Corrigir regras padrão modificadas no Microsoft Entra Connect
O Microsoft Entra Connect usa regras padrão para sincronização. Infelizmente, essas regras não se aplicam universalmente a todas as organizações. Com base em seus requisitos, talvez seja necessário modificá-las. Este artigo aborda dois exemplos de personalizações mais comuns e explica a maneira correta de realizar as personalizações.
Observação
Não há suporte para a modificação de regras padrão existentes para realizar uma personalização necessária. Caso seja feito, isso impedirá a atualização dessas regras para a versão mais recente em versões futuras. Não será possível obter correções de bug necessárias nem novos recursos. Este documento explica como obter o mesmo resultado sem modificar as regras padrão existentes.
Como identificar regras padrão modificadas
A partir da versão 1.3.7.0 do Microsoft Entra Connect, é fácil identificar a regra padrão modificada. Vá para Aplicativos na área de trabalhoe selecione Editor de regras de sincronização.
No Editor, todas as regras padrão modificadas são mostradas com um ícone de aviso na frente do nome.
Uma regra desabilitada com o mesmo nome ao lado dela também é exibida (essa é a regra padrão).
Personalizações comuns
Veja a seguir as personalizações comuns para as regras padrão:
- Alterar fluxo de atributos
- Alterar filtro de escopo
- Alterar condição de junção
Antes de alterar qualquer regra:
Desabilitar o agendador de sincronização. O Agendador é executado a cada 30 minutos por padrão. Verifique se ele não está iniciando enquanto faz alterações e soluciona os problemas das novas regras. Para desabilitar temporariamente o agendador, inicie o PowerShell e execute
Set-ADSyncScheduler -SyncCycleEnabled $false
.A alteração no filtro de escopo pode resultar na exclusão de objetos no diretório de destino. É importante ter cuidado antes de fazer qualquer alteração no escopo dos objetos. A recomendação é fazer as alterações em um servidor de preparo antes de fazer alterações no servidor ativo.
Execute uma visualização em um único objeto, conforme mencionado na seção Validar regra de sincronização, depois de adicionar uma nova regra.
Execute uma sincronização completa após adicionar uma nova regra ou modificar qualquer regra de sincronização personalizada. Essa sincronização aplica as novas regras a todos os objetos.
Alterar fluxo de atributos
Há três cenários diferentes para alterar o fluxo de atributos:
- Adicionar um novo atributo.
- Substituir o valor de um atributo existente.
- Optar por não sincronizar um atributo existente.
É possível pode fazer tudo isso sem alterar regras padrão.
Adicionar um novo atributo
Se você achar que um atributo não está fluindo do diretório de origem para o diretório de destino, use as extensões Sincronização do Microsoft Entra Connect: Directory para corrigir isso.
Se as extensões não funcionarem, tente adicionar duas novas regras de sincronização, descritas nas seções a seguir.
Adicionar uma regra de sincronização de entrada
Uma regra de sincronização de entrada significa que a origem do atributo é um espaço do conector e o destino é o metaverso. Por exemplo, para ter um novo fluxo de atributos do Active Directory local para o ID do Microsoft Entra, crie uma nova regra de sincronização de entrada. Inicie o Editor de regras de sincronização, selecione Entrada como a direção e selecione Adicionar nova regra.
Siga sua própria convenção de nomenclatura para dar um nome à regra. Aqui, foi usado o Customizar do AD – Usuário. Isso significa que a regra é uma regra personalizada e é uma regra de entrada do espaço do conector do Active Directory para o metaverso.
Forneça sua própria descrição da regra para que a manutenção futura da regra seja fácil. Por exemplo, a descrição pode ser baseada em qual é o objetivo da regra e por que ela é necessária.
Faça seleções para Sistema conectado, Tipo de objeto do sistema conectadoe os campos do Tipo de objeto do metaverso.
Especifique o valor de precedência de 0 a 99 (quanto menor o número, maior a precedência). Para os campos Marca, Habilitar Sincronização de senhae Desabilitado, use as seleções padrão.
Deixe Filtro de escopo vazio. Isso significa que a regra se aplica a todos os objetos com junção entre o Sistema Conectado do Active Directory e o metaverso.
Deixe Regras de junção vazio. Isso significa que essa regra usa a condição de junção definida na regra padrão standard. Essa é outra razão para não desabilitar ou excluir a regra padrão standard. Se não houver nenhuma condição de junção, o atributo não fluirá.
Adicione as transformações apropriadas para seu atributo. É possível atribuir uma constante para criar um fluxo de valor constante para o atributo de destino. É possível usar o mapeamento direto entre o atributo de origem ou de destino. Ou, é possível usar uma expressão para o atributo. Aqui estão várias funções de expressão que podem ser usadas.
Adicionar uma regra de sincronização de saída
Para vincular o atributo ao diretório de destino, é necessário criar uma regra de saída. Isso significa que a origem é o metaverso e o destino é o sistema conectado. Para criar uma regra de saída, inicie o Editor de regras de sincronização, altere a Direção para Saídae selecione Adicionar nova regra.
Assim como acontece com a regra de entrada, é possível usar sua própria convenção de nomenclatura para dar um nome para a regra. Selecione o Sistema conectado como locatário do Microsoft Entra e selecione o objeto de sistema conectado para o qual você deseja definir o valor do atributo. Defina a precedência de 0 a 99.
Mantenha o Filtro de escopo e as Regras de junção vazias. Preencha a transformação como constante, direta ou expressão.
