Microsoft Entra Bağlan Eşitleme: Varsayılan yapılandırmada değişiklik yapın
Bu makalenin amacı, Microsoft Entra Bağlan Sync'te varsayılan yapılandırmada nasıl değişiklik yapabileceğiniz konusunda size yol gösterir. Bazı yaygın senaryolar için adımlar sağlar. Bu bilgiyle, kendi iş kurallarınıza göre kendi yapılandırmanızda basit değişiklikler yapabilmeniz gerekir.
Uyarı
Varsayılan kullanıma hazır eşitleme kurallarında değişiklik yaparsanız, Microsoft Entra Bağlan bir sonraki güncelleştirildiğinde bu değişikliklerin üzerine yazılır ve bu da beklenmeyen ve olası istenmeyen eşitleme sonuçlarına neden olur.
Varsayılan hazır eşitleme kurallarının parmak izi vardır. Bu kurallarda değişiklik yaparsanız parmak izi artık eşleşmez. Gelecekte Microsoft Entra Bağlan'nin yeni bir sürümünü uygulamayı denediğinizde sorunlarla karşılaşabilirsiniz. Değişiklikleri yalnızca bu makalede açıklandığı şekilde yapın.
Eşitleme Kuralları Düzenleyicisi
Eşitleme Kuralları Düzenleyicisi, varsayılan yapılandırmayı görmek ve değiştirmek için kullanılır. Microsoft Entra Bağlan grubunun altındaki Başlat menüsünde bulabilirsiniz.
Düzenleyiciyi açtığınızda, varsayılan hazır kuralları görürsünüz.
Düzenleyicide gezinme
Düzenleyicinin üst kısmındaki açılan menüleri kullanarak belirli bir kuralı hızla bulabilirsiniz. Örneğin, proxyAddresses özniteliğinin eklendiği kuralları görmek istiyorsanız, açılan menüleri aşağıdaki şekilde değiştirebilirsiniz:
Filtrelemeyi sıfırlamak ve yeni bir yapılandırma yüklemek için klavyede F5 tuşuna basın.
Sağ üst köşede Yeni kural ekle düğmesi bulunur. Kendi özel kuralınızı oluşturmak için bu düğmeyi kullanırsınız.
En altta seçili bir eşitleme kuralı üzerinde hareket etmek için düğmeler bulunur. Düzenle ve Sil , beklediğiniz şeyi yapın. Dışarı aktarma , eşitleme kuralını yeniden oluşturmak için bir PowerShell betiği oluşturur. Bu yordamla, eşitleme kuralını bir sunucudan diğerine taşıyabilirsiniz.
İlk özel kuralınızı oluşturma
En yaygın değişiklikler öznitelik akışlarıdır. Kaynak dizininizdeki veriler Microsoft Entra Id ile aynı olmayabilir. Bu bölümdeki örnekte, bir kullanıcının verilen adının her zaman uygun durumda olduğundan emin olun.
Zamanlayıcıyı devre dışı bırakma
Zamanlayıcı varsayılan olarak her 30 dakikada bir çalışır. Değişiklik yaparken ve yeni kurallarınızla ilgili sorunları giderirken başlamadığından emin olun. Zamanlayıcıyı geçici olarak devre dışı bırakmak için PowerShell'i başlatın ve komutunu çalıştırın Set-ADSyncScheduler -SyncCycleEnabled $false
.
Kuralı oluşturma
- Yeni kural ekle'ye tıklayın.
- Açıklama sayfasında aşağıdakileri girin:
- Ad: Kurala açıklayıcı bir ad verin.
- Açıklama: Başka birinin kuralın ne için olduğunu anlaması için biraz açıklama verin.
- Bağlan Sistem: Bu, nesnenin bulunabildiği sistemdir. Bu durumda Active Directory Bağlan veya'yı seçin.
- Bağlan Sistem/MetaVerse Nesne Türü: Sırasıyla Kullanıcı ve Kişi'yi seçin.
- Bağlantı Türü: Bu değeri Join olarak değiştirin.
- Öncelik: Sistemde benzersiz bir değer sağlayın. Daha düşük bir sayısal değer daha yüksek önceliği gösterir.
- Etiket: Bunu boş bırakın. Yalnızca Microsoft'un ilk gelen kurallarında bu kutu bir değerle doldurulmalıdır.
- Kapsam filtresi sayfasında givenName ISNOTNULL girin.
Bu bölüm, kuralın hangi nesnelere uygulanacağını tanımlamak için kullanılır. Boş bırakılırsa, kural tüm kullanıcı nesnelerine uygulanır. Ancak bu, konferans odalarını, hizmet hesaplarını ve diğer kişi dışı kullanıcı nesnelerini içerir. - Birleştirme kuralları sayfasında alanı boş bırakın.
- Dönüşümler sayfasında FlowType değerini İfade olarak değiştirin. Hedef Öznitelik için givenName öğesini seçin. Kaynak alanına PCase([givenName]) girin.
Eşitleme altyapısı hem işlev adı hem de özniteliğin adı için büyük/küçük harfe duyarlıdır. Yanlış bir şey yazarsanız, kuralı eklediğinizde bir uyarı görürsünüz. Kaydedip devam edebilirsiniz, ancak kuralı yeniden açmanız ve düzeltmeniz gerekir. - Kuralı kaydetmek için Ekle'ye tıklayın.
Yeni özel kuralınız sistemdeki diğer eşitleme kurallarıyla görünür olmalıdır.
Değişikliği doğrulama
Bu yeni değişiklikle, beklendiği gibi çalıştığından ve hata oluşturmadığından emin olmak istiyorsunuz. Sahip olduğunuz nesne sayısına bağlı olarak, bu adımı gerçekleştirmenin iki yolu vardır:
- Tüm nesneler üzerinde tam eşitleme çalıştırın.
- Tek bir nesnede önizleme ve tam eşitleme çalıştırın.
Başlat menüsünden Eşitleme Hizmeti'niaçın. Bu bölümdeki adımların tümü bu araçta yer alır.
Tüm nesnelerde tam eşitleme
- Üstteki Bağlan orları seçin. Önceki bölümde değiştirdiğiniz bağlayıcıyı (bu örnekte Hizmetler Active Directory Etki Alanı) belirleyin ve seçin.
- Eylemler için Çalıştır'ı seçin.
- Tam Eşitleme'yi ve ardından Tamam'ı seçin.
Nesneler artık meta veri bölmesinde güncelleştirilir. Meta veri bölmesindeki nesneye bakarak değişikliklerinizi doğrulayın.
Tek bir nesnede önizleme ve tam eşitleme
- Üstteki Bağlan orları seçin. Önceki bölümde değiştirdiğiniz bağlayıcıyı (bu örnekte Hizmetler Active Directory Etki Alanı) belirleyin ve seçin.
- Ara Bağlan veya Boşluk'a tıklayın.
- Değişikliği test etmek için kullanmak istediğiniz nesneyi bulmak için Kapsam'ı kullanın. Nesneyi seçin ve Önizleme'ye tıklayın.
- Yeni ekranda İşleme Önizlemesi'ni seçin.
Değişiklik artık meta veri deposuna işlenmiştir.
Meta veri bölmesinde nesneyi görüntüleme
- Değerin beklendiğinden ve kuralın uygulandığından emin olmak için birkaç örnek nesne seçin.
- Üst kısımdan Meta Veri Deposu Araması'nı seçin. İlgili nesneleri bulmak için ihtiyacınız olan herhangi bir filtreyi ekleyin.
- Arama sonucundan bir nesne açın. Öznitelik değerlerine bakın ve Eşitleme Kuralları sütununda kuralın beklendiği gibi uygulandığını doğrulayın.
Zamanlayıcıyı etkinleştirme
Her şey beklendiği gibiyse zamanlayıcıyı yeniden etkinleştirebilirsiniz. PowerShell'den komutunu çalıştırın Set-ADSyncScheduler -SyncCycleEnabled $true
.
Diğer ortak öznitelik akışı değişiklikleri
Önceki bölümde, bir öznitelik akışında nasıl değişiklik yapılacağını açıklanmıştır. Bu bölümde bazı ek örnekler verilmiştir. Eşitleme kuralı oluşturma adımları kısaltılır, ancak önceki bölümde adımların tamamını bulabilirsiniz.
Varsayılan dışında bir öznitelik kullanma
Bu Fabrikam senaryosunda, verilen ad, soyadı ve görünen ad için yerel alfabenin kullanıldığı bir orman vardır. Bu özniteliklerin Latin karakter gösterimi uzantı özniteliklerinde bulunabilir. Kuruluş, Microsoft Entra Id ve Microsoft 365'te genel adres listesi oluşturmak için bunun yerine bu öznitelikleri kullanmak istiyor.
Varsayılan yapılandırmayla, yerel ormandaki bir nesne şöyle görünür:
Diğer öznitelik akışlarıyla kural oluşturmak için aşağıdakileri yapın:
- Başlat menüsünden Eşitleme Kuralları Düzenleyicisi'niaçın.
- Sol tarafta Gelen seçili durumdayken Yeni kural ekle düğmesine tıklayın.
- Kurala bir ad ve açıklama verin. şirket içi Active Directory örneğini ve ilgili nesne türlerini seçin. Bağlantı Türü'nde Katıl'ı seçin. Öncelik için, başka bir kural tarafından kullanılmayan bir sayı seçin. İlk kural 100 ile başlar, bu nedenle 50 değeri bu örnekte kullanılabilir.
- Kapsam belirleme filtresini boş bırakın. (Yani, ormandaki tüm kullanıcı nesneleri için geçerli olmalıdır.)
- Birleştirme kurallarını boş bırakın. (Başka bir ifadeyle, ilk kuralın tüm birleşimleri işlemesine izin verin.)
- Dönüşümler'de aşağıdaki akışları oluşturun:
- Kuralı kaydetmek için Ekle'ye tıklayın.
- Eşitleme Hizmeti Yöneticisi'ne gidin. Bağlan or'larda kuralı eklediğiniz bağlayıcıyı seçin. Çalıştır'ı ve ardından Tam Eşitleme'yi seçin. Tam eşitleme geçerli kuralları kullanarak tüm nesneleri yeniden hesaplar.
Bu, bu özel kuralla aynı nesnenin sonucudur:
Özniteliklerin uzunluğu
Dize öznitelikleri varsayılan olarak dizine eklenebilir ve uzunluk üst sınırı 448 karakterdir. Daha fazlasını içerebilecek dize öznitelikleriyle çalışıyorsanız, öznitelik akışına aşağıdakileri eklediğinizden emin olun:
attributeName
<- . Left([attributeName],448)
userPrincipalSuffix değerini değiştirme
Active Directory'deki userPrincipalName özniteliği her zaman kullanıcılar tarafından bilinmez ve oturum açma kimliği olarak uygun olmayabilir. Microsoft Entra Bağlan eşitleme yükleme sihirbazıyla, posta gibi farklı bir öznitelik seçebilirsiniz. Ancak bazı durumlarda özniteliği hesaplanmalıdır.
Örneğin Contoso şirketinin biri üretim, diğeri test için olan iki Microsoft Entra dizini vardır. Test kiracılarındaki kullanıcıların oturum açma kimliğinde başka bir sonek kullanmasını ister:
Word([userPrincipalName],1,"@") & "@contosotest.com"
.
Bu ifadede, ilk @-sign (Word) öğesinin kalan her şeyi alın ve sabit bir dizeyle birleştirin.
Çok değerli özniteliği tek bir değere dönüştürme
Active Directory'deki bazı öznitelikler, Active Directory Kullanıcıları ve Bilgisayarları tek değerli görünseler bile şemada çok değerlidir. Açıklama özniteliği bir örnektir:
description
<- . IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448))
Bu ifadede, özniteliğin bir değeri varsa öznitelikteki ilk öğeyi (Öğe) alın, baştaki ve sondaki boşlukları kaldırın (Kırp) ve ardından dizedeki ilk 448 karakteri (Sol) tutun.
Öznitelik akışı yapma
Bu bölümün senaryosunun arka planı için bkz . Öznitelik akışı işlemini denetleme.
Bir özniteliği akışa almamanın iki yolu vardır. İlki, seçilen öznitelikleri kaldırmak için yükleme sihirbazını kullanmaktır. Özniteliği daha önce hiç eşitlemediyseniz bu seçenek çalışır. Ancak, bu özniteliği eşitlemeye başladıysanız ve daha sonra bu özellik ile kaldırdıysanız, eşitleme altyapısı özniteliği yönetmeyi durdurur ve mevcut değerler Microsoft Entra ID'de bırakılır.
Bir özniteliğin değerini kaldırmak ve gelecekte akmadığından emin olmak istiyorsanız, özel bir kural oluşturmanız gerekir.
Bu Fabrikam senaryosunda, bulutla eşitlediğimiz bazı özniteliklerin orada olmaması gerektiğini fark ettik. Bu özniteliklerin Microsoft Entra Id'den kaldırıldığından emin olmak istiyoruz.
- Yeni bir gelen eşitleme kuralı oluşturun ve açıklamayı doldurun.
- FlowType için İfade ve Kaynak için AuthoritativeNull ile öznitelik akışları oluşturun. AuthoritativeNull değişmez değeri, düşük öncelikli eşitleme kuralı değeri doldurmaya çalışsa bile meta veri kümesinde değerin boş olması gerektiğini belirtir.
- Eşitleme kuralını kaydedin. Eşitleme Hizmeti'ni başlatın, bağlayıcıyı bulun, Çalıştır'ı ve ardından Tam Eşitleme'yi seçin. Bu adım tüm öznitelik akışlarını yeniden hesaplar.
- Bağlan veya Alanı'nı arayarak istenen değişikliklerin dışarı aktarılmak üzere olduğunu doğrulayın.
PowerShell ile kural oluşturma
Eşitleme kuralı düzenleyicisini kullanmak, yalnızca birkaç değişikliğiniz olduğunda düzgün çalışır. Birçok değişiklik yapmanız gerekiyorsa PowerShell daha iyi bir seçenek olabilir. Bazı gelişmiş özellikler yalnızca PowerShell ile kullanılabilir.
İlk çalıştırma kuralı için PowerShell betiğini alma
İlk kuralı oluşturan PowerShell betiğini görmek için, eşitleme kuralları düzenleyicisinde kuralı seçin ve Dışarı Aktar'a tıklayın. Bu eylem size kuralı oluşturan PowerShell betiğini verir.
Gelişmiş öncelik
İlk eşitleme kuralları 100 öncelik değeriyle başlar. Çok sayıda ormanınız varsa ve birçok özel değişiklik yapmanız gerekiyorsa, 99 eşitleme kuralı yeterli olmayabilir.
Eşitleme altyapısına, kullanıma sunulan kurallardan önce ek kuralların eklenmesini istediğinizi belirtebilirsiniz. Bu davranışı almak için şu adımları izleyin:
- Eşitleme kuralları düzenleyicisinde ilk kullanıma alınan eşitleme kuralını (AD Kullanıcı Katılımı'ndan) işaretleyin ve Dışarı Aktar'ı seçin. SR Tanımlayıcısı değerini kopyalayın.
- Yeni eşitleme kuralını oluşturun. Eşitleme kuralları düzenleyicisini kullanarak oluşturabilirsiniz. Kuralı bir PowerShell betiğine aktarın.
- PrecedenceBefore özelliğine, ilk kuraldan Tanımlayıcı değerini ekleyin. Öncelik değerini 0 olarak ayarlayın. Identifier özniteliğinin benzersiz olduğundan ve başka bir kuraldan GUID'yi yeniden kullanmadığınızdan emin olun. Ayrıca ImmutableTag özelliğinin ayarlanmadığından emin olun. Bu özellik yalnızca ilk çalıştırma kuralı için ayarlanmalıdır.
- PowerShell betiğini kaydedin ve çalıştırın. Sonuç olarak, özel kuralınıza 100 öncelik değeri atanır ve diğer tüm ilk kurallar artırılır.
Gerektiğinde aynı PrecedenceBefore değerini kullanarak birçok özel eşitleme kuralına sahip olabilirsiniz.
UserType eşitlemesini etkinleştirme
Microsoft Entra Bağlan, 1.1.524.0 ve sonraki sürümlerde User nesneleri için UserType özniteliğinin eşitlenmesini destekler. Daha açık belirtmek gerekirse, aşağıdaki değişiklikler kullanıma sunulmuştur:
- Microsoft Entra Bağlan or'daki User nesne türünün şeması, tür dizesi olan ve tek değerli userType özniteliğini içerecek şekilde genişletilir.
- Meta veri tabanındaki Person nesne türünün şeması, tür dizesi olan ve tek değerli olan UserType özniteliğini içerecek şekilde genişletilir.
Varsayılan olarak, şirket içi Active Directory'de karşılık gelen UserType özniteliği olmadığından UserType özniteliği eşitleme için etkinleştirilmez. Eşitlemeyi el ile etkinleştirmeniz gerekir. Bunu yapmadan önce, Microsoft Entra ID tarafından uygulanan aşağıdaki davranışı not almanız gerekir:
- Microsoft Entra-only, UserType özniteliği için iki değer kabul eder: Üye ve Konuk.
- UserType özniteliği Microsoft Entra Bağlan'da eşitleme için etkinleştirilmemişse, dizin eşitlemesi aracılığıyla oluşturulan Microsoft Entra kullanıcılarının UserType özniteliği Member olarak ayarlanmış olur.
- 1.5.30.0 sürümünden önce Microsoft Entra Id, mevcut Microsoft Entra kullanıcılarında UserType özniteliğinin Microsoft Entra Bağlan tarafından değiştirilmesine izin vermedi. Eski sürümlerde, yalnızca Microsoft Entra kullanıcılarının oluşturulması sırasında ayarlanabilir ve PowerShell aracılığıyla değiştirilebilir.
UserType özniteliğinin eşitlemesini etkinleştirmeden önce özniteliğin şirket içi Active Directory nasıl türetilmiş olduğuna karar vermeniz gerekir. En yaygın yaklaşımlar şunlardır:
Kaynak öznitelik olarak kullanılacak kullanılmayan bir şirket içi AD özniteliğini (extensionAttribute1 gibi) belirleyin. Belirlenen şirket içi AD özniteliği tür dizesinde olmalı, tek değerli olmalı ve Member veya Guest değerini içermelidir.
Bu yaklaşımı seçerseniz, UserType özniteliğinin eşitlemesini etkinleştirmeden önce, belirlenen özniteliğin şirket içi Active Directory microsoft Entra ID ile eşitlenmiş olan tüm mevcut kullanıcı nesneleri için doğru değerle dolduruldığından emin olmanız gerekir.
Alternatif olarak, UserType özniteliğinin değerini diğer özelliklerden türetebilirsiniz. Örneğin, şirket içi AD userPrincipalName öznitelikleri @partners.fabrikam123.org etki alanı bölümüyle bitiyorsa tüm kullanıcıları Konuk olarak eşitlemek istiyorsunuz.
Daha önce belirtildiği gibi, Microsoft Entra Bağlan'ın eski sürümleri, mevcut Microsoft Entra kullanıcılarının UserType özniteliğinin Microsoft Entra Bağlan tarafından değiştirilmesine izin vermez. Bu nedenle, karar vermiş olduğunuz mantığın UserType özniteliğinin kiracınızdaki mevcut tüm Microsoft Entra kullanıcıları için zaten nasıl yapılandırıldığıyla tutarlı olduğundan emin olmanız gerekir.
UserType özniteliğinin eşitlemesini etkinleştirme adımları şu şekilde özetlenebilir:
- Eşitleme zamanlayıcısını devre dışı bırakın ve devam eden eşitleme olmadığını doğrulayın.
- Kaynak özniteliğini şirket içi AD Bağlan or şemasına ekleyin.
- UserType'ı Microsoft Entra Bağlan or şemasına ekleyin.
- öznitelik değerini şirket içi Active Directory akışa almak için bir gelen eşitleme kuralı oluşturun.
- Öznitelik değerini Microsoft Entra Id'ye akıtmak için bir giden eşitleme kuralı oluşturun.
- Tam eşitleme döngüsü çalıştırın.
- Eşitleme zamanlayıcısı'nı etkinleştirin.
Not
Bu bölümün geri kalanı bu adımları kapsar. Bunlar, tek orman topolojisi içeren ve özel eşitleme kuralları olmayan bir Microsoft Entra dağıtımı bağlamında açıklanmıştır. Çok ormanlı topolojiniz, yapılandırılmış özel eşitleme kurallarınız veya hazırlama sunucunuz varsa, adımları buna göre ayarlamanız gerekir.
1. Adım: Eşitleme zamanlayıcısını devre dışı bırakma ve devam eden eşitleme olmadığını doğrulama
Microsoft Entra Id'de istenmeyen değişikliklerin dışarı aktarılmasını önlemek için, eşitleme kurallarını güncelleştirmenin ortasındayken eşitleme yapılmadığından emin olun. Yerleşik eşitleme zamanlayıcısını devre dışı bırakmak için:
- Microsoft Entra Bağlan sunucusunda bir PowerShell oturumu başlatın.
- cmdlet'ini
Set-ADSyncScheduler -SyncCycleEnabled $false
çalıştırarak zamanlanmış eşitlemeyi devre dışı bırakın. - Eşitleme Hizmeti'ni Başlat'a>giderek Eşitleme Hizmeti Yöneticisi'ni açın.
- İşlemler sekmesine gidin ve devam ediyor durumunda bir işlem olmadığını onaylayın.
2. Adım: Kaynak özniteliği şirket içi AD Bağlan veya şemasına ekleme
Tüm Microsoft Entra öznitelikleri şirket içi AD Bağlan veya Ara Çubuğu'na aktarılmaz. İçeri aktarılan öznitelikler listesine kaynak özniteliğini eklemek için:
- Eşitleme Hizmeti Yöneticisi'nde Bağlan orlar sekmesine gidin.
- Şirket içi AD Bağlan sağ tıklayın ve Özellikler'i seçin.
- Açılan iletişim kutusunda Öznitelikleri Seç sekmesine gidin.
- Kaynak özniteliğin öznitelik listesinde işaretli olduğundan emin olun.
- Kaydetmek için Tamam'a tıklayın.
3. Adım: UserType özniteliğini Microsoft Entra Bağlan or şemasına ekleme
Varsayılan olarak, UserType özniteliği Microsoft Entra Bağlan Space'e aktarılmaz. UserType özniteliğini içeri aktarılan öznitelikler listesine eklemek için:
- Eşitleme Hizmeti Yöneticisi'nde Bağlan orlar sekmesine gidin.
- Microsoft Entra Bağlan veya Özellikler'i seçin.
- Açılan iletişim kutusunda Öznitelikleri Seç sekmesine gidin.
- UserType özniteliğinin öznitelik listesinde denetlendiğinden emin olun.
- Kaydetmek için Tamam'a tıklayın.
4. Adım: Öznitelik değerinin şirket içi Active Directory akışı için bir gelen eşitleme kuralı oluşturma
Gelen eşitleme kuralı, öznitelik değerinin kaynak özniteliğinden şirket içi Active Directory meta veri deposuna akmasını sağlar:
Eşitleme Kuralları Düzenleyicisi'ni açmak için Eşitleme Kuralları Düzenleyicisi'ni başlatın>.
Arama filtresi Yönü'nü Gelen olarak ayarlayın.
Yeni bir gelen kuralı oluşturmak için Yeni kural ekle düğmesine tıklayın.
Açıklama sekmesinin altında aşağıdaki yapılandırmayı sağlayın:
Öznitelik Değer Ayrıntılar Veri Akışı Adı Bir ad belirtin Örneğin, IN from AD – User UserType Açıklama Açıklama girin Bağlan Sistem Şirket içi AD bağlayıcısını seçin Bağlan Sistem Nesne Türü Kullanıcı Meta Veri Deposu Nesne Türü Kişi Bağlantı Türü Join Öncelik 1-99 arasında bir sayı seçin 1-99, özel eşitleme kuralları için ayrılmıştır. Başka bir eşitleme kuralı tarafından kullanılan bir değer seçmeyin. Kapsam filtresi sekmesine gidin ve aşağıdaki yan tümcesine sahip tek bir kapsam filtresi grubu ekleyin:
Öznitelik İşleç Değer adminDescription NOTSTARTWITH Kullanıcı_ Kapsam filtresi, bu gelen eşitleme kuralının hangi şirket içi AD nesnelerine uygulanacağını belirler. Bu örnekte, Microsoft Entra kullanıcı geri yazma özelliği aracılığıyla oluşturulan Kullanıcı nesnelerine eşitleme kuralının uygulanmasını engelleyen AD'den Gelen – Kullanıcı Ortak kullanıma sunulan eşitleme kuralında kullanılan kapsam filtresinin aynısını kullanırız. Kapsam filtresini Microsoft Entra Bağlan dağıtımınıza göre değiştirmeniz gerekebilir.
Dönüştürme sekmesine gidin ve istediğiniz dönüştürme kuralını uygulayın. Örneğin, UserType için kaynak öznitelik olarak kullanılmayan bir şirket içi AD özniteliği (extensionAttribute1 gibi) belirlediyseniz, doğrudan bir öznitelik akışı uygulayabilirsiniz:
Akış türü Hedef öznitelik Source Bir kez uygula Birleştirme türü Direct UserType extensionAttribute1 İşaretlemeyin Güncelleştir Başka bir örnekte UserType özniteliğinin değerini diğer özelliklerden türetmek istiyorsunuz. Örneğin, şirket içi AD userPrincipalName öznitelikleri @partners.fabrikam123.org etki alanı bölümüyle bitiyorsa tüm kullanıcıları Konuk olarak eşitlemek istiyorsunuz. Aşağıdaki gibi bir ifade uygulayabilirsiniz:
Akış türü Hedef öznitelik Source Bir kez uygula Birleştirme türü Expression UserType IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName userType'ı belirlemek için mevcut değil")) İşaretlemeyin Güncelleştir Gelen kuralını oluşturmak için Ekle'ye tıklayın.
5. Adım: Öznitelik değerini Microsoft Entra Id'ye akıtmak için giden eşitleme kuralı oluşturma
Giden eşitleme kuralı, öznitelik değerinin metaveriden Microsoft Entra Id içindeki UserType özniteliğine akmasını sağlar:
Eşitleme Kuralları Düzenleyicisi'ne gidin.
Arama filtresi Yönü'nü Giden olarak ayarlayın.
Yeni kural ekle düğmesine tıklayın.
Açıklama sekmesinin altında aşağıdaki yapılandırmayı sağlayın:
Öznitelik Değer Ayrıntılar Veri Akışı Adı Bir ad belirtin Örneğin, Out to Microsoft Entra ID – User UserType Açıklama Açıklama girin Bağlan Sistem Microsoft Entra bağlayıcısını seçin Bağlan Sistem Nesne Türü Kullanıcı Meta Veri Deposu Nesne Türü Kişi Bağlantı Türü Join Öncelik 1-99 arasında bir sayı seçin 1-99, özel eşitleme kuralları için ayrılmıştır. Başka bir eşitleme kuralı tarafından kullanılan bir değer seçmeyin. Kapsam filtresi sekmesine gidin ve iki yan tümcesi olan tek bir kapsam filtresi grubu ekleyin:
Öznitelik İşleç Değer sourceObjectType EŞİT User cloudMastered NOTEQUAL True Kapsam filtresi, bu giden eşitleme kuralının hangi Microsoft Entra nesnelerine uygulanacağını belirler. Bu örnekte, İlk ad - Kullanıcı Kimliği ilk çalıştırma eşitleme kuralından aynı kapsam filtresi kullanılır. Eşitleme kuralının şirket içi Active Directory eşitlenmemiş Kullanıcı nesnelerine uygulanmasını engeller. Kapsam filtresini Microsoft Entra Bağlan dağıtımınıza göre değiştirmeniz gerekebilir.
Dönüştürme sekmesine gidin ve aşağıdaki dönüştürme kuralını uygulayın:
Akış türü Hedef öznitelik Source Bir kez uygula Birleştirme türü Direct UserType UserType İşaretlemeyin Güncelleştir Giden kuralını oluşturmak için Ekle'ye tıklayın.
6. Adım: Tam eşitleme döngüsü çalıştırma
Genel olarak, hem Active Directory hem de Microsoft Entra Bağlan veya şemalarına yeni öznitelikler eklediğimiz ve özel eşitleme kuralları sunduğumuz için tam eşitleme döngüsü gereklidir. Değişiklikleri Microsoft Entra Id'ye aktarmadan önce doğrulamak istiyorsunuz.
Tam eşitleme döngüsünü oluşturan adımları el ile çalıştırırken değişiklikleri doğrulamak için aşağıdaki adımları kullanabilirsiniz.
Şirket içi AD Bağlan veya tam içeri aktarmayı çalıştırın:
Eşitleme Hizmeti Yöneticisi'nde Bağlan orlar sekmesine gidin.
Şirket içi AD Bağlan sağ tıklayın ve Çalıştır'ı seçin.
Açılır iletişim kutusunda Tam İçeri Aktar'ı seçin ve tamam'a tıklayın.
İşlemin bitmesini bekleyin.
Not
Şirket içi AD Bağlan veya kaynak öznitelik içeri aktarılan öznitelikler listesine zaten eklenmişse, tam içeri aktarmayı atlayabilirsiniz. Başka bir deyişle, 2. Adım: Kaynak özniteliği şirket içi AD Bağlan veya şemasına ekleme sırasında herhangi bir değişiklik yapmanız gerekmezdi.
Microsoft Entra Bağlan or üzerinde Tam içeri aktarma çalıştırın:
- Microsoft Entra Bağlan veya Çalıştır'ı seçin.
- Açılır iletişim kutusunda Tam İçeri Aktar'ı seçin ve tamam'a tıklayın.
- İşlemin bitmesini bekleyin.
Var olan bir Kullanıcı nesnesinde eşitleme kuralı değişikliklerini doğrulayın:
şirket içi Active Directory kaynak özniteliği ve Microsoft Entra Id'den UserType, ilgili Bağlan veya Boşluklar'a aktarılmıştır. Tam eşitlemeye devam etmeden önce, şirket içi AD Bağlan veya Alanı'ndaki mevcut bir Kullanıcı nesnesinde Önizleme yapın. Seçtiğiniz nesnenin kaynak özniteliği doldurulmuş olmalıdır.
Meta veri kümesinde UserType doldurulan başarılı bir Önizleme , eşitleme kurallarını doğru yapılandırdığınıza ilişkin iyi bir göstergedir. Önizleme yapma hakkında bilgi için Değişikliği doğrulama bölümüne bakın.
Şirket içi AD Bağlan veya tam eşitleme çalıştırın:
- Şirket içi AD Bağlan sağ tıklayın ve Çalıştır'ı seçin.
- Açılır iletişim kutusunda Tam Eşitleme'yi seçin ve tamam'a tıklayın.
- İşlemin bitmesini bekleyin.
Microsoft Entra Id'ye Bekleyen Dışarı Aktarmaları Doğrula:
Microsoft Entra Bağlan veya Ara Bağlan veya Boşluk'u seçin.
Ara Bağlan veya Ara açılır iletişim kutusunda:
- Kapsamı Bekleyen Dışarı Aktarma olarak ayarlayın.
- Üç onay kutusunu da seçin: Ekle, Değiştir ve Sil.
- Dışarı aktarılacak değişikliklerin yer aldığı nesnelerin listesini almak için Ara düğmesine tıklayın. Belirli bir nesnenin değişikliklerini incelemek için nesneye çift tıklayın.
- Değişikliklerin beklendiğini doğrulayın.
Microsoft Entra Bağlan or üzerinde Dışarı Aktar'ı çalıştırın:
- Microsoft Entra Bağlan veya Çalıştır'ı seçin.
- Bağlan or çalıştır açılır iletişim kutusunda Dışarı Aktar'ı seçin ve tamam'a tıklayın.
- Microsoft Entra Id'ye dışarı aktarma işleminin tamamlanmasını bekleyin.
Not
Bu adımlar, Microsoft Entra Bağlan or'da tam eşitleme ve dışarı aktarma adımlarını içermez. Öznitelik değerleri şirket içi Active Directory'den Microsoft Entra-only'ya aktığı için bu adımlar gerekli değildir.
7. Adım: Eşitleme zamanlayıcısını yeniden etkinleştirme
Yerleşik eşitleme zamanlayıcısını yeniden etkinleştirin:
- PowerShell oturumu başlatın.
- cmdlet'ini
Set-ADSyncScheduler -SyncCycleEnabled $true
çalıştırarak zamanlanmış eşitlemeyi yeniden etkinleştirin.
Sonraki adımlar
- Bildirim temelli sağlamayı anlama bölümünde yapılandırma modeli hakkında daha fazla bilgi edinin.
- Bildirim Temelli Sağlama İfadelerini Anlama bölümünde ifade dili hakkında daha fazla bilgi edinin.
Genel bakış konuları