Tjänstfunktioner för Azure AD Connect-synkronisering
Synkroniseringsfunktionen i Azure AD Connect har två komponenter:
- Den lokala komponenten med namnet Azure AD Connect-synkronisering, även kallad synkroniseringsmotor.
- Tjänsten som finns i Azure AD kallas även Azure AD Connect-synkroniseringstjänst
Det här avsnittet beskriver hur följande funktioner i synkroniseringstjänsten Azure AD Connect fungerar och hur du kan konfigurera dem med hjälp av Windows PowerShell.
De här inställningarna konfigureras av Azure Active Directory-modulen för Windows PowerShell. Ladda ned och installera det separat från Azure AD Connect. De cmdletar som beskrivs i det här avsnittet introducerades i marsversionen 2016 (version 9031.1). Om du inte har cmdletarna dokumenterade i det här avsnittet eller om de inte ger samma resultat kontrollerar du att du kör den senaste versionen.
Om du vill se konfigurationen i katalogen Azure AD kör du Get-MsolDirSyncFeatures.
Många av de här inställningarna kan bara ändras av Azure AD Connect.
Följande inställningar kan konfigureras av Set-MsolDirSyncFeature:
| DirSyncFeature | Kommentar |
|---|---|
| EnableSoftMatchOnUpn | Tillåter att objekt ansluts till userPrincipalName utöver den primära SMTP-adressen. |
| SynchronizeUpnForManagedUsers | Tillåter att synkroniseringsmotorn uppdaterar attributet userPrincipalName för hanterade/licensierade (icke-federerade) användare. |
När du har aktiverat en funktion kan den inte inaktiveras igen.
Anteckning
Från och med den 24 augusti 2016 är funktionen Duplicerad attributåterhämtning aktiverad som standard för nya Azure AD kataloger. Den här funktionen kommer också att distribueras och aktiveras på kataloger som skapats före detta datum. Du får ett e-postmeddelande när din katalog är på väg att aktivera den här funktionen.
Följande inställningar konfigureras av Azure AD Anslut och kan inte ändras av Set-MsolDirSyncFeature:
| DirSyncFeature | Kommentar |
|---|---|
| DeviceWriteback | Azure AD Connect: Aktivera tillbakaskrivning av enhet |
| DirectoryExtensions | Azure AD Connect-synkronisering: Katalogtillägg |
| DuplicateProxyAddressResiliencyDuplicateUPNResiliency | Tillåter att ett attribut sätts i karantän när det är en dubblett av ett annat objekt i stället för att hela objektet misslyckas under exporten. |
| Hash-synkronisering av lösenord | Implementera synkronisering av lösenordshash med Azure AD Connect-synkronisering |
| Direktautentisering | Användarinloggning med Azure Active Directory-direktautentisering |
| UnifiedGroupWriteback | Tillbakaskrivning av grupp |
| UserWriteback | Stöds inte för närvarande. |
Återhämtning av duplicerade attribut
I stället för att det inte går att etablera objekt med duplicerade UPN:er/proxyAddresses är det duplicerade attributet "i karantän" och ett tillfälligt värde tilldelas. När konflikten har lösts ändras det tillfälliga UPN:et automatiskt till rätt värde. Mer information finns i Identitetssynkronisering och återhämtning av duplicerade attribut.
UserPrincipalName mjuk matchning
När den här funktionen är aktiverad aktiveras mjuk matchning för UPN utöver den primära SMTP-adressen, som alltid är aktiverad. Mjuk matchning används för att matcha befintliga molnanvändare i Azure AD med lokala användare.
Om du behöver matcha lokala AD-konton med befintliga konton som skapats i molnet och du inte använder Exchange Online är den här funktionen användbar. I det här scenariot har du vanligtvis ingen anledning att ange SMTP-attributet i molnet.
Den här funktionen är aktiverad som standard för nyligen skapade Azure AD kataloger. Du kan se om den här funktionen är aktiverad åt dig genom att köra:
Get-MsolDirSyncFeatures -Feature EnableSoftMatchOnUpn
Om den här funktionen inte är aktiverad för din Azure AD-katalog kan du aktivera den genom att köra:
Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $true
BlockSoftMatch
När den här funktionen är aktiverad blockeras funktionen Mjuk matchning. Kunder uppmanas att aktivera den här funktionen och behålla den aktiverad tills mjuk matchning krävs igen för deras innehav. Den här flaggan ska aktiveras igen när mjuk matchning har slutförts och inte längre behövs.
Exempel – om du vill blockera mjuk matchning i klientorganisationen kör du den här cmdleten:
PS C:\> Set-MsolDirSyncFeature -Feature BlockSoftMatch -Enable $True
Synkronisera userPrincipalName-uppdateringar
Tidigare har uppdateringar av attributet UserPrincipalName som använder synkroniseringstjänsten lokalt blockerats, såvida inte båda dessa villkor är uppfyllda:
- Användaren hanteras (icke-federerad).
- Användaren har inte tilldelats någon licens.
Anteckning
Från mars 2019 tillåts synkronisering av UPN-ändringar för federerade användarkonton.
Om du aktiverar den här funktionen kan synkroniseringsmotorn uppdatera userPrincipalName när den ändras lokalt och du använder synkronisering av lösenordshash eller direktautentisering.
Den här funktionen är aktiverad som standard för nyligen skapade Azure AD kataloger. Du kan se om den här funktionen är aktiverad åt dig genom att köra:
Get-MsolDirSyncFeatures -Feature SynchronizeUpnForManagedUsers
Om den här funktionen inte är aktiverad för din Azure AD-katalog kan du aktivera den genom att köra:
Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $true
När du har aktiverat den här funktionen förblir befintliga userPrincipalName-värden som de är. Vid nästa ändring av attributet userPrincipalName lokalt uppdaterar den normala deltasynkroniseringen för användarna UPN.