Функции службы синхронизации Microsoft Entra
Функция синхронизации Microsoft Entra Подключение состоит из двух компонентов:
- Локальный компонент с именем Microsoft Entra Подключение Sync также называется подсистемой синхронизации.
- Служба, размещенная в идентификаторе Microsoft Entra, также известная как служба синхронизации Microsoft Entra Подключение
В этом разделе объясняется, как работают следующие функции службы синхронизации Microsoft Entra Подключение и как их можно настроить с помощью PowerShell.
Чтобы просмотреть конфигурацию в каталоге Microsoft Entra с помощью Graph PowerShell, используйте следующие команды:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Результат выглядит следующим образом:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
После включения функции его нельзя отключить снова.
Примечание.
С 24 августа 2016 г. устойчивость повторяющихся атрибутов включена по умолчанию для новых каталогов Microsoft Entra. Эта функция будет постепенно активирована и включена для каталогов, созданных до этой даты. Вы получите по электронной почте уведомление о включении этой функции для вашего каталога.
Следующие параметры настраиваются microsoft Entra Подключение:
| DirSyncFeature | Комментарий |
|---|---|
| SoftMatchOnUpn | Позволяет присоединять объекты по атрибуту userPrincipalName в дополнение к основному адресу SMTP. |
| SynchronizeUpnForManagedUsers | Позволяет модулю синхронизации обновлять атрибут userPrincipalName для управляемых или лицензированных пользователей (не являющихся федеративными). |
| DeviceWriteback | Microsoft Entra Подключение: включение обратной записи устройств |
| DirectoryExtensions | Синхронизация Подключение Microsoft Entra: расширения каталогов |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Позволяет атрибуту помещать его в карантин, если он является дубликатом другого объекта, а не сбоем всего объекта во время экспорта. |
| Синхронизация хэша паролей | Реализация синхронизации хэша паролей с помощью Microsoft Entra Подключение Sync |
| Сквозная проверка подлинности | Вход пользователей с использованием сквозной проверки подлинности Microsoft Entra |
| UnifiedGroupWriteback | Обратная запись групп |
| UserWriteback | Не поддерживается в текущей версии. |
Устойчивость повторяющихся атрибутов
При подготовке объектов с повторяющимися именами участников-пользователей (UPN) или адресами прокси-сервера (proxyAddress) процесс не прерывается ошибкой, а повторяющийся атрибут помещается на карантин, и ему присваивается временное значение. После разрешения конфликта временное имя участника-пользователя (UPN) будет автоматически исправлено на соответствующее значение. Дополнительные сведения см. в статье Синхронизация удостоверений и устойчивость повторяющихся атрибутов.
Мягкое сопоставление атрибута userPrincipalName
При включении этой функции к имени участника-пользователя, а также к основному адресу SMTP, который всегда активен, может применяться мягкое сопоставление. Обратимое сопоставление используется для сопоставления существующих облачных пользователей в идентификаторе Microsoft Entra с локальными пользователями.
Если вам нужно сопоставить локальные учетные записи AD с существующими учетными записями, созданными в облаке, и вы не используете Exchange Online, эта функция полезна. В такой ситуации устанавливать атрибут SMTP для облака обычно не нужно.
Эта функция включена по умолчанию для только что созданных каталогов Microsoft Entra. Чтобы увидеть, включена ли эта функция, выполните следующую команду:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Если эта функция не включена для каталога Microsoft Entra, ее можно включить, выполнив следующие действия:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Если эта функция включена, она блокирует функцию Soft Match. Для клиентов рекомендуется включить эту функцию и обеспечить ее поддержку до тех пор, пока для их аренды не потребуется мягкое сопоставление. Этот флаг следует снова включить после того, как мягкое сопоставление завершено и больше не требуется.
Пример. Чтобы заблокировать мягкое сопоставление в арендаторе, выполните следующий командлет:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Синхронизация обновлений атрибута userPrincipalName
Ранее обновления атрибута userPrincipalName с помощью службы синхронизации из локальной среды блокировались, за исключением тех случаев, когда выполнялись два следующих условия:
- пользователь является управляемым (нефедеративным);
- пользователю не назначена лицензия.
Примечание.
Начиная с марта 2019 г. разрешается синхронизировать изменения имени участника-пользователя для федеративных учетных записей пользователей.
Включение этой функции позволяет модулю синхронизации обновлять атрибут userPrincipalName при его изменении в локальной среде и при использовании синхронизации хэша паролей или сквозной аутентификации.
Эта функция включена по умолчанию для только что созданных каталогов Microsoft Entra. Чтобы увидеть, включена ли эта функция, выполните следующую команду:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Если эта функция не включена для каталога Microsoft Entra, ее можно включить, выполнив следующие действия:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
После включения этой функции существующие значения атрибут userPrincipalName останутся неизменными. Если в дальнейшем атрибут userPrincipalName изменится в локальной среде, то имя участника-пользователя будет обновлено при обычной синхронизации изменений для пользователей.