrybutu UserType dla istniejących użytkowników microsoft Entra Połączenie. W starszych wersjach można go ustawić tylko podczas tworzenia użytkowników firmy Microsoft Entra i zmienić go za pomocą programu PowerShell.

Przed włączeniem synchronizacji atrybutu UserType należy najpierw zdecydować, jak atrybut pochodzi z lokalna usługa Active Directory. Poniżej przedstawiono najbardziej typowe podejścia:

• Wyznaczanie nieużywanego lokalnego atrybutu usługi AD (takiego jak extensionAttribute1), który ma być używany jako atrybut źródłowy. Wyznaczony lokalny atrybut usługi AD powinien być typu ciąg, być jednowartościowy i zawierać wartość Członek lub Gość.

  Jeśli wybierzesz tę metodę, przed włączeniem synchronizacji atrybutu UserType upewnij się, że wyznaczony atrybut zostanie wypełniony poprawną wartością dla wszystkich istniejących obiektów użytkownika w lokalna usługa Active Directory, które są synchronizowane z identyfikatorem Entra firmy Microsoft.

• Alternatywnie można uzyskać wartość atrybutu UserType z innych właściwości. Na przykład chcesz zsynchronizować wszystkich użytkowników jako gościa , jeśli ich lokalny atrybut userPrincipalName usługi AD kończy się częścią domeny @partners.fabrikam123.org.

  Jak wspomniano wcześniej, starsze wersje usługi Microsoft Entra Połączenie nie zezwalają na zmianę atrybutu UserType istniejących użytkowników microsoft Entra przez firmę Microsoft Entra Połączenie. W związku z tym należy upewnić się, że wybrana logika jest zgodna z tym, jak atrybut UserType jest już skonfigurowany dla wszystkich istniejących użytkowników usługi Microsoft Entra w dzierżawie.

Kroki włączania synchronizacji atrybutu UserType można podsumować jako:

1. Wyłącz harmonogram synchronizacji i sprawdź, czy synchronizacja nie jest w toku.
2. Dodaj atrybut źródłowy do lokalnego schematu Połączenie or usługi AD.
3. Dodaj wartość UserType do schematu Połączenie or firmy Microsoft.
4. Utwórz regułę synchronizacji ruchu przychodzącego, aby przepływać wartość atrybutu z lokalna usługa Active Directory.
5. Utwórz regułę synchronizacji ruchu wychodzącego, aby przepływać wartość atrybutu do identyfikatora Entra firmy Microsoft.
6. Uruchom pełny cykl synchronizacji.
7. Włącz harmonogram synchronizacji.

Uwaga

W pozostałej części tej sekcji opisano te kroki. Są one opisane w kontekście wdrożenia firmy Microsoft Entra z topologią pojedynczego lasu i bez niestandardowych reguł synchronizacji. Jeśli masz skonfigurowaną topologię z wieloma lasami, niestandardowe reguły synchronizacji lub serwer przejściowy, należy odpowiednio dostosować kroki.

Krok 1. Wyłączenie harmonogramu synchronizacji i sprawdzenie, czy synchronizacja nie jest w toku

Aby uniknąć eksportowania niezamierzonych zmian do identyfikatora Entra firmy Microsoft, upewnij się, że synchronizacja nie jest wykonywana w trakcie aktualizowania reguł synchronizacji. Aby wyłączyć wbudowany harmonogram synchronizacji:

1. Uruchom sesję programu PowerShell na serwerze Microsoft Entra Połączenie.
2. Wyłącz zaplanowaną synchronizację, uruchamiając polecenie cmdlet Set-ADSyncScheduler -SyncCycleEnabled $false.
3. Otwórz menedżera usług synchronizacji, przechodząc do sekcji Uruchom>usługę synchronizacji.
4. Przejdź do karty Operacje i upewnij się, że nie ma operacji ze stanem w toku.

