Microsoft Entra Connect Eşitleme hizmeti özellikleri
Microsoft Entra Bağlan'ın eşitleme özelliği iki bileşene sahiptir:
- Eşitleme altyapısı olarak da adlandırılan Microsoft Entra Bağlan Sync adlı şirket içi bileşen.
- Microsoft Entra Id'de bulunan hizmet, Microsoft Entra Bağlan Eşitleme hizmeti olarak da bilinir
Bu konuda, Microsoft Entra Bağlan Sync hizmetinin aşağıdaki özelliklerinin nasıl çalıştığı ve Bunları PowerShell kullanarak nasıl yapılandırabileceğiniz açıklanmaktadır.
Graph PowerShell kullanarak Microsoft Entra dizininizdeki yapılandırmayı görmek için aşağıdaki komutları kullanın:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Sonuç şu çıkışa benzer:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Bir özelliği etkinleştirdikten sonra yeniden devre dışı bırakılamaz.
Dekont
24 Ağustos 2016'dan itibaren Yinelenen öznitelik dayanıklılığı özelliği, yeni Microsoft Entra dizinleri için varsayılan olarak etkindir. Bu özellik, bu tarihten önce oluşturulan dizinlerde de dağıtılacak ve etkinleştirilecektir. Dizininiz bu özelliği etkinleştirmek üzereyken bir e-posta bildirimi alırsınız.
Aşağıdaki ayarlar Microsoft Entra Bağlan tarafından yapılandırılır:
| DirSyncFeature | Açıklama |
|---|---|
| SoftMatchOnUpn | Nesnelerin birincil SMTP adresine ek olarak userPrincipalName üzerinde katılmasına izin verir. |
| SynchronizeUpnForManagedUsers | Eşitleme altyapısının yönetilen/lisanslı (federasyon olmayan) kullanıcılar için userPrincipalName özniteliğini güncelleştirmesine izin verir. |
| DeviceWriteback | Microsoft Entra Bağlan: Cihaz geri yazmayı etkinleştirme |
| DirectoryExtensions | Microsoft Entra Bağlan Eşitleme: Dizin uzantıları |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Dışarı aktarma sırasında nesnenin tamamının başarısız olması yerine başka bir nesnenin yinelemesi olduğunda özniteliğin karantinaya alınmasına izin verir. |
| Parola Karması Eşitleme | Microsoft Entra Bağlan Sync ile parola karması eşitlemesi uygulama |
| Doğrudan Kimlik Doğrulama | Microsoft Entra doğrudan kimlik doğrulaması ile kullanıcı oturumu açma |
| UnifiedGroupWriteback | Grup geri yazma |
| UserWriteback | Şu anda desteklenmiyor. |
Yinelenen öznitelik dayanıklılığı
Yinelenen UPN'ler / proxyAddresses ile nesneleri sağlamamak yerine, yinelenen öznitelik "karantinaya alınır" ve geçici bir değer atanır. Çakışma çözümlendiğinde, geçici UPN otomatik olarak uygun değere değiştirilir. Daha fazla ayrıntı için bkz . Kimlik eşitleme ve yinelenen öznitelik dayanıklılığı.
UserPrincipalName geçici eşleşmesi
Bu özellik etkinleştirildiğinde, her zaman etkin olan birincil SMTP adresine ek olarak UPN için geçici eşleşme etkinleştirilir. Yazılım eşleştirme, Microsoft Entra ID'deki mevcut bulut kullanıcılarını şirket içi kullanıcılarla eşleştirmek için kullanılır.
Şirket içi AD hesaplarını bulutta oluşturulan mevcut hesaplarla eşleştirmeniz gerekiyorsa ve Exchange Online kullanmıyorsanız, bu özellik yararlıdır. Bu senaryoda, genellikle bulutta SMTP özniteliğini ayarlamak için bir nedeniniz yoktur.
Bu özellik, yeni oluşturulan Microsoft Entra dizinleri için varsayılan olarak açıktır. Bu özelliğin sizin için etkinleştirilip etkinleştirilmediğini aşağıdakini çalıştırarak görebilirsiniz:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Bu özellik Microsoft Entra dizininiz için etkinleştirilmediyse şunu çalıştırarak etkinleştirebilirsiniz:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Bu özellik etkinleştirildiğinde, Yumuşak Eşleştirme özelliğini engeller. Müşterilerin bu özelliği etkinleştirmeleri ve kiracıları için yeniden Geçici Eşleştirme gerekinceye kadar etkin tutmaları önerilir. Geçici eşleştirme tamamlandıktan ve artık gerekli olmadığında bu bayrak yeniden etkinleştirilmelidir.
Örnek - Kiracınızda geçici eşleştirmeyi engellemek için şu cmdlet'i çalıştırın:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
userPrincipalName güncelleştirmelerini eşitleme
Geçmişte, şirket içinden eşitleme hizmeti kullanılarak UserPrincipalName özniteliğine yapılan güncelleştirmeler, bu koşulların her ikisi de doğru olmadığı sürece engellenmiştir:
- Kullanıcı yönetilir (federasyon dışı).
- Kullanıcıya lisans atanmadı.
Dekont
Mart 2019'dan itibaren, federasyon kullanıcı hesapları için UPN değişikliklerinin eşitlenmesine izin verilir.
Bu özelliğin etkinleştirilmesi, eşitleme altyapısının şirket içinde değiştirildiğinde ve parola karması eşitleme veya geçiş kimlik doğrulaması kullandığınızda userPrincipalName'i güncelleştirmesine olanak tanır.
Bu özellik, yeni oluşturulan Microsoft Entra dizinleri için varsayılan olarak açıktır. Bu özelliğin sizin için etkinleştirilip etkinleştirilmediğini aşağıdakini çalıştırarak görebilirsiniz:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Bu özellik Microsoft Entra dizininiz için etkinleştirilmediyse şunu çalıştırarak etkinleştirebilirsiniz:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Bu özellik etkinleştirildikten sonra mevcut userPrincipalName değerleri olduğu gibi kalır. Şirket içi userPrincipalName özniteliğinin bir sonraki değişikliğinde, kullanıcılardaki normal delta eşitlemesi UPN'yi güncelleştirir.
Ayrıca bkz.
- Microsoft Entra Bağlan Sync
- Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme.