Come usare la funzionalità BypassDirSyncOverridesEnabled di un tenant di Microsoft Entra.
Questo articolo descrive la funzionalità BypassDirSyncOverridesEnabled e come ripristinare la sincronizzazione degli attributi Mobile e altri oggettiMobile da Microsoft Entra ID ad Active Directory locale.
In genere, gli utenti sincronizzati non possono essere modificati dai portali di amministrazione di Azure o Di Microsoft 365, né tramite PowerShell tramite Microsoft Entra ID o moduli di Microsoft Graph PowerShell. L'eccezione riguarda gli attributi utente di Microsoft Entra, denominati MobilePhone e AlternateMobilePhones. Questi attributi vengono sincronizzati dagli attributi di Active Directory locali "mobile" e "otherMobile", rispettivamente, ma gli utenti finali possono aggiornare il proprio numero di telefono nell'attributo MobilePhone in Microsoft Entra ID dalla pagina del profilo. Gli amministratori possono anche aggiornare i valori di MobilePhone sincronizzati e AlternateMobilePhones valori in Microsoft Entra ID usando il modulo Microsoft Graph PowerShell.
Offrire agli utenti e agli amministratori la possibilità di aggiornare i numeri di telefono direttamente in Microsoft Entra ID consente alle aziende di ridurre il sovraccarico amministrativo della gestione dei numeri di telefono dell'utente in Active Directory locale, in quanto possono cambiare più frequentemente.
L'avvertenza, tuttavia, è che quando un utente sincronizzato ha il numero MobilePhone o i numeri AlternateMobilePhones aggiornati tramite il portale di amministrazione o PowerShell, l'API di sincronizzazione non accetterà più aggiornamenti a questi attributi quando provengono da Active Directory locale. Questa è comunemente nota come funzionalità "DirSyncOverrides" . Gli amministratori noteranno questo comportamento quando gli aggiornamenti agli attributi Mobile o ai vari attributi Mobile in Active Directory non aggiornano di conseguenza i campi MobilePhone o AlternateMobilePhones dell'utente corrispondente in Microsoft Entra ID, anche se l'oggetto viene sincronizzato correttamente tramite il motore di Microsoft Entra Connect.
Identificazione degli utenti con valori mobile e altri valori mobili
È possibile esportare un elenco di utenti con valori di Mobile e otherMobile diversi tra Active Directory e Microsoft Entra ID usando il comando ‘Compare-ADSyncToolsDirSyncOverrides’ del modulo PowerShell di ADSyncTools. Ciò consentirà di determinare gli utenti e i rispettivi valori che sono diversi tra Active Directory locale e Microsoft Entra ID. Questo aspetto è importante perché l'abilitazione della funzionalità di BypassDirSyncOverridesEnabled sovrascriverà tutti i diversi valori in Microsoft Entra ID con il valore proveniente da Active Directory locale.
Uso di Compare-ADSyncToolsDirSyncOverrides
Come prerequisito, è necessario eseguire Microsoft Entra Connect versione 2 o successiva e installare il modulo ADSyncTools più recente da PowerShell Gallery con il comando seguente:
Install-Module ADSyncTools
Per confrontare tutti i valori Mobile e OtherMobile dell'utente sincronizzati, eseguire il comando seguente:
Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential)
Nota
L'API di destinazione usata da questa funzionalità non gestisce le interazioni utente di autenticazione. I criteri condizionali o MFA bloccano l'autenticazione. Quando viene richiesto di immettere le credenziali, utilizzare un account di amministratore globale che non abbia l'autenticazione multi-fattore abilitata né alcun criterio di accesso condizionale applicato. Come ultima risorsa, creare un account utente amministratore globale temporaneo senza MFA o accesso condizionale che può essere eliminato dopo aver completato le operazioni desiderate usando la funzionalità BypassDirSyncOverridees.
Questa funzione esporta un file CSV con un elenco di utenti in cui i valori Mobile o OtherMobile in Active Directory locale sono diversi dai rispettivi MobilePhone o AlternateMobilePhone in Microsoft Entra ID.
In questa fase è possibile usare questi dati per reimpostare i valori di Active Directory locale Mobile e altre proprietàmobile ai valori presenti in Microsoft Entra ID. In questo modo è possibile acquisire i numeri di telefono aggiornati da Microsoft Entra ID e rendere persistenti questi dati in Active Directory locale, prima di abilitare bypassDirSyncOverridesEnabled. A tale scopo, importare i dati dal file CSV risultante e quindi usare il 'Set-ADSyncToolsDirSyncOverrides' dal modulo ADSyncTools per mantenere il valore in Active Directory locale.
Ad esempio, per importare dati dal file CSV ed estrarre i valori in Microsoft Entra ID per un determinato UserPrincipalName, usare il comando seguente:
$upn = '<UserPrincipalName>'
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' |
where UserPrincipalName -eq $upn |
select UserPrincipalName,*InAAD
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD
Abilitazione della funzionalità BypassDirSyncOverridesEnabled
Per impostazione predefinita, la funzionalità di BypassDirSyncOverridesEnabled è disattivata. L'abilitazione di BypassDirSyncOverridesEnabled consente al tenant di ignorare le modifiche apportate in MobilePhone o AlternateMobilePhones da utenti o amministratori direttamente in Microsoft Entra ID e di rispettare sempre i valori presenti in Active Directory locale Mobile o OtherMobile.
Se non si vuole che gli utenti finali aggiornino il proprio numero di telefono cellulare o non sia necessario che gli amministratori aggiornino i numeri di telefono cellulare o alternativi usando PowerShell, è consigliabile lasciare la funzionalità BypassDirSyncOverridesEnabled abilitata nel tenant.
Con questa funzionalità attivata, anche se un utente finale o un amministratore aggiorna MobilePhone o AlternateMobilePhones in Microsoft Entra ID, i valori sincronizzati da Active Directory locale verranno mantenuti al successivo ciclo di sincronizzazione. Ciò significa che tutti gli aggiornamenti a questi valori vengono mantenuti solo quando l'aggiornamento viene eseguito in Active Directory locale e quindi sincronizzato con Microsoft Entra ID.
Abilitare la funzionalità BypassDirSyncOverridesEnabled:
Per abilitare la funzionalità BypassDirSyncOverridesEnabled, usare il modulo di Microsoft Graph PowerShell .
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Dopo aver abilitato la funzionalità, avviare un ciclo di sincronizzazione completo in Microsoft Entra Connect usando il comando seguente:
Start-ADSyncSyncCycle -PolicyType Initial
Nota
Verranno aggiornati solo gli oggetti con un valore di MobilePhone o AlternateMobilePhones diverso da quello di Active Directory locale.
Verificare lo stato della funzionalità BypassDirSyncOverridesEnabled:
(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled
Disabilitazione della funzionalità BypassDirSyncOverridesEnabled
Se si vuole ripristinare la possibilità di aggiornare i numeri di telefono cellulare dal portale o Da PowerShell, è possibile disabilitare funzionalità BypassDirSyncOverridesEnabled usando il comando seguente modulo di Microsoft Graph PowerShell:
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Quando questa funzionalità è disattivata, ogni volta che un utente o un amministratore aggiorna il MobilePhone o AlternateMobilePhones direttamente in Microsoft Entra ID, viene creato un DirSyncOverrides che impedisce eventuali aggiornamenti futuri a questi attributi provenienti da Active Directory locale. Da questo punto in poi, un utente o un amministratore può gestire questi attributi solo da Microsoft Entra ID, poiché qualsiasi nuovo aggiornamento da Mobile o OtherMobile verrà ignorato.
Gestione dei numeri di telefono cellulare in Microsoft Entra ID e Active Directory locale
Per gestire i numeri di telefono dell'utente, un amministratore può usare il set di funzioni seguente da modulo ADSyncTools per leggere, scrivere e cancellare i valori in Microsoft Entra ID o Active Directory locale.
Ottieni le proprietà Mobile e OtherMobile da Active Directory locale:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD
Ottenere le proprietà MobilePhone e alternateMobilePhone da Microsoft Entra ID:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD
Impostare le proprietà di MobilePhone e di AlternateMobilePhones su Microsoft Entra ID:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'
Impostare Mobile e altre proprietà di mobile in Active Directory locale:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'
Cancellare le proprietà MobilePhone e AlternateMobilePhones in Microsoft Entra ID:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD
Deselezionare Mobile e altre proprietà di Mobile in Active Directory locale:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD
Passaggi successivi
Altre informazioni su Microsoft Entra Connect: ADSyncTools modulo powerShell