Come usare la funzionalità BypassDirSyncOverridesEnabled di un tenant di Microsoft Entra.
Questo articolo descrive la funzionalità BypassDirSyncOverridesEnabled e come ripristinare la sincronizzazione degli attributi Mobile e altri oggetti otherMobile da Microsoft Entra ID ad Active Directory locale.
In genere, gli utenti sincronizzati non possono essere modificati dai portali di amministrazione di Azure o Di Microsoft 365, né tramite PowerShell tramite Microsoft Entra ID o i moduli di Microsoft Graph PowerShell. L'eccezione è che gli attributi dell'utente di Microsoft Entra denominati MobilePhone e AlternateMobilePhones. Questi attributi vengono sincronizzati rispettivamente dagli attributi di Active Directory locali e da otherMobile, ma gli utenti finali possono aggiornare il proprio numero di telefono nell'attributo MobilePhone in Microsoft Entra ID tramite la pagina del profilo. Gli amministratori possono anche aggiornare i valori MobilePhone e AlternateMobilePhones dell'utente sincronizzati in Microsoft Entra ID usando il modulo Microsoft Graph PowerShell.
Offrire agli utenti e agli amministratori la possibilità di aggiornare i numeri di telefono direttamente in Microsoft Entra ID consente alle aziende di ridurre il sovraccarico amministrativo della gestione dei numeri di telefono dell'utente in Active Directory locale, in quanto possono cambiare più frequentemente.
L'avvertenza, tuttavia, è che una volta aggiornato il numero MobilePhone o AlternateMobilePhone di un utente sincronizzato tramite il portale di amministrazione o PowerShell, l'API di sincronizzazione non rispeverà più gli aggiornamenti a questi attributi quando provengono da Active Directory locale. Questa funzionalità è comunemente nota come funzionalità "DirSyncOverrides". Gli amministratori noteranno questo comportamento quando gli aggiornamenti a Mobile o altri attributi Mobile in Active Directory, non aggiornano di conseguenza il MobilePhone o AlternateMobilePhone dell'utente corrispondente in Microsoft Entra ID, anche se l'oggetto viene sincronizzato correttamente tramite il motore di Microsoft Entra Connect.
Identificazione degli utenti con valori mobile e altri valori otherMobile
È possibile esportare un elenco di utenti con valori mobile e altri valori otherMobile diversi tra Active Directory e Microsoft Entra ID usando "Compare-ADSyncToolsDirSyncOverrides" dal modulo ADSyncTools di PowerShell. Ciò consentirà di determinare gli utenti e i rispettivi valori che sono diversi tra Active Directory locale e Microsoft Entra ID. Questo aspetto è importante perché l'abilitazione della funzionalità BypassDirSyncOverridesEnabled sovrascriverà tutti i diversi valori in Microsoft Entra ID con il valore proveniente da Active Directory locale.
Usare Compare-ADSyncToolsDirSyncOverrides
Come prerequisito, è necessario eseguire Microsoft Entra Connect versione 2 o successiva e installare il modulo ADSyncTools più recente da PowerShell Gallery con il comando seguente:
Install-Module ADSyncTools
Per confrontare tutti i valori Mobile e OtherMobile dell'utente sincronizzati, eseguire il comando seguente:
Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential)
Nota
L'API di destinazione usata da questa funzionalità non gestisce le interazioni utente di autenticazione. I criteri MFA o condizionali bloccheranno l'autenticazione. Quando viene richiesto di immettere le credenziali, usare un account amministratore globale che non dispone dell'autenticazione a più fattori abilitata o che siano applicati criteri di accesso condizionale. Come ultima risorsa, creare un account utente amministratore globale temporaneo senza MFA o accesso condizionale che può essere eliminato dopo aver completato le operazioni desiderate usando la funzionalità BypassDirSyncOverridees.
Questa funzione esporta un file CSV con un elenco di utenti in cui i valori Mobile o OtherMobile in Active Directory locale sono diversi dai rispettivi MobilePhone o AlternateMobilePhone in Microsoft Entra ID.
In questa fase è possibile usare questi dati per reimpostare i valori delle proprietà locali di Active Directory Mobile e altre proprietàMobile sui valori presenti in Microsoft Entra ID. In questo modo è possibile acquisire i numeri di telefono più aggiornati da Microsoft Entra ID e rendere persistenti questi dati in Active Directory locale, prima di abilitare la funzionalità BypassDirSyncOverridesEnabled. A tale scopo, importare i dati dal file CSV risultante e quindi usare il modulo "Set-ADSyncToolsDirSyncOverrides" dal modulo ADSyncTools per rendere persistente il valore in Active Directory locale.
Ad esempio, per importare dati dal file CSV ed estrarre i valori in Microsoft Entra ID per un determinato UserPrincipalName, usare il comando seguente:
$upn = '<UserPrincipalName>'
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' |
where UserPrincipalName -eq $upn |
select UserPrincipalName,*InAAD
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD
Abilitazione della funzionalità BypassDirSyncOverridesEnabled
Per impostazione predefinita, la funzionalità BypassDirSyncOverridesEnabled è disattivata. L'abilitazione di BypassDirSyncOverridesEnabled consente al tenant di ignorare le modifiche apportate in MobilePhone o AlternateMobilePhone direttamente da utenti o amministratori direttamente in Microsoft Entra ID e rispettare sempre i valori presenti in Active Directory Mobile o OtherMobilelocale.
Se non si vuole che gli utenti finali aggiornino il proprio numero di telefono cellulare o non sia necessario che gli amministratori aggiornino numeri di telefono mobili o alternativi usando PowerShell, è consigliabile lasciare abilitata la funzionalità BypassDirSyncOverridesEnabled nel tenant.
Con questa funzionalità attivata, anche se un utente finale o un amministratore aggiorna MobilePhone o AlternateMobilePhones in Microsoft Entra ID, i valori sincronizzati da Active Directory locale verranno mantenuti al successivo ciclo di sincronizzazione. Ciò significa che tutti gli aggiornamenti a questi valori vengono mantenuti solo quando l'aggiornamento viene eseguito in Active Directory locale e quindi sincronizzato con Microsoft Entra ID.
Abilitare la funzionalità BypassDirSyncOverridesEnabled:
Per abilitare la funzionalità BypassDirSyncOverridesEnabled, usare il modulo Microsoft Graph PowerShell.
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Dopo aver abilitato la funzionalità, avviare un ciclo di sincronizzazione completo in Microsoft Entra Connect usando il comando seguente:
Start-ADSyncSyncCycle -PolicyType Initial
Nota
Verranno aggiornati solo gli oggetti con un valore MobilePhone o AlternateMobilePhone diverso da Active Directory locale.
Verificare lo stato della funzionalità BypassDirSyncOverridesEnabled:
(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled
Disabilitazione della funzionalità BypassDirSyncOverridesEnabled
Se si vuole ripristinare la possibilità di aggiornare i numeri di telefono cellulare dal portale o Da PowerShell, è possibile disabilitare la funzionalità BypassDirSyncOverridesEnabled usando il comando seguente del modulo di PowerShell di Microsoft Graph:
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Quando questa funzionalità è disattivata, ogni volta che un utente o un amministratore aggiorna MobilePhone o AlternateMobilePhone direttamente in Microsoft Entra ID, viene creato un DirSyncOverrides che impedisce aggiornamenti futuri a questi attributi provenienti da Active Directory locale. Da questo punto in poi, un utente o un amministratore può gestire questi attributi solo da Microsoft Entra ID poiché tutti i nuovi aggiornamenti di Mobile locale o OtherMobile verranno ignorati.
Gestione dei numeri di telefono cellulare in Microsoft Entra ID e Active Directory locale
Per gestire i numeri di telefono dell'utente, un amministratore può usare il set di funzioni seguente dal modulo ADSyncTools per leggere, scrivere e cancellare i valori in Microsoft Entra ID o Active Directory locale.
Ottenere le proprietà Mobile e OtherMobile da Active Directory locale:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD
Ottenere le proprietà MobilePhone e AlternateMobilePhones da Microsoft Entra ID:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD
Impostare le proprietà MobilePhone e AlternateMobilePhones in Microsoft Entra ID:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'
Impostare le proprietà Mobile e altre proprietà otherMobile in Active Directory locale:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'
Deselezionare le proprietà MobilePhone e AlternateMobilePhones in Microsoft Entra ID:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD
Cancellare le proprietà Mobile e altre proprietà otherMobile in Active Directory locale:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD
Passaggi successivi
Altre informazioni su Microsoft Entra Connect: ADSyncTools modulo PowerShell