Tjänstfunktioner för Azure AD Connect-synkronisering

Synkroniseringsfunktionen i Azure AD Connect har två komponenter:

  • Den lokala komponenten med namnet Azure AD Connect-synkronisering, även kallad synkroniseringsmotor.
  • Tjänsten som finns i Azure AD kallas även Azure AD Connect-synkroniseringstjänst

Det här avsnittet beskriver hur följande funktioner i synkroniseringstjänsten Azure AD Connect fungerar och hur du kan konfigurera dem med hjälp av Windows PowerShell.

De här inställningarna konfigureras av Azure Active Directory-modulen för Windows PowerShell. Ladda ned och installera det separat från Azure AD Connect. De cmdletar som beskrivs i det här avsnittet introducerades i marsversionen 2016 (version 9031.1). Om du inte har cmdletarna dokumenterade i det här avsnittet eller om de inte ger samma resultat kontrollerar du att du kör den senaste versionen.

Om du vill se konfigurationen i katalogen Azure AD kör du Get-MsolDirSyncFeatures.
Get-MsolDirSyncFeatures-resultat

Många av de här inställningarna kan bara ändras av Azure AD Connect.

Följande inställningar kan konfigureras av Set-MsolDirSyncFeature:

DirSyncFeature Kommentar
EnableSoftMatchOnUpn Tillåter att objekt ansluts till userPrincipalName utöver den primära SMTP-adressen.
SynchronizeUpnForManagedUsers Tillåter att synkroniseringsmotorn uppdaterar attributet userPrincipalName för hanterade/licensierade (icke-federerade) användare.

När du har aktiverat en funktion kan den inte inaktiveras igen.

Anteckning

Från och med den 24 augusti 2016 är funktionen Duplicerad attributåterhämtning aktiverad som standard för nya Azure AD kataloger. Den här funktionen kommer också att distribueras och aktiveras på kataloger som skapats före detta datum. Du får ett e-postmeddelande när din katalog är på väg att aktivera den här funktionen.

Följande inställningar konfigureras av Azure AD Anslut och kan inte ändras av Set-MsolDirSyncFeature:

DirSyncFeature Kommentar
DeviceWriteback Azure AD Connect: Aktivera tillbakaskrivning av enhet
DirectoryExtensions Azure AD Connect-synkronisering: Katalogtillägg
DuplicateProxyAddressResiliencyDuplicateUPNResiliency Tillåter att ett attribut sätts i karantän när det är en dubblett av ett annat objekt i stället för att hela objektet misslyckas under exporten.
Hash-synkronisering av lösenord Implementera synkronisering av lösenordshash med Azure AD Connect-synkronisering
Direktautentisering Användarinloggning med Azure Active Directory-direktautentisering
UnifiedGroupWriteback Tillbakaskrivning av grupp
UserWriteback Stöds inte för närvarande.

Återhämtning av duplicerade attribut

I stället för att det inte går att etablera objekt med duplicerade UPN:er/proxyAddresses är det duplicerade attributet "i karantän" och ett tillfälligt värde tilldelas. När konflikten har lösts ändras det tillfälliga UPN:et automatiskt till rätt värde. Mer information finns i Identitetssynkronisering och återhämtning av duplicerade attribut.

UserPrincipalName mjuk matchning

När den här funktionen är aktiverad aktiveras mjuk matchning för UPN utöver den primära SMTP-adressen, som alltid är aktiverad. Mjuk matchning används för att matcha befintliga molnanvändare i Azure AD med lokala användare.

Om du behöver matcha lokala AD-konton med befintliga konton som skapats i molnet och du inte använder Exchange Online är den här funktionen användbar. I det här scenariot har du vanligtvis ingen anledning att ange SMTP-attributet i molnet.

Den här funktionen är aktiverad som standard för nyligen skapade Azure AD kataloger. Du kan se om den här funktionen är aktiverad åt dig genom att köra:

Get-MsolDirSyncFeatures -Feature EnableSoftMatchOnUpn

Om den här funktionen inte är aktiverad för din Azure AD-katalog kan du aktivera den genom att köra:

Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $true

BlockSoftMatch

När den här funktionen är aktiverad blockeras funktionen Mjuk matchning. Kunder uppmanas att aktivera den här funktionen och behålla den aktiverad tills mjuk matchning krävs igen för deras innehav. Den här flaggan ska aktiveras igen när mjuk matchning har slutförts och inte längre behövs.

Exempel – om du vill blockera mjuk matchning i klientorganisationen kör du den här cmdleten:

PS C:\> Set-MsolDirSyncFeature -Feature BlockSoftMatch -Enable $True

Synkronisera userPrincipalName-uppdateringar

Tidigare har uppdateringar av attributet UserPrincipalName som använder synkroniseringstjänsten lokalt blockerats, såvida inte båda dessa villkor är uppfyllda:

  • Användaren hanteras (icke-federerad).
  • Användaren har inte tilldelats någon licens.

Anteckning

Från mars 2019 tillåts synkronisering av UPN-ändringar för federerade användarkonton.

Om du aktiverar den här funktionen kan synkroniseringsmotorn uppdatera userPrincipalName när den ändras lokalt och du använder synkronisering av lösenordshash eller direktautentisering.

Den här funktionen är aktiverad som standard för nyligen skapade Azure AD kataloger. Du kan se om den här funktionen är aktiverad åt dig genom att köra:

Get-MsolDirSyncFeatures -Feature SynchronizeUpnForManagedUsers

Om den här funktionen inte är aktiverad för din Azure AD-katalog kan du aktivera den genom att köra:

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $true

När du har aktiverat den här funktionen förblir befintliga userPrincipalName-värden som de är. Vid nästa ändring av attributet userPrincipalName lokalt uppdaterar den normala deltasynkroniseringen för användarna UPN.

Se även