Åtgärda ändrade standardregler i Microsoft Entra Anslut
Microsoft Entra Anslut använder standardregler för synkronisering. Tyvärr gäller dessa regler inte universellt för alla organisationer. Baserat på dina krav kan du behöva ändra dem. Den här artikeln beskriver två exempel på de vanligaste anpassningarna och förklarar det rätta sättet att uppnå dessa anpassningar.
Kommentar
Det går inte att ändra befintliga standardregler för att uppnå en nödvändig anpassning. Om du gör det förhindrar det att dessa regler uppdateras till den senaste versionen i framtida versioner. Du får inte de felkorrigeringar du behöver eller nya funktioner. I det här dokumentet förklaras hur du uppnår samma resultat utan att ändra de befintliga standardreglerna.
Så här identifierar du ändrade standardregler
Från och med version 1.3.7.0 av Microsoft Entra Anslut är det enkelt att identifiera den ändrade standardregeln. Gå till Appar på skrivbordet och välj Redigeraren för synkroniseringsregler.
I redigeraren visas alla ändrade standardregler med en varningsikon framför namnet.
En inaktiverad regel med samma namn bredvid visas också (detta är standardregeln).
Vanliga anpassningar
Följande är vanliga anpassningar av standardreglerna:
- Ändra attributflöde
- Ändra omfångsfilter
- Ändra kopplingsvillkor
Innan du ändrar några regler:
Inaktivera synkroniseringsschemaläggaren. Schemaläggaren körs var 30:e minut som standard. Kontrollera att den inte startar när du gör ändringar och felsöker dina nya regler. Om du tillfälligt vill inaktivera schemaläggaren startar du PowerShell och kör
Set-ADSyncScheduler -SyncCycleEnabled $false
.Ändringen i omfångsfiltret kan resultera i borttagning av objekt i målkatalogen. Var försiktig innan du gör några ändringar i omfånget för objekt. Vi rekommenderar att du gör ändringar i en mellanlagringsserver innan du gör ändringar på den aktiva servern.
Kör en förhandsgranskning på ett enskilt objekt, som du nämnde i avsnittet Verifiera synkroniseringsregel , när du har lagt till en ny regel.
Kör en fullständig synkronisering när du har lagt till en ny regel eller modifierat en anpassad synkroniseringsregel. Den här synkroniseringen tillämpar nya regler på alla objekt.
Ändra attributflöde
Det finns tre olika scenarier för att ändra attributflödet:
- Lägga till ett nytt attribut.
- Åsidosätta värdet för ett befintligt attribut.
- Väljer att inte synkronisera ett befintligt attribut.
Du kan göra dessa utan att ändra standardreglerna.
Lägga till ett nytt attribut
Om du upptäcker att ett attribut inte flödar från källkatalogen till målkatalogen använder du Microsoft Entra Anslut Sync: Directory-tillägg för att åtgärda detta.
Om tilläggen inte fungerar för dig kan du prova att lägga till två nya synkroniseringsregler som beskrivs i följande avsnitt.
Lägga till en regel för inkommande synkronisering
En regel för inkommande synkronisering innebär att källan för attributet är ett anslutningsutrymme och målet är metaversum. Om du till exempel vill ha ett nytt attributflöde från lokal Active Directory till Microsoft Entra-ID skapar du en ny regel för inkommande synkronisering. Starta redigeraren för synkroniseringsregler, välj Inkommande som riktning och välj Lägg till ny regel.
Följ din egen namngivningskonvention för att namnge regeln. Här använder vi anpassad in från AD – användare. Det innebär att regeln är en anpassad regel och är en inkommande regel från Active Directory-anslutningsutrymmet till metaversum.
Ange en egen beskrivning av regeln så att det är enkelt att underhålla regeln i framtiden. Beskrivningen kan till exempel baseras på vad syftet med regeln är och varför den behövs.
