Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve o recurso BypassDirSyncOverridesEnabled e como restaurar a sincronização dos atributos móveis e otherMobile do Microsoft Entra ID para o Active Directory local.
As propriedades de usuários sincronizados não podem ser alteradas da ID do Microsoft Entra ou dos portais de administração do Microsoft 365, nem por meio de módulos disponíveis do PowerShell. Até recentemente, a exceção a isso eram os atributos do usuário do Microsoft Entra chamados MobilePhone e AlternateMobilePhones. Esses atributos são sincronizados dos atributos do Active Directory mobile e otherMobile, respectivamente, porém os usuários finais costumavam atualizar seu próprio número de telefone no atributo MobilePhone na Microsoft Entra ID por meio da página de perfil. As alterações nos atributos MobilePhone e AlternateMobilePhones não são mais possíveis para usuários sincronizados, exceto pelo uso do Microsoft Entra Connect ou do Microsoft Entra Cloud Sync.
Anteriormente, administradores e usuários sincronizados tinham a capacidade de atualizar os valores dos atributos MobilePhone e AlternateMobilePhones no Microsoft Entra ID. Isso não é mais possível para usuários sincronizados. Quando isso foi possível, a API de sincronização não estava honrando atualizações para esses atributos quando eles se originaram do Active Directory local. Isso era comumente conhecido como um recurso "DirSyncOverrides". Os administradores notaram esse comportamento quando as atualizações para atributos móveis ou outros móveis no Active Directory não atualizaram o MobilePhone ou AlternateMobilePhones do usuário correspondente na ID do Microsoft Entra de acordo, mesmo que o objeto tenha sido sincronizado com êxito por meio do mecanismo do Microsoft Entra Connect.
Identificando usuários com valores móveis diferentes
Você pode exportar uma lista de usuários com valores móveis diferentes entre o Active Directory e a ID do Microsoft Entra usando 'Compare-ADSyncToolsDirSyncOverrides' do módulo ADSyncTools PowerShell. Isso permitirá que você determine os usuários e os respectivos valores que são diferentes entre o Active Directory local e o Microsoft Entra ID. Isso é importante saber porque habilitar o recurso BypassDirSyncOverridesEnabled substituirá todos os valores diferentes na ID do Microsoft Entra com o valor proveniente do Active Directory local.
Usar Compare-ADSyncToolsDirSyncOverrides
Como pré-requisito, será necessário executar o Microsoft Entra Connect versão 2 ou posterior e instalar o módulo ADSyncTools mais recente da Galeria do PowerShell com o seguinte comando:
Install-Module ADSyncTools
Para comparar todos os valores móveis do usuário sincronizado, execute o seguinte comando:
Compare-ADSyncToolsDirSyncOverrides
Essa função exportará um arquivo CSV com uma lista de usuários em que os valores móveis no Active Directory local são diferentes dos respectivos MobilePhone no Microsoft Entra ID.
Neste estágio, você pode usar esses dados para redefinir os valores das propriedades locais do Active Directory Mobile para os valores presentes na ID do Microsoft Entra. Dessa forma, você pode capturar os números de telefone mais atualizados da ID do Microsoft Entra e persistir esses dados no Active Directory local, antes de habilitar o recurso BypassDirSyncOverridesEnabled . Para fazer isso, importe os dados do arquivo CSV resultante e use o 'Set-ADSyncToolsDirSyncOverrides' do módulo ADSyncTools para manter o valor no Active Directory local.
Por exemplo, para importar os dados do arquivo CSV e extrair os valores no Microsoft Entra ID para um determinado UserPrincipalName, use o seguinte comando:
$upn = '<UserPrincipalName>'
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' | where UserPrincipalName -eq $upn | select UserPrincipalName,MobileInEntra
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInEntra
Habilitar o recurso BypassDirSyncOverridesEnabled
Por padrão, o recurso BypassDirSyncOverridesEnabled está desativado. Habilitar BypassDirSyncOverridesEnabled permite que seu inquilino ignore as alterações feitas anteriormente no MobilePhone ou AlternateMobilePhones por usuários ou administradores diretamente na ID do Microsoft Entra, e respeite os valores presentes no Active Directory local Mobile ou OtherMobile.
Habilite o recurso BypassDirSyncOverridesEnabled:
Para habilitar o recurso BypassDirSyncOverridesEnabled, use o módulo PowerShell do Microsoft Graph.
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$directorySynchronization.Features.BypassDirSyncOverridesEnabled = $true
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $directorySynchronization.Features
Verifique o status do recurso BypassDirSyncOverridesEnabled:
(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled
Após habilitar o recurso, inicie um ciclo de sincronização completo no Microsoft Entra Connect usando o seguinte comando:
Start-ADSyncSyncCycle -PolicyType Initial
Observação
Somente objetos com um valor diferente de MobilePhone ou AlternateMobilePhones do Active Directory local serão atualizados.
Gerenciar números dos telefones celulares no Microsoft Entra ID e no Active Directory local
Para gerenciar os números de telefone do usuário, um administrador pode usar o seguinte conjunto de funções do módulo ADSyncTools para ler, gravar e limpar os valores no Active Directory local e ler o mobilePhone do Microsoft Entra ID.
Obtenha a propriedade Mobile do Active Directory local:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD
Obtenha a propriedade MobilePhone do Microsoft Entra ID:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromEntraID
Definir a propriedade Mobile no Active Directory local:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777'
Limpar a propriedade Mobile no Active Directory local:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com'
Próximas etapas
Saiba mais sobre o Microsoft Entra Connect: módulo ADSyncTools do PowerShell