Tjänstfunktioner för Microsoft Entra Connect-synkronisering
Synkroniseringsfunktionen i Microsoft Entra Anslut har två komponenter:
- Den lokala komponenten med namnet Microsoft Entra Anslut Sync, även kallad synkroniseringsmotor.
- Tjänsten som finns i Microsoft Entra ID kallas även Microsoft Entra Anslut Sync-tjänsten
Det här avsnittet beskriver hur följande funktioner i Tjänsten Microsoft Entra Anslut Sync fungerar och hur du kan konfigurera dem med Hjälp av PowerShell.
Om du vill se konfigurationen i din Microsoft Entra-katalog med hjälp av Graph PowerShell använder du följande kommandon:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Resultatet ser ut så här:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
När du har aktiverat en funktion kan den inte inaktiveras igen.
Kommentar
Från och med den 24 augusti 2016 aktiveras funktionen Duplicera attributåterhämtning som standard för nya Microsoft Entra-kataloger. Den här funktionen kommer också att distribueras och aktiveras på kataloger som skapats före det här datumet. Du får ett e-postmeddelande när din katalog är på väg att aktivera den här funktionen.
Följande inställningar konfigureras av Microsoft Entra Anslut:
DirSyncFeature | Kommentar |
---|---|
SoftMatchOnUpn | Tillåter att objekt ansluts på userPrincipalName utöver den primära SMTP-adressen. |
SynchronizeUpnForManagedUsers | Tillåter synkroniseringsmotorn att uppdatera attributet userPrincipalName för hanterade/licensierade (icke-federerade) användare. |
DeviceWriteback | Microsoft Entra Anslut: Aktivera tillbakaskrivning av enheter |
DirectoryExtensions | Microsoft Entra Anslut Sync: Katalogtillägg |
DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Tillåter att ett attribut sätts i karantän när det är en dubblett av ett annat objekt i stället för att hela objektet misslyckas under exporten. |
Hash-synkronisering av lösenord | Implementera synkronisering av lösenordshash med Microsoft Entra Anslut Sync |
Direktautentisering | Användarinloggning med Microsoft Entra-autentisering via direktströmning |
UnifiedGroupWriteback | Tillbakaskrivning av grupp |
UserWriteback | Stöds inte för närvarande. |
Dubblettattributåterhämtning
I stället för att det inte går att etablera objekt med duplicerade UPN/proxyAddresses är det duplicerade attributet "karantän" och ett tillfälligt värde tilldelas. När konflikten har lösts ändras det tillfälliga UPN:et automatiskt till rätt värde. Mer information finns i Identitetssynkronisering och dubblettattributåterhämtning.
Mjuk matchning för UserPrincipalName
När den här funktionen är aktiverad aktiveras mjuk matchning för UPN utöver den primära SMTP-adressen, som alltid är aktiverad. Mjuk matchning används för att matcha befintliga molnanvändare i Microsoft Entra-ID med lokala användare.
Om du behöver matcha lokala AD-konton med befintliga konton som skapats i molnet och du inte använder Exchange Online är den här funktionen användbar. I det här scenariot har du vanligtvis ingen anledning att ange SMTP-attributet i molnet.
Den här funktionen är aktiverad som standard för nyligen skapade Microsoft Entra-kataloger. Du kan se om den här funktionen är aktiverad för dig genom att köra:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Om den här funktionen inte är aktiverad för din Microsoft Entra-katalog kan du aktivera den genom att köra:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
När den här funktionen är aktiverad blockeras funktionen Mjuk matchning. Kunder uppmanas att aktivera den här funktionen och behålla den aktiverad tills mjuk matchning krävs igen för deras innehavare. Den här flaggan ska aktiveras igen när mjuk matchning har slutförts och behövs inte längre.
Exempel – om du vill blockera mjuk matchning i klientorganisationen kör du den här cmdleten:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Synkronisera userPrincipalName-uppdateringar
Tidigare har uppdateringar av attributet UserPrincipalName med hjälp av synkroniseringstjänsten lokalt blockerats, såvida inte båda dessa villkor är sanna:
- Användaren hanteras (ej federerad).
- Användaren har inte tilldelats någon licens.
Kommentar
Från mars 2019 tillåts synkronisering av UPN-ändringar för federerade användarkonton.
Om du aktiverar den här funktionen kan synkroniseringsmotorn uppdatera userPrincipalName när den ändras lokalt och du använder synkronisering av lösenordshash eller direktautentisering.
Den här funktionen är aktiverad som standard för nyligen skapade Microsoft Entra-kataloger. Du kan se om den här funktionen är aktiverad för dig genom att köra:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Om den här funktionen inte är aktiverad för din Microsoft Entra-katalog kan du aktivera den genom att köra:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
När du har aktiverat den här funktionen förblir befintliga userPrincipalName-värden som de är. Vid nästa ändring av attributet userPrincipalName lokalt uppdaterar den normala deltasynkroniseringen för användare UPN.