Microsoft Entra Connect Sync: Bewährte Methoden zum Ändern der Standardkonfiguration

Der Zweck dieses Themas besteht darin, unterstützte und nicht unterstützte Änderungen an Microsoft Entra Connect Sync zu beschreiben.

Die von Microsoft Entra Connect erstellte Konfiguration funktioniert in den meisten Umgebungen, die ein lokales Active Directory mit Microsoft Entra ID synchronisieren, reibungslos. In einigen Fällen ist es jedoch erforderlich, einige Änderungen an einer Konfiguration vorzunehmen, um eine bestimmte Anforderung oder ein Bedürfnis zu erfüllen.

Änderungen am Dienstkonto

Microsoft Entra Connect Sync wird unter einem Dienstkonto ausgeführt, das vom Installations-Assistenten erstellt wurde. Dieses Dienstkonto enthält die Verschlüsselungsschlüssel für die Datenbank, die von der Synchronisierung verwendet wird. Es wird mit einem 127 Zeichen langen Kennwort erstellt, und das Kennwort ist so festgelegt, dass es nicht abläuft.

Warnung

Wenn Sie das ADSync-Dienstkontokennwort ändern oder zurücksetzen, wird der Synchronisierungsdienst erst ordnungsgemäß gestartet, nachdem Sie den Verschlüsselungsschlüssel verlassen und das ADSync-Dienstkontokennwort erneut initialisiert haben. Informationen hierzu finden Sie unter Ändern des ADSync-Dienstkontokennworts.

Änderungen am Zeitplaner

Ab den Versionen von Build 1.1 (Februar 2016) können Sie den Scheduler so konfigurieren, dass ein anderer Synchronisierungszyklus als der Standardwert von 30 Minuten verwendet wird.

Änderungen an Synchronisierungsregeln

Der Installations-Assistent verfügt über eine Konfiguration, die für die meisten gängigen Szenarien funktioniert. Falls Sie Änderungen an der Konfiguration vornehmen müssen, müssen Sie diese Regeln befolgen, um über eine unterstützte Konfiguration zu verfügen.

Warnung

Wenn Sie Änderungen an den Standardsynchronisierungsregeln vornehmen, werden diese Änderungen beim nächsten Aktualisieren von Microsoft Entra Connect überschrieben, was zu unerwarteten und wahrscheinlich unerwünschten Synchronisierungsergebnissen führt.

• Sie können Attributflüsse ändern, wenn die standardmäßig festgelegten direkten Attributflüsse für Ihre Organisation nicht geeignet sind.
• Wenn Sie das „Fließen“ eines Attributs verhindern und alle vorhandenen Attributwerte in Microsoft Entra ID entfernen möchten, müssen Sie für dieses Szenario eine Regel erstellen.
• Deaktivieren Sie eine unerwünschte Synchronisierungsregel, anstatt sie zu löschen. Eine gelöschte Regel wird während eines Upgrades neu erstellt.
• Zum Ändern einer standardmäßigen Regelmüssen Sie eine Kopie der Originalregel erstellen und die standardmäßige Regel deaktivieren. Der Synchronisierungsregel-Editor fordert Sie dazu auf und unterstützt Sie dabei.
• Exportieren Sie Ihre benutzerdefinierten Synchronisierungsregeln mithilfe des Synchronisierungsregeln-Editors. Der Editor bietet Ihnen ein PowerShell-Skript, mit dem Sie sie einfach in einem Notfallwiederherstellungsszenario neu erstellen können.

Warnung

Die standardmäßigen Synchronisierungsregeln verfügen über einen Fingerabdruck. Wenn Sie diese Regeln ändern, stimmt der Fingerabdruck nicht mehr überein. Möglicherweise treten in Zukunft Probleme auf, wenn Sie versuchen, eine neue Version von Microsoft Entra Connect anzuwenden. Nehmen Sie nur Änderungen an der Art und Weise vor, wie sie in diesem Artikel beschrieben wird.

Deaktivieren einer unerwünschten Synchronisierungsregel

Löschen Sie keine standardmäßige Synchronisierungsregel. Während des nächsten Upgrades wird es neu erstellt.

In einigen Fällen erzeugt der Installations-Assistent eine Konfiguration, die für Ihre Topologie nicht funktioniert. Falls Sie beispielsweise über eine Topologie mit Kontoressourcengesamtstruktur verfügen, das Schema in der Kontogesamtstruktur aber um das Exchange-Schema erweitert haben, werden sowohl für die Kontogesamtstruktur als auch für die Ressourcengesamtstruktur Regeln für Exchange erstellt. In diesem Fall müssen Sie die Synchronisierungsregel für Exchange deaktivieren.

In der vorherigen Abbildung wurde mit dem Installations-Assistenten ein altes Exchange 2003-Schema in der Kontogesamtstruktur gefunden. Diese Schemaerweiterung wurde hinzugefügt, bevor die Ressourcengesamtstruktur in die Umgebung von Fabrikam eingeführt wurde. Um sicherzustellen, dass keine Attribute aus der alten Exchange-Implementierung synchronisiert werden, sollte die Synchronisierungsregel wie dargestellt deaktiviert werden.

Ändern einer standardmäßigen Regel

Ändern Sie eine standardmäßige Regel nur dann, wenn Sie die Verknüpfungsregel ändern müssen. Wenn Sie einen Attributfluss ändern müssen, sollten Sie eine Synchronisierungsregel erstellen, die Vorrang vor den standardmäßigen Regeln hat. Die einzige Regel, die Sie im Grunde klonen müssen, ist die Regel Eingehend aus AD – Benutzerverknüpfung. Sie können alle anderen Regeln mit einer höheren Rangfolgeregel außer Kraft setzen.

Wenn Sie Änderungen an einer standardmäßigen Regel vornehmen müssen, erstellen Sie eine Kopie der standardmäßigen Regel und deaktivieren Sie die ursprüngliche Regel. Nehmen Sie an der geklonten Regel dann die gewünschten Änderungen vor. Der Synchronisierungsregel-Editor unterstützt Sie bei diesen Schritten. Wenn Sie eine standardmäßige Regel öffnen, wird dieses Dialogfeld angezeigt:

Wählen Sie Ja aus, um eine Kopie der Regel zu erstellen. Dann wird die geklonte Regel geöffnet.

Nehmen Sie an dieser geklonten Regel die erforderlichen Änderungen für Bereich, Verknüpfung und Transformationen vor.

Nächste Schritte

Übersichtsthemen

• Microsoft Entra Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung
• Integrieren Ihrer lokalen Identitäten mit Microsoft Entra ID