Sdílet prostřednictvím

Microsoft Entra Connect Sync: Proveďte změnu výchozí konfigurace

  • Článek

Účelem tohoto článku je provést změny výchozí konfigurace v Microsoft Entra Connect Sync. Obsahuje kroky pro některé běžné scénáře. S těmito znalostmi byste měli být schopni provádět jednoduché změny vlastní konfigurace na základě vlastních obchodních pravidel.

Varování

Pokud provedete změny výchozích předdefinovaných pravidel synchronizace, tyto změny se přepíšou při příští aktualizaci služby Microsoft Entra Connect, což vede k neočekávaným a pravděpodobně nežádoucím výsledkům synchronizace.

Výchozí standardní pravidla synchronizace mají kryptografický otisk. Pokud provedete změnu těchto pravidel, otisk palce se už nebude shodovat. Při pokusu o použití nové verze nástroje Microsoft Entra Connect může v budoucnu dojít k problémům. Proveďte změny tak, jak je popsáno v tomto článku.

Editor synchronizačních pravidel

Editor synchronizačních pravidel slouží k zobrazení a změně výchozí konfigurace. Najdete ho v nabídce Start ve skupině Microsoft Entra Connect.
nabídka Start s nástrojem pro úpravu pravidel synchronizace

Když otevřete editor, zobrazí se výchozí předefinovaná pravidla.

Editor pravidel synchronizace

Pomocí rozevíracích seznamu v horní části editoru můžete rychle najít konkrétní pravidlo. Pokud například chcete zobrazit pravidla, ve kterých je součástí atributu proxyAddresses, můžete rozevírací seznam změnit na následující:
filtrování SRE
Pokud chcete resetovat filtrování a načíst novou konfiguraci, stiskněte klávesu F5 na klávesnici.

V pravém horním rohu je tlačítko Přidat nové pravidlo. Toto tlačítko použijete k vytvoření vlastního pravidla.

Dole jsou tlačítka pro práci s vybraným pravidlem synchronizace. Upravit a Odstranit plní, co očekáváte. Export vytvoří skript PowerShellu pro opětovné vytvoření pravidla synchronizace. Tímto postupem můžete přesunout pravidlo synchronizace z jednoho serveru do druhého.

Vytvoření prvního vlastního pravidla

Nejčastější změny se týkají toků atributů. Data ve zdrojovém adresáři nemusí být stejná jako v Microsoft Entra ID. V příkladu v této části se ujistěte, že dané jméno uživatele je vždy v velká písmena.

Zakázání plánovače

Plánovač ve výchozím nastavení běží každých 30 minut. Ujistěte se, že se nespouští, když provádíte změny a řešíte potíže s novými pravidly. Pokud chcete plánovač dočasně zakázat, spusťte PowerShell a spusťte Set-ADSyncScheduler -SyncCycleEnabled $false.

Zakázat plánovač

Vytvoření pravidla

  1. Klikněte na Přidat nové pravidlo.
  2. Na stránce Popis zadejte následující:
    filtrování příchozích pravidel
    • Název: Zadejte popisný název pravidla.
    • Popis: Dejte nějaké vysvětlení, aby někdo jiný mohl pochopit, k čemu pravidlo slouží.
    • Connected System: Toto je systém, ve kterém lze objekt najít. V tomto případě vyberte konektor Active Directory.
    • Spojený systém/Typ objektu Metaverse: Vyberte uživatele a osobuv daném pořadí.
    • Typ propojení: Změňte tuto hodnotu na Join.
    • Přednost: Zadejte hodnotu, která je v systému jedinečná. Nižší číselná hodnota označuje vyšší prioritu.
    • Značka: Nechte ji prázdnou. Pouze pravidla od společnosti Microsoft, která jsou součástí standardní instalace, by měla mít toto políčko vyplněné hodnotou.
  3. Na stránce oborového filtru zadejte givenName ISNOTNULL.
    filtr rozsahu příchozích pravidel
    Tato část slouží k definování objektů, na které má pravidlo platit. Pokud zůstane prázdné, pravidlo se použije pro všechny objekty uživatele. To by však zahrnovalo konferenční místnosti, servisní účty a další objekty uživatelů, které nejsou lidmi.
  4. Na stránce Pravidla připojení nechte pole prázdné.
  5. Na stránce Transformace změňte FlowType na Expression. Pro cílový atributvyberte givenName. A pro zdrojzadejte PCase([givenName]). transformace příchozích pravidel
    Synchronizační modul rozlišuje velká a malá písmena pro název funkce i název atributu. Pokud zadáte něco špatně, při přidání pravidla se zobrazí upozornění. Pravidlo můžete uložit a pokračovat, ale musíte ho znovu otevřít a opravit.
  6. Klikněte na Přidat pro uložení pravidla.

Vaše nové vlastní pravidlo by mělo být viditelné s ostatními pravidly synchronizace v systému.

Ověření změny

S touto novou změnou chcete zajistit, aby fungovala podle očekávání a nevyvolá žádné chyby. Podle počtu objektů, které máte, existují dva způsoby, jak tento krok provést:

  • Spusťte úplnou synchronizaci u všech objektů.
  • Na jednom objektu spusťte náhled a úplnou synchronizaci.

Otevřete synchronizační službu z nabídky Start. Všechny kroky v této části jsou v tomto nástroji.

Úplná synchronizace u všech objektů

  1. Nahoře vyberte Konektory. Identifikujte konektor, který jste změnili v předchozí části (v tomto případě Active Directory Domain Services) a vyberte ho.
  2. V akcívyberte Spustit.
  3. Vyberte Úplná synchronizacea potom vyberte OK. úplná synchronizace
    Objekty se teď aktualizují v metaverse. Ověřte změny tak, že se podíváte na objekt v metaverse.

zobrazení náhledu a úplné synchronizace jednoho objektu

  1. Nahoře vyberte Konektory. Identifikujte konektor, který jste změnili v předchozí části (v tomto případě Active Directory Domain Services) a vyberte ho.
  2. Vyberte prostoru konektoru pro vyhledávání.
  3. Pomocí Obor vyhledejte objekt, který chcete použít k otestování změny. Vyberte objekt a klikněte na Náhled.
  4. Na nové obrazovce vyberte Náhled záznamu.
    potvrzení ve verzi Preview
    Změna je nyní potvrzena v metaversu.

Zobrazit objekt v metaverzu

  1. Vyberte několik ukázkových objektů, abyste měli jistotu, že je hodnota očekávaná a jestli se pravidlo použilo.
  2. Nahoře vyberte Vyhledávání Metaverse. Přidejte libovolný filtr, který potřebujete k vyhledání příslušných objektů.
  3. Ve výsledku hledání otevřete objekt. Podívejte se na hodnoty atributů a také ověřte v sloupci pravidel synchronizace, zda bylo pravidlo použito podle očekávání.
    vyhledávání metaverse

Povolení plánovače

Pokud je všechno podle očekávání, můžete plánovač znovu povolit. V PowerShellu spusťte Set-ADSyncScheduler -SyncCycleEnabled $true.

Další běžné změny toku atributů

Předchozí část popisuje, jak provést změny toku atributů. V této části jsou uvedeny některé další příklady. Postup vytvoření pravidla synchronizace je zkrácený, ale úplný postup najdete v předchozí části.

Použít jiný atribut než výchozí

V tomto scénáři Fabrikam je les, ve kterém se místní abeceda používá pro dané jméno, příjmení a zobrazované jméno. Reprezentaci latinských znaků těchto atributů lze najít v jejich rozšířených atributech. Pro vytvoření globálního seznamu adres v Microsoft Entra ID a Microsoftu 365 chce organizace místo toho tyto atributy použít.

Ve výchozí konfiguraci vypadá objekt z místního lesa takto:
tok atributů 1

Pokud chcete vytvořit pravidlo s jinými toky atributů, postupujte takto:

  1. Otevřete editor pravidel synchronizace z nabídky Start.
  2. Pokud je příchozí stále vybrané vlevo, klikněte na tlačítko Přidat nové pravidlo.
  3. Zadejte název a popis pravidla. Vyberte místní instanci služby Active Directory a příslušné typy objektů. V Typ odkazuvyberte Připojit. Pro přednostvyberte číslo, které není použité jiným pravidlem. Pravidla out-of-box začínají na 100, takže v tomto příkladu lze použít hodnotu 50. tok atributů 2
  4. Ponechte scopingový filtr prázdný. (To znamená, že by se měl použít pro všechny uživatelské objekty v lesním prostředí.)
  5. Nechte Pravidla připojení prázdná. (To znamená, že nechte výchozí pravidlo zpracovat jakékoli spojení.)
  6. V Transformationsvytvořte následující procesy:
    tok atributů 3
  7. Klikněte na Přidat pro uložení pravidla.
  8. Přejděte na Synchronization Service Manager. V části Konektoryvyberte konektor, do kterého jste přidali pravidlo. Vyberte Spustit, a pak vyberte Úplná synchronizace. Úplná synchronizace přepočítá všechny objekty pomocí aktuálních pravidel.

Toto je výsledek pro stejný objekt s tímto vlastním pravidlem:
tok atributů 4

Délka atributů

Atributy řetězců jsou ve výchozím nastavení indexovatelné a maximální délka je 448 znaků. Pokud pracujete s atributy řetězců, které můžou obsahovat více, nezapomeňte do toku atributů zahrnout následující:
attributeName <- Left([attributeName],448).

Změna přípony userPrincipalSuffix

Atribut userPrincipalName ve službě Active Directory není vždy znám uživateli a nemusí být vhodný jako PŘIHLAŠOVACÍ ID. Pomocí průvodce instalací synchronizace Microsoft Entra Connect můžete zvolit jiný atribut, například e-mail. V některých případech se ale musí vypočítat atribut.

Například společnost Contoso má dva adresáře Microsoft Entra, jeden pro produkční a druhý pro testování. Chtějí, aby uživatelé ve svém testovacím tenantovi použili jinou příponu v přihlašovacím identifikátoru.
Word([userPrincipalName],1,"@") & "@contosotest.com".

V tomto výrazu převezměte všechno nalevo od prvního znaku zavináče (Word) a zřetězte s pevným textovým řetězcem.

Převod atributu s více hodnotami na jednu hodnotu

Některé atributy ve službě Active Directory jsou ve schématu vícehodnotové, i když vypadají v uživatelích a počítačích služby Active Directory s jednou hodnotou. Příkladem je atribut popisu:
description <- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

Pokud má atribut hodnotu, převezměte první položku (Item) v atributu, odstraňte úvodní a koncové mezery (Trim) a pak v řetězci ponechte prvních 448 znaků (Left).

Nepřenášejte atribut

Základní informace o scénáři pro tuto část najdete v tématu Řízení procesu toku atributů.

Existují dva způsoby, jak nezahrnout atribut. První je pomocí průvodce instalací k odebrání vybraných atributů. Tato možnost funguje, pokud jste atribut ještě nikdy nesynchronovali. Pokud jste ale začali synchronizovat tento atribut a později ho pomocí této funkce odeberete, synchronizační modul přestane spravovat atribut a existující hodnoty zůstanou v Microsoft Entra ID.

Pokud chcete odebrat hodnotu atributu a ujistit se, že k tomu v budoucnu nedojde, musíte vytvořit vlastní pravidlo.

V tomto scénáři Fabrikam jsme si uvědomili, že některé atributy, které synchronizujeme s cloudem, by tam neměly být. Chceme zajistit, aby se tyto atributy odebraly z ID Microsoft Entra.
špatné atributy rozšíření

  1. Vytvořte nové příchozí synchronizační pravidlo a vyplňte popis. Descriptions
  2. Vytváření toků atributů pomocí výrazu pro FlowType a s AuthoritativeNull pro zdroj. Literál AutoritativníNull označuje, že hodnota v metaverse by měla být prázdná, i když se pravidlo synchronizace s nižší prioritou pokusí hodnotu naplnit. Transformace atributů pro rozšíření
  3. Uložte pravidlo synchronizace. Spusťte službu synchronizace , vyhledejte konektor, vyberte možnost Spustit a poté vyberte možnost Úplná synchronizace . Tento krok přepočítá všechny toky atributů.
  4. Pomocí vyhledávání v prostoru konektoru ověřte, že se mají vyexportovat zamýšlené změny. fázované odstranění

Vytváření pravidel pomocí PowerShellu

Použití editoru pravidel synchronizace funguje správně, když máte jenom několik změn, které je potřeba udělat. Pokud potřebujete provést mnoho změn, může být PowerShell lepší volbou. Některé pokročilé funkce jsou dostupné jenom v PowerShellu.

Získat skript PowerShell pro defaultní pravidlo

Pokud chcete zobrazit skript PowerShellu, který vytvořil předem připravené pravidlo, vyberte pravidlo v editoru pravidel synchronizace a klikněte na Export. Tato akce vám poskytne skript PowerShellu, který pravidlo vytvořil.

Pokročilá precedence

Výchozí pravidla synchronizace začínají hodnotou priority 100. Pokud máte mnoho lesů a potřebujete provést mnoho vlastních změn, nemusí 99 synchronizačních pravidel stačit.

Synchronizační modul můžete nastavit, že chcete vložit další pravidla před výchozí pravidla. Pokud chcete toto chování získat, postupujte takto:

  1. V editoru pravidel synchronizace označte první výchozí synchronizační pravidlo (In z AD-User Join) a vyberte Exportovat. Zkopírujte hodnotu identifikátoru SR.
    v PowerShellu před změnou
  2. Vytvořte nové pravidlo synchronizace. Editor pravidel synchronizace můžete použít k jeho vytvoření. Export pravidla do skriptu PowerShellu
  3. Ve vlastnosti PrecedenceBefore, vložte hodnotu Identifikátor z výchozího pravidla. Nastavte prioritu na 0. Ujistěte se, že je atribut Identifikátor jedinečný a že identifikátor GUID nepoužíváte z jiného pravidla. Ujistěte se také, že není nastavena vlastnost ImmutableTag. Tato vlastnost by měla být nastavena pouze pro přednastavené pravidlo.
  4. Uložte skript PowerShellu a spusťte ho. Výsledkem je, že vašemu vlastnímu pravidlu je přiřazena hodnota precedence 100 a všechna ostatní výchozí pravidla mají tuto hodnotu zvýšenou.

Pokud je to nutné, můžete mít mnoho vlastních pravidel synchronizace pomocí stejné hodnoty PřednostPřed.

Povolení synchronizace typu UserType

Microsoft Entra Connect podporuje synchronizaci atributu UserType pro objekty User ve verzi 1.1.524.0 a novější. Konkrétně byly zavedeny následující změny:

  • Schéma typu objektu User v konektoru Microsoft Entra je rozšířeno tak, aby zahrnovalo atribut UserType, který je typu řetězec a má jednu hodnotu.
  • Schéma typu objektu Person v metaverse je rozšířeno o atribut UserType, který je typu řetězec a je jednohodnotový.

Ve výchozím nastavení není atribut UserType povolen pro synchronizaci, protože v místní službě Active Directory neexistuje odpovídající atribut UserType. Synchronizaci musíte povolit ručně. Než to uděláte, musíte si poznamenat následující pravidla vynucovaná Microsoft Entra ID:

  • Microsoft Entra-only přijímá dvě hodnoty pro atribut UserType: Member a Guest.
  • Pokud atribut UserType není povolen pro synchronizaci v nástroji Microsoft Entra Connect, uživatelé Microsoft Entra vytvořené prostřednictvím synchronizace adresářů budou mít atribut UserType nastavený na Člen.
  • Před verzí 1.5.30.0 systém Microsoft Entra ID nepovoloval, aby atribut UserType u stávajících uživatelů Microsoft Entra byl změněn nástrojem Microsoft Entra Connect. Ve starších verzích bylo možné ji nastavit pouze při vytváření uživatelů Microsoft Entra a změnit prostřednictvím PowerShellu.

Před povolením synchronizace atributu UserType musíte nejprve rozhodnout, jak je atribut odvozen z místní služby Active Directory. Nejběžnější přístupy jsou následující:

  • Určete nepoužívaný místní atribut AD (například extensionAttribute1), který se použije jako zdrojový atribut. Určený místní atribut AD by měl být typu řetězcový, měl by být s jedinou hodnotou a obsahovat hodnotu Člen nebo Host.

    Pokud zvolíte tento přístup, musíte před povolením synchronizace atributu UserType zajistit, aby byl určený atribut naplněn správnou hodnotou pro všechny existující uživatelské objekty v místní službě Active Directory, které jsou synchronizovány s ID Microsoft Entra.

  • Případně můžete odvodit hodnotu atributu UserType z jiných vlastností. Například chcete synchronizovat všechny uživatele jako Guest, pokud atribut userPrincipalName v jejich místní AD končí doménovou částí @partners.fabrikam123.org.

