Microsoft Entra Connect Sync 服務功能
Microsoft Entra Connect 的同步處理功能有兩個元件:
- 名為 Microsoft Entra Connect 同步的內部部署元件,也稱為同步處理引擎。
- 位於 Microsoft Entra ID 的服務也稱為 Microsoft Entra Connect 同步服務
本主題說明 Microsoft Entra Connect 同步服務的下列功能如何運作,以及如何使用 PowerShell 進行設定。
若要使用 Graph PowerShell 查看 Microsoft Entra 目錄中的設定,請使用下列命令:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
結果看起來會類似以下的輸出:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
注意
從 2016 年 8 月 24 日起,新的 Microsoft Entra 目錄預設會啟用「重複屬性恢復功能」。 這項功能也會在此日期前建立的目錄上推出和啟用。 當您的目錄即將啟用此功能時,您會收到電子郵件通知。
下列設定會在 Microsoft Entra Connect 中設定:
| DirSyncFeature | 註解 |
|---|---|
| SoftMatchOnUpn | 不只主要 SMTP 位址,還允許物件聯結 userPrincipalName。 |
| SynchronizeUpnForManagedUsers | 允許同步處理引擎更新 managed/licensed(非不合格)使用者的 userPrincipalName 屬性。 |
| DeviceWriteback | Microsoft Entra Connect:啟用裝置回寫 |
| DirectoryExtensions | Microsoft Entra Connect 目錄擴充 |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
若屬性是另一個物件的複本,則允許對該屬性進行隔離,而不會在匯出期間無法匯出整個物件。 |
| 密碼雜湊同步處理 | 實作與 Microsoft Entra Connect 同步的密碼雜湊同步 |
| 密碼回寫 | 不支援。 此服務功能已停止。 若要設定密碼回寫,請參閱 Microsoft在 Entra Connect 中啟用密碼回寫 |
| 傳遞驗證 | 使用 Microsoft Entra 傳遞驗證來進行使用者登入 |
| UnifiedGroupWriteback | 群組回寫 |
| UserWriteback | 目前不支援。 |
重複屬性恢復功能
複製的屬性不是無法布建具有重複 UPN/proxyAddresses 的物件,而是「隔離」,並指派暫存值。 解決衝突時,會自動將暫時 UPN 變更為適當的值。 如需詳細資訊,請參閱 身分識別同步處理和重複屬性復原。
UserPrincipalName 大致比對
啟用這項功能後,除了一律啟用的 主要 SMTP 位址以外,還會對 UPN 套用大致比對。 大致比對是用來比對 Microsoft Entra ID 中的現有雲端使用者與內部部署使用者。
如果您需要比對內部部署 AD 帳戶與雲端中已建立的現有帳戶,卻不能使用 Exchange Online,則此功能很有用。 在此案例中,您通常不需要在雲端中設定 SMTP 屬性。
在新建立的 Microsoft Entra 目錄中,預設會開啟這項功能。 您可以執行下列項目,查看是否已啟用此功能︰
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
如果您的 Microsoft Entra 目錄未啟用這項功能,則您可以執行下列內容而加以啟用:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
啟用這項功能會封鎖「大致比對」功能。 建議客戶啟用這項功能,並將其保持在啟用狀態,直到租用戶必須再次進行軟比對為止。 一旦完成任何軟比對或不再需要後,就應該再次啟用此旗標。
範例 - 封鎖租使用者中的軟比對:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
同步處理 userPrincipalName 更新
在過去,除非這兩個條件都成立,否則會封鎖使用內部部署同步服務的UserPrincipalName屬性更新:
- 使用者受管理(不敗)。
- 使用者未獲指派授權。
注意
自 2019 年 3 月起,允許同步處理同盟使用者帳戶的 UPN 變更。
如果啟用這項功能,當內部部署變更 userPrincipalName,而且您使用密碼雜湊同步或傳遞驗證時,同步引擎可以更新此屬性。
在新建立的 Microsoft Entra 目錄中,預設會開啟這項功能。 您可以執行下列項目,查看是否已啟用此功能︰
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
如果您的 Microsoft Entra 目錄未啟用這項功能,則您可以執行下列內容而加以啟用:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
啟用這項功能之後,現有的 userPrincipalName 值會保持不變。 下次 userPrincipalName 屬性的內部部署變更時,使用者的一般差異同步處理即會更新 UPN。 啟用此功能之後,就無法停用此功能。
另請參閱
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: