Cómo utilizar la función BypassDirSyncOverridesEnabled de un inquilino de Microsoft Entra.
En este artículo se describe la característica BypassDirSyncOverridesEnabled y cómo restaurar la sincronización de los atributos Mobile y otherMobile de Microsoft Entra ID en Active Directory local.
Por lo general, los usuarios sincronizados no se pueden cambiar desde los portales de administración de Azure o Microsoft 365, ni en PowerShell con los módulos Microsoft Entra ID o PowerShell de Microsoft Graph. La excepción a esto es los atributos de usuario de Microsoft Entra denominados MobilePhone y AlternateMobilePhones. Estos atributos se sincronizan respectivamente desde los atributos Mobile y OtherMobile de Active Directory local, pero los usuarios finales pueden actualizar su propio número de teléfono en el atributo MobilePhone de Microsoft Entra ID a través de su página de perfil. Los administradores también pueden actualizar los valores de MobilePhone y AlternateMobilePhones de los usuarios sincronizados en Microsoft Entra ID con el módulo PowerShell de Microsoft Graph.
Proporcionar a los usuarios y administradores la capacidad de actualizar los números de teléfono directamente en Microsoft Entra ID permite a las empresas reducir la sobrecarga que supone administrar los números de teléfono de los usuarios en Active Directory local, ya que pueden cambiar con más frecuencia.
Sin embargo, se advierte que, una vez que se actualiza el número de MobilePhone o AlternateMobilePhones de los usuarios sincronizados a través del portal de administración o de PowerShell, la API de sincronización ya no implementará las actualizaciones de estos atributos cuando se originen en Active Directory local. Esto se conoce normalmente como una característica “DirSyncOverrides”. Los administradores observarán este comportamiento cuando se actualicen los atributos Mobile u OtherMobile en Active Directory y no se actualicen los correspondientes MobilePhone o AlternateMobilePhones de los usuarios en Microsoft Entra ID, aunque el objeto se sincronice correctamente a través del motor de Microsoft Entra Connect.
Identificación de usuarios con diferentes valores de Mobile y OtherMobile
Puede exportar una lista de usuarios con valores de Mobile y OtherMobile diferentes entre Active Directory y Microsoft Entra ID usando "Compare-ADSyncToolsDirSyncOverrides" en el módulo ADSyncTools de PowerShell. Esto le permitirá determinar los usuarios y sus valores respectivos que son diferentes entre Active Directory local y Microsoft Entra ID. Es importante saber esto porque, al habilitar la característica BypassDirSyncOverridesEnabled, se sobrescriben todos los valores diferentes de Microsoft Entra ID con los valores procedentes de Active Directory local.
Uso de Compare-ADSyncToolsDirSyncOverrides
Como requisito previo, debe ejecutar la versión 2 o posterior de Microsoft Entra Connect e instalar el módulo ADSyncTools más reciente desde Galería de PowerShell con el siguiente comando:
Install-Module ADSyncTools
Para comparar todos los valores de Mobile y OtherMobile de los usuarios sincronizados, ejecute el siguiente comando:
Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential)
Nota
La API de destino que usa esta característica no controla las interacciones del usuario de autenticación. MFA o las directivas de acceso condicional bloquean la autenticación. Cuando se le pida que escriba las credenciales, use una cuenta de administrador global que no tenga habilitado MFA ni ninguna directiva de acceso condicional aplicada. Como último recurso, cree una cuenta de usuario de administrador global temporal sin MFA ni acceso condicional que se pueda eliminar después de realizar las operaciones deseadas con la característica BypassDirSyncOverrides.
Esta función exporta un archivo CSV con una lista de usuarios en los que los valores Mobile u OtherMobile de Active Directory local son diferentes de los respectivos MobilePhone o AlternateMobilePhones en Microsoft Entra ID.
En esta fase, puede usar estos datos para restablecer los valores de las propiedades Mobile y OtherMobile de Active Directory local con los valores de Microsoft Entra ID. De este modo, puede capturar los números de teléfono más actualizados de Microsoft Entra ID y conservar estos datos en Active Directory local antes de habilitar la característica BypassDirSyncOverridesEnabled. Para ello, importe los datos del archivo CSV resultante y, después, use “Set-ADSyncToolsDirSyncOverrides” del módulo ADSyncTools para conservar el valor en Active Directory local.
Por ejemplo, para importar datos desde el archivo CSV y extraer los valores de Microsoft Entra ID para un UserPrincipalName determinado, use el siguiente comando:
$upn = '<UserPrincipalName>'
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' |
where UserPrincipalName -eq $upn |
select UserPrincipalName,*InAAD
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD
Habilitación de la característica BypassDirSyncOverridesEnabled
De forma predeterminada, la característica BypassDirSyncOverridesEnabled está desactivada. Habilitar BypassDirSyncOverridesEnabled permite al inquilino omitir los cambios realizados por los usuarios o administradores en MobilePhone o AlternateMobilePhones directamente en Microsoft Entra ID y mantener siempre los valores de Mobile u OtherMobile de Active Directory local.
Si no desea que los usuarios finales actualicen su propio número de teléfono móvil o si no es necesario que los administradores actualicen los números de teléfono móvil o alternativos con PowerShell, debe dejar habilitada la característica BypassDirSyncOverridesEnabled en el inquilino.
Con esta característica activada, incluso si un usuario final o un administrador actualizan MobilePhone o AlternateMobilePhones en Microsoft Entra ID, los valores sincronizados desde Active Directory local se mantendrán en el siguiente ciclo de sincronización. Esto significa que las actualizaciones de estos valores solo se conservan cuando la actualización se realiza en Active Directory local y se sincroniza después en Microsoft Entra ID.
Habilitar la característica BypassDirSyncOverridesEnabled:
Para habilitar la característica BypassDirSyncOverridesEnabled, use el módulo PowerShell de Microsoft Graph.
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Una vez habilitada la característica, inicie un ciclo de sincronización completo en Microsoft Entra Connect con el siguiente comando:
Start-ADSyncSyncCycle -PolicyType Initial
Nota:
Solo se actualizarán los objetos con un valor de MobilePhone o AlternateMobilePhones diferente al valor de Active Directory local.
Comprobar el estado de la característica BypassDirSyncOverridesEnabled:
(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled
Deshabilitación de la característica BypassDirSyncOverridesEnabled
Si desea restaurar la capacidad de actualizar los números de teléfono móvil desde el portal o PowerShell, puede deshabilitar la característica BypassDirSyncOverridesEnabled con el siguiente comando del módulo PowerShell de Microsoft Graph:
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Cuando esta característica está desactivada, cada vez que un usuario o administrador actualiza MobilePhone o AlternateMobilePhones directamente en Microsoft Entra ID, se crea un DirSyncOverrides que impide que se produzcan actualizaciones futuras de estos atributos procedentes de Active Directory local. A partir de este momento, un usuario o administrador solo puede administrar estos atributos desde Microsoft Entra ID, ya que se descartarán las nuevas actualizaciones de Mobile u OtherMobile del entorno local.
Administración de números de teléfono móvil en Microsoft Entra ID y Active Directory local
Para administrar los números de teléfono de los usuarios, un administrador puede usar el siguiente conjunto de funciones del módulo ADSyncTools para leer, escribir y borrar los valores en Microsoft Entra ID o en Active Directory local.
Obtener las propiedades Mobile y OtherMobile de Active Directory local:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD
Obtener las propiedades MobilePhone y AlternateMobilePhones de Microsoft Entra ID:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD
Configurar las propiedades MobilePhone y AlternateMobilePhones en Microsoft Entra ID:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'
Establecer las propiedades Mobile y OtherMobile en Active Directory local:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'
Borrar las propiedades MobilePhone y AlternateMobilePhones en Microsoft Entra ID:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD
Borrar las propiedades Mobile y OtherMobile en Active Directory local:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD
Pasos siguientes
Obtenga más información sobre Microsoft Entra Connect: ADSyncTools Módulo PowerShell