Agora você sabe como fazer um novo atributo para um fluxo de objeto de usuário do Active Directory para o ID do Microsoft Entra. É possível usar estas etapas para mapear qualquer atributo de qualquer objeto para origem e destino. Para obter mais informações, consulte Criar regras de sincronização personalizadas e Preparar para provisionar usuários.
Substituir o valor de um atributo existente
Talvez se queira substituir o valor de um atributo que já foi mapeado. Por exemplo, se você sempre quiser definir um valor nulo para um atributo no ID do Microsoft Entra, basta criar apenas uma regra de entrada. Faça o valor da expressão, AuthoritativeNull
, fluir para o atributo de destino.
Observação
Use em AuthoritativeNull
vez de Null
neste caso. Isso ocorre porque o valor não nulo substitui o valor nulo, mesmo que tenha precedência inferior (um valor de número mais alto na regra). AuthoritativeNull
, por outro lado, não é substituído por outras regras por um valor não nulo.
Não sincronizar atributo existente
Se você quiser excluir um atributo da sincronização, use o recurso de filtragem de atributos fornecido no Microsoft Entra Connect. Inicie o Microsoft Entra Connect no ícone da área de trabalho e selecione Personalizar opções de sincronização.
Verifique se Filtragem de aplicativos e atributos do Microsoft Entra está selecionada e selecione Avançar.
Desmarque os atributos que deseja excluir da sincronização.
Alterar filtro de escopo
O Azure AD Sync cuida da maioria dos objetos. É possível reduzir o escopo de objetos e o número de objetos a serem exportados, sem alterar as regras padrão de sincronização.
Use um dos seguintes métodos para reduzir o escopo dos objetos sincronizados:
- atributo cloudFiltered
- Filtro de unidade organizacional
Ao reduzir o escopo dos usuários sincronizados, a sincronização de hash de senha também irá parar para os usuários filtrados. Se os objetos já estiverem sendo sincronizados, depois de reduzir o escopo, os objetos filtrados serão excluídos do diretório de destino. Por esse motivo, o escopo deve ser feito com muito cuidado.
Importante
Aumentar o escopo de objetos configurados pelo Microsoft Entra Connect não é recomendado. Isso torna difícil para a equipe de suporte da Microsoft entender as personalizações. Se precisar aumentar o escopo de objetos, edite a regra existente, clone-a e desabilite a regra original.
atributo cloudFiltered
Não é possível definir esse atributo no Active Directory. Defina o valor desse atributo adicionando uma nova regra de entrada. Em seguida, é possível usar a Transformação e a Expressão para definir esse atributo no metaverso. O exemplo a seguir mostra que não se deseja sincronizar todos os usuários cujo nome de departamento começa com HRD (não diferencia maiúsculas de minúsculas):
cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)
Primeiro será convertido o departamento da origem (Active Directory) em minúsculas. Em seguida, usando a função Left
, são utilizados apenas os três primeiros caracteres, que são comparados com hrd
. Se houver correspondência, o valor será definido como True
, caso contrário NULL
. Ao definir o valor como nulo, alguma outra regra com precedência inferior (um valor de número mais alto) poderá gravar nele com uma condição diferente. Execute a visualização em um objeto para validar a regra de sincronização, conforme mencionado na seção Validar regra de sincronização.
Filtro de unidade organizacional
É possível criar uma ou mais UOs (unidades organizacionais) e mover os objetos que não deseja sincronizar com essas UOs. Em seguida, configure a filtragem de UO no Microsoft Entra Connect. Inicie o Microsoft Entra Connect a partir do ícone da área de trabalho e selecione as seguintes opções. Você também pode configurar a filtragem de UO no momento da instalação do Microsoft Entra Connect.
Siga o assistente e desmarque as UOs que não deseja sincronizar.
Alterar condição de junção
Use as condições de associação padrão configuradas pelo Microsoft Entra Connect. Alterar as condições de junção padrão torna difícil para o suporte da Microsoft entender as personalizações e dar suporte ao produto.
Validar regra de sincronização
É possível validar a regra de sincronização recém-adicionada usando o recurso de visualização, sem executar o ciclo de sincronização completo. No Microsoft Entra Connect, selecione serviço de sincronização.
Selecionar Pesquisa de Metaverso. Selecione o objeto de escopo como pessoa, selecione Adicionar cláusulae mencione seus critérios de pesquisa. Em seguida, selecione Pesquisare clique duas vezes no objeto nos resultados da pesquisa. Verifique se os dados no Microsoft Entra Connect estão atualizados para esse objeto, executando a importação e sincronização na floresta antes de executar esta etapa.
Em Propriedades do Objeto de Metaverso, selecione Conectores, selecione o objeto no conector correspondente (floresta) e selecione Propriedades... .
Selecione Visualização…
Na janela de visualização, selecione Gerar visualização e Importar fluxo de atributos no painel esquerdo.
Aqui, observe que a regra recém-adicionada é executada no objeto e definiu o atributo cloudFiltered
como true.
Para comparar a regra modificada com a regra padrão, exporte as duas regras separadamente, como arquivos de texto. Essas regras são exportadas como um arquivo de script do PowerShell. É possível compará-las usando qualquer ferramenta de comparação de arquivos (por exemplo, WinDiff) para ver as alterações.
Observe que, na regra modificada, o atributo msExchMailboxGuid
está alterado para o tipo de Expressão, em vez de Direto. Além disso, o valor está alterado para NULL e a opção ExecuteOnce. É possível ignorar as diferenças identificadas e de precedência.
Para corrigir as regras e voltá-las para as configurações padrão, exclua a regra modificada e habilite a regra padrão. Certifique-se de não perder a personalização que está tentando realizar. Quando estiver pronto, execute a Sincronização completa.