Krok 2. Dodawanie atrybutu źródłowego do lokalnego schematu Połączenie or usługi AD

Nie wszystkie atrybuty entra firmy Microsoft są importowane do lokalnej przestrzeni usługi AD Połączenie or. Aby dodać atrybut źródłowy do listy zaimportowanych atrybutów:

1. Przejdź do karty Połączenie ors w programie Synchronization Service Manager.
2. Kliknij prawym przyciskiem myszy lokalną usługę AD Połączenie or i wybierz pozycję Właściwości.
3. W wyskakującym oknie dialogowym przejdź do karty Wybierz atrybuty .
4. Upewnij się, że atrybut źródłowy jest zaznaczony na liście atrybutów.
5. Kliknij przycisk OK , aby zapisać.

Krok 3. Dodawanie atrybutu UserType do schematu programu Microsoft Entra Połączenie or

Domyślnie atrybut UserType nie jest importowany do witryny Microsoft Entra Połączenie Space. Aby dodać atrybut UserType do listy zaimportowanych atrybutów:

1. Przejdź do karty Połączenie ors w programie Synchronization Service Manager.
2. Kliknij prawym przyciskiem myszy pozycję Microsoft Entra Połączenie or i wybierz pozycję Właściwości.
3. W wyskakującym oknie dialogowym przejdź do karty Wybierz atrybuty .
4. Upewnij się, że atrybut UserType jest zaznaczony na liście atrybutów.
5. Kliknij przycisk OK , aby zapisać.

Krok 4. Tworzenie reguły synchronizacji ruchu przychodzącego w celu przepływu wartości atrybutu z lokalna usługa Active Directory

Reguła synchronizacji ruchu przychodzącego zezwala na przepływ wartości atrybutu z atrybutu źródłowego z lokalna usługa Active Directory do metaverse:

1. Otwórz Edytor reguł synchronizacji, przechodząc do Edytora reguł>synchronizacji.

2. Ustaw filtr wyszukiwania Kierunek wyszukiwania na wartość Przychodzące.

3. Kliknij przycisk Dodaj nową regułę, aby utworzyć nową regułę ruchu przychodzącego.

4. Na karcie Opis podaj następującą konfigurację:

   Atrybut	Wartość	Szczegóły
   Nazwisko	Podaj nazwę	Na przykład w usłudze AD — UserType
   opis	Podaj opis
   system Połączenie	Wybieranie lokalnego łącznika usługi AD
   Połączenie typ obiektu systemowego	Użytkownik
   Typ obiektu Metaverse	Osoba
   Typ łącza	Dołącz
   Pierwszeństwo	Wybierz liczbę z zakresu od 1 do 99	1–99 jest zarezerwowana dla niestandardowych reguł synchronizacji. Nie wybieraj wartości używanej przez inną regułę synchronizacji.

5. Przejdź do karty Filtr określania zakresu i dodaj pojedynczą grupę filtrów określania zakresu z następującą klauzulą:

   Atrybut	Operator	Wartość
   adminDescription	NOTSTARTWITH	Użytkownika_

   Filtr określania zakresu określa, do których lokalnych obiektów usługi AD jest stosowana ta reguła synchronizacji ruchu przychodzącego. W tym przykładzie użyjemy tego samego filtru określania zakresu używanego w regule synchronizacji Typu w usłudze AD — typowej dla użytkownika reguły synchronizacji, która uniemożliwia stosowanie reguły synchronizacji do obiektów użytkownika utworzonych za pomocą funkcji zapisywania zwrotnego użytkownika firmy Microsoft Entra. Może być konieczne dostosowanie filtru określania zakresu zgodnie z wdrożeniem Połączenie firmy Microsoft.

6. Przejdź do karty Przekształcenie i zaimplementuj żądaną regułę przekształcania. Jeśli na przykład określono nieużywany lokalny atrybut usługi AD (taki jak extensionAttribute1) jako atrybut źródłowy atrybutu UserType, możesz zaimplementować bezpośredni przepływ atrybutów:

   Typ przepływu	Atrybut docelowy	Źródło	Zastosuj raz	Typ scalania
   Direct	UserType	extensionAttribute1	Niezaznaczone	Zaktualizuj

   W innym przykładzie chcesz uzyskać wartość atrybutu UserType z innych właściwości. Na przykład chcesz zsynchronizować wszystkich użytkowników jako gościa, jeśli ich lokalny atrybut userPrincipalName usługi AD kończy się częścią domeny @partners.fabrikam123.org. Możesz zaimplementować wyrażenie w następujący sposób:

