Jak używać funkcji BypassDirSyncOverridesEnabled dzierżawy firmy Microsoft Entra.
W tym artykule opisano funkcję BypassDirSyncOverridesEnabled oraz sposób przywracania synchronizacji atrybutów Mobile i innych Atrybutów mobilnych z identyfikatora Entra firmy Microsoft do lokalna usługa Active Directory.
Ogólnie rzecz biorąc, zsynchronizowanych użytkowników nie można zmienić z portali administracyjnych platformy Azure ani platformy Microsoft 365, ani za pomocą programu PowerShell przy użyciu identyfikatora Microsoft Entra ID ani modułów programu PowerShell programu Microsoft Graph. Wyjątkiem od tego są atrybuty użytkownika Firmy Microsoft Entra o nazwie Mobile Telefon i AlternateMobile Telefon s. Te atrybuty są synchronizowane odpowiednio z atrybutów lokalna usługa Active Directory mobile i innychMobile, ale użytkownicy końcowi mogą zaktualizować własny numer telefonu w usłudze Mobile Telefon atrybutu w identyfikatorze Entra firmy Microsoft za pośrednictwem strony profilu. Administracja mogą również aktualizować zsynchronizowane użytkowników Wartości Mobile Telefon iAlternateMobile Telefon s w usłudze Microsoft Entra ID przy użyciu modułu PowerShell microsoft Graph.
Zapewnienie użytkownikom i administratorom możliwości aktualizowania numerów telefonów bezpośrednio w usłudze Microsoft Entra ID umożliwia przedsiębiorstwom zmniejszenie obciążeń administracyjnych związanych z zarządzaniem numerami telefonów użytkownika w lokalnej usłudze Active Directory, ponieważ mogą one ulec częściej zmianie.
Zastrzeżeniem jest jednak to, że gdy zsynchronizowany użytkownik Mobile Telefon lub AlternateMobile Telefon s numer jest aktualizowany za pośrednictwem portalu administracyjnego lub programu PowerShell, interfejs API synchronizacji nie będzie już honorować aktualizacji tych atrybutów, gdy pochodzą z lokalna usługa Active Directory. Jest to powszechnie znane jako funkcja "DirSyncOverrides". Administracja istratory zauważą to zachowanie, gdy aktualizacje atrybutów Mobile lub innychMobile w usłudze Active Directory nie aktualizują urządzenia przenośnego użytkownika korespondenta Telefon lub AlternatywneMobile Telefon w identyfikatorze Entra firmy Microsoft odpowiednio, mimo że obiekt został pomyślnie zsynchronizowany za pośrednictwem aparatu Połączenie firmy Microsoft.
Identyfikowanie użytkowników z różnymi wartościami mobile i innymiMobile
Możesz wyeksportować listę użytkowników z różnymi wartościami mobile i innymiMobile między usługami Active Directory i Microsoft Entra ID przy użyciu modułu "Compare-ADSyncToolsDirSyncOverrides" z modułu ADSyncTools programu PowerShell. Umożliwi to określenie użytkowników i odpowiednich wartości, które różnią się między lokalna usługa Active Directory i identyfikatorem Entra firmy Microsoft. Jest to ważne, ponieważ włączenie funkcji BypassDirSyncOverridesEnabled spowoduje zastąpienie wszystkich różnych wartości w identyfikatorze Entra firmy Microsoft wartościami pochodzącymi z lokalna usługa Active Directory.
Korzystanie z funkcji Compare-ADSyncToolsDirSyncOverrides
W ramach wymagań wstępnych należy uruchomić program Microsoft Entra Połączenie w wersji 2 lub nowszej i zainstalować najnowszy moduł ADSyncTools z Galeria programu PowerShell za pomocą następującego polecenia:
Install-Module ADSyncTools
Aby porównać wszystkie zsynchronizowane wartości Mobile i OtherMobile użytkownika, uruchom następujące polecenie:
Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential)
Uwaga
Docelowy interfejs API używany przez tę funkcję nie obsługuje interakcji użytkownika uwierzytelniania. Uwierzytelnianie wieloskładnikowe lub zasady warunkowe będą blokować uwierzytelnianie. Po wyświetleniu monitu o wprowadzenie poświadczeń użyj konta globalnego Administracja istrator, które nie ma włączonej uwierzytelniania wieloskładnikowego ani żadnych zastosowanych zasad dostępu warunkowego. W ostateczności utwórz tymczasowe konto użytkownika global Administracja istrator bez uwierzytelniania wieloskładnikowego lub dostępu warunkowego, które można usunąć po zakończeniu żądanych operacji przy użyciu funkcji BypassDirSyncOverridees.
Ta funkcja spowoduje wyeksportowanie pliku CSV z listą użytkowników, dla których wartości Mobile lub OtherMobile w lokalna usługa Active Directory różnią się od odpowiednich wartości Mobile Telefon lub AlternateMobile Telefon s w identyfikatorze Firmy Microsoft Entra.