Gör dina val för fälten Anslut ed System, Anslut ed System Object Type och Metaverse Object Type.
Ange prioritetsvärdet från 0 till 99 (desto lägre tal, desto högre prioritet). Använd standardvalen för fälten Tagg, Aktivera lösenordssynkronisering och Inaktiverad .
Håll omfångsfiltret tomt. Det innebär att regeln gäller för alla objekt som är kopplade mellan Active Directory Anslut ed System och metaversum.
Håll Kopplingsregler tomma. Det innebär att den här regeln använder kopplingsvillkoret som definierats i standardregeln. Det här är en annan anledning till att inte inaktivera eller ta bort standardregeln. Om det inte finns något kopplingsvillkor flödar inte attributet.
Lägg till lämpliga transformeringar för attributet. Du kan tilldela en konstant för att skapa ett konstant värdeflöde till målattributet. Du kan använda direktmappning mellan käll- eller målattributet. Du kan också använda ett uttryck för attributet. Här är olika uttrycksfunktioner som du kan använda.
Lägga till en regel för utgående synkronisering
Om du vill länka attributet till målkatalogen måste du skapa en regel för utgående trafik. Det innebär att källan är metaversum och målet är det anslutna systemet. Om du vill skapa en regel för utgående trafik startar du Redigeraren för synkroniseringsregler, ändrar riktning till Utgående och väljer Lägg till ny regel.
Precis som med regeln för inkommande trafik kan du använda din egen namngivningskonvention för att namnge regeln. Välj det Anslut ed System som Microsoft Entra-klientorganisation och välj det anslutna systemobjekt som du vill ange attributvärdet till. Ange prioriteten från 0 till 99.
Låt omfångsfiltret och kopplingsreglerna vara tomma. Fyll i omvandlingen som konstant, direkt eller uttryck.
Nu vet du hur du skapar ett nytt attribut för ett användarobjektflöde från Active Directory till Microsoft Entra-ID. Du kan använda de här stegen för att mappa alla attribut från valfritt objekt till källa och mål. Mer information finns i Skapa anpassade synkroniseringsregler och Förbereda för att etablera användare.
Åsidosätt värdet för ett befintligt attribut
Du kanske vill åsidosätta värdet för ett attribut som redan har mappats. Om du till exempel alltid vill ange ett null-värde till ett attribut i Microsoft Entra-ID skapar du bara en regel för inkommande trafik. Gör uttrycksvärdet, AuthoritativeNull
, flödet till målattributet.
Kommentar
Använd AuthoritativeNull
i stället för Null
i det här fallet. Det beror på att värdet som inte är null ersätter null-värdet, även om det har lägre prioritet (ett högre talvärde i regeln). AuthoritativeNull
, å andra sidan, ersätts inte med ett icke-null-värde av andra regler.
Synkronisera inte befintligt attribut
Om du vill undanta ett attribut från synkronisering använder du funktionen för attributfiltrering som anges i Microsoft Entra Anslut. Starta Microsoft Entra Anslut från skrivbordsikonen och välj sedan Anpassa synkroniseringsalternativ.
Kontrollera att Microsoft Entra-app- och attributfiltrering har valts och välj Nästa.
Rensa de attribut som du vill undanta från synkronisering.
Ändra omfångsfilter
Azure AD Sync tar hand om de flesta objekten. Du kan minska omfånget för objekt och minska antalet objekt som ska exporteras, utan att ändra standardsynkroniseringsreglerna.
Använd någon av följande metoder för att minska omfattningen för de objekt som du synkroniserar:
- cloudFiltered-attribut
- Filtrering av organisationsenhet
Om du minskar omfattningen för de användare som synkroniseras stoppas även synkroniseringen av lösenordshash för de filtrerade användarna. Om objekten redan synkroniseras tas de filtrerade objekten bort från målkatalogen när du har minskat omfånget. Därför bör du se till att du omfånget är mycket noggrant.
Viktigt!
Vi rekommenderar inte att du ökar omfattningen för objekt som konfigurerats av Microsoft Entra Anslut. Det gör det svårt för Microsofts supportteam att förstå anpassningarna. Om du måste öka omfånget för objekt redigerar du den befintliga regeln, klonar den och inaktiverar den ursprungliga regeln.
cloudFiltered-attribut
Du kan inte ange det här attributet i Active Directory. Ange värdet för det här attributet genom att lägga till en ny inkommande regel. Du kan sedan använda Transformering och uttryck för att ange det här attributet i metaversum. I följande exempel visas att du inte vill synkronisera alla användare vars avdelningsnamn börjar med HRD (skiftlägesokänsligt):
cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)
Vi konverterade först avdelningen från källan (Active Directory) till gemener. Sedan, med hjälp av Left
funktionen, tog vi bara de tre första tecknen och jämförde det med hrd
. Om det matchade anges värdet till True
, annars NULL
. När värdet anges till null kan en annan regel med lägre prioritet (ett högre talvärde) skriva till det med ett annat villkor. Kör förhandsversionen på ett objekt för att verifiera synkroniseringsregeln, enligt beskrivningen i avsnittet Verifiera synkroniseringsregel .
Filtrering av organisationsenhet
Du kan skapa en eller flera organisationsenheter och flytta de objekt som du inte vill synkronisera till dessa organisationsenheter. Konfigurera sedan OU-filtreringen i Microsoft Entra Anslut. Starta Microsoft Entra Anslut från skrivbordsikonen och välj följande alternativ. Du kan också konfigurera OU-filtrering vid tidpunkten för installationen av Microsoft Entra Anslut.
Följ guiden och avmarkera de organisationsenheter som du inte vill synkronisera.
Ändra kopplingsvillkor
Använd standardvillkoren för anslutning som konfigurerats av Microsoft Entra Anslut. Om standardanslutningsvillkoren ändras blir det svårt för Microsofts support att förstå anpassningarna och supporten för produkten.
Verifiera synkroniseringsregel
Du kan verifiera den nyligen tillagda synkroniseringsregeln med hjälp av förhandsgranskningsfunktionen utan att köra hela synkroniseringscykeln. I Microsoft Entra Anslut väljer du Synkroniseringstjänst.
Välj Metaversumsökning. Välj omfångsobjektet som person, välj Lägg till sats och ange sökvillkoren. Välj sedan Sök och dubbelklicka på objektet i sökresultaten. Kontrollera att dina data i Microsoft Entra Anslut är uppdaterade för objektet genom att köra import och synkronisering i skogen innan du kör det här steget.
På Egenskaper för metaversumobjekt väljer du Anslut orer, väljer objektet i motsvarande anslutningsapp (skog) och väljer Egenskaper....
Välj Förhandsversion...
I förhandsgranskningsfönstret väljer du Generera förhandsgranskning och Importera attributflöde i den vänstra rutan.
Observera här att den nyligen tillagda regeln körs på objektet och har angett cloudFiltered
attributet till true.
Om du vill jämföra den ändrade regeln med standardregeln exporterar du båda reglerna separat, som textfiler. Dessa regler exporteras som en PowerShell-skriptfil. Du kan jämföra dem med valfritt filjämförelseverktyg (till exempel windiff) för att se ändringarna.
Observera att attributet i den ändrade regeln msExchMailboxGuid
ändras till uttryckstypeni stället för Direkt. Dessutom ändras värdet till alternativet NULL och ExecuteOnce . Du kan ignorera skillnader mellan identifierade och prioritet.
Om du vill åtgärda reglerna för att ändra tillbaka dem till standardinställningarna tar du bort den ändrade regeln och aktiverar standardregeln. Se till att du inte förlorar den anpassning som du försöker uppnå. När du är klar kör du fullständig synkronisering.