De functie BypassDirSyncOverridesEnabled van een Microsoft Entra-tenant gebruiken.
In dit artikel wordt de functie BypassDirSyncOverridesEnabled beschreven en wordt beschreven hoe u synchronisatie van mobiele en andereMobile-kenmerken van Microsoft Entra-id naar on-premises Active Directory herstelt.
Over het algemeen kunnen gesynchroniseerde gebruikers niet worden gewijzigd vanuit Azure- of Microsoft 365-beheerportals, noch via PowerShell met behulp van Microsoft Entra ID of Microsoft Graph PowerShell-modules . De uitzondering hierop zijn de kenmerken van de Microsoft Entra-gebruiker met de naam Mobile Telefoon en AlternateMobile Telefoon s. Deze kenmerken worden respectievelijk gesynchroniseerd vanuit on-premises Active Directory-kenmerken mobiel en andereMobile, maar eindgebruikers kunnen hun eigen telefoonnummer bijwerken in Mobile Telefoon kenmerk in Microsoft Entra ID via hun profielpagina. Beheer s kunnen ook gesynchroniseerde gebruikers bijwerkenWaarden voor Mobile Telefoon en AlternateMobile Telefoon s in Microsoft Entra ID met behulp van de PowerShell-moduleMicrosoft Graph.
Door gebruikers en beheerders de mogelijkheid te geven om telefoonnummers rechtstreeks in Microsoft Entra ID bij te werken, kunnen ondernemingen de administratieve overhead van het beheren van telefoonnummers van gebruikers in lokale Active Directory verminderen, omdat deze vaker kunnen veranderen.
Het nadeel is echter dat wanneer het nummer van een gesynchroniseerde gebruiker Mobile Telefoon of AlternateMobile Telefoon s is bijgewerkt via de beheerportal of PowerShell, de synchronisatie-API niet langer updates van deze kenmerken nakomt wanneer deze afkomstig zijn van on-premises Active Directory. Dit wordt meestal een 'DirSyncOverrides' -functie genoemd. Beheer istrators merken dit gedrag wanneer updates van mobile- of andereMobile-kenmerken in Active Directory, de mobile Telefoon of AlternateMobile Telefoon s in Microsoft Entra ID niet bijwerken, ook al wordt het object gesynchroniseerd via de engine van Microsoft Entra Verbinding maken.
Gebruikers identificeren met verschillende Mobile- en andereMobile-waarden
U kunt een lijst met gebruikers met verschillende Mobile- en andereMobile-waarden tussen Active Directory en Microsoft Entra ID exporteren met behulp van Compare-ADSyncToolsDirSyncOverrides vanuit de PowerShell-module ADSyncTools . Hiermee kunt u de gebruikers en respectieve waarden bepalen die verschillen tussen on-premises Active Directory en Microsoft Entra-id. Dit is belangrijk om te weten omdat het inschakelen van de functie BypassDirSyncOverridesEnabled alle verschillende waarden in Microsoft Entra-id overschrijft met de waarde die afkomstig is van on-premises Active Directory.
Compare-ADSyncToolsDirSyncOverrides gebruiken
Als vereiste moet u Microsoft Entra Verbinding maken versie 2 of hoger uitvoeren en de nieuwste ADSyncTools-module installeren vanuit PowerShell Gallery met de volgende opdracht:
Install-Module ADSyncTools
Voer de volgende opdracht uit om alle waarden van de gesynchroniseerde gebruiker Mobile en OtherMobile te vergelijken:
Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential)
Notitie
De doel-API die door deze functie wordt gebruikt, verwerkt geen verificatiegebruikersinteracties. MFA of voorwaardelijk beleid blokkeert verificatie. Wanneer u wordt gevraagd om referenties in te voeren, gebruikt u een Global Beheer istrator-account waarop MFA niet is ingeschakeld of waarop beleid voor voorwaardelijke toegang is toegepast. Als laatste redmiddel maakt u een tijdelijk Global Beheer istrator-gebruikersaccount zonder MFA of voorwaardelijke toegang die kan worden verwijderd nadat u de gewenste bewerkingen hebt voltooid met behulp van de functie BypassDirSyncOverridees.
Met deze functie wordt een CSV-bestand geƫxporteerd met een lijst met gebruikers waarbij Mobile- of OtherMobile-waarden in on-premises Active Directory afwijken van de respectieve Mobile Telefoon of AlternateMobile Telefoon s in Microsoft Entra ID.
In deze fase kunt u deze gegevens gebruiken om de waarden van de on-premises Active Directory Mobile - en andereMobile-eigenschappen opnieuw in te stellen op de waarden die aanwezig zijn in de Microsoft Entra-id. Op deze manier kunt u de meest bijgewerkte telefoonnummers van Microsoft Entra ID vastleggen en deze gegevens in on-premises Active Directory behouden voordat u bypassDirSyncOverridesEnabled inschakelt. Hiervoor importeert u de gegevens uit het resulterende CSV-bestand en gebruikt u vervolgens de module Set-ADSyncToolsDirSyncOverrides uit ADSyncTools om de waarde in on-premises Active Directory te behouden.
Als u bijvoorbeeld gegevens uit het CSV-bestand wilt importeren en de waarden wilt extraheren in Microsoft Entra ID voor een bepaalde UserPrincipalName, gebruikt u de volgende opdracht:
$upn = '<UserPrincipalName>'
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' |
where UserPrincipalName -eq $upn |
select UserPrincipalName,*InAAD
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD
De functie BypassDirSyncOverridesEnabled inschakelen
De functie BypassDirSyncOverridesEnabled is standaard uitgeschakeld. Als u BypassDirSyncOverridesEnabled inschakelt, kan uw tenant eventuele wijzigingen in Mobile Telefoon of AlternateMobile Telefoon s rechtstreeks in Microsoft Entra ID omzeilen en altijd de waarden respecteren die aanwezig zijn in on-premises Active Directory Mobile of OtherMobile.
Als u niet wilt dat eindgebruikers hun eigen mobiele telefoonnummer bijwerken of als beheerders geen mobiele of alternatieve mobiele telefoonnummers moeten bijwerken met PowerShell, moet u de functie BypassDirSyncOverridesEnabled ingeschakeld laten op de tenant.
Als deze functie is ingeschakeld, zelfs als een eindgebruiker of beheerder Mobile Telefoon of AlternateMobile Telefoon s in Microsoft Entra ID bijwerken, blijven de waarden die zijn gesynchroniseerd vanuit on-premises Active Directory behouden tijdens de volgende synchronisatiecyclus. Dit betekent dat updates voor deze waarden alleen behouden blijven wanneer de update wordt uitgevoerd in on-premises Active Directory en vervolgens worden gesynchroniseerd met Microsoft Entra-id.
Schakel de functie BypassDirSyncOverridesEnabled in:
Als u de functie BypassDirSyncOverridesEnabled wilt inschakelen, gebruikt u de Microsoft Graph PowerShell-module .
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Zodra de functie is ingeschakeld, start u een volledige synchronisatiecyclus in Microsoft Entra Verbinding maken met behulp van de volgende opdracht:
Start-ADSyncSyncCycle -PolicyType Initial
Notitie
Alleen objecten met een andere mobile Telefoon- of AlternateMobile Telefoon s-waarde van on-premises Active Directory worden bijgewerkt.
Controleer de status van de functie BypassDirSyncOverridesEnabled:
(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled
De functie BypassDirSyncOverridesEnabled uitschakelen
Als u de mogelijkheid wilt herstellen om mobiele telefoonnummers bij te werken vanuit de portal of PowerShell, kunt u bypassDirSyncOverridesEnabled uitschakelen met behulp van de volgende Microsoft Graph PowerShell-moduleopdracht:
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Wanneer deze functie is uitgeschakeld, wordt er telkens wanneer een gebruiker of beheerder de mobile Telefoon of AlternateMobile Telefoon s rechtstreeks in Microsoft Entra ID bijwerken, een DirSyncOverrides gemaakt waardoor toekomstige updates van deze kenmerken afkomstig zijn van on-premises Active Directory. Vanaf dit punt kan een gebruiker of beheerder deze kenmerken alleen beheren vanuit Microsoft Entra ID, omdat nieuwe updates van on-premises Mobile of OtherMobile worden gesloten.
Mobiele telefoonnummers beheren in Microsoft Entra ID en on-premises Active Directory
Als u de telefoonnummers van de gebruiker wilt beheren, kan een beheerder de volgende set functies van de ADSyncTools-module gebruiken om de waarden in Microsoft Entra-id of on-premises Active Directory te lezen, