Corrigir regras padrão modificadas no Microsoft Entra Connect
O Microsoft Entra Connect usa regras padrão para sincronização. Infelizmente, essas regras não se aplicam universalmente a todas as organizações. Com base nos seus requisitos, talvez seja necessário modificá-los. Este artigo discute dois exemplos das personalizações mais comuns e explica a maneira correta de obter essas personalizações.
Nota
Não há suporte para modificar regras padrão existentes para obter a personalização necessária. Se você fizer isso, isso impedirá a atualização dessas regras para a versão mais recente em versões futuras. Você não receberá as correções de bugs de que precisa ou novos recursos. Este documento explica como obter o mesmo resultado sem modificar as regras padrão existentes.
Como identificar regras padrão modificadas
A partir da versão 1.3.7.0 do Microsoft Entra Connect, é fácil identificar a regra padrão modificada. Vá para Aplicativos na Área de Trabalho e selecione Editor de Regras de Sincronização.
No Editor, todas as regras padrão modificadas são mostradas com um ícone de aviso na frente do nome.
Uma regra desabilitada com o mesmo nome ao lado dela também aparece (esta é a regra padrão padrão).
Personalizações comuns
A seguir estão personalizações comuns para as regras padrão:
- Alterar o fluxo de atributos
- Alterar o filtro de escopo
- Alterar condição de associação
Antes de alterar qualquer regra:
Desative o agendador de sincronização. O agendador é executado a cada 30 minutos por padrão. Certifique-se de que não está a iniciar enquanto está a fazer alterações e a resolver problemas com as suas novas regras. Para desativar temporariamente o agendador, inicie o PowerShell e execute
Set-ADSyncScheduler -SyncCycleEnabled $falseo .
A alteração no filtro de escopo pode resultar na exclusão de objetos no diretório de destino. Tenha cuidado antes de fazer qualquer alteração no escopo dos objetos. Recomendamos que você faça alterações em um servidor de preparo antes de fazer alterações no servidor ativo.
Execute uma visualização em um único objeto, conforme mencionado na seção Validar Regra de Sincronização , depois de adicionar qualquer nova regra.
Execute uma sincronização completa depois de adicionar uma nova regra ou modificar qualquer regra de sincronização personalizada. Essa sincronização aplica novas regras a todos os objetos.
Alterar o fluxo de atributos
Há três cenários diferentes para alterar o fluxo de atributos:
- Adicionando um novo atributo.
- Substituindo o valor de um atributo existente.
- Optar por não sincronizar um atributo existente.
Você pode fazer isso sem alterar as regras padrão padrão.
Adicionar um novo atributo
Se você achar que um atributo não está fluindo do diretório de origem para o diretório de destino, use as extensões de diretório do Microsoft Entra Connect Sync: para corrigir isso.
Se as extensões não funcionarem para você, tente adicionar duas novas regras de sincronização, descritas nas seções a seguir.
Adicionar uma regra de sincronização de entrada
Uma regra de sincronização de entrada significa que a origem do atributo é um espaço de conector e o destino é o metaverso. Por exemplo, para que um novo atributo flua do Ative Directory local para o Microsoft Entra ID, crie uma nova regra de sincronização de entrada. Inicie o Editor de Regras de Sincronização, selecione Entrada como direção e selecione Adicionar nova regra.
Siga sua própria convenção de nomenclatura para nomear a regra. Aqui, usamos Custom In do AD - User. Isso significa que a regra é uma regra personalizada e é uma regra de entrada do espaço do conector do Ative Directory para o metaverso.
Forneça a sua própria descrição da regra, para que a manutenção futura da regra seja fácil. Por exemplo, a descrição pode ser baseada em qual é o objetivo da regra e por que ela é necessária.
Faça suas seleções para os campos Sistema Conectado, Tipo de Objeto do Sistema Conectado e Tipo de Objeto do Metaverso.
Especifique o valor de precedência de 0 a 99 (quanto menor o número, maior a precedência). Para os campos Tag, Enable Password Sync e Disabled , use as seleções padrão.
Mantenha o filtro de escopo vazio. Isso significa que a regra se aplica a todos os objetos unidos entre o Sistema Conectado do Ative Directory e o metaverso.
Mantenha as regras de adesão vazias. Isso significa que essa regra usa a condição de junção definida na regra padrão padrão. Esta é outra razão para não desativar ou excluir a regra padrão padrão. Se não houver nenhuma condição de junção, o atributo não fluirá.
Adicione transformações apropriadas para seu atributo. Você pode atribuir uma constante, para fazer um fluxo de valor constante para seu atributo de destino. Você pode usar o mapeamento direto entre o atributo de origem ou de destino. Ou, você pode usar uma expressão para o atributo. Aqui estão várias funções de expressão que você pode usar.
Adicionar uma regra de sincronização de saída
Para vincular o atributo ao diretório de destino, você precisa criar uma regra de saída. Isso significa que a fonte é o metaverso e o alvo é o sistema conectado. Para criar uma regra de saída, inicie o Editor de Regras de Sincronização, altere a Direção para Saída e selecione Adicionar nova regra.
Assim como acontece com a regra de entrada, você pode usar sua própria convenção de nomenclatura para nomear a regra. Selecione o Sistema Conectado como locatário do Microsoft Entra e selecione o objeto do sistema conectado para o qual você deseja definir o valor do atributo. Defina a precedência de 0 a 99.
Mantenha o filtro de escopo e as regras de ingresso vazias. Preencha a transformação como constante, direta ou expressão.
Agora você sabe como fazer um novo atributo para um objeto de usuário fluir do Ative Directory para o Microsoft Entra ID. Você pode usar essas etapas para mapear qualquer atributo de qualquer objeto para origem e destino. Para obter mais informações, consulte Criando regras de sincronização personalizadas e Preparar para provisionar usuários.
Substituir o valor de um atributo existente
Talvez você queira substituir o valor de um atributo que já foi mapeado. Por exemplo, se você sempre quiser definir um valor nulo para um atributo no ID do Microsoft Entra, basta criar apenas uma regra de entrada. Faça com que o valor da expressão, , AuthoritativeNullflua para o atributo de destino.
Nota
Use AuthoritativeNull em vez de Null neste caso. Isso ocorre porque o valor não nulo substitui o valor nulo, mesmo que ele tenha menor precedência (um valor de número maior na regra). AuthoritativeNull, por outro lado, não é substituído por um valor não nulo por outras regras.
Não sincronizar atributo existente
Se você quiser excluir um atributo da sincronização, use o recurso de filtragem de atributos fornecido no Microsoft Entra Connect. Inicie o Microsoft Entra Connect a partir do ícone da área de trabalho e selecione Personalizar opções de sincronização.
Verifique se a filtragem de aplicativos e atributos do Microsoft Entra está selecionada e selecione Avançar.
Limpe os atributos que você deseja excluir da sincronização.
Alterar o filtro de escopo
O Azure AD Sync cuida da maioria dos objetos. Você pode reduzir o escopo de objetos e o número de objetos a serem exportados sem alterar as regras de sincronização padrão padrão.
Use um dos seguintes métodos para reduzir o escopo dos objetos que você está sincronizando:
- atributo cloudFiltered
- Filtragem da unidade organizacional
Se reduzir o âmbito de sincronização dos utilizadores, a sincronização do hash de palavras-passe também será interrompida para os utilizadores filtrados. Se os objetos já estiverem sincronizados, depois de reduzir o escopo, os objetos filtrados serão excluídos do diretório de destino. Por esse motivo, certifique-se de que você escopo com muito cuidado.
Importante
Aumentar o escopo de objetos configurados pelo Microsoft Entra Connect não é recomendado. Isso torna difícil para a equipe de suporte da Microsoft entender as personalizações. Se for necessário aumentar o escopo dos objetos, edite a regra existente, clone-a e desative a regra original.
atributo cloudFiltered
Não é possível definir esse atributo no Ative Directory. Defina o valor desse atributo adicionando uma nova regra de entrada. Em seguida, você pode usar Transformação e Expressão para definir esse atributo no metaverso. O exemplo a seguir mostra que você não deseja sincronizar todos os usuários cujo nome de departamento começa com HRD (sem distinção entre maiúsculas e minúsculas):
cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)
Primeiro, convertemos o departamento de origem (Ative Directory) para minúsculas. Então, usando a Left função, pegamos apenas os três primeiros caracteres e comparamos com hrd. Se corresponder, o valor será definido como , caso Truecontrário NULL. Ao definir o valor como nulo, alguma outra regra com menor precedência (um valor numérico mais alto) pode gravá-lo com uma condição diferente. Execute a visualização em um objeto para validar a regra de sincronização, conforme mencionado na seção Validar regra de sincronização.
Filtragem de unidades organizacionais
Você pode criar uma ou mais unidades organizacionais (OUs) e mover os objetos que não deseja sincronizar com essas OUs. Em seguida, configure a filtragem de UO no Microsoft Entra Connect. Inicie o Microsoft Entra Connect a partir do ícone da área de trabalho e selecione as seguintes opções. Você também pode configurar a filtragem de UO no momento da instalação do Microsoft Entra Connect.
Siga o assistente e limpe as UOs que não deseja sincronizar.
Alterar condição de associação
Use as condições de associação padrão configuradas pelo Microsoft Entra Connect. A alteração das condições de associação padrão torna difícil para o suporte da Microsoft entender as personalizações e oferecer suporte ao produto.
Validar regra de sincronização
Você pode validar a regra de sincronização recém-adicionada usando o recurso de visualização, sem executar o ciclo de sincronização completo. No Microsoft Entra Connect, selecione Serviço de Sincronização.
Selecione Pesquisa no Metaverso. Selecione o objeto de escopo como pessoa, selecione Adicionar cláusula e mencione seus critérios de pesquisa. Em seguida, selecione Pesquisar e clique duas vezes no objeto nos resultados da pesquisa. Certifique-se de que seus dados no Microsoft Entra Connect estão atualizados para esse objeto, executando importação e sincronização na floresta antes de executar esta etapa.
Em Metaverse Object Properties, selecione Connectors, selecione o objeto no conector correspondente (floresta) e selecione Properties....
Selecione Pré-visualizar...
Na janela Pré-visualização, selecione Gerar Pré-visualização e Importar Fluxo de Atributos no painel esquerdo.
Aqui, observe que a regra recém-adicionada é executada no objeto e definiu o cloudFiltered atributo como true.
Para comparar a regra modificada com a regra padrão, exporte ambas as regras separadamente, como arquivos de texto. Essas regras são exportadas como um arquivo de script do PowerShell. Você pode compará-los usando qualquer ferramenta de comparação de arquivos (por exemplo, windiff) para ver as alterações.
Observe que, na regra modificada, o atributo é alterado para o msExchMailboxGuidtipo Expressão , em vez de Direto. Além disso, o valor é alterado para NULL e ExecuteOnce opção. Você pode ignorar as diferenças Identificado e Precedência.
Para corrigir suas regras e alterá-las de volta às configurações padrão, exclua a regra modificada e habilite a regra padrão. Certifique-se de não perder a personalização que está tentando alcançar. Quando estiver pronto, execute a Sincronização Completa.