    Jak už bylo zmíněno dříve, starší verze microsoft Entra Connect neumožňují atribut UserType u stávajících uživatelů Microsoft Entra Connect změnit. Proto musíte zajistit, aby logika, o které jste se rozhodli, je konzistentní s tím, jak je atribut UserType již nakonfigurován pro všechny stávající uživatele Microsoft Entra ve vašem tenantovi.

Postup povolení synchronizace atributu UserType lze shrnout takto:

  1. Zakažte plánovač synchronizace a ověřte, že neprobíhá žádná synchronizace.
  2. Přidejte zdrojový atribut do schématu místního konektoru AD.
  3. Přidejte userType do schématu konektoru Microsoft Entra.
  4. Vytvořte příchozí synchronizační pravidlo pro tok hodnoty atributu z místní služby Active Directory.
  5. Vytvořte odchozí synchronizační pravidlo pro tok hodnoty atributu do ID Microsoft Entra.
  6. Spusťte úplný synchronizační cyklus.
  7. Povolte plánovač synchronizace.

Poznámka

Zbývající část této části popisuje tyto kroky. Je to popsáno v kontextu nasazení Microsoft Entra s topologií jedné doménové struktury a bez vlastních synchronizačních pravidel. Pokud máte topologii s více lesy, nakonfigurovaná vlastní synchronizační pravidla nebo máte přípravný server, musíte odpovídajícím způsobem upravit příslušné kroky.

Krok 1: Zakažte plánovač synchronizace a ověřte, že neprobíhá žádná synchronizace

Abyste se vyhnuli exportu nezamýšlených změn do ID Microsoft Entra, ujistěte se, že během aktualizace pravidel synchronizace neprobíhá žádná synchronizace. Zakázání integrovaného plánovače synchronizace:

  1. Spusťte relaci PowerShellu na serveru Microsoft Entra Connect.
  2. Zakažte plánovanou synchronizaci spuštěním rutiny Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Otevřete Správce synchronizační služby tak, že přejdete na Spustit>synchronizační službu.
  4. Přejděte na kartu Operations a ověřte, že není žádná operace se stavem právě probíhající.

Krok 2: Přidání zdrojového atributu do schématu místního konektoru AD

Ne všechny atributy Microsoft Entra se naimportují do místního prostoru konektoru AD. Přidání zdrojového atributu do seznamu importovaných atributů:

  1. Přejděte na kartu Konektory ve Správci synchronizačních služeb.
  2. Klikněte pravým tlačítkem na místní (on-premises) konektor AD a vyberte Vlastnosti.
  3. V místním dialogovém okně přejděte na kartu Vybrat atributy.
  4. Ujistěte se, že je v seznamu atributů zaškrtnut zdrojový atribut.
  5. Kliknutím na tlačítko OK uložte. Přidání zdrojového atributu do schématu pro místní nasazení AD Connectoru

Krok 3: Přidání atributu UserType do schématu konektoru Microsoft Entra

Ve výchozím nastavení není atribut UserType importován do prostoru Microsoft Entra Connect. Přidání atributu UserType do seznamu importovaných atributů:

  1. Přejděte na kartu konektory ve Správci synchronizačních služeb.
  2. Klikněte pravým tlačítkem na konektor Microsoft Entra a vyberte Vlastnosti.
  3. V dialogovém okně přejděte na kartu Vybrat atributy.
  4. Ujistěte se, že je v seznamu atributů zatržen atribut UserType.
  5. Kliknutím na tlačítko OK uložte.

Přidání zdrojového atributu do schématu Konektoru Microsoft Entra

Krok 4: Vytvoření příchozího synchronizačního pravidla pro tok hodnoty atributu z místní služby Active Directory

Příchozí synchronizační pravidlo povoluje tok hodnoty atributu ze zdrojového atributu z místní služby Active Directory do metaverse:

  1. Otevřete Editor synchronizačních pravidel tak, že přejdete na Spustit editor synchronizačních pravidel>.

  2. Nastavte filtr hledání Směr tak, aby byl příchozí.

  3. Kliknutím na tlačítko Přidat nové pravidlo vytvořte nové příchozí pravidlo.

  4. Na kartě Popis zadejte následující konfiguraci:

    Vlastnost Hodnota Podrobnosti
    Jméno Zadejte název Například In z AD – User UserType
    Popis zadejte popis
    Připojený systém Vyberte místní konektor AD
    Typ připojeného systémového objektu uživatel
    Typ objektu Metaverse osoba
    Typ propojení Připojit se k
    Priorita Zvolit číslo mezi 1–99 1–99 je vyhrazeno pro vlastní pravidla synchronizace. Nevybíravujte hodnotu, kterou používá jiné pravidlo synchronizace.

  5. Přejděte na kartu Filtr oborů a přidejte jednu skupinu filtrů oborů s následující klauzulí:

    Atribut Operátor Hodnota
    administrátorský popis NOTSTARTWITH Uživatel_

    Filtr oborů určuje, na které místní objekty AD se toto příchozí synchronizační pravidlo použije. V tomto příkladu používáme stejný filtr rozsahu použitý ve výchozím synchronizačním pravidle In z AD – Běžný uživatel, které brání použití pravidla synchronizace na objekty uživatelů vytvořené prostřednictvím funkce zpětného zápisu uživatelů Microsoft Entra. Možná budete muset upravit filtr rozsahu pro vaše nasazení Microsoft Entra Connect.

  6. Přejděte na kartu Transformace a implementujte požadované pravidlo transformace. Pokud jste například určili nepoužívaný místní atribut AD (například extensionAttribute1) jako zdrojový atribut userType, můžete implementovat přímý tok atributů:

    Typ toku Cílový atribut Zdroj Použít jednou Typ sloučení
    Přímý Typ uživatele extensionAttribute1 Nezaškrtnutý Aktualizace

    V jiném příkladu chcete odvodit hodnotu atributu UserType z jiných vlastností. Chcete například synchronizovat všechny uživatele jako hosta, pokud jejich místní atribut AD userPrincipalName končí částí domény @partners.fabrikam123.org. Výraz můžete implementovat takto:

    Typ toku Cílový atribut Zdroj Použít jednou Typ sloučení
    Výraz Typ uživatele IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName není přítomen pro určení UserType")) Nezaškrtnuto Aktualizace

  7. Klikněte na Přidat pro vytvoření příchozího pravidla.

Vytvoření příchozího synchronizačního pravidla

Krok 5: Vytvoření odchozího synchronizačního pravidla pro tok hodnoty atributu do Microsoft Entra ID

Odchozí synchronizační pravidlo povoluje tok hodnoty atributu z metaverse k atributu UserType v Microsoft Entra ID:

  1. Přejděte do Editoru synchronizačních pravidel.

  2. Nastavte filtr hledání Směr na Odchozí.

  3. Klikněte na tlačítko Přidat nové pravidlo.

  4. Na kartě Popis zadejte následující konfiguraci:

    Atribut Hodnota Podrobnosti
    Jméno Zadejte název Například Vyslat do Microsoft Entra ID – User UserType
    Popis zadejte popis
    Připojený systém Vyberte konektor Microsoft Entra
    Typ připojeného systémového objektu uživatele
    Typ objektu Metaverse osoby
    Typ propojení Připojit se k
    Priorita Zvolit číslo mezi 1–99 1–99 je vyhrazeno pro vlastní pravidla synchronizace. Nevybíravujte hodnotu, kterou používá jiné pravidlo synchronizace.

  5. Přejděte na kartu Filtr oborů a přidejte skupinu filtrů s jedním oborem se dvěma klauzulemi:

    Atribut Operátor Hodnota
    typ zdrojového objektu ROVNÝ Uživatel
    cloudMastered NOTEQUAL Pravda

    Filtr oborů určuje, na které objekty Microsoft Entra se toto odchozí synchronizační pravidlo použije. V tomto příkladu použijeme stejný oborový filtr jako v přednastaveném synchronizačním pravidle Out to AD – User Identity. Zabrání použití synchronizačního pravidla na objekty uživatele, které nejsou synchronizovány z místní služby Active Directory. Možná budete muset jemně doladit filtr oborů podle vašeho nasazení Microsoft Entra Connect.

  6. Přejděte na kartu transformace a implementujte následující pravidlo transformace:

    Typ toku Cílový atribut Zdroj Použijte jednou Typ sloučení
    Přímý Typ uživatele Typ uživatele Nezkontrolovaný Aktualizace

  7. Kliknutím na Přidat vytvořte odchozí pravidlo.

Vytvoření pravidla odchozí synchronizace

Krok 6: Spuštění úplného cyklu synchronizace

Obecně platí, že se vyžaduje úplný synchronizační cyklus, protože jsme přidali nové atributy do schémat služby Active Directory i konektoru Microsoft Entra Connector a zavedli vlastní synchronizační pravidla. Před exportem změn do ID Microsoft Entra chcete ověřit změny.

Pomocí následujících kroků můžete ověřit změny při ručním spuštění kroků, které tvoří úplný cyklus synchronizace.

  1. Spusťte úplný import na místní konektor AD:

    1. Přejděte na kartu Konektory ve Správci synchronizačních služeb.

    2. Klikněte pravým tlačítkem na místní konektor AD a vyberte Spustit.

    3. V automaticky otevíraných dialogových oknech vyberte Úplný import a potom klikněte na OK.

    4. Počkejte na dokončení operace.

      Poznámka

      Úplný import místního konektoru AD můžete přeskočit, pokud je zdrojový atribut již zahrnutý v seznamu importovaných atributů. Jinými slovy, během kroku 2 jste nemuseli provádět žádné změny: Přidání zdrojového atributu doschématu místního konektoru AD .

  2. Spusťte úplný import na konektoru Microsoft Entra.

    1. Pravým tlačítkem myši klikněte na konektor Microsoft Entra Connector a vyberte Spustit.
    2. V automaticky otevíraných dialogových oknech vyberte Úplný import a potom klikněte na OK.
    3. Počkejte na dokončení operace.

  3. Ověřte změny synchronizačního pravidla u existujícího objektu Uživatele:

    Zdrojový atribut z místního Active Directory a typ uživatele z Microsoft Entra ID byly naimportovány do příslušných prostorů konektoru. Než budete pokračovat v úplné synchronizaci, proveďte Náhled na existujícím objektu uživatele v místním prostoru konektoru AD. Objekt, který jste zvolili, by měl mít vyplněný zdrojový atribut.

    Úspěšný Preview s uživatelským typem vyplněným v metaverse je dobrým indikátorem, že jste správně nakonfigurovali pravidla synchronizace. Informace o tom, jak provést Preview, najdete v části Ověření změny.

  4. Spusťte úplnou synchronizaci na místním konektoru AD.

    1. Klikněte pravým tlačítkem na lokální konektor AD a vyberte Spustit.
    2. V automaticky otevíracím dialogovém okně vyberte úplnou synchronizaci a potom klikněte na OK.
    3. Počkejte na dokončení operace.

  5. Ověřte nevyřízené exporty do Microsoft Entra ID:

    1. Klikněte pravým tlačítkem myši na konektor Microsoft Entra a vyberte Prostor pro vyhledávání konektoru.

    2. V dialogovém okně pro prostor konektoru vyhledávání se zobrazí vyskakovací dialogové okno:

      • Nastavte rozsahu na čekajícíexportu .
      • Zaškrtněte všechna tři políčka: Přidat, Upravita Odstranit.
      • Kliknutím na tlačítko Hledat zobrazíte seznam objektů se změnami, které se mají exportovat. Pokud chcete zkontrolovat změny daného objektu, poklikejte na objekt.
      • Ověřte, že se změny očekávají.

  6. Spusťte export na konektoruMicrosoft Entra Connector .

    1. Pravým tlačítkem myši klikněte na konektor Microsoft Entra a vyberte spustit.
    2. V dialogovém okně s vyskakovací nabídkou Spustit konektor vyberte Export a poté klikněte na OK.
    3. Počkejte na dokončení exportu do Microsoft Entra ID.

Poznámka

Tyto kroky nezahrnují úplnou synchronizaci a export kroků na Microsoft Entra Connectoru. Tyto kroky nejsou vyžadovány, protože hodnoty atributů proudí z místní služby Active Directory do služby Microsoft Entra-only.

Krok 7: Opětovné povolení plánovače synchronizace

Opětovné povolení integrovaného plánovače synchronizace:

  1. Spusťte relaci PowerShellu.
  2. Znovu povolte plánovanou synchronizaci spuštěním cmdletu Set-ADSyncScheduler -SyncCycleEnabled $true.

Další kroky

Přehled témat