Microsoft Entra Connect 的同步處理功能有兩個元件:
本主題說明 Microsoft Entra Connect 同步服務的下列功能如何運作,以及如何使用 PowerShell 進行設定。
若要使用 Graph PowerShell 查看 Microsoft Entra 目錄中的設定,請使用下列命令:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
結果看起來會類似以下的輸出:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
注意
從 2016 年 8 月 24 日起,新的 Microsoft Entra 目錄預設會啟用「重複屬性恢復功能」。 此功能已在此日期之前建立的目錄上推出並啟用。 當您的目錄即將啟用此功能時,您會收到電子郵件通知。
下列設定會在 Microsoft Entra Connect 中設定:
| DirSyncFeature | 註解 |
|---|---|
| SoftMatchOnUpn | 不只主要 SMTP 位址,還允許物件聯結 userPrincipalName。 |
| SynchronizeUpnForManagedUsers | 允許同步處理引擎更新 managed/licensed(非不合格)使用者的 userPrincipalName 屬性。 |
| DeviceWriteback | Microsoft Entra Connect:啟用裝置回寫 |
| DirectoryExtensions | Microsoft Entra Connect 目錄擴充 |
|
DuplicateProxyAddressResiliency DuplicateUPNResiliency |
若屬性是另一個物件的複本,則允許對該屬性進行隔離,而不會在匯出期間無法匯出整個物件。 |
| 密碼雜湊同步處理 | 實作與 Microsoft Entra Connect 同步的密碼雜湊同步 |
| 密碼回寫 | 不支援。 此服務功能已停止。 若要設定密碼回寫,請參閱 Microsoft在 Entra Connect 中啟用密碼回寫 |
| 傳遞驗證 | 使用 Microsoft Entra 傳遞驗證來進行使用者登入 |
| UnifiedGroupWriteback | 群組回寫 |
| UserWriteback | 目前不支援。 |
複製的屬性不是無法布建具有重複 UPN/proxyAddresses 的物件,而是「隔離」,並指派暫存值。 解決衝突時,會自動將暫時 UPN 變更為適當的值。 如需詳細資訊,請參閱 身分識別同步處理和重複屬性復原。
啟用這項功能後,除了一律啟用的 主要 SMTP 位址以外,還會對 UPN 套用大致比對。 大致比對是用來比對 Microsoft Entra ID 中的現有雲端使用者與內部部署使用者。
如果您需要比對內部部署 AD 帳戶與雲端中已建立的現有帳戶,卻不能使用 Exchange Online,則此功能很有用。 在此案例中,您通常不需要在雲端中設定 SMTP 屬性。
在新建立的 Microsoft Entra 目錄中,預設會開啟這項功能。 您可以執行下列項目,查看是否已啟用此功能︰
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
如果您的 Microsoft Entra 目錄未啟用這項功能,則您可以執行下列內容而加以啟用:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
啟用這項功能會封鎖「大致比對」功能。 建議客戶啟用這項功能,並將其保持在啟用狀態,直到租用戶必須再次進行軟比對為止。 一旦完成任何軟比對或不再需要後,就應該再次啟用此旗標。
範例 - 封鎖租使用者中的軟比對:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
注意
啟用 BlockSoftMatch 時,新的混合式聯結裝置會在軟體比對嘗試期間遇到 InvalidSoftMatch 錯誤。 當從內部部署 Active Directory (AD) 同步的電腦物件與在雲端註冊的新裝置合併時,就會發生這種情況。 若要解決此問題,系統管理員應該暫時停用 BlockSoftMatch,以允許混合式加入繼續進行。
在過去,除非這兩個條件都成立,否則會封鎖使用內部部署同步服務的UserPrincipalName屬性更新:
注意
自 2019 年 3 月起,允許同步處理同盟使用者帳戶的 UPN 變更。
如果啟用這項功能,當內部部署變更 userPrincipalName,而且您使用密碼雜湊同步或傳遞驗證時,同步引擎可以更新此屬性。
在新建立的 Microsoft Entra 目錄中,預設會開啟這項功能。 您可以執行下列項目,查看是否已啟用此功能︰
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
如果您的 Microsoft Entra 目錄未啟用這項功能,則您可以執行下列內容而加以啟用:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
啟用此功能之後,現有的userPrincipalName值會維持 as-is。 在下一次內部部署用戶的 userPrincipalName 屬性變更時,正常的用戶差異同步會更新 UPN。 啟用此功能之後,就無法停用此功能。
訓練
模組
Implement directory synchronization tools - Training
This module examines the Microsoft Entra Connect Sync and Microsoft Entra Cloud Sync installation requirements, the options for installing and configuring the tools, and how to monitor synchronization services using Microsoft Entra Connect Health.
認證
Microsoft Certified: Identity and Access Administrator Associate - Certifications
示範 Microsoft Entra ID 的功能,以現代化身分識別解決方案、實作混合式解決方案,以及實作身分識別治理。
文件
Microsoft Entra Connect Sync:瞭解和自定義同步處理 - Microsoft Entra ID
說明 Microsoft Entra Connect Sync 的運作方式,以及如何自定義。
Microsoft Entra Connect 同步:了解使用者、群組和連絡人 - Microsoft Entra ID
說明 Microsoft Entra Connect Sync 中的使用者、群組和連絡人。
Microsoft Entra Connect 同步處理:了解架構 - Azure - Microsoft Entra ID
本主題描述 Microsoft Entra Connect 同步處理的架構並說明所用的詞彙。