Microsoft Entra Connect Sync: Ändern der Standardkonfiguration

In diesem Artikel erfahren Sie, wie Sie Änderungen an der Standardkonfiguration in Microsoft Entra Connect Sync vornehmen. Es enthält Schritte für einige gängige Szenarien. Mit diesem Wissen sollten Sie einfache Änderungen an Ihrer eigenen Konfiguration basierend auf Ihren eigenen Geschäftsregeln vornehmen können.

Warnung

Wenn Sie Änderungen an den Out-of-the-Box-Synchronisierungsregeln vornehmen, werden diese beim nächsten Update von Microsoft Entra Connect überschrieben, was zu unerwarteten und möglicherweise unerwünschten Synchronisierungsergebnissen führt.

Die vorkonfigurierten Standardsynchronisierungsregeln verfügen über einen Fingerabdruck. Wenn Sie diese Regeln ändern, stimmt der Fingerabdruck nicht mehr überein. Möglicherweise treten in Zukunft Probleme auf, wenn Sie versuchen, eine neue Version von Microsoft Entra Connect anzuwenden. Nehmen Sie nur Änderungen vor, wie sie in diesem Artikel beschrieben werden.

Synchronisierungsregel-Editor

Der Synchronisierungsregeln-Editor wird verwendet, um die Standardkonfiguration anzuzeigen und zu ändern. Sie finden ihn im Menü Start in der Gruppe Microsoft Entra Connect.

Wenn Sie den Editor öffnen, sehen Sie die vordefinierten Standardregeln.

Navigieren im Editor

Mithilfe der Dropdowns oben im Editor können Sie schnell eine bestimmte Regel finden. Wenn Sie z.B. die Regeln mit dem Attribut „proxyAddresses“ anzeigen möchten, ändern Sie die Einstellungen in den Dropdownmenüs wie folgt:

Um die Filterung zurückzusetzen und eine neue Konfiguration zu laden, drücken Sie F5 auf der Tastatur.

Oben rechts befindet sich die Schaltfläche Neue Regel hinzufügen. Sie verwenden diese Schaltfläche, um eine eigene benutzerdefinierte Regel zu erstellen.

Unten befinden sich Schaltflächen, um eine ausgewählte Synchronisierungsregel zu bearbeiten. Bearbeiten und Löschen tun das, was Sie von ihnen erwarten. Export erzeugt ein PowerShell-Skript zum erneuten Erstellen der Synchronisierungsregel. Mit diesem Verfahren können Sie eine Synchronisierungsregel von einem Server auf einen anderen verschieben.

Erstellen Ihrer ersten benutzerdefinierten Regel

Änderungen an den Attributflüssen zählen zu den häufigsten Änderungen. Die Daten in Ihrem Quellverzeichnis sind möglicherweise nicht mit der Microsoft Entra-ID identisch. Stellen Sie im Beispiel in diesem Abschnitt sicher, dass der Vorname eines Benutzers immer die richtige Groß-/Kleinschreibungaufweist.

Scheduler deaktivieren

Der Scheduler wird standardmäßig alle 30 Minuten ausgeführt. Stellen Sie sicher, dass sie nicht startet, während Sie Änderungen vornehmen und die Fehlerbehebung Ihrer neuen Regeln durchführen. Um den Scheduler vorübergehend zu deaktivieren, starten Sie PowerShell, und führen Sie Set-ADSyncScheduler -SyncCycleEnabled $falseaus.

Regel erstellen

1. Klicken Sie auf Neue Regel hinzufügen.
2. Geben Sie auf der Seite Beschreibung Folgendes ein:
   
   • Name: Geben Sie einen beschreibenden Namen für die Regel ein.
   • Beschreibung: Geben Sie einige Klarstellungen an, damit eine andere Person verstehen kann, wofür die Regel steht.
   • Connected System: Dies ist das System, in dem das Objekt gefunden werden kann. Wählen Sie in diesem Fall Active Directory Connector aus.
   • Objekttyp für das verbundene System bzw. die Metaverse: Wählen Sie Benutzer bzw. Person aus.
   • Verknüpfungstyp: Ändern Sie diesen Wert zu Join.
   • Rangfolge: Geben Sie einen Wert an, der im System eindeutig ist. Ein niedrigerer numerischer Wert gibt eine höhere Rangfolge an.
   • Tag: Lassen Sie dieses Feld leer. Dieses Feld sollte nur bei vordefinierten Regeln von Microsoft einen Wert enthalten.
3. Geben Sie auf der Seite Bereichsfilter den Wert givenName ISNOTNULL ein.
   
