修正 Microsoft Entra Connect 中修改的默認規則

2025-04-09

Microsoft Entra Connect 會使用預設規則進行同步處理。不幸的是，這些規則不適用於所有組織。根據您的需求，您可能需要修改它們。本文討論最常見的自定義兩個範例，並說明達成這些自定義的正確方式。

注意

不支援修改現有的預設規則以達成所需的自定義。如果您這樣做，它可防止在未來版本中將這些規則更新為最新版本。您將無法取得所需的錯誤修正，或新功能。本文件說明如何在不修改現有的默認規則的情況下達到相同的結果。

如何識別修改的默認規則

從 Microsoft Entra Connect 1.3.7.0 版開始，很容易識別修改的默認規則。移至桌面 上的[應用程式]，然後選取 [同步處理規則編輯器]。

Microsoft Entra Connect，其中 [同步處理規則編輯器] 被醒目提示

在編輯器中，任何修改的默認規則會顯示名稱前面有警告圖示。

警告圖示

旁邊有相同名稱的停用規則也會出現（這是標準預設規則）。

同步處理規則編輯器，顯示標準默認規則和修改的預設規則

常見的自訂設置

以下是預設規則的常見自訂：

屬性流變更
變更範圍篩選
變更聯結條件

變更任何規則之前：

停用同步排程器。排程器預設會每隔 30 分鐘執行一次。在您修改並針對新規則進行疑難排解時，確保系統尚未啟動。若要暫時停用排程器，請啟動 PowerShell，然後執行 Set-ADSyncScheduler -SyncCycleEnabled $false。
範圍篩選中的變更可能會導致刪除目標目錄中的物件。在物件範圍中進行任何變更之前，請小心。建議您先對預備伺服器進行變更，再對使用中伺服器進行變更。
執行單一對象的預覽，在新增任何新規則後，如驗證同步規則一節中所述。
新增新規則或修改任何自定義同步處理規則之後，執行完整同步處理。此同步處理會將新規則套用至所有物件。

屬性流變更

有三種不同的情境來變更屬性流程：

新增屬性。
覆寫現有屬性的值。
選擇不同步現有屬性。

您可以執行這些動作，而不需要改變標準默認規則。

新增屬性

如果您發現屬性未從來源目錄流向目標目錄，請使用 Microsoft Entra Connect Sync：目錄延伸模組修正此問題。

如果擴充功能不適用於您，請嘗試新增兩個新的同步處理規則，如下列各節所述。

新增輸入同步處理規則

輸入同步處理規則表示屬性的來源是連接器空間，而目標則是Metaverse。例如，若要讓新的屬性從內部部署 Active Directory 流向 Microsoft Entra ID，請建立新的輸入同步處理規則。啟動 同步規則編輯器，選擇入站作為方向，然後選擇 新增規則。

螢幕快照顯示「同步規則編輯器」中已選取「輸入」和「新增規則」。

請遵循您自己的命名慣例來命名規則。在這裡，我們使用來自 AD - 使用者的自定義 In。這表示規則是自定義規則，而且是從 Active Directory 連接器空間到 Metaverse 的輸入規則。

建立輸入同步處理規則

提供您自己的規則描述，以便日後維護規則很容易。例如，描述可以根據規則的目標以及為何需要該規則來進行。

針對 連線系統、連線系統物件類型，以及 Metaverse 物件類型 字段進行選取。

指定從 0 到 99 的優先順序值（數位越低，優先順序越高）。針對 [標籤]，[啟用密碼同步] 和 [停用] 字段，請使用預設選項。

保留 範圍篩選 空白。這表示規則會套用至 Active Directory 連線系統與 Metaverse 之間聯結的所有物件。

請將 聯結規則 保持空白。這表示此規則會使用標準預設規則中定義的聯結條件。這是不停用或刪除標準預設規則的另一個原因。如果沒有聯結條件，屬性就不會流動。

為您的屬性添加適當的轉換。您可以指派常數，讓常數值流向目標屬性。您可以對來源屬性或目標屬性進行直接映射。您可以用表達式來描述屬性。以下是您可以使用的各種表示式函式。

新增輸出同步處理規則

若要將屬性連結至目標目錄，您必須建立輸出規則。這表示來源是 Metaverse，而目標則是連接的系統。若要建立輸出規則，請啟動 同步處理規則編輯器，將方向變更為輸出，然後選取 [[新增規則]。

同步處理規則編輯器

如同輸入規則，您可以使用自己的命名慣例來命名規則。選取 連線系統 做為Microsoft Entra 租使用者，然後選取您要設定屬性值的連線系統物件。設定從 0 到 99 的優先順序。

建立輸出同步處理規則

保留 範圍篩選 和 聯結規則 空白。請將轉換填寫為常數、直接量或表達式。

您現在了解如何讓使用者物件的新屬性從 Active Directory 流向 Microsoft Entra ID。您可以使用這些步驟，將任何物件的任何屬性對應至來源和目標。如需詳細資訊，請參閱建立自訂同步處理規則和準備布建使用者。

覆寫現有屬性的值

您可能想要將已經對應的屬性值進行覆寫。例如，如果您一律想要將 null 值設定為 Microsoft Entra ID 中的屬性，只要只建立輸入規則即可。讓表達式值 AuthoritativeNull流向目標屬性。

注意

在此情況下，請使用 AuthoritativeNull，而不是 Null。這是因為非 Null 值會取代 Null 值，即使其優先順序較低（規則中的數位值較高）。另一方面，AuthoritativeNull沒有被其他規則替換為非 Null 值。

不要同步現有的屬性

如果您想要從同步處理中排除屬性，請使用 Microsoft Entra Connect 中提供的屬性篩選功能。從桌面圖示啟動 Microsoft Entra Connect，然後選取 [[自定義同步處理選項]。

Microsoft Entra Connect 其他工作選項

確定已選取 Microsoft Entra 應用程式和屬性篩選，然後選取 [下一步]。

Microsoft Entra Connect 選用功能

清除您想要從同步處理中排除的屬性。

Microsoft Entra Connect 屬性

變更範圍篩選

Azure AD Sync 會處理大部分的物件。您可以減少物件的範圍，並減少要導出的物件數目，而不需要變更標準預設同步處理規則。

使用下列其中一種方法來減少您要同步的物件範圍：

cloudFiltered 屬性
組織單位篩選

如果您減少同步處理的使用者範圍，密碼哈希同步處理也會針對篩選出的使用者停止。如果對象已經同步處理，請在縮減範圍之後，從目標目錄刪除篩選出的物件。基於這個理由，請確保您非常謹慎地劃定範疇。

重要

不建議增加 Microsoft Entra Connect 所設定的物件範圍。這麼做會使 Microsoft 支援小組難以了解客製化內容。如果您必須增加物件的範圍，請編輯現有的規則、複製它，以及停用原始規則。

cloudFiltered 屬性

您無法在 Active Directory 中設定此屬性。加入新的輸入規則，以設定此屬性的值。然後，您可以使用轉換和 Expression，在 metaverse 中設定此屬性。下列範例顯示您不希望同步部門名稱開頭為 HRD 的所有用戶（不區分大小寫）：

cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)

我們先將部門從來源（Active Directory）轉換成小寫。然後，使用 Left 函式，我們只採用前三個字元，並將它與 hrd進行比較。如果相符，則值會設定為 True，否則 NULL。在將值設定為 null 時，某些優先順序較低的其他規則（數位值較高）可以以不同的條件寫入它。在一個物件上執行預覽以驗證同步處理規則，如驗證同步處理規則一節中所述。

建立輸入同步處理規則選項

組織單位篩選

您可以建立一或多個組織單位（OU），並將您不想同步的物件移至這些 OU。然後，在 Microsoft Entra Connect 中設定 OU 篩選。從桌面圖示啟動 Microsoft Entra Connect，然後選取下列選項。您也可以在安裝 Microsoft Entra Connect 時設定 OU 篩選。

Microsoft Entra Connect 其他工作

遵循精靈，並清除您不想同步的 OU。

Microsoft Entra Connect 網域和 OU 篩選選項

變更聯結條件

使用 Microsoft Entra Connect 所設定的預設聯結條件。變更預設聯結條件會使Microsoft支援難以了解產品的自定義和支援。

驗證同步規則

您可以使用預覽功能來驗證新新增的同步處理規則，而不需執行完整同步處理週期。在 [Microsoft Entra Connect] 中，選取 同步處理服務。

Microsoft Entra Connect，並將同步處理服務顯示為醒目

選擇 Metaverse 搜尋。選取範圍對象作為人員，選取 [新增子句]，並提及您的搜尋準則。接下來，選取 [搜尋]，然後按兩下搜尋結果中的物件。在執行此步驟之前，請確定您在 Microsoft Entra Connect 中的數據是該物件的 up-to-date。在樹系上執行匯入和同步處理。

同步服務管理器