Funcionalidades do serviço Microsoft Entra Connect Sync
O recurso de sincronização do Microsoft Entra Connect tem dois componentes:
- O componente local chamado Microsoft Entra Connect Sync, também chamado de mecanismo de sincronização.
- O serviço residente no Microsoft Entra ID também conhecido como serviço Microsoft Entra Connect Sync
Este tópico explica como os seguintes recursos do serviço Microsoft Entra Connect Sync funcionam e como você pode configurá-los usando o PowerShell.
Para ver a configuração no diretório do Microsoft Entra usando o Graph PowerShell, use os seguintes comandos:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
O resultado é semelhante a esta saída:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Depois de ativar um recurso, ele não poderá ser desativado novamente.
Nota
A partir de 24 de agosto de 2016, o recurso Resiliência de atributo duplicado está habilitado por padrão para novos diretórios do Microsoft Entra. Esse recurso também será implementado e habilitado em diretórios criados antes dessa data. Você receberá uma notificação por e-mail quando seu diretório estiver prestes a ativar esse recurso.
As seguintes configurações são definidas pelo Microsoft Entra Connect:
| DirSyncFeature | Comentário |
|---|---|
| SoftMatchOnUpn | Permite que objetos se juntem a userPrincipalName além do endereço SMTP principal. |
| SynchronizeUpnForManagedUsers | Permite que o mecanismo de sincronização atualize o atributo userPrincipalName para usuários gerenciados/licenciados (não federados). |
| DeviceWriteback | Microsoft Entra Connect: Ativando o write-back do dispositivo |
| Extensões de diretório | Microsoft Entra Connect Sync: extensões de diretório |
| DuplicateProxyAddressResiliency DuplicaçãoUPNResiliência |
Permite que um atributo seja colocado em quarentena quando é uma duplicata de outro objeto, em vez de falhar o objeto inteiro durante a exportação. |
| Sincronização do Hash de Palavras-passe | Implementando a sincronização de hash de senha com o Microsoft Entra Connect Sync |
| Autenticação pass-through | Início de sessão do utilizador com a autenticação pass-through do Microsoft Entra |
| UnifiedGroupWriteback | Repetição de escrita do grupo |
| UserWriteback | Não suportado atualmente. |
Resiliência de atributos duplicados
Em vez de falhar ao provisionar objetos com UPNs / proxyAddresses duplicados, o atributo duplicado é "colocado em quarentena" e um valor temporário é atribuído. Quando o conflito é resolvido, o UPN temporário é alterado para o valor adequado automaticamente. Para obter mais detalhes, consulte Sincronização de identidade e resiliência de atributos duplicados.
Correspondência suave UserPrincipalName
Quando esse recurso está habilitado, a correspondência suave é habilitada para UPN, além do endereço SMTP primário, que está sempre habilitado. O soft-match é usado para fazer a correspondência entre usuários de nuvem existentes no Microsoft Entra ID e usuários locais.
Se você precisar fazer a correspondência entre contas do AD local e contas existentes criadas na nuvem e não estiver usando o Exchange Online, esse recurso será útil. Nesse cenário, você geralmente não tem um motivo para definir o atributo SMTP na nuvem.
Esse recurso está ativado por padrão para diretórios recém-criados do Microsoft Entra. Você pode ver se esse recurso está habilitado para você executando:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Se esse recurso não estiver habilitado para o diretório do Microsoft Entra, você poderá habilitá-lo executando:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Quando esse recurso é ativado, ele bloqueia o recurso Soft Match. Os clientes são incentivados a ativar esse recurso e mantê-lo ativado até que o Soft Matching seja necessário novamente para sua locação. Esse sinalizador deve ser ativado novamente depois que qualquer correspondência suave for concluída e não for mais necessária.
Exemplo - para bloquear a correspondência flexível em seu locatário, execute este cmdlet:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Sincronizar atualizações userPrincipalName
Historicamente, as atualizações para o atributo UserPrincipalName usando o serviço de sincronização local foram bloqueadas, a menos que ambas as condições fossem verdadeiras:
- O usuário é gerenciado (não federado).
- O usuário não recebeu uma licença.
Nota
A partir de março de 2019, a sincronização de alterações UPN para contas de usuário federadas é permitida.
A ativação desta funcionalidade permite ao motor de sincronização atualizar o userPrincipalName quando é alterado no local e utiliza a sincronização do hash de palavras-passe ou a autenticação pass-through.
Esse recurso está ativado por padrão para diretórios recém-criados do Microsoft Entra. Você pode ver se esse recurso está habilitado para você executando:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Se esse recurso não estiver habilitado para o diretório do Microsoft Entra, você poderá habilitá-lo executando:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Depois de habilitar esse recurso, os valores userPrincipalName existentes permanecerão como estão. Na próxima alteração do atributo userPrincipalName local, a sincronização delta normal nos usuários atualizará o UPN.