Na tym etapie możesz użyć tych danych, aby zresetować wartości właściwości lokalna usługa Active Directory Mobile i inneMobile do wartości znajdujących się w identyfikatorze Entra firmy Microsoft. Dzięki temu można przechwytywać najbardziej zaktualizowane numery telefonów z identyfikatora Entra firmy Microsoft i utrwalać te dane w lokalna usługa Active Directory przed włączeniem funkcji BypassDirSyncOverridesEnabled. W tym celu zaimportuj dane z wynikowego pliku CSV, a następnie użyj modułu "Set-ADSyncToolsDirSyncOverrides" z modułu ADSyncTools, aby utrwały wartość w lokalna usługa Active Directory.
Aby na przykład zaimportować dane z pliku CSV i wyodrębnić wartości w identyfikatorze Entra firmy Microsoft dla danego parametru UserPrincipalName, użyj następującego polecenia:
$upn = '<UserPrincipalName>'
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' |
where UserPrincipalName -eq $upn |
select UserPrincipalName,*InAAD
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD
Włączanie funkcji BypassDirSyncOverridesEnabled
Domyślnie funkcja BypassDirSyncOverridesEnabled jest wyłączona . Włączenie opcji BypassDirSyncOverridesEnabled umożliwia dzierżawie obejście wszelkich zmian wprowadzonych w usłudze Mobile Telefon lub AlternateMobile Telefon przez użytkowników lub administratorów bezpośrednio w identyfikatorze Entra firmy Microsoft i zawsze honoruje wartości obecne w lokalna usługa Active Directory Mobile lub OtherMobile.
Jeśli nie chcesz, aby użytkownicy końcowi aktualizowali własny numer telefonu komórkowego lub nie ma potrzeby aktualizowania przez administratorów numerów telefonów komórkowych lub alternatywnych numerów telefonów komórkowych przy użyciu programu PowerShell, należy pozostawić funkcję BypassDirSyncOverridesEnabled włączoną w dzierżawie.
Po włączeniu tej funkcji, nawet jeśli użytkownik końcowy lub administrator zaktualizuje usługę Mobile Telefon lub AlternateMobile Telefon s w identyfikatorze Entra firmy Microsoft, wartości zsynchronizowane z lokalna usługa Active Directory będą utrwalane podczas następnego cyklu synchronizacji. Oznacza to, że wszystkie aktualizacje tych wartości są utrwalane tylko wtedy, gdy aktualizacja jest wykonywana w lokalna usługa Active Directory, a następnie synchronizowana z identyfikatorem Entra firmy Microsoft.
Włącz funkcję BypassDirSyncOverridesEnabled:
Aby włączyć funkcję BypassDirSyncOverridesEnabled, użyj modułu Microsoft Graph PowerShell .
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Po włączeniu tej funkcji uruchom pełny cykl synchronizacji w usłudze Microsoft Entra Połączenie przy użyciu następującego polecenia:
Start-ADSyncSyncCycle -PolicyType Initial
Uwaga
Zostaną zaktualizowane tylko obiekty z inną wartością Mobile Telefon lub AlternateMobile Telefon z lokalna usługa Active Directory.
Sprawdź stan funkcji BypassDirSyncOverridesEnabled:
(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled
Wyłączanie funkcji BypassDirSyncOverridesEnabled
Jeśli chcesz przywrócić możliwość aktualizowania numerów telefonów komórkowych z portalu lub programu PowerShell, możesz wyłączyć funkcję BypassDirSyncOverridesEnabled przy użyciu następującego polecenia modułu Programu PowerShell programu Microsoft Graph:
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Gdy ta funkcja zostanie wyłączona, w dowolnym momencie użytkownik lub administrator zaktualizuje element Mobile Telefon lub AlternateMobile Telefon s bezpośrednio w identyfikatorze Entra firmy Microsoft, zostanie utworzony moduł DirSyncOverrides, co uniemożliwia aktualizowanie przyszłych atrybutów pochodzących z lokalna usługa Active Directory. Od tego momentu użytkownik lub administrator może zarządzać tymi atrybutami tylko z identyfikatora Entra firmy Microsoft, ponieważ wszystkie nowe aktualizacje lokalnego urządzenia przenośnego lub innegomobilnego zostaną odrzucone .
Zarządzanie numerami telefonów komórkowych w usłudze Microsoft Entra ID i lokalna usługa Active Directory
Aby zarządzać numerami telefonów użytkownika, administrator może użyć następującego zestawu funkcji z modułu ADSyncTools do odczytywania, zapisywania i czyszczenia wartości w identyfikatorze Microsoft Entra LUB lokalna usługa Active Directory.
Pobierz właściwości Mobile i OtherMobile z lokalna usługa Active Directory:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD
Pobierz właściwości Mobile Telefon i AlternateMobile Telefon s z identyfikatora Entra firmy Microsoft:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD
Ustaw właściwości Mobile Telefon i AlternateMobile Telefon s w identyfikatorze Entra firmy Microsoft:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'
Ustaw właściwości Mobile i inneMobile w lokalna usługa Active Directory:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'
Właściwości Clear Mobile Telefon i AlternateMobile Telefon s w identyfikatorze Entra firmy Microsoft:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD
Wyczyść właściwości Mobile i inneMobile w lokalna usługa Active Directory:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD
Następne kroki
Dowiedz się więcej o usłudze Microsoft Entra Połączenie: ADSyncTools moduł programu PowerShell