Tjänstfunktioner för Microsoft Entra Connect-synkronisering
Synkroniseringsfunktionen i Microsoft Entra Connect har två komponenter:
- Den lokala komponenten med namnet Microsoft Entra Connect Sync, även kallad synkroniseringsmotor.
- Tjänsten som finns i Microsoft Entra ID kallas även Microsoft Entra Connect Sync-tjänsten
I det här avsnittet beskrivs hur följande funktioner i Microsoft Entra Connect Sync-tjänsten fungerar och hur du kan konfigurera dem med Hjälp av PowerShell.
Om du vill se konfigurationen i din Microsoft Entra-katalog med hjälp av Graph PowerShell använder du följande kommandon:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Resultatet ser ut så här:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Kommentar
Från och med den 24 augusti 2016 aktiveras funktionen Duplicera attributåterhämtning som standard för nya Microsoft Entra-kataloger. Den här funktionen kommer också att distribueras och aktiveras på kataloger som skapats före det här datumet. Du får ett e-postmeddelande när din katalog är på väg att aktivera den här funktionen.
Följande inställningar konfigureras i Microsoft Entra Connect:
| DirSyncFeature | Kommentar |
|---|---|
| SoftMatchOnUpn | Tillåter att objekt ansluts på userPrincipalName utöver den primära SMTP-adressen. |
| SynchronizeUpnForManagedUsers | Tillåter att synkroniseringsmotorn uppdaterar attributet userPrincipalName för hanterade/licensierade (icke-hanterade) användare. |
| DeviceWriteback | Microsoft Entra Connect: Aktivera tillbakaskrivning av enheter |
| DirectoryExtensions | Microsoft Entra Connect Sync: Katalogtillägg |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Tillåter att ett attribut sätts i karantän när det är en dubblett av ett annat objekt i stället för att hela objektet misslyckas under exporten. |
| Hash-synkronisering av lösenord | Implementera synkronisering av lösenordshash med Microsoft Entra Connect Sync |
| Tillbakaskrivning av lösenord | Stöds ej. Den här tjänstfunktionen upphör. Information om hur du konfigurerar tillbakaskrivning av lösenord finns i Aktivera tillbakaskrivning av lösenord i Microsoft Entra Connect |
| Direktautentisering | Användarinloggning med Microsoft Entra-autentisering via direktströmning |
| UnifiedGroupWriteback | Tillbakaskrivning av grupp |
| UserWriteback | Stöds inte för närvarande. |
Dubblettattributåterhämtning
I stället för att det inte går att etablera objekt med duplicerade UPN/proxyAddresses är det duplicerade attributet "karantän" och ett tillfälligt värde tilldelas. När konflikten har lösts ändras det tillfälliga UPN:et automatiskt till rätt värde. Mer information finns i Identitetssynkronisering och dubblettattributåterhämtning.
Mjuk matchning för UserPrincipalName
När den här funktionen är aktiverad aktiveras mjuk matchning för UPN utöver den primära SMTP-adressen, som alltid är aktiverad. Mjuk matchning används för att matcha befintliga molnanvändare i Microsoft Entra-ID med lokala användare.
Om du behöver matcha lokala AD-konton med befintliga konton som skapats i molnet och du inte använder Exchange Online är den här funktionen användbar. I det här scenariot har du vanligtvis ingen anledning att ange SMTP-attributet i molnet.
Den här funktionen är aktiverad som standard för nyligen skapade Microsoft Entra-kataloger. Du kan se om den här funktionen är aktiverad för dig genom att köra:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Om den här funktionen inte är aktiverad för din Microsoft Entra-katalog kan du aktivera den genom att köra:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
När den här funktionen är aktiverad blockeras funktionen Mjuk matchning. Kunder uppmanas att aktivera den här funktionen och behålla den aktiverad tills mjuk matchning krävs igen för deras innehavare. Den här flaggan ska aktiveras igen när mjuk matchning har slutförts och behövs inte längre.
Exempel – Blockera mjuk matchning i klientorganisationen:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Synkronisera userPrincipalName-uppdateringar
Tidigare blockerades uppdateringar av attributet UserPrincipalName med hjälp av synkroniseringstjänsten lokalt, såvida inte båda dessa villkor var sanna:
- Användarhanterad (ej hanterad).
- Användaren har ingen tilldelad licens.
Kommentar
Från mars 2019 tillåts synkronisering av UPN-ändringar för federerade användarkonton.
Om du aktiverar den här funktionen kan synkroniseringsmotorn uppdatera userPrincipalName när den ändras lokalt och du använder synkronisering av lösenordshash eller direktautentisering.
Den här funktionen är aktiverad som standard för nyligen skapade Microsoft Entra-kataloger. Du kan se om den här funktionen är aktiverad för dig genom att köra:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Om den här funktionen inte är aktiverad för din Microsoft Entra-katalog kan du aktivera den genom att köra:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
När du har aktiverat den här funktionen förblir befintliga userPrincipalName-värden som de är. Vid nästa ändring av attributet userPrincipalName lokalt uppdaterar den normala deltasynkroniseringen för användare UPN. När den här funktionen är aktiverad går det inte att inaktivera den.