   Typ przepływu	Atrybut docelowy	Źródło	Zastosuj raz	Typ scalania
   Expression	UserType	IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is not present to determin UserType"))	Niezaznaczone	Zaktualizuj

7. Kliknij przycisk Dodaj , aby utworzyć regułę ruchu przychodzącego.

Krok 5. Tworzenie reguły synchronizacji ruchu wychodzącego w celu przepływu wartości atrybutu do identyfikatora Entra firmy Microsoft

Reguła synchronizacji ruchu wychodzącego zezwala na przepływ wartości atrybutu z metaverse do atrybutu UserType w identyfikatorze Entra firmy Microsoft:

1. Przejdź do Edytora reguł synchronizacji.

2. Ustaw filtr wyszukiwania Kierunek wyszukiwania na wychodzący.

3. Kliknij przycisk Dodaj nową regułę.

4. Na karcie Opis podaj następującą konfigurację:

   Atrybut	Wartość	Szczegóły
   Nazwisko	Podaj nazwę	Na przykład out to Microsoft Entra ID — UserType
   opis	Podaj opis
   system Połączenie	Wybierz łącznik Microsoft Entra
   Połączenie typ obiektu systemowego	Użytkownik
   Typ obiektu Metaverse	Osoba
   Typ łącza	Dołącz
   Pierwszeństwo	Wybierz liczbę z zakresu od 1 do 99	1–99 jest zarezerwowana dla niestandardowych reguł synchronizacji. Nie wybieraj wartości używanej przez inną regułę synchronizacji.

5. Przejdź do karty Filtr określania zakresu i dodaj pojedynczą grupę filtrów określania zakresu z dwiema klauzulami:

   Atrybut	Operator	Wartość
   sourceObjectType	RÓWNE	User
   cloudMastered	UWAGAQUAL	Prawda

   Filtr określania zakresu określa, do których obiektów firmy Microsoft jest stosowana ta reguła synchronizacji ruchu wychodzącego. W tym przykładzie używamy tego samego filtru określania zakresu z reguły synchronizacji out to AD — User Identity out-of-box. Zapobiega to zastosowaniu reguły synchronizacji do obiektów użytkownika, które nie są synchronizowane z lokalna usługa Active Directory. Może być konieczne dostosowanie filtru określania zakresu zgodnie z wdrożeniem Połączenie firmy Microsoft.

6. Przejdź do karty Przekształcenie i zaimplementuj następującą regułę przekształcania:

   Typ przepływu	Atrybut docelowy	Źródło	Zastosuj raz	Typ scalania
   Direct	UserType	UserType	Niezaznaczone	Zaktualizuj

7. Kliknij przycisk Dodaj , aby utworzyć regułę ruchu wychodzącego.

Krok 6. Uruchamianie pełnego cyklu synchronizacji

Ogólnie rzecz biorąc, wymagany jest pełny cykl synchronizacji, ponieważ dodaliśmy nowe atrybuty zarówno do schematów usługi Active Directory, jak i programu Microsoft Entra Połączenie or oraz wprowadzono niestandardowe reguły synchronizacji. Chcesz zweryfikować zmiany przed wyeksportowaniem ich do identyfikatora Entra firmy Microsoft.

Poniższe kroki umożliwiają zweryfikowanie zmian podczas ręcznego uruchamiania kroków tworzących pełny cykl synchronizacji.

1. Uruchom pełny import w lokalnej usłudze AD Połączenie or:

   1. Przejdź do karty Połączenie ors w programie Synchronization Service Manager.

   2. Kliknij prawym przyciskiem myszy lokalną usługę AD Połączenie or i wybierz polecenie Uruchom.

   3. W wyskakującym oknie dialogowym wybierz pozycję Pełny import , a następnie kliknij przycisk OK.

   4. Poczekaj na zakończenie operacji.

      Uwaga

      Możesz pominąć pełny import w lokalnej usłudze AD Połączenie or, jeśli atrybut źródłowy jest już uwzględniony na liście zaimportowanych atrybutów. Innymi słowy, nie trzeba wprowadzać żadnych zmian w kroku 2: Dodawanie atrybutu źródłowego do lokalnego schematu usługi AD Połączenie or.

