Microsoft Entra Connect Sync 服務功能
Microsoft Entra 連線的同步處理功能有兩個元件:
- 名為 Microsoft Entra 連線 Sync 的內部部署元件,也稱為 同步處理引擎 。
- 位於 Microsoft Entra 識別碼的服務也稱為 Microsoft Entra 連線 Sync 服務
本主題說明 Microsoft Entra 連線 Sync 服務的 下列功能 如何運作,以及如何使用 PowerShell 進行設定。
若要使用 Graph PowerShell 查看 Microsoft Entra 目錄中的組態,請使用下列命令:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
結果看起來像這樣輸出:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
啟用功能之後,就無法再次停用此功能。
注意
從 2016 年 8 月 24 日起,新的 Microsoft Entra 目錄預設會啟用重複屬性復原 功能 。 此功能也會在此日期之前建立的目錄上推出並啟用。 當您的目錄即將啟用此功能時,您會收到電子郵件通知。
Microsoft Entra 連線會設定下列設定:
DirSyncFeature | 註解 |
---|---|
SoftMatchOnUpn | 除了主要 SMTP 位址之外,允許物件加入 userPrincipalName。 |
SynchronizeUpnForManagedUsers | 允許同步處理引擎更新 managed/licensed(非同盟)使用者的 userPrincipalName 屬性。 |
DeviceWriteback | Microsoft Entra 連線:啟用裝置回寫 |
DirectoryExtensions | Microsoft Entra 連線 Sync:目錄延伸模組 |
DuplicateProxyAddressResiliency DuplicateUPNResiliency |
當屬性是另一個物件的複本時,允許隔離屬性,而不是在匯出期間讓整個物件失敗。 |
密碼雜湊同步處理 | 使用 Microsoft Entra 連線 Sync 實作密碼雜湊同步處理 |
傳遞驗證 | 使用 Microsoft Entra 傳遞驗證來進行使用者登入 |
UnifiedGroupWriteback | 群組回寫 |
UserWriteback | 目前不支援。 |
重複的屬性復原
複製的屬性不是無法布建具有重複 UPN/proxyAddresses 的物件,而是「隔離」,並指派暫存值。 解決衝突時,暫時 UPN 會自動變更為適當的值。 如需詳細資訊,請參閱 身分識別同步處理和重複屬性復原 。
UserPrincipalName 軟比對
啟用此功能時,除了 一律啟用的主要 SMTP 位址 之外,也會針對 UPN 啟用軟體比對。 軟體比對可用來比對 Microsoft Entra ID 中的現有雲端使用者與內部部署使用者。
如果您需要比對內部部署 AD 帳戶與在雲端中建立的現有帳戶,而且您不是使用 Exchange Online,則這項功能很有用。 在此案例中,您通常沒有理由在雲端中設定 SMTP 屬性。
這項功能預設為新建立的 Microsoft Entra 目錄開啟。 您可以執行下列命令來查看此功能是否已啟用:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
如果 Microsoft Entra 目錄未啟用此功能,您可以執行下列命令來加以啟用:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
啟用此功能時,它會封鎖軟體比對功能。 建議客戶啟用此功能,並讓其保持啟用狀態,直到租使用者再次需要軟體比對為止。 在任何軟體比對完成且不再需要之後,應該再次啟用此旗標。
範例 - 若要封鎖租使用者中的軟比對,請執行此 Cmdlet:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
同步處理 userPrincipalName 更新
在過去,除非這兩個條件都成立,否則已封鎖使用內部部署同步服務的 UserPrincipalName 屬性更新:
- 使用者受管理(非同盟)。
- 使用者尚未獲指派授權。
注意
自 2019 年 3 月起,允許同步處理同盟使用者帳戶的 UPN 變更。
啟用此功能可讓同步處理引擎在內部部署變更時更新 userPrincipalName,並使用密碼雜湊同步或傳遞驗證。
這項功能預設為新建立的 Microsoft Entra 目錄開啟。 您可以執行下列命令來查看此功能是否已啟用:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
如果 Microsoft Entra 目錄未啟用此功能,您可以執行下列命令來加以啟用:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
啟用此功能之後,現有的 userPrincipalName 值會維持原狀。 在內部部署 userPrincipalName 屬性的下一次變更時,使用者上的一般差異同步將會更新 UPN。