   Dieser Abschnitt wird verwendet, um zu definieren, auf welche Objekte die Regel angewendet werden soll. Wenn sie leer gelassen wird, gilt die Regel für alle Benutzerobjekte. Dazu gehören jedoch Konferenzräume, Dienstkonten und andere Benutzerobjekte, die keine Personen sind.
4. Lassen Sie das Feld auf der Seite Verknüpfungsregeln leer.
5. Ändern Sie auf der Seite Transformationen den FlowType zu Ausdruck. Wählen Sie als Zielattribut die Option givenName aus. Als Quelle geben Sie PCase([givenName]) ein.
   In der Synchronisierungsengine wird sowohl beim Funktions- als auch beim Attributnamen die Groß-/Kleinschreibung beachtet. Wenn Sie etwas falsch eingeben, wird beim Hinzufügen der Regel eine Warnung angezeigt. Sie können speichern und fortfahren, aber Sie müssen die Regel erneut öffnen und korrigieren.
6. Klicken Sie auf Hinzufügen, um die Regel zu speichern.

Ihre neue benutzerdefinierte Regel sollte mit den anderen Synchronisierungsregeln im System sichtbar sein.

Überprüfen Sie die Änderung

Mit dieser neuen Änderung möchten Sie sicherstellen, dass sie erwartungsgemäß funktioniert und keine Fehler auslöst. Je nach Anzahl der Objekte, die Sie haben, gibt es zwei Möglichkeiten, diesen Schritt auszuführen:

• Führen Sie eine vollständige Synchronisierung für alle Objekte aus.
• Führen Sie eine Vorschau und eine Vollsynchronisierung für ein einzelnes Objekt aus.

Öffnen Sie über das Startmenü den Synchronisierungsdienst. Die Schritte in diesem Abschnitt sind alle in diesem Tool enthalten.

Vollständiger Sync für alle Objekte

1. Klicken Sie im Menü „Aktionen“ auf Connectors aus. Identifizieren Sie den Connector, den Sie im vorherigen Abschnitt geändert haben (in diesem Fall Active Directory Domain Services), und wählen Sie ihn aus.
2. Wählen Sie unter Aktionen die Option Ausführen aus.
3. Wählen Sie Vollständige Synchronisierung und danach OK aus.
   Die Objekte werden jetzt in der Metaverse aktualisiert. Überprüfen Sie Ihre Änderungen, indem Sie das Objekt in der Metaverse betrachten.

Vorschau und vollständige Synchronisierung eines einzelnen Objekts

1. Klicken Sie im Menü „Aktionen“ auf Connectors aus. Identifizieren Sie den Connector, den Sie im vorherigen Abschnitt geändert haben (in diesem Fall Active Directory Domain Services), und wählen Sie ihn aus.
2. Wählen Sie Search Connector Space(Connectorbereich durchsuchen) aus.
3. Verwenden Sie Scope, um ein Objekt zu finden, das Sie zum Testen der Änderung verwenden möchten. Wählen Sie das Objekt aus, und klicken Sie auf Vorschau.
4. Wählen Sie auf dem neuen Bildschirm Commitvorschau aus.
   
   Die Änderung wird jetzt an die Metaverse übergeben.

Anzeigen des Objekts in der Metaverse

1. Wählen Sie einige Beispielobjekte aus, um sicherzustellen, dass der Wert erwartet wird und die Regel angewendet wird.
2. Wählen Sie oben im Fenster Metaverse Search (Metaversesuche) aus. Fügen Sie einen beliebigen Filter hinzu, den Sie zum Auffinden der relevanten Objekte benötigen.
3. Öffnen Sie aus dem Suchergebnis ein Objekt. Sehen Sie sich die Attributwerte an, und überprüfen Sie auch in der Spalte Synchronisierungsregeln, dass die Regel wie erwartet angewendet wurde.
   

Deaktivieren des Schedulers

Wenn alles wie erwartet ist, können Sie den Zeitplaner erneut aktivieren. Führen Sie in PowerShell Set-ADSyncScheduler -SyncCycleEnabled $trueaus.

Andere häufige Änderungen am Attributfluss

Im vorherigen Abschnitt wird beschrieben, wie Änderungen an einem Attributfluss vorgenommen werden. In diesem Abschnitt werden einige zusätzliche Beispiele bereitgestellt. Die Schritte zum Erstellen der Synchronisierungsregel werden abgekürzt, aber Sie finden die vollständigen Schritte im vorherigen Abschnitt.

Ein anderes Attribut als das Standardattribut verwenden

In diesem Fabrikam-Szenario gibt es einen Wald, in dem das lokale Alphabet für Vorname, Nachname und Anzeigename verwendet wird. Die lateinische Zeichendarstellung dieser Attribute finden Sie in den Erweiterungsattributen. Zum Erstellen einer globalen Adressliste in Microsoft Entra ID und Microsoft 365 möchte die Organisation stattdessen diese Attribute verwenden.

Mit einer Standardkonfiguration sieht ein Objekt aus der lokalen Gesamtstruktur wie folgt aus:

Gehen Sie wie folgt vor, um eine Regel mit anderen Attributflüssen zu erstellen:

1. Starten Sie den Synchronisierungsregel-Editor über das Menü Start.
2. Lassen Sie auf der linken Seite Eingehend ausgewählt, und klicken Sie auf die Schaltfläche Neue Regel hinzufügen.
3. Geben Sie der Regel einen Namen und eine Beschreibung. Wählen Sie die lokale Active Directory-Instanz und die relevanten Objekttypen aus. Wählen Sie als Verknüpfungstyp die Option Join aus. Wählen Sie als Rangfolge eine Zahl, die nicht von einer anderen Regel verwendet wird. Die vordefinierten Regeln beginnen mit 100. In diesem Beispiel kann also der Wert 50 verwendet werden.
4. Lassen Sie Bereichsfilter leer. (Das bedeutet, dass die Regel für alle Benutzerobjekte in der Gesamtstruktur gelten soll.)
5. Lassen Sie Verknüpfungsregeln leer. (Das bedeutet, dass alle Verknüpfungen von der Standardregel behandelt werden sollen.)
6. Erstellen Sie unter Transformationen die folgenden Attributflüsse:
   
7. Klicken Sie auf Hinzufügen, um die Regel zu speichern.
8. Wechseln Sie zu Synchronization Service Manager. Wählen Sie unter Connectorsden Connector aus, für den Sie die Regel hinzugefügt haben. Wählen Sie Ausführen und danach Vollständige Synchronisierung aus. Eine vollständige Synchronisierung berechnet alle Objekte mithilfe der aktuellen Regeln neu.

Dies ist das Ergebnis für dasselbe Objekt mit dieser benutzerdefinierten Regel:

Länge der Attribute

Zeichenfolgenattribute sind standardmäßig indizierbar, die maximale Länge beträgt 448 Zeichen. Wenn Sie mit Zeichenfolgenattributen arbeiten, die möglicherweise mehr enthalten, stellen Sie sicher, dass Sie Folgendes in den Attributfluss einschließen:
attributeName<- Left([attributeName],448).

Ändern von "userPrincipalSuffix"

Das UserPrincipalName-Attribut in Active Directory ist nicht immer von den Benutzern bekannt und ist möglicherweise nicht als Anmelde-ID geeignet. Mit dem Installations-Assistenten für die Microsoft Entra Connect-Synchronisierung können Sie ein anderes Attribut auswählen, z.B. mail. In einigen Fällen muss das Attribut jedoch berechnet werden.

Beispielsweise verfügt das Unternehmen Contoso über zwei Microsoft Entra-Verzeichnisse, eine für die Produktion und eine für Tests. Benutzer im Testmandanten sollen ein anderes Suffix in der Anmelde-ID verwenden:
Word([userPrincipalName],1,"@") & "@contosotest.com".

In diesem Ausdruck wird alles, was sich links vom ersten @-Zeichen (Wort) befindet, mit einer festen Zeichenfolge verkettet.

Konvertieren eines mehrwertigen Attributs in einen einzelnen Wert

Einige Attribute in Active Directory weisen im Schema mehrere Werte auf, obwohl sie in „Active Directory-Benutzer und -Computer“ wie einwertige Attribute aussehen. Ein Beispiel ist das Beschreibungsattribut:
description<- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

Falls das Attribut einen Wert besitzt, wird in diesem Ausdruck das erste Element (Item) im Attribut genommen, die voran- und nachgestellten Leerzeichen (Trim) werden entfernt, und die ersten 448 Zeichen (Left) der Zeichenfolge werden beibehalten.

Verhindern des „Fließens“ eines Attributs

Hintergrundinformationen zum Szenario für diesen Abschnitt finden Sie unter Steuern des Attributflussprozesses.

Es gibt zwei Möglichkeiten, wie Sie dafür sorgen, dass ein Attribut nicht „fließt“ (also nicht übertragen wird). Die erste Option besteht darin, den Installations-Assistenten zu verwenden, um ausgewählte Attribute zu entfernen. Diese Option funktioniert, wenn Sie das Attribut noch nie synchronisiert haben. Wenn Sie jedoch mit der Synchronisierung dieses Attributs begonnen haben und es später mit diesem Feature entfernen, beendet das Synchronisierungsmodul die Verwaltung des Attributs, und die vorhandenen Werte bleiben in der Microsoft Entra-ID erhalten.

Wenn Sie den Wert eines Attributs entfernen und sicherstellen möchten, dass es in Zukunft nicht verarbeitet wird, sollten Sie eine benutzerdefinierte Regel erstellen.

In diesem Fabrikam-Szenario haben wir festgestellt, dass einige der Attribute, die wir mit der Cloud synchronisieren, nicht vorhanden sein sollten. Wir möchten sicherstellen, dass diese Attribute aus der Microsoft Entra-ID entfernt werden.

1. Erstellen Sie eine neue Regel für die eingehende Synchronisierung, und füllen Sie die Beschreibung auf.
2. Erstellen Sie Attributflüsse mit Ausdruck als FlowType und AuthoritativeNull als Source. Das Literal AuthoritativeNull gibt an, dass der Wert in der Metaverse auch dann leer sein sollte, wenn eine Synchronisierungsregel mit geringerer Position in der Rangfolge versucht, den Wert aufzufüllen.
3. Speichern Sie die Synchronisierungsregel. Starten Sie den Synchronisierungsdienst, suchen Sie nach dem Connector, und wählen Sie Ausführen und Vollständige Synchronisierung aus. In diesem Schritt werden alle Attributflüsse neu berechnet.
4. Stellen Sie sicher, dass die beabsichtigten Änderungen exportiert werden, indem Sie den Connectorbereich durchsuchen.

Erstellen von Regeln mit PowerShell

Die Verwendung des Synchronisierungsregel-Editors funktioniert einwandfrei, wenn Sie nur einige Änderungen vornehmen müssen. Wenn Sie viele Änderungen vornehmen müssen, ist PowerShell möglicherweise eine bessere Option. Einige erweiterte Features sind nur in PowerShell verfügbar.

Abrufen des PowerShell-Skripts für eine Standardregel

Um das PowerShell-Skript anzuzeigen, mit dem eine Standardregel erstellt wurde, wählen Sie die Regel im Synchronisierungsregel-Editor aus, und klicken Sie auf Exportieren. Mit dieser Aktion erhalten Sie das PowerShell-Skript, das die Regel erstellt hat.

Erweiterte Rangfolge

Die standardmäßigen Synchronisierungsregeln beginnen mit dem Rangfolgewert 100. Wenn Sie viele Wälder haben und viele benutzerdefinierte Änderungen vornehmen müssen, sind möglicherweise 99 Synchronisierungsregeln nicht ausreichend.

Sie können die Synchronisierungsengine anweisen, dass vor den Standardregeln weitere Regeln eingefügt werden sollen. Führen Sie die folgenden Schritte aus, um dieses Verhalten zu erhalten:

1. Markieren Sie im Synchronisierungsregel-Editor die erste Standardregel (Eingehend von AD – Benutzerverknüpfung), und wählen Sie Exportieren aus. Kopieren Sie den SR-ID-Wert.
   
2. Erstellen Sie die neue Synchronisierungsregel. Sie können den Synchronisierungsregeln-Editor verwenden, um ihn zu erstellen. Exportieren Sie die Regel in ein PowerShell-Skript.
3. Fügen Sie den Bezeichnerwert aus der Standardregel in die Eigenschaft PrecedenceBefore ein. Legen Sie die Rangfolge auf 0 fest. Stellen Sie sicher, dass das Bezeichnerattribut eindeutig ist und Sie keine GUID aus einer anderen Regel wiederverwenden. Stellen Sie außerdem sicher, dass die Eigenschaft ImmutableTag nicht festgelegt ist. Diese Eigenschaft sollte nur für eine Standardregel festgelegt sein.
4. Speichern Sie das PowerShell-Skript, und führen Sie es aus. Das Ergebnis dieses Vorgehens: Ihrer benutzerdefinierten Regel wird der Rangfolgewert 100 zugewiesen, und alle anderen Standardregeln erhalten schrittweise ansteigende Werte.
   

Bei Bedarf können Sie eine Vielzahl von benutzerdefinierten Synchronisierungsregeln einrichten, die den gleichen PrecedenceBefore-Wert verwenden.

Aktivieren der Synchronisierung von UserType

Microsoft Entra Connect unterstützt die Synchronisierung des UserType--Attributs für User-Objekte in Version 1.1.524.0 und höher. Genauer gesagt wurden die folgenden Änderungen eingeführt:

• Das Schema des Objekttyps Benutzer im Microsoft Entra-Connector wurde um das UserType-Attribut erweitert, das vom Typ „Zeichenfolge“ und einwertig ist.
• Das Schema des Objekttyps Person in der Metaverse wird erweitert, um das UserType-Attribut einzuschließen, das vom Typ String ist und einstellig ist.

Standardmäßig ist das UserType-Attribut nicht für die Synchronisierung aktiviert, da kein entsprechendes UserType-Attribut in lokalem Active Directory vorhanden ist. Sie müssen die Synchronisierung manuell aktivieren. Bevor Sie dies tun, müssen Sie das folgende Verhalten beachten, das von der Microsoft Entra-ID erzwungen wird:

• Microsoft Entra-only akzeptiert zwei Werte für das UserType-Attribut: Member und Guest.
• Wenn das UserType-Attribut nicht für die Synchronisierung in Microsoft Entra Connect aktiviert ist, ist das UserType-Attribut von Microsoft Entra-Benutzern, die über die Verzeichnissynchronisierung erstellt wurden, auf Member festgelegt.
• Vor Version 1.5.30.0 erlaubte Microsoft Entra ID nicht, dass das UserType-Attribut bei vorhandenen Microsoft Entra-Benutzern durch Microsoft Entra Connect geändert wird. In älteren Versionen konnte das Attribut nur während der Erstellung des durch Microsoft Entra-Benutzers festgelegt und über PowerShell geändert werden.

Bevor Sie die Synchronisierung des UserType-Attributs aktivieren, müssen Sie zuerst entscheiden, wie das Attribut von lokalem Active Directory abgeleitet wird. Im Folgenden finden Sie die am häufigsten verwendeten Ansätze:

• Legen Sie ein nicht verwendetes lokales AD-Attribut (z. B. extensionAttribute1) fest, das als Quellattribut verwendet werden soll. Das festgelegte lokale AD-Attribut sollte vom Typ Zeichenfolge und einwertig sein und den Wert Member oder Guest enthalten.

  Wenn Sie diesen Ansatz auswählen, müssen Sie sicherstellen, dass das angegebene Attribut mit dem richtigen Wert für alle vorhandenen Benutzerobjekte in lokalem Active Directory gefüllt wird, die mit Microsoft Entra ID synchronisiert werden, bevor Sie die Synchronisierung des UserType-Attributs aktivieren.

• Alternativ können Sie den Wert für das UserType-Attribut von anderen Eigenschaften ableiten. Angenommen, Sie möchten alle Benutzer als Guest synchronisieren, wenn ihr lokales AD-Attribut „userPrincipalName“ mit dem Domänenteil @partners.fabrikam123.org endet.

  Wie bereits erwähnt, erlauben ältere Versionen von Microsoft Entra Connect nicht, dass das UserType-Attribut für vorhandene Microsoft Entra-Benutzer von Microsoft Entra Connect geändert werden kann. Aus diesem Grund müssen Sie sicherstellen, dass die verwendete Logik mit der bereits vorhandenen Konfiguration des UserType-Attributs für alle vorhandenen Microsoft Entra-Benutzer in Ihrem Mandanten konsistent ist.

Die Schritte zum Aktivieren der Synchronisierung des UserType-Attributs können zusammengefasst werden als:

1. Deaktivieren Sie den Synchronisierungsplaner, und stellen Sie sicher, dass keine Synchronisierung ausgeführt wird.
2. Fügen Sie das Quellattribute zum lokalen AD Connector-Schema hinzu.
3. Fügen Sie den UserType zum Microsoft Entra Connector-Schema hinzu.
4. Erstellen Sie eine Synchronisierungsregel für eingehende Daten zur Übertragung des Attributwerts aus dem lokalen Active Directory.
5. Erstellen Sie eine ausgehende Synchronisierungsregel, um den Attributwert an Microsoft Entra ID zu übermitteln.
6. Führen Sie einen vollständigen Synchronisierungszyklus aus.
7. Aktivieren Sie den Synchronisierungszeitplaner.

Anmerkung

Im restlichen Abschnitt werden diese Schritte behandelt. Sie werden im Kontext einer Microsoft Entra-Bereitstellung mit einer Topologie mit einer einzelnen Gesamtstruktur und ohne benutzerdefinierte Synchronisierungsregeln beschrieben. Wenn Sie über eine Topologie mit mehreren Gesamtstrukturen verfügen, benutzerdefinierte Synchronisierungsregeln konfiguriert haben oder einen Stagingserver verwenden, müssen Sie die Schritte entsprechend anpassen.

Schritt 1: Deaktivieren des Synchronisierungszeitplans und Überprüfen, ob keine Synchronisierung ausgeführt wird

Um zu vermeiden, dass unbeabsichtigte Änderungen an die Microsoft Entra-ID exportiert werden, stellen Sie sicher, dass keine Synchronisierung stattfindet, während Sie sich in der Mitte der Aktualisierung von Synchronisierungsregeln befinden. So deaktivieren Sie den integrierten Synchronisierungszeitplaner:

1. Starten Sie eine PowerShell-Sitzung auf dem Microsoft Entra Connect-Server.
2. Deaktivieren Sie die geplante Synchronisierung, indem Sie das Cmdlet Set-ADSyncScheduler -SyncCycleEnabled $falseausführen.
3. Öffnen Sie den Synchronization Service Manager, indem Sie zu Start>Synchronization Service wechseln.
4. Wechseln Sie zur Registerkarte Vorgänge, und vergewissern Sie sich, dass kein Vorgang mit dem Status Wird ausgeführt angezeigt wird.

Schritt 2: Hinzufügen des Quellattributes zum lokalen AD Connector-Schema

Nicht alle Microsoft Entra-Attribute werden in den lokalen AD Connector Space importiert. So fügen Sie das Quellattribut zur Liste der importierten Attribute hinzu:

1. Wechseln Sie in Synchronization Service Manager zur Registerkarte Connectors.
2. Klicken Sie mit der rechten Maustaste auf den lokalen AD-Connector, und wählen Sie Eigenschaften aus.
3. Navigieren Sie im Popupdialogfeld zur Registerkarte Attribute auswählen.
4. Stellen Sie sicher, dass das Quellattribut in der Attributliste aktiviert ist.
5. Klicken Sie zum Speichern auf OK.

Schritt 3: Hinzufügen des UserType-Attributs zum Microsoft Entra Connector-Schema

Standardmäßig wird das UserType-Attribut nicht in den Microsoft Entra Connect Space importiert. So fügen Sie das UserType-Attribut der Liste der importierten Attribute hinzu:

1. Wechseln Sie in Synchronization Service Manager zur Registerkarte Connectors.
2. Klicken Sie mit der rechten Maustaste auf Microsoft Entra Connector, und wählen Sie Eigenschaften aus.
3. Navigieren Sie im Popupdialogfeld zur Registerkarte Attribute auswählen.
4. Stellen Sie sicher, dass das UserType-Attribut in der Attributliste eingecheckt ist.
5. Klicken Sie zum Speichern auf OK.

Schritt 4: Erstellen einer Synchronisierungsregel für eingehende Daten zur Übertragung des Attributwerts aus dem lokalen Active Directory

Die Synchronisierungsregel für eingehende Daten ermöglicht die Übertragung des Attributwerts aus dem Quellattribut im lokalen Active Directory in die Metaverse:

1. Öffnen Sie den Synchronisierungsregel-Editor, indem Sie zu Start>Synchronisierungsregel-Editor wechseln.

2. Legen Sie den Suchfilter Richtung auf Eingehend fest.

3. Klicken Sie auf die Schaltfläche Neue Regel hinzufügen, um eine neue eingehende Regel zu erstellen.

4. Geben Sie auf der Registerkarte Beschreibung die folgende Konfiguration an:

   Attribut	Wert	Details
   Name	Geben Sie einen Namen	Beispiel: Eingehend von AD – UserType „Benutzer“
   Beschreibung	Geben Sie eine Beschreibung
   Verbundenes System	Wählen Sie den lokalen AD-Connector
   Objekttyp des verbundenen Systems	Benutzer
   Metaverse-Objekttyp	Person
   Verknüpfungstyp	Join
   Vorrang	Wählen Sie eine Zahl zwischen 1 und 99	1 bis 99 ist für benutzerdefinierte Synchronisierungsregeln reserviert. Wählen Sie keinen Wert aus, der von einer anderen Synchronisierungsregel verwendet wird.

5. Navigieren Sie zur Registerkarte Bereichsfilter, und fügen Sie eine einzelne Bereichsfiltergruppe mit folgender Klausel hinzu:

   Attribut	Operator	Wert
   adminDescription	NOTSTARTWITH	User_

   Der Bereichsfilter legt fest, auf welche lokalen AD-Objekte diese Synchronisierungsregel für eingehende Daten angewendet wird. In diesem Beispiel verwenden wir denselben Bereichsfilter wie die anwendungsbereite Synchronisierungsregel Eingehend von AD – Benutzer „Common“, die verhindert, dass die Synchronisierungsregel auf Benutzerobjekte angewendet wird, die über die Funktion zum Rückschreiben von Microsoft Entra-Benutzern erstellt wurden. Möglicherweise müssen Sie den Umfangsfilter entsprechend Ihrer Microsoft Entra Connect-Bereitstellung anpassen.

6. Navigieren Sie zur Registerkarte Transformation, und implementieren Sie die gewünschte Transformationsregel. Wenn Sie beispielsweise ein nicht verwendetes lokales AD-Attribut (z. B. extensionAttribute1) als Quellattribut für userType festgelegt haben, können Sie einen direkten Attributfluss implementieren:

   Flusstyp	Zielattribut	Quelle	Einmal anwenden	Mergetyp
   Direkt	Benutzertyp	extensionAttribute1	Deaktiviert	Aktualisieren

   In einem anderen Beispiel möchten Sie den Wert für das UserType-Attribut von anderen Eigenschaften ableiten. Angenommen, Sie möchten alle Benutzer als „Guest“ synchronisieren, wenn ihr lokales AD-Attribut „userPrincipalName“ mit dem Domänenteil @partners.fabrikam123.org endet. Sie können einen Ausdruck wie den folgenden implementieren:

   Flusstyp	Zielattribut	Quelle	Einmal anwenden	Mergetyp
   Ausdruck	Benutzertyp	IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is not present to determine UserType"))	Deaktiviert	Aktualisieren

7. Klicken Sie auf Hinzufügen, um die Regel für eingehende Daten zu erstellen.

Schritt 5: Erstellen Sie eine Regel für die ausgehende Synchronisierung, um den Attributwert an die Microsoft Entra-ID weiterzuleiten.

Die ausgehende Synchronisierungsregel ermöglicht den Fluss des Attributwerts von der Metaverse zum UserType-Attribut in Microsoft Entra ID.

1. Wechseln Sie zum Synchronisierungsregeln-Editor.

2. Legen Sie den Suchfilter Richtung auf Ausgehend fest.

3. Klicken Sie auf die Schaltfläche Neue Regel hinzufügen.

4. Geben Sie auf der Registerkarte Beschreibung die folgende Konfiguration an:

   Attribut	Wert	Details
   Name	Geben Sie einen Namen	Beispiel: Übertragen an Microsoft Entra ID – Benutzer UserType
   Beschreibung	Geben Sie eine Beschreibung
   Verbundenes System	Wählen Sie den Microsoft Entra-Connector aus
   Verbundener System-Objekttyp	Benutzer
   Metaverse-Objekttyp	Person
   Verknüpfungstyp	Beitreten zu
   Vorrang	Wählen Sie eine Zahl zwischen 1 und 99	1 bis 99 ist für benutzerdefinierte Synchronisierungsregeln reserviert. Wählen Sie keinen Wert aus, der von einer anderen Synchronisierungsregel verwendet wird.

5. Navigieren Sie zur Registerkarte Bereichsfilter, und fügen Sie eine einzelne Bereichsfiltergruppe mit zwei Klauseln hinzu:

   Attribut	Operator	Wert
   Quellobjekttyp	GLEICH	Benutzer
   cloudMastered	NOTEQUAL	True

   Der Bereichsfilter legt fest, auf welche Microsoft Entra-Objekte diese Synchronisierungsregel für ausgehende Daten angewendet wird. In diesem Beispiel verwenden wir den Bereichsfilter aus der Standardsynchronisierungsregel Ausgehend nach – Benutzeridentität. Sie verhindert, dass die Synchronisierungsregel auf Benutzerobjekte angewendet wird, die nicht aus lokalem Active Directory synchronisiert werden. Möglicherweise müssen Sie den Umfangsfilter entsprechend Ihrer Microsoft Entra Connect-Bereitstellung anpassen.

6. Öffnen Sie die Registerkarte Transformation und implementieren Sie die folgende Transformationsregel.

   Flusstyp	Zielattribut	Quelle	Einmal anwenden	Mergetyp
   Direkt	Benutzertyp	Benutzertyp	Deaktiviert	Aktualisieren

7. Klicken Sie auf Hinzufügen, um die Ausgangsregel zu erstellen.

Schritt 6: Ausführen eines vollständigen Synchronisierungszyklus

Im Allgemeinen ist ein vollständiger Synchronisierungszyklus erforderlich, da wir sowohl den Active Directory- als auch microsoft Entra Connector-Schemas neue Attribute hinzugefügt und benutzerdefinierte Synchronisierungsregeln eingeführt haben. Sie möchten die Änderungen überprüfen, bevor Sie sie in die Microsoft Entra-ID exportieren.

Mit den folgenden Schritten können Sie die Änderungen überprüfen, während Sie die Schritte manuell ausführen, die einen vollständigen Synchronisierungszyklus bilden.

1. Führen Sie im lokalen AD-Connector einen vollständigen Import aus:

   1. Wechseln Sie in Synchronization Service Manager zur Registerkarte Connectors.

   2. Klicken Sie mit der rechten Maustaste auf den lokalen AD-Connector, und wählen Sie Ausführen aus.

   3. Wählen Sie im Popupdialogfeld Vollständiger Import aus, und klicken Sie auf OK.

   4. Warten Sie, bis der Vorgang abgeschlossen ist.

      Anmerkung

      Sie können einen vollständigen Import für den lokalen AD-Connector überspringen, wenn das Quellattribute bereits in der Liste der importierten Attribute enthalten ist. Anders gesagt: Sie mussten bei Schritt 2: Hinzufügen des Quellattributs zum lokalen AD-Connectorschema keine Änderungen vornehmen.

2. Führen Sie im Microsoft Entra Connector einen vollständigen Import aus:

   1. Klicken Sie mit der rechten Maustaste auf Microsoft Entra Connector, und wählen Sie Ausführen aus.
   2. Wählen Sie im Popupdialogfeld Vollständiger Import aus, und klicken Sie auf OK.
   3. Warten Sie, bis der Vorgang abgeschlossen ist.

3. Überprüfen Sie die Änderungen der Synchronisierungsregel für ein vorhandenes Benutzerobjekt:

   Das Quellattribut aus dem lokalen Active Directory und das UserType-Attribut aus Microsoft Entra ID wurden in ihre jeweiligen Connectorbereiche importiert. Bevor Sie mit einer vollständigen Synchronisierung fortfahren, führen Sie eine Vorschau für ein vorhandenes Benutzerobjekt im lokalen AD-Connectorbereich aus. In dem von Ihnen ausgewählten Objekt muss das Quellattribut aufgefüllt sein.

   Eine erfolgreiche Vorschau, bei der das UserType-Attribut in der Metaverse aufgefüllt ist, ist ein guter Indikator dafür, dass die Synchronisierungsregeln richtig konfiguriert wurden. Informationen zum Ausführen einer Vorschau finden Sie im Abschnitt Überprüfen der Änderungen.

4. Führen Sie im lokalen AD-Connector eine vollständige Synchronisierung aus:

   1. Klicken Sie mit der rechten Maustaste auf den lokalen AD-Connector, und wählen Sie Ausführen aus.
   2. Wählen Sie im Popup-Dialogfeld Vollständige Synchronisierung aus, und klicken Sie dann auf OK.
   3. Warten Sie, bis der Vorgang abgeschlossen ist.

5. Überprüfen Sie Ausstehende Exporte auf Microsoft Entra ID:

   1. Klicken Sie mit der rechten Maustaste auf den Microsoft Entra Connector, und wählen Sie Suchkonnektorbereichaus.

   2. Gehen Sie im Popupdialogfeld Connectorbereich durchsuchen wie folgt vor:

      • Legen Sie den Bereich auf Ausstehender Export fest.
      • Aktivieren Sie alle drei Kontrollkästchen: Hinzufügen, Ändernund Löschen.
      • Klicken Sie auf die Schaltfläche Durchsuchen, um die Liste von Objekten mit Änderungen, die exportiert werden sollen, abzurufen. Um die Änderungen für ein bestimmtes Objekt zu untersuchen, doppelklicken Sie auf das Objekt.
      • Überprüfen Sie, ob die Änderungen erwartet werden.

6. Führen Sie in Microsoft Entra Connector einen Export aus:

   1. Klicken Sie mit der rechten Maustaste auf Microsoft Entra Connector, und wählen Sie Ausführen aus.
   2. Wählen Sie im Popupdialogfeld Connector ausführen die Option Exportieren aus, und klicken Sie auf OK.
   3. Warten Sie, bis der Export nach Microsoft Entra ID abgeschlossen ist.

Anmerkung

Diese Schritte enthalten nicht die vollständigen Synchronisierungs- und Exportschritte für den Microsoft Entra Connector. Diese Schritte sind nicht erforderlich, da die Attributwerte von lokalem Active Directory zu Microsoft Entra-only fließen.

Schritt 7: Erneutes Aktivieren des Synchronisierungszeitplans

Aktivieren Sie den integrierten Synchronisierungszeitplaner erneut:

1. Starten Sie eine PowerShell-Sitzung.
2. Aktivieren Sie die geplante Synchronisierung erneut, indem Sie das Cmdlet Set-ADSyncScheduler -SyncCycleEnabled $trueausführen.

Nächste Schritte

• Weitere Informationen zum Konfigurationsmodell finden Sie unter Understanding Declarative Provisioning(Grundlegendes zur deklarativen Bereitstellung).
• Weitere Informationen zur Ausdruckssprache finden Sie unter Grundlegendes zu Ausdrücken für die deklarative Bereitstellung.

Übersichtsthemen

• Microsoft Entra Connect-Synchronisierung: Verstehen und Anpassen der Synchronisierung
• Integrieren Ihrer lokalen Identitäten mit Microsoft Entra ID