2. Uruchom pełny import w usłudze Microsoft Entra Połączenie or:

   1. Kliknij prawym przyciskiem myszy pozycję Microsoft Entra Połączenie or i wybierz polecenie Uruchom.
   2. W wyskakującym oknie dialogowym wybierz pozycję Pełny import , a następnie kliknij przycisk OK.
   3. Poczekaj na zakończenie operacji.

3. Sprawdź zmiany reguły synchronizacji w istniejącym obiekcie użytkownika:

   Atrybut źródłowy z lokalna usługa Active Directory i UserType z identyfikatora Entra firmy Microsoft zostały zaimportowane do odpowiednich Połączenie or Spaces. Przed kontynuowaniem pełnej synchronizacji wykonaj podgląd istniejącego obiektu użytkownika w lokalnej przestrzeni usługi AD Połączenie or. Wybrany obiekt powinien mieć wypełniony atrybut źródłowy.

   Pomyślna wersja zapoznawcza z wartością UserType wypełniona w metaverse jest dobrym wskaźnikiem prawidłowego skonfigurowania reguł synchronizacji. Aby uzyskać informacje o sposobie wykonywania wersji zapoznawczej, zapoznaj się z sekcją Weryfikowanie zmiany.

4. Uruchom pełną synchronizację w lokalnej usłudze AD Połączenie or:

   1. Kliknij prawym przyciskiem myszy lokalną usługę AD Połączenie or i wybierz polecenie Uruchom.
   2. W oknie podręcznym wybierz pozycję Pełna synchronizacja , a następnie kliknij przycisk OK.
   3. Poczekaj na zakończenie operacji.

5. Sprawdź oczekujące eksporty do identyfikatora entra firmy Microsoft:

   1. Kliknij prawym przyciskiem myszy pozycję Microsoft Entra Połączenie or i wybierz pozycję Wyszukaj Połączenie or Spacja.

   2. W wyskakującym oknie dialogowym Wyszukiwanie Połączenie or Spacja:

      • Ustaw wartość Zakres na Oczekujący eksport.
      • Zaznacz wszystkie trzy pola wyboru: Dodaj, Modyfikuj i Usuń.
      • Kliknij przycisk Wyszukaj, aby uzyskać listę obiektów ze zmianami do wyeksportowania. Aby zbadać zmiany dla danego obiektu, kliknij dwukrotnie obiekt.
      • Sprawdź, czy zmiany są oczekiwane.

6. Uruchom polecenie Eksportuj w usłudze Microsoft Entra Połączenie or:

   1. Kliknij prawym przyciskiem myszy pozycję Microsoft Entra Połączenie or i wybierz polecenie Uruchom.
   2. W oknie podręcznym Uruchom Połączenie or wybierz pozycję Eksportuj, a następnie kliknij przycisk OK.
   3. Poczekaj na zakończenie eksportu do identyfikatora Entra firmy Microsoft.

Uwaga

Te kroki nie obejmują pełnej synchronizacji i kroków eksportowania w usłudze Microsoft Entra Połączenie or. Te kroki nie są wymagane, ponieważ wartości atrybutów przepływają z lokalna usługa Active Directory do usługi Microsoft Entra-only.

Krok 7. Ponowne włączanie harmonogramu synchronizacji

Ponownie włącz wbudowany harmonogram synchronizacji:

1. Uruchom sesję programu PowerShell.
2. Ponownie włącz zaplanowaną synchronizację, uruchamiając polecenie cmdlet Set-ADSyncScheduler -SyncCycleEnabled $true.

Następne kroki

• Przeczytaj więcej na temat modelu konfiguracji w artykule Understanding Deklaratative Provisioning (Opis aprowizacji deklaratywnej).
• Przeczytaj więcej na temat języka wyrażeń w temacie Understanding Declarative Provisioning Expressions (Opis wyrażeń aprowizacji deklaratywnej).

Tematy omówienia

• Microsoft Entra Połączenie Sync: Omówienie i dostosowywanie synchronizacji
• Integrowanie tożsamości lokalnych z identyfikatorem Entra firmy Microsoft