修正 Microsoft Entra Connect 中修改過的預設規則

文章
06/24/2024

Microsoft Entra Connect 會使用預設規則進行同步處理。可惜的是，這些規則不會套用到所有組織。根據您的需求，您可能需要修改這些規則。本文將討論兩個最常見的自訂範例，並說明完成這些自訂的正確方式。

注意

不支援修改現有預設規則來完成所需自訂。這麼做會使這些規則無法在未來版本中更新為最新版本。您將不會收到所需的錯誤 (bug) 修正程式或新功能。本文件將說明如何在不修改現有預設規則的情況下達到相同結果。

如何識別修改過的預設規則

從 Microsoft Entra Connect 1.3.7.0 版開始，您可以輕鬆識別修改過的預設規則。移至桌面上的應用程式，然後選取 [同步規則編輯器]。

Microsoft Entra Connect，醒目提示了同步處理規則編輯器

在編輯器中，任何修改過的預設規則都會在其名稱前顯示警告圖示。

警告圖示

其旁邊也會出現相同名稱的已停用規則 (這是標準的預設規則)。

同步處理規則編輯器，顯示標準預設規則和已修改的預設規則

常見自訂項目

以下是預設規則的常見自訂：

變更屬性流程
變更範圍設定篩選
變更聯結條件

變更任何規則之前：

停用同步排程器。排程器預設會每隔 30 分鐘執行一次。確保在進行變更及對新規則進行疑難排解時排程器未啟動。若要暫時停用排程器，請啟動 PowerShell，然後執行 Set-ADSyncScheduler -SyncCycleEnabled $false。
範圍設定篩選的變更可能會導致目標目錄中的物件遭到刪除。在對物件的範圍進行任何變更之前，請務必小心。建議您先對預備伺服器進行變更，然後再對使用中的伺服器進行變更。
新增規則之後，請在單一物件上執行預覽，如驗證同步規則一節中所述。
新增規則或修改任何自訂同步規則之後，請執行完整同步。此同步會將新規則套用至所有物件。

變更屬性流程

變更屬性流程有三種不同情況：

新增屬性。
覆寫現有屬性的值。
選擇不同步現有的屬性。

您可以在不變更標準預設規則的情況下執行這些動作。

新增屬性

如果您發現某個屬性不是從來源目錄流向目標目錄，請使用 Microsoft Entra Connect 同步：目錄延伸模組來修正此問題。

如果延伸模組無法運作，請嘗試新增兩個新的同步規則，如以下各節所述。

新增輸入同步規則

輸入同步規則表示屬性的來源是連接器空間，而目標是 Metaverse。例如，若要讓新的屬性從內部部署 Active Directory 流向 Microsoft Entra ID，請建立新的輸入同步規則。啟動 [同步規則編輯器]，選取 [輸入] 做為方向，然後選取 [新增規則]。

此螢幕擷取畫面顯示已選取 [輸入] 和 [新增規則] 的 [同步處理規則編輯器]。

遵循您自己的命名慣例來命名規則。在這裡，我們會使用 Custom In from AD - User。這表示規則是自訂規則，而且是從 Active Directory 連接器空間流向 Metaverse 的輸入規則。

建立傳入同步規則

提供規則的描述，讓未來的規則維護工作變得簡單。例如，描述可以依據規則的目標，以及需要該規則的原因。

針對 [已連線系統]、[已連線系統物件類型] 和 [Metaverse 物件類型 ] 欄位進行選取。

指定從 0 到 99 的優先順序值 (數字愈低，優先順序愈高)。針對 [標記]、[啟用密碼同步] 和 [已停用] 欄位，請使用預設選項。

將 [範圍設定篩選] 保留空白。這表示規則會套用至 Active Directory 已連線系統和 Metaverse 之間聯結的所有物件。

將 [聯結規則] 保留空白。這表示此規則會使用標準預設規則中所定義的聯結條件。這是不停用或刪除標準預設規則的另一個原因。如果沒有聯結條件，屬性將不會流動。

為您的屬性新增適當的轉換。您可以指派常數，使常數值流向目標屬性。您可以使用來源或目標屬性之間的直接對應。或者，您可以使用屬性的運算式。以下是您可以使用的各種運算式函式。

新增輸出同步規則

若要將屬性連結至目標目錄，您必須建立輸出規則。這表示來源為 Metaverse，而目標是已連線系統。若要建立輸出規則，請啟動 [同步規則編輯器]，將 [方向] 變更為 [輸出]，然後選取 [新增規則]。

同步規則編輯器

如同輸入規則，您可以使用自己的命名慣例來命名規則。選取 [已連線系統] 作為 Microsoft Entra 租用戶，然後選取您要對其設定屬性值的已連線系統物件。設定 0 到 99 之間的優先順序。

建立傳出同步規則

讓 [範圍設定篩選] 和 [聯結規則] 保留空白。在轉換中填入常數、直接或運算式。

您現在知道如何讓使用者物件的新屬性從 Active Directory 流向 Microsoft Entra ID。您可以使用這些步驟，將任何物件的任何屬性對應到來源和目標。如需詳細資訊，請參閱建立自訂同步規則和準備佈建使用者。

覆寫現有屬性的值

您可能會想要覆寫已對應的屬性值。例如，如果您想一律將 Microsoft Entra ID 中的某個屬性設定為 Null 值，只要建立輸入規則即可。使運算式值 AuthoritativeNull 流向目標屬性。

注意

在此案例中，請使用 AuthoritativeNull，而不是 Null。這是因為非 Null 值會取代 Null 值，即使其優先順序較低 (規則中的數字值較高) 也是如此。另一方面，其他規則並不會以非 Null 值取代 AuthoritativeNull。

不要同步現有屬性

如果您想要從同步中排除某個屬性，請使用 Microsoft Entra Connect 中提供的屬性篩選功能。從桌面圖示啟動 Microsoft Entra Connect，然後選取 [自訂同步選項]。

Microsoft Entra Connect 的其他工作選項

確定已選取 [Microsoft Entra 應用程式和屬性篩選]，然後選取 [下一步]。

Microsoft Entra Connect 的選用功能

清除您要從同步中排除的屬性。

Microsoft Entra Connect 屬性

變更範圍設定篩選

Azure AD 同步負責處理大部分的物件。您可以在不變更標準預設同步規則的情況下，縮小物件的範圍，並減少要匯出的物件數目。

您可以使用下列其中一種方法來縮小您要同步的物件範圍：

cloudFiltered 屬性
組織單位篩選

如果您縮小要同步的使用者範圍，密碼雜湊同步也會因為篩選出的使用者而停止。如果物件已在同步中，則在您縮小範圍之後，篩選出的使用者會從目標目錄中刪除。基於這個理由，請務必謹慎地界定範圍。

重要

不建議增加 Microsoft Entra Connect 所設定的物件範圍。這麼做會讓 Microsoft 支援小組難以了解自訂項目。如果您必須增加物件的範圍，請編輯現有的規則、將其複製，然後停用原始規則。

cloudFiltered 屬性

您無法在 Active Directory 中設定此屬性。請藉由新增輸入規則來設定此屬性的值。然後，您可以使用轉換和運算式在 Metaverse 中設定此屬性。下列範例顯示您不想要同步其部門名稱以 HRD 開頭的所有使用者 (不區分大小寫)：

cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)

我們已先將來源 (Active Directory) 中的部門轉換為小寫。然後，使用函式時，我們只會使用 Left 前三個字元，並將其與 hrd 進行比較。如果相符，則會將值設為 True，否則的話會設為 NULL。在將值設定為 Null 時，其他具有較低優先順序 (數字較高) 的規則可以用不同的條件來寫入該屬性。在一個物件上執行預覽以驗證同步規則，如驗證同步規則一節中所述。

建立輸入同步處理規則選項

組織單位篩選

您可以建立一個或多個組織單位 (OU)，並將您不想要同步的物件移至這些 OU。然後，在 Microsoft Entra Connect 中設定 OU 篩選。從桌面圖示啟動 Microsoft Entra Connect，然後選取下列選項。您也可以在安裝 Microsoft Entra Connect 時，設定 OU 篩選。

Microsoft Entra Connect 的其他工作