Microsoft Entra kiracısının BypassDirSyncOverridesEnabled özelliğini kullanma.
Bu makalede BypassDirSyncOverridesEnabled özelliği ve Mobile ve diğerMobile özniteliklerinin Microsoft Entra ID'den şirket içi Active Directory eşitlemesinin nasıl geri yükleneceği açıklanmaktadır.
Eşitlenen kullanıcılar genellikle Azure veya Microsoft 365 yönetici portallarından, Microsoft Entra Id veya Microsoft Graph PowerShell modülleri kullanılarak PowerShell aracılığıyla değiştirilemez. Bunun istisnası, Microsoft Entra kullanıcısının Mobile Telefon ve AlternateMobile Telefon s adlı öznitelikleridir. Bu öznitelikler sırasıyla mobil ve diğerMobile şirket içi Active Directory özniteliklerinden eşitlenir, ancak son kullanıcılar profil sayfası aracılığıyla Microsoft Entra Id'deki Mobile Telefon özniteliğinde kendi telefon numarasını güncelleştirebilir. Yönetici eşitlenen kullanıcının kullanıcı bilgilerini de güncelleştirebilirMicrosoft Graph PowerShell modülünü kullanarak Microsoft Entra Id'de Mobile Telefon ve AlternateMobile Telefon s değerleri.
Kullanıcılara ve yöneticilere doğrudan Microsoft Entra ID'de telefon numaralarını güncelleştirme olanağı vermek, kuruluşların yerel Active Directory'de kullanıcının telefon numaralarını yönetmenin yönetim yükünü azaltmasını sağlar çünkü bunlar daha sık değişebilir.
Ancak uyarı, eşitlenmiş bir kullanıcının Mobile Telefon veya AlternateMobile Telefon s numarası yönetici portalı veya PowerShell aracılığıyla güncelleştirildiğinde, eşitleme API'sinin artık şirket içi Active Directory kaynağı olduğunda bu özniteliklere yönelik güncelleştirmelere uygun olmamasıdır. Bu genellikle "DirSyncOverrides" özelliği olarak bilinir. Yönetici istrator'lar, Active Directory'deki Mobile veya diğerMobile özniteliklerine yönelik güncelleştirmeler yapıldığında, nesne Microsoft Entra Bağlan altyapısı aracılığıyla başarıyla eşitlenmiş olsa bile, Microsoft Entra Kimliği'ndeki muhabir kullanıcının Mobile Telefon veya AlternateMobile Telefon s güncelleştirmelerini buna göre güncelleştirdiğinde bu davranışı fark eder.
Farklı Mobil ve diğerMobile değerlerine sahip kullanıcıları tanımlama
AD Eşitleme Tools PowerShell modülünden 'Compare-AD Eşitleme ToolsDirSyncOverrides' komutunu kullanarak Active Directory ile Microsoft Entra ID arasında farklı Mobile ve diğerMobile değerlerine sahip kullanıcıların listesini dışarı aktarabilirsiniz. Bu, kullanıcıları ve şirket içi Active Directory ile Microsoft Entra Kimliği arasında farklı olan ilgili değerleri belirlemenize olanak sağlar. BypassDirSyncOverridesEnabled özelliğinin etkinleştirilmesi, Microsoft Entra ID'deki tüm farklı değerlerin üzerine şirket içi Active Directory gelen değerin üzerine yazılacağından bunu bilmeniz önemlidir.
Compare-AD Eşitleme ToolsDirSyncOverrides Kullanma
Önkoşul olarak Microsoft Entra Bağlan sürüm 2 veya üzerini çalıştırmanız ve aşağıdaki komutla PowerShell Galerisi'dan en son AD Eşitleme Tools modülünü yüklemeniz gerekir:
Install-Module ADSyncTools
Eşitlenen kullanıcının Mobil ve DiğerMobil değerlerini karşılaştırmak için aşağıdaki komutu çalıştırın:
Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential)
Not
Bu özellik tarafından kullanılan hedef API, kimlik doğrulaması kullanıcı etkileşimlerini işlemez. MFA veya koşullu ilkeler kimlik doğrulamayı engeller. Kimlik bilgilerini girmeniz istendiğinde, lütfen MFA etkinleştirilmemiş veya koşullu erişim ilkesi uygulanmamış bir Genel Yönetici istratör hesabı kullanın. Son çare olarak, lütfen BypassDirSyncOverridees özelliğini kullanarak istenen işlemleri tamamladıktan sonra silinebilen MFA veya Koşullu Erişim olmadan geçici bir Genel Yönetici istratör kullanıcı hesabı oluşturun.
Bu işlev, şirket içi Active Directory'daki Mobile veya OtherMobile değerlerinin Microsoft Entra Id içindeki ilgili Mobile Telefon veya AlternateMobile Telefon s değerinden farklı olduğu kullanıcıların listesini içeren bir CSV dosyasını dışarı aktarır.
Bu aşamada, şirket içi Active Directory Mobile ve diğerMobile özelliklerinin değerlerini Microsoft Entra Id'de bulunan değerlere sıfırlamak için bu verileri kullanabilirsiniz. Bu şekilde, BypassDirSyncOverridesEnabled özelliğini etkinleştirmeden önce Microsoft Entra ID'den en güncel telefon numaralarını yakalayabilir ve bu verileri şirket içi Active Directory kalıcı hale getirmeniz mümkündür. Bunu yapmak için, sonuçta elde edilen CSV dosyasındaki verileri içeri aktarın ve değeri şirket içi Active Directory'da kalıcı hale getirmek için AD Eşitleme Tools modülündeki 'Set-AD Eşitleme ToolsDirSyncOverrides' modülünü kullanın.
Örneğin, CSV dosyasından verileri içeri aktarmak ve belirli bir UserPrincipalName için Microsoft Entra Id içindeki değerleri ayıklamak için aşağıdaki komutu kullanın:
$upn = '<UserPrincipalName>'
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' |
where UserPrincipalName -eq $upn |
select UserPrincipalName,*InAAD
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD
BypassDirSyncOverridesEnabled özelliğini etkinleştirme
Varsayılan olarak, BypassDirSyncOverridesEnabled özelliği kapalıdır. BypassDirSyncOverridesEnabled özelliğinin etkinleştirilmesi, kiracınızın doğrudan Microsoft Entra Id'de kullanıcılar veya yöneticiler tarafından Mobile Telefon veya AlternateMobile Telefon yapılan değişiklikleri atlamasına ve şirket içi Active Directory Mobile veya DiğerMobil'de mevcut değerleri her zaman yerine getirmesine olanak tanır.
Son kullanıcıların kendi cep telefonu numaralarını güncelleştirmesini istemiyorsanız veya yöneticilerin PowerShell kullanarak mobil veya alternatif cep telefonu numaralarını güncelleştirmesine gerek yoksa, Kiracıda BypassDirSyncOverridesEnabled özelliğini etkin bırakmanız gerekir.
Bu özellik açıkken, bir son kullanıcı veya yönetici Microsoft Entra Id'de Mobile Telefon veya AlternateMobile Telefon s güncelleştirmeleri olsa bile, şirket içi Active Directory eşitlenen değerler bir sonraki eşitleme döngüsünde kalıcı olur. Bu, bu değerlerdeki güncelleştirmelerin yalnızca güncelleştirme şirket içi Active Directory gerçekleştirildiğinde ve ardından Microsoft Entra Kimliği ile eşitlendiğinde kalıcı olduğu anlamına gelir.
BypassDirSyncOverridesEnabled özelliğini etkinleştirin:
BypassDirSyncOverridesEnabled özelliğini etkinleştirmek için Microsoft Graph PowerShell modülünü kullanın.
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Özellik etkinleştirildikten sonra, aşağıdaki komutu kullanarak Microsoft Entra Bağlan'da tam eşitleme döngüsü başlatın:
Start-ADSyncSyncCycle -PolicyType Initial
Not
Yalnızca şirket içi Active Directory farklı bir Mobile Telefon veya AlternateMobile Telefon s değerine sahip nesneler güncelleştirilir.
BypassDirSyncOverridesEnabled özelliğinin durumunu doğrulayın:
(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled
BypassDirSyncOverridesEnabled özelliğini devre dışı bırakma
Cep telefonu numaralarını portaldan veya PowerShell'den güncelleştirme özelliğini geri yüklemek istiyorsanız, aşağıdaki Microsoft Graph PowerShell modül komutunu kullanarak BypassDirSyncOverridesEnabled özelliğini devre dışı bırakabilirsiniz:
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Bu özellik kapatıldığında, bir kullanıcı veya yönetici Mobile Telefon veya AlternateMobile Telefon s'ı doğrudan Microsoft Entra ID'de güncelleştirdiğinde, şirket içi Active Directory gelen bu özniteliklerde gelecekteki güncelleştirmeleri engelleyen bir DirSyncOverrides oluşturulur. Bu noktadan sonra, şirket içi Mobil veya DiğerMobil'den yapılan yeni güncelleştirmeler kapatılacağından, kullanıcı veya yönetici bu öznitelikleri yalnızca Microsoft Entra ID'den yönetebilir.
Microsoft Entra ID ve şirket içi Active Directory'da cep telefonu numaralarını yönetme
Yönetici, kullanıcının telefon numaralarını yönetmek için AD Eşitleme Tools modülündeki aşağıdaki işlev kümesini kullanarak Microsoft Entra ID veya şirket içi Active Directory değerlerini okuyabilir, yazabilir ve temizleyebilir.
şirket içi Active Directory'dan Mobil ve DiğerMobil özelliklerini alın:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD
Microsoft Entra Id'den Mobile Telefon ve AlternateMobile Telefon s özelliklerini alın:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD
Microsoft Entra Id'de Mobil Telefon ve AlternatifMobil Telefon özelliklerini ayarlayın:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'
şirket içi Active Directory'da Mobil ve diğerMobil özelliklerini ayarlayın:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'
Microsoft Entra Id'de Mobil Telefon ve AlternatifMobil Telefon özelliklerini temizleyin:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD
şirket içi Active Directory'de Mobil ve diğerMobil özelliklerini temizleyin:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD
Sonraki Adımlar
Microsoft Entra Bağlan: ADSyncTools PowerShell modülü hakkında daha fazla bilgi edinin
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin