Funkcje usługi Microsoft Entra Connect Sync
Funkcja synchronizacji programu Microsoft Entra Connect ma dwa składniki:
- Składnik lokalny o nazwie Microsoft Entra Connect Sync, nazywany również aparatem synchronizacji.
- Usługa będąca w usłudze Microsoft Entra ID znana również jako usługa Microsoft Entra Connect Sync
W tym temacie wyjaśniono, jak działają następujące funkcje usługi Microsoft Entra Connect Sync oraz jak można je skonfigurować przy użyciu programu PowerShell.
Aby wyświetlić konfigurację w katalogu Microsoft Entra przy użyciu programu PowerShell programu Graph, użyj następujących poleceń:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Wynik wygląda następująco:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Uwaga
Od 24 sierpnia 2016 r. odporność atrybutu Duplikuj funkcję jest domyślnie włączona dla nowych katalogów microsoft Entra. Ta funkcja zostanie również wdrożona i włączona w katalogach utworzonych przed tą datą. Otrzymasz powiadomienie e-mail, gdy katalog ma uzyskać tę funkcję włączoną.
Następujące ustawienia są skonfigurowane w programie Microsoft Entra Connect:
DirSyncFeature | Komentarz |
---|---|
SoftMatchOnUpn | Umożliwia dołączanie obiektów do atrybutu userPrincipalName oprócz podstawowego adresu SMTP. |
SynchronizeUpnForManagedUsers | Umożliwia aparatowi synchronizacji zaktualizowanie atrybutu userPrincipalName dla użytkowników zarządzanych/licencjonowanych (niefederowanych). |
DeviceWriteback | Microsoft Entra Connect: włączanie zapisywania zwrotnego urządzeń |
Rozszerzenia katalogu | Microsoft Entra Connect Sync: rozszerzenia katalogu |
DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Umożliwia kwarantannę atrybutu, gdy jest duplikatem innego obiektu, a nie niepowodzeniem całego obiektu podczas eksportowania. |
Synchronizacja skrótów haseł | Implementowanie synchronizacji skrótów haseł za pomocą usługi Microsoft Entra Connect Sync |
Zapisywanie zwrotne haseł | Nieobsługiwane. Ta funkcja usługi nie została zakończona. Aby skonfigurować funkcję zapisywania zwrotnego haseł, zobacz Włączanie zapisywania zwrotnego haseł w programie Microsoft Entra Connect |
Uwierzytelnianie przekazywane | Logowanie użytkownika przy użyciu uwierzytelniania przekazywanego usługi Microsoft Entra |
UnifiedGroupWriteback | Zapisywanie zwrotne grup |
UserWriteback | Obecnie nieobsługiwane. |
Odporność zduplikowanych atrybutów
Zamiast nie aprowizować obiektów z zduplikowanymi nazwami UPN/proxyAddresses, zduplikowany atrybut jest "poddane kwarantannie", a przypisana jest wartość tymczasowa. Gdy konflikt zostanie rozwiązany, tymczasowa nazwa UPN zostanie automatycznie zmieniona na odpowiednią wartość. Aby uzyskać więcej informacji, zobacz Synchronizacja tożsamości i odporność zduplikowanych atrybutów.
Dopasowanie miękkie UserPrincipalName
Po włączeniu tej funkcji dopasowanie nietrwałe jest włączone dla nazwy UPN oprócz podstawowego adresu SMTP, który jest zawsze włączony. Dopasowanie nietrwałe służy do dopasowywania istniejących użytkowników chmury w usłudze Microsoft Entra ID do użytkowników lokalnych.
Jeśli musisz dopasować lokalne konta usługi AD z istniejącymi kontami utworzonymi w chmurze i nie używasz usługi Exchange Online, ta funkcja jest przydatna. W tym scenariuszu zazwyczaj nie masz powodu, aby ustawić atrybut SMTP w chmurze.
Ta funkcja jest domyślnie włączona dla nowo utworzonych katalogów firmy Microsoft Entra. Możesz sprawdzić, czy ta funkcja jest włączona, uruchamiając następujące polecenie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Jeśli ta funkcja nie jest włączona dla katalogu Microsoft Entra, możesz ją włączyć, uruchamiając polecenie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Po włączeniu tej funkcji blokuje ona funkcję Dopasowania miękkiego. Zachęcamy klientów do włączenia tej funkcji i utrzymania jej włączonej do momentu ponownego wymagania dopasowania miękkiego dla dzierżawy. Ta flaga powinna być ponownie włączona po zakończeniu wszystkich miękkich dopasowań i nie jest już potrzebna.
Przykład — blokowanie miękkiego dopasowywania w dzierżawie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Synchronizowanie aktualizacji userPrincipalName
Historycznie aktualizacje atrybutu UserPrincipalName przy użyciu usługi synchronizacji ze środowiska lokalnego zostały zablokowane, chyba że oba te warunki zostały spełnione:
- Użytkownik zarządzany (niefederowany).
- Użytkownik nie ma przypisanej licencji.
Uwaga
Od marca 2019 r. synchronizowanie zmian nazw UPN dla kont użytkowników federacyjnych jest dozwolone.
Włączenie tej funkcji umożliwia aparatowi synchronizacji aktualizowanie elementu userPrincipalName po zmianie lokalnie i użycie synchronizacji skrótów haseł lub uwierzytelniania przekazywanego.
Ta funkcja jest domyślnie włączona dla nowo utworzonych katalogów firmy Microsoft Entra. Możesz sprawdzić, czy ta funkcja jest włączona, uruchamiając następujące polecenie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Jeśli ta funkcja nie jest włączona dla katalogu Microsoft Entra, możesz ją włączyć, uruchamiając polecenie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Po włączeniu tej funkcji istniejące wartości userPrincipalName pozostaną tak, jak jest. W następnej zmianie atrybutu userPrincipalName lokalnie normalna synchronizacja różnicowa dla użytkowników zaktualizuje nazwę UPN. Po włączeniu tej funkcji nie można jej wyłączyć.
Zobacz też
- Microsoft Entra Connect Sync
- Integrowanie tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.