Aracılığıyla paylaş


Microsoft Entra Bağlan'da değiştirilen varsayılan kuralları düzeltme

Microsoft Entra Bağlan eşitleme için varsayılan kuralları kullanır. Ne yazık ki bu kurallar tüm kuruluşlar için evrensel olarak geçerli değildir. Gereksinimlerinize göre bunları değiştirmeniz gerekebilir. Bu makalede, en yaygın özelleştirmelerin iki örneği ele alınmaktadır ve bu özelleştirmeleri başarmak için doğru yol açıklanmaktadır.

Dekont

Gerekli bir özelleştirmeye ulaşmak için mevcut varsayılan kuralların değiştirilmesi desteklenmez. Bunu yaparsanız, bu kuralların gelecek sürümlerde en son sürüme güncelleştirilmesini engeller. İhtiyacınız olan hata düzeltmelerini veya yeni özellikleri almazsınız. Bu belgede, var olan varsayılan kuralları değiştirmeden aynı sonucun nasıl elde edilileceği açıklanmaktadır.

Değiştirilen varsayılan kuralları tanımlama

Microsoft Entra Bağlan'nin 1.3.7.0 sürümünden başlayarak, değiştirilen varsayılan kuralı kolayca belirleyebilirsiniz. Masaüstünde Uygulamalar'a gidin ve Eşitleme Kuralları Düzenleyicisi'ni seçin.

Microsoft Entra Connect, with Synchronization Rules Editor highlighted

Düzenleyici'de, değiştirilen varsayılan kurallar adın önünde bir uyarı simgesiyle gösterilir.

Warning icon

Yanında aynı ada sahip devre dışı bırakılmış bir kural da görünür (bu, standart varsayılan kuraldır).

Synchronization Rules Editor, showing standard default rule and modified default rule

Yaygın özelleştirmeler

Varsayılan kurallarda yaygın özelleştirmeler şunlardır:

  • Öznitelik akışını değiştirme
  • Kapsam filtresini değiştirme
  • Birleştirme koşulunu değiştirme

Kuralları değiştirmeden önce:

  • Eşitleme zamanlayıcısını devre dışı bırakın. Zamanlayıcı varsayılan olarak her 30 dakikada bir çalışır. Değişiklik yaparken ve yeni kurallarınızla ilgili sorunları giderirken başlamadığından emin olun. Zamanlayıcıyı geçici olarak devre dışı bırakmak için PowerShell'i başlatın ve çalıştırın Set-ADSyncScheduler -SyncCycleEnabled $false. PowerShell commands to disable the sync scheduler

  • Kapsam filtresindeki değişiklik, hedef dizindeki nesnelerin silinmesine neden olabilir. Nesnelerin kapsamını değiştirmeden önce dikkatli olun. Etkin sunucuda değişiklik yapmadan önce bir hazırlama sunucusunda değişiklik yapmanızı öneririz.

  • Yeni bir kural ekledikten sonra Eşitleme Kuralını Doğrula bölümünde belirtildiği gibi tek bir nesne üzerinde önizleme çalıştırın.

  • Yeni bir kural ekledikten veya herhangi bir özel eşitleme kuralını değiştirdikten sonra tam eşitlemeyi çalıştırın. Bu eşitleme tüm nesnelere yeni kurallar uygular.

Öznitelik akışını değiştirme

Öznitelik akışını değiştirmek için üç farklı senaryo vardır:

  • Yeni bir öznitelik ekleniyor.
  • Mevcut bir özniteliğin değerini geçersiz kılma.
  • Mevcut bir özniteliği eşitlememek için seçme.

Standart varsayılan kuralları değiştirmeden bunları yapabilirsiniz.

Yeni öznitelik ekleme

Bir özniteliğin kaynak dizininizden hedef dizine akmadığını fark ederseniz, bunu düzeltmek için Microsoft Entra Bağlan Sync: Dizin uzantılarını kullanın.

Uzantılar işinize yaramazsa, aşağıdaki bölümlerde açıklanan iki yeni eşitleme kuralı eklemeyi deneyin.

Gelen eşitleme kuralı ekleme

Gelen eşitleme kuralı, özniteliğin kaynağının bir bağlayıcı alanı ve hedef ise meta veri kümesi olduğu anlamına gelir. Örneğin, şirket içi Active Directory'dan Microsoft Entra Id'ye yeni bir öznitelik akışına sahip olmak için yeni bir gelen eşitleme kuralı oluşturun. Eşitleme Kuralları Düzenleyicisi'ni başlatın, yön olarak Gelen'i seçin ve Yeni kural ekle'yi seçin.

Screenshot that shows the

Kuralı adlandırmak için kendi adlandırma kuralınızı izleyin. Burada AD - Kullanıcı'dan Özel Gelen'i kullanacağız. Bu, kuralın özel bir kural olduğu ve Active Directory bağlayıcı alanından meta veri kümesine gelen bir kural olduğu anlamına gelir.

Create inbound synchronization rule

Kuralın gelecekteki bakımının kolay olması için kuralın kendi açıklamasını sağlayın. Örneğin, açıklama kuralın amacını ve neden gerekli olduğunu temel alabilir.

Bağlan Sistem, Bağlan Sistem Nesne Türü ve MetaVerse Nesne Türü alanları için seçimlerinizi yapın.

0 ile 99 arasında öncelik değerini belirtin (sayı ne kadar düşükse öncelik de o kadar yüksek olur). Etiket, Parola Eşitlemeyi Etkinleştir ve Devre Dışı alanları için varsayılan seçimleri kullanın.

Kapsam belirleme filtresini boş tutun. Bu, kuralın Active Directory Bağlan sistem ile meta veri deposu arasında birleştirilen tüm nesneler için geçerli olduğu anlamına gelir.

Birleştirme kurallarını boş tutun. Bu, bu kuralın standart varsayılan kuralda tanımlanan birleştirme koşulunu kullandığı anlamına gelir. Bu, standart varsayılan kuralı devre dışı bırakmamak veya silmemek için başka bir nedendir. Birleştirme koşulu yoksa öznitelik akışı yapılmaz.

Özniteliğiniz için uygun dönüştürmeleri ekleyin. Hedef özniteliğinize sabit değer akışı yapmak için bir sabit atayabilirsiniz. Kaynak veya hedef özniteliği arasında doğrudan eşlemeyi kullanabilirsiniz. Veya özniteliği için bir ifade kullanabilirsiniz. Kullanabileceğiniz çeşitli ifade işlevleri aşağıdadır.

Giden eşitleme kuralı ekleme

Özniteliği hedef dizine bağlamak için bir giden kuralı oluşturmanız gerekir. Bu, kaynağın meta veri deposu, hedefin ise bağlı sistem olduğu anlamına gelir. Giden kuralı oluşturmak için Eşitleme Kuralları Düzenleyicisi'ni başlatın, Yönü Giden olarak değiştirin ve Yeni kural ekle'yi seçin.

Synchronization Rules Editor

Gelen kuralında olduğu gibi, kuralı adlandırmak için kendi adlandırma kuralınızı kullanabilirsiniz. Bağlan Sistem'i Microsoft Entra kiracısı olarak seçin ve öznitelik değerini ayarlamak istediğiniz bağlı sistem nesnesini seçin. Önceliği 0 ile 99 arasında ayarlayın.

Create outbound synchronization rule

Kapsam belirleme filtresini ve Birleştirme kurallarını boş tutun. Dönüştürmeyi sabit, doğrudan veya ifade olarak doldurun.

Artık Active Directory'den Microsoft Entra Id'ye kullanıcı nesnesi akışı için yeni bir öznitelik oluşturmayı biliyorsunuz. Herhangi bir nesneden kaynak ve hedefe herhangi bir özniteliği eşlemek için bu adımları kullanabilirsiniz. Daha fazla bilgi için bkz . Özel eşitleme kuralları oluşturma ve Kullanıcıları sağlamaya hazırlanma.

Mevcut özniteliğin değerini geçersiz kılma

Zaten eşlenmiş bir özniteliğin değerini geçersiz kılmak isteyebilirsiniz. Örneğin, her zaman Microsoft Entra ID'de bir özniteliğe null değer ayarlamak istiyorsanız, yalnızca gelen kuralı oluşturmanız yeterlidir. ifade değerini AuthoritativeNullhedef özniteliğe akıtın.

Dekont

Bu durumda yerine Null kullanınAuthoritativeNull. Bunun nedeni, null olmayan değerin, daha düşük önceliğe (kuralda daha yüksek bir sayı değeri) sahip olsa bile null değerin yerini almadır. AuthoritativeNulldiğer taraftan, diğer kurallar tarafından null olmayan bir değerle değiştirilmez.

Mevcut özniteliği eşitleme

Bir özniteliği eşitlemenin dışında tutmak istiyorsanız, Microsoft Entra Bağlan'da sağlanan öznitelik filtreleme özelliğini kullanın. Masaüstü simgesinden Microsoft Entra Bağlan başlatın ve eşitleme seçeneklerini özelleştir'i seçin.

Microsoft Entra Connect additional tasks options

Microsoft Entra uygulaması ve öznitelik filtrelemesi'nin seçili olduğundan emin olun ve İleri'yi seçin.

Microsoft Entra Connect optional features

Eşitlemeden dışlamak istediğiniz öznitelikleri temizleyin.

Microsoft Entra Connect attributes

Kapsam filtresini değiştirme

Azure AD Eşitleme nesnelerin çoğuyla ilgilenir. Standart varsayılan eşitleme kurallarını değiştirmeden nesnelerin kapsamını azaltabilir ve dışarı aktarılacak nesne sayısını azaltabilirsiniz.

Eşitlediğiniz nesnelerin kapsamını azaltmak için aşağıdaki yöntemlerden birini kullanın:

  • cloudFiltered özniteliği
  • Kuruluş birimi filtreleme

Eşitlenen kullanıcıların kapsamını azaltırsanız, filtrelenen kullanıcılar için parola karması eşitlemesi de durdurulur. Nesneler zaten eşitleniyorsa, kapsamı azalttığınızda filtrelenen nesneler hedef dizinden silinir. Bu nedenle kapsamı çok dikkatli bir şekilde incelediğinizden emin olun.

Önemli

Microsoft Entra Bağlan tarafından yapılandırılan nesnelerin kapsamının artırılması önerilmez. Bunu yapmak, Microsoft destek ekibinin özelleştirmeleri anlamasını zorlaştırır. Nesnelerin kapsamını artırmanız gerekiyorsa, var olan kuralı düzenleyin, kopyalayın ve özgün kuralı devre dışı bırakın.

cloudFiltered özniteliği

Bu özniteliği Active Directory'de ayarlayamazsınız. Yeni bir gelen kuralı ekleyerek bu özniteliğin değerini ayarlayın. Bu özniteliği meta veri kümesinde ayarlamak için Dönüştürme ve İfade'yi kullanabilirsiniz. Aşağıdaki örnekte, bölüm adı HRD (büyük/küçük harfe duyarsız) ile başlayan tüm kullanıcıları eşitlemek istemediğiniz gösterilmektedir:

cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)

Önce bölümü kaynaktan (Active Directory) küçük harfe dönüştürdük. Ardından işlevini kullanarak Left yalnızca ilk üç karakteri aldık ve ile hrdkarşılaştırdık. Eşleşirse, değeri olarak ayarlanır True, aksi takdirde NULL. Değeri null olarak ayarlarken, daha düşük önceliğe sahip başka bir kural (daha yüksek bir sayı değeri) farklı bir koşulla buna yazabilir. Eşitleme kuralını doğrulama bölümünde belirtildiği gibi, eşitleme kuralını doğrulamak için önizlemeyi tek bir nesnede çalıştırın.

Create inbound synchronization rule options

Kuruluş birimi filtreleme

Bir veya daha fazla kuruluş birimi (OU) oluşturabilir ve eşitlemek istemediğiniz nesneleri bu OU'larla taşıyabilirsiniz. Ardından Microsoft Entra Bağlan'da OU filtrelemesini yapılandırın. Masaüstü simgesinden Microsoft Entra Bağlan başlatın ve aşağıdaki seçenekleri belirleyin. Microsoft Entra Bağlan yüklenirken OU filtrelemesini de yapılandırabilirsiniz.

Microsoft Entra Connect additional tasks

Sihirbazı izleyin ve eşitlemek istemediğiniz OU'ları temizleyin.

Microsoft Entra Connect Domain and OU filtering options

Birleştirme koşulunu değiştirme

Microsoft Entra Bağlan tarafından yapılandırılan varsayılan birleştirme koşullarını kullanın. Varsayılan birleştirme koşullarını değiştirmek, Microsoft desteğinin özelleştirmeleri anlamasını ve ürünü desteklemesini zorlaştırır.

Eşitleme kuralını doğrulama

Tam eşitleme döngüsünü çalıştırmadan önizleme özelliğini kullanarak yeni eklenen eşitleme kuralını doğrulayabilirsiniz. Microsoft Entra Bağlan'da Eşitleme Hizmeti'ne tıklayın.

Microsoft Entra Connect, with Synchronization Service highlighted

Meta Veri Deposu Arama'yı seçin. Kapsam nesnesini kişi olarak seçin, Yan Tümce Ekle'yi seçin ve arama ölçütlerinizden bahsedin. Ardından Ara'yı seçin ve arama sonuçlarında nesneye çift tıklayın. Bu adımı çalıştırmadan önce ormanda içeri aktarma ve eşitleme çalıştırarak Microsoft Entra Bağlan verilerinizin bu nesne için güncel olduğundan emin olun.

Synchronization Service Manager

MetaVerse Nesne Özellikleri'nde Bağlan or'ları seçin, ilgili bağlayıcıdaki (orman) nesneyi seçin ve Özellikler.... öğesini seçin.

Metaverse Object Properties

Önizleme'yi seçin ...

Connector Space Object Properties

Önizleme penceresinde sol bölmede Önizleme Oluştur ve Öznitelik Akışını İçeri Aktar'ı seçin.

Screenshot that shows the

Burada, yeni eklenen kuralın nesne üzerinde çalıştırıldığını ve özniteliğini cloudFiltered true olarak ayarladığını görebilirsiniz.

Preview

Değiştirilen kuralı varsayılan kuralla karşılaştırmak için, her iki kuralı da metin dosyaları olarak ayrı olarak dışarı aktarın. Bu kurallar PowerShell betik dosyası olarak dışarı aktarılır. Değişiklikleri görmek için herhangi bir dosya karşılaştırma aracını (örneğin windiff) kullanarak bunları karşılaştırabilirsiniz.

Değiştirilen kuralda özniteliğin msExchMailboxGuid Doğrudan yerine İfade türüne değiştirildiğine dikkat edin. Ayrıca, değer NULL ve ExecuteOnce seçeneği olarak değiştirilir. Tanımlanan ve Öncelik farklarını yoksayabilirsiniz.

windiff tool output

Kurallarınızı varsayılan ayarlara geri döndürmek üzere düzeltmek için, değiştirilen kuralı silin ve varsayılan kuralı etkinleştirin. Başarmaya çalıştığınız özelleştirmeyi kaybetmediğinizden emin olun. Hazır olduğunuzda Tam Eşitleme'yi çalıştırın.

Sonraki adımlar