Como usar o recurso BypassDirSyncOverridesEnabled de um locatário do Microsoft Entra.
Este artigo descreve o recurso BypassDirSyncOverridesEnabled e como restaurar a sincronização dos atributos Mobile e otherMobile do Microsoft Entra ID para o Active Directory local.
De modo geral, os usuários sincronizados não podem ser alterados nos portais de administração do Azure ou do Microsoft 365 nem por meio do PowerShell usando o Microsoft Entra ID ou o módulo PowerShell do Microsoft Graph. A exceção para isso são os atributos do usuários do Microsoft Entra chamados MobilePhone e AlternateMobilePhones. Esses atributos são sincronizados a partir dos atributos do Active Directory local mobile e otherMobile, respectivamente, mas os usuários finais poderão atualizar seu próprio número de telefone no atributo MobilePhone no Microsoft Entra ID por meio da página de perfil. Os administradores também podem atualizar os valoresMobilePhone e AlternateMobilePhones do usuário sincronizado no Microsoft Entra ID usando o módulo PowerShell do Microsoft Graph.
Conceder aos usuários e aos administradores a capacidade de atualizar os números de telefone diretamente no Microsoft Entra ID permitirá que as empresas reduzam a sobrecarga administrativa de gerenciamento dos números de telefone do usuário no Active Directory local, pois esses podem alterar com mais frequência.
A ressalva, no entanto, é que, uma vez que o número MobilePhone ou AlternateMobilePhones de um usuário sincronizado for atualizado por meio do portal de administração ou do PowerShell, a API de sincronização não executará mais as atualizações desses atributos quando originadas do Active Directory local. Isso é comumente conhecido como um recurso "DirSyncOverrides". Os administradores notarão esse comportamento quando as atualizações dos atributos de Mobile ou otherMobile no Active Directory não atualizarem corretamente o MobilePhone ou o AlternateMobilePhones do usuário correspondente no Microsoft Entra ID, mesmo que o objeto seja sincronizado com êxito por meio do mecanismo do Microsoft Entra Connect.
Identificar usuários com diferentes valores de Mobile e otherMobile
Você poderá exportar uma lista de usuários com diferentes valores de Mobile e otherMobile entre o Active Directory e o Microsoft Entra ID usando ‘Compare-ADSyncToolsDirSyncOverrides’ do módulo do PowerShell ADSyncTools. Isso permitirá que você determine os usuários e os respectivos valores que são diferentes entre o Active Directory local e o Microsoft Entra ID. É importante ter conhecimento disso porque habilitar o recurso BypassDirSyncOverridesEnabled irá substituir todos os diferentes valores no Microsoft Entra ID pelo valor preveniente do Active Directory local.
Usar Compare-ADSyncToolsDirSyncOverrides
Como pré-requisito, será necessário executar o Microsoft Entra Connect versão 2 ou posterior e instalar o módulo ADSyncTools mais recente da Galeria do PowerShell com o seguinte comando:
Install-Module ADSyncTools
Para comparar todos os valores de Mobile e OtherMobile do usuário sincronizado, execute o seguinte comando:
Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential)
Observação
A API de destino usada por esse recurso não manipula interações de usuários de autenticação. A MFA ou as políticas condicionais bloquearão a autenticação. Quando solicitado a inserir credenciais, use uma conta de Administrador Global que não tenha a MFA habilitada ou qualquer política de Acesso Condicional aplicada. Como último recurso, crie uma conta de usuário de administrador global temporária sem MFA ou acesso condicional que poderá ser excluída após concluir as operações desejadas usando o recurso BypassDirSyncOverridees.
Essa função exportará um arquivo CSV com uma lista de usuários em que os valores de Mobile ou OtherMobile no Active Directory local são diferentes do respectivo MobilePhone ou AlternateMobilePhones no Microsoft Entra ID.
Nessa fase, você poderá usar esses dados para redefinir os valores das propriedades do Mobile e otherMobile do Active Directory local com os valores presentes no Microsoft Entra ID. Assim, você pode capturar os números de telefone mais atualizados do Microsoft Entra ID e tornar esses dados persistentes no Active Directory local antes de habilitar o recurso BypassDirSyncOverridesEnabled. Para fazer isso, importe os dados do arquivo CSV resultante e use o 'Set-ADSyncToolsDirSyncOverrides' do módulo ADSyncTools para manter o valor no Active Directory local.
Por exemplo, para importar os dados do arquivo CSV e extrair os valores no Microsoft Entra ID para um determinado UserPrincipalName, use o seguinte comando:
$upn = '<UserPrincipalName>'
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' |
where UserPrincipalName -eq $upn |
select UserPrincipalName,*InAAD
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD
Habilitando o recurso BypassDirSyncOverridesEnabled
Por padrão, o recurso BypassDirSyncOverridesEnabled fica desativado. Habilitar o BypassDirSyncOverridesEnabled permitirá que seu locatário ignore todas as alterações feitas em MobilePhone ou AlternateMobilePhones por usuários ou administradores diretamente no Microsoft Entra ID e sempre respeite os valores presentes no Mobile ou OtherMobile do Active Directory local.
Se não quiser que os usuários finais atualizem seu próprio número de telefone celular ou se não houver necessidade de os administradores atualizarem os números de telefones celulares ou celulares alternativos usando o PowerShell, você deve deixar o recurso BypassDirSyncOverridesEnabled habilitado no locatário.
Com esse recurso ativado, mesmo que um usuário final ou administrador atualize o MobilePhone ou o AlternateMobilePhones no Microsoft Entra ID, os valores sincronizados do Active Directory local persistirão no próximo ciclo de sincronização. Isso significa que todas as atualizações nesses valores persistirão apenas quando a atualização for executada no Active Directory local e, em seguida, sincronizada com o Microsoft Entra ID.
Habilite o recurso BypassDirSyncOverridesEnabled:
Para habilitar o recurso BypassDirSyncOverridesEnabled, use o módulo PowerShell do Microsoft Graph.
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Após habilitar o recurso, inicie um ciclo de sincronização completo no Microsoft Entra Connect usando o seguinte comando:
Start-ADSyncSyncCycle -PolicyType Initial
Observação
Apenas os objetos com um valor de MobilePhone ou AlternateMobilePhones diferente daquele do Active Directory local serão atualizados.
Verifique o status do recurso BypassDirSyncOverridesEnabled:
(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled
Desabilitando o recurso BypassDirSyncOverridesEnabled
Se quiser restaurar a capacidade de atualizar os números de telefones celulares no portal ou no PowerShell, você pode desabilitar o recurso BypassDirSyncOverridesEnabled usando o seguinte comando do módulo PowerShell do Microsoft Graph:
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Quando esse recurso estiver desativado, sempre que um usuário ou um administrador atualizar o MobilePhone ou o AlternateMobilePhones diretamente no Microsoft Entra ID, será criado um DirSyncOverrides que impedirá todas as atualizações futuras desses atributos provenientes do Active Directory local. A partir desse ponto, um usuário ou administrador poderá gerenciar esses atributos somente do Microsoft Entra ID, pois todas as novas atualizações do Mobile ou do OtherMobile local serão ignoradas.
Gerenciar números dos telefones celulares no Microsoft Entra ID e no Active Directory local
Para gerenciar os números dos telefones do usuário, um administrador poderá usar o seguinte conjunto de funções do módulo ADSyncTools para ler, gravar e limpar os valores no Microsoft Entra ID ou no Active Directory local.
Obter as propriedades de Mobile e OtherMobile do Active Directory local:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD
Obtenha as propriedades MobilePhone e AlternateMobilePhones de Microsoft Entra ID:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD
Obter as propriedades de MobilePhone e AlternateMobilePhones no Microsoft Entra ID:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'
Definir as propriedades de Mobile e otherMobile no Active Directory local:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'
Desmarque as propriedades MobilePhone e AlternateMobilePhones no Microsoft Entra ID:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD
Limpar as propriedades de Mobile e otherMobile no Active Directory local:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD
Próximas etapas
Saiba mais sobre o Microsoft Entra Connect: módulo ADSyncTools do PowerShell