Microsoft Entra Подключение Sync: рекомендации по изменению конфигурации по умолчанию

Цель этого раздела — описать поддерживаемые и неподдерживаемые изменения в Microsoft Entra Подключение Sync.

Конфигурация, созданная Microsoft Entra Подключение работает "как есть" для большинства сред, которые синхронизируют локальная служба Active Directory с идентификатором Microsoft Entra. Однако в некоторых случаях, чтобы выполнить определенную задачу или соблюсти нужные требования, в конфигурацию приходится вносить изменения.

Изменения в учетной записи службы

Microsoft Entra Подключение Sync выполняется в учетной записи службы, созданной мастером установки. Эта учетная запись службы содержит ключи шифрования для базы данных, используемой синхронизацией. Он создается с 127 символами длинного пароля, и пароль не истекает.

Предупреждение

Если вы измените или сбросите пароль учетной записи службы синхронизации Microsoft Azure Active Directory, эта служба не сможет правильно запуститься, пока вы не сбросите ключ шифрования и не выполните повторную инициализацию пароля учетной записи службы синхронизации Microsoft Azure Active Directory. Сведения о том, как это сделать, см. в разделе Изменение пароля учетной записи службы Azure AD Sync.

Изменения в планировщике

Начиная со сборки 1.1 (февраль 2016 года) можно настроить в планировщике другой цикл синхронизации по сравнению с 30 минутами по умолчанию.

Изменения в правилах синхронизации

Мастер установки создает конфигурацию, которая должна работать для наиболее распространенных сценариев. Если необходимо внести изменения в конфигурацию, чтобы она по-прежнему была поддерживаемой, необходимо следовать этим правилам.

Предупреждение

Если вы вносите изменения в правила синхронизации по умолчанию, эти изменения будут перезаписаны при следующем обновлении Microsoft Entra Подключение, что приведет к непредвиденным и вероятным нежелательным результатам синхронизации.

• Вы можете изменить потоки атрибутов , если прямые потоки атрибутов по умолчанию не подходят для вашей организации.
• Если вы хотите не передавать атрибут и удалять существующие значения атрибутов в идентификаторе Microsoft Entra, необходимо создать правило для этого сценария.
• Отключайте ненужные правила синхронизации , вместо того чтобы их удалять. Удаленное правило будет снова создано во время обновления.
• Если вы хотите внести изменения в стандартное правило, сделайте его копию и отключите стандартное правило. Редактор правил синхронизации предоставит подсказки и помощь.
• Экспортируйте настраиваемые правила синхронизации с помощью редактора правил синхронизации. Этот редактор создаст скрипт PowerShell, с помощью которого вы сможете легко восстановить правила в случае сбоев.

Предупреждение

Стандартные правила синхронизации имеют отпечаток. Если внести в правила изменения, отпечаток также изменится. При попытке применить новый выпуск Microsoft Entra Подключение могут возникнуть проблемы. Выполняйте изменения только так, как описано в этой статье.

Отключайте ненужные правила синхронизации

Не удаляйте правило синхронизации из стандартной конфигурации. Оно будет создано заново при следующем обновлении.

В некоторых случаях конфигурация, созданная мастером установки, не будет работать в вашей топологии. Например, если вы используете топологию лесов ресурсов и учетных записей, но дополнили схему в лесу учетных записей схемой Exchange, будут созданы правила для Exchange: для леса учетных записей и для леса ресурсов. В этом случае необходимо отключить правило синхронизации для Exchange.

На рисунке выше мастер установки обнаружил старую схему Exchange 2003 в лесу учетных записей. Это расширение схемы было добавлено до того, как лес ресурсов был введен в среду компании Fabrikam. Чтобы не синхронизировать атрибуты из старой реализации Exchange, следует отключить правило синхронизации, как показано здесь.

внести изменения в стандартное правило

Единственный случай, в котором следует изменить стандартное правило, — когда необходимо изменить правило присоединения. Если вам нужно изменить поток атрибутов, то следует создать правило синхронизации с более высоким приоритетом, чем стандартные правила. Единственное правило, которое действительно нужно клонировать, — правило In from AD - User Join. Все прочие правила можно переопределить правилами с более высоким приоритетом.

Если вы хотите внести изменения в стандартное правило, сделайте его копию и отключите исходное правило. Затем внесите необходимые изменения в клонированное правило. Редактор правил синхронизации поможет вам выполнить эти действия. Открыв стандартное правило, вы увидите такое диалоговое окно:

Выберите Да для создания копии правила. Затем будет открыто клонированное правило.

В этом клонированном правиле выполните необходимые изменения в области, объединении и преобразованиях.

Следующие шаги

Обзорные статьи

• Синхронизация Подключение Microsoft Entra: общие сведения и настройка синхронизации
• Интеграция локальных удостоверений с идентификатором Microsoft Entra