Microsoft Entra Connect 的同步處理功能有兩個元件:
- 名為 Microsoft Entra Connect 同步的內部部署元件,也稱為同步處理引擎。
- 位於 Microsoft Entra ID 的服務也稱為 Microsoft Entra Connect Sync 服務
本主題說明 Microsoft Entra Connect 同步服務的下列功能如何運作,以及如何使用 PowerShell 進行設定。
若要使用 Graph PowerShell 查看 Microsoft Entra 目錄中的設定,請使用下列命令:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
結果看起來會類似以下的輸出:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
注意
從 2016 年 8 月 24 日起,新的 Microsoft Entra 目錄預設會啟用「重複屬性恢復功能」。 此功能已在此日期之前建立的目錄上推出並啟用。 當您的目錄即將啟用此功能時,您會收到電子郵件通知。
下列設定會在 Microsoft Entra Connect 中設定:
| DirSync功能 | 註解 |
|---|---|
| SoftMatchOnUpn | 允許物件不僅能夠依據主要的 SMTP 位址還能根據 userPrincipalName 進行聯結。 |
| SynchronizeUpnForManagedUsers(同步管理用戶的UPN) | 允許同步引擎更新已管理/已授權(非聯合)使用者的 userPrincipalName 屬性。 |
| 裝置回寫 (DeviceWriteback) | Microsoft Entra Connect:啟用裝置回寫 |
| 目錄擴展 | Microsoft Entra Connect 同步:目錄擴充功能 |
|
重複代理地址適應性 重複UPN彈性 |
允許在屬性與其他物件重複時進行隔離處理,以避免在匯出過程中導致整個物件匯出失敗。 |
| 密碼雜湊同步處理 | 使用 Microsoft Entra Connect Sync 實作密碼雜湊同步 |
| 密碼回寫 | 不支援。 此服務功能已停止。 若要設定密碼回寫,請參閱 Microsoft在 Entra Connect 中啟用密碼回寫 |
| 直通式驗證 | 使用 Microsoft Entra 直通式驗證進行使用者登入 |
| 統一群組寫回 | 群組回寫 |
| UserWriteback(用戶回寫) | 目前不支援。 |
重複屬性韌性
取而代之的是,當物件具有重複的 UPN 或 proxyAddresses 時,不是布建失敗,而是將重複的屬性「隔離」並指派一個暫時值。 解決衝突時,會自動將暫時 UPN 變更為適當的值。 如需詳細資訊,請參閱 身分識別同步處理和重複屬性復原。
UserPrincipalName 的模糊比對
啟用這項功能後,除了會對 UPN 套用柔性比對之外,主要 SMTP 位址一律會啟用。 軟性比對是用來將 Microsoft Entra ID 中的現有雲端使用者與內部部署使用者進行比對。
如果您需要比對內部部署 AD 帳戶與雲端中已建立的現有帳戶,卻不能使用 Exchange Online,則此功能很有用。 在此案例中,您通常不需要在雲端中設定 SMTP 屬性。
在新建立的 Microsoft Entra 目錄中,預設會開啟這項功能。 您可以執行下列項目,查看是否已啟用此功能︰
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
如果您的 Microsoft Entra 目錄未啟用這項功能,則您可以執行下列內容而加以啟用:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
啟用這項功能會封鎖Soft Match 功能。 建議客戶啟用這項功能,並保持該功能啟用狀態,直到租賃期必須再次進行軟比對為止。 一旦完成任何軟比對並且不再需要後,應再次啟用此旗標。
範例 - 如何在租戶中封鎖模糊比對:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
注意
啟用 BlockSoftMatch 時,新的混合式聯結裝置會在軟體比對嘗試期間遇到 InvalidSoftMatch 錯誤。 當從內部部署 Active Directory 同步到 Entra 的電腦物件與在雲端註冊的新裝置合併時,就會發生這種情況。 若要解決此問題,系統管理員應該暫時停用 BlockSoftMatch,以允許混合式加入繼續進行。
使用者主體名稱的同步更新
在過去,除非這兩個條件都成立,否則會封鎖使用內部部署同步服務的UserPrincipalName屬性更新:
- 使用者受管理(非聯邦式)。
- 使用者未獲指派授權。
注意
自 2019 年 3 月起,允許同步處理同盟使用者帳戶的 UPN 變更。
如果啟用這項功能,當在內部部署中變更 userPrincipalName 並且您使用密碼雜湊同步或是傳輸驗證時,同步引擎可以更新 userPrincipalName。
在新建立的 Microsoft Entra 目錄中,預設會開啟這項功能。 您可以執行下列項目,查看是否已啟用此功能︰
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
如果您的 Microsoft Entra 目錄未啟用這項功能,則您可以執行下列內容而加以啟用:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
啟用此功能之後,現有的userPrincipalName值會維持 as-is。 在下次內部部署環境中用戶的 userPrincipalName 屬性變更時,正常的用戶差異同步將會更新 UPN。 啟用此功能之後,就無法停用此功能。
密碼雜湊同步處理
這項功能可讓同步處理引擎使用密碼哈希同步處理,並由同步處理用戶端自動啟用。
您可以執行下列項目,查看是否已啟用此功能︰
# Connect to Microsoft Graph
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
# Retrieve DirSync service features
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.PasswordSyncEnabled
如果不再需要密碼哈希同步處理,例如,從內部部署 Active Directory 解除委任同步處理之後,您可以使用下列專案來停用它:
# Connect to Microsoft Graph
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
# Disable Password Hash Sync
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.PasswordSyncEnabled = $false
Update-MgDirectoryOnPremiseSynchronization -Features $DirectorySync.Features -OnPremisesDirectorySynchronizationId $DirectorySync.Id
密碼回寫
這個屬性指出是否已啟用從 Microsoft Entra ID 到內部部署 Active Directory 的密碼回寫。
這很重要
這個屬性已不再使用中,而且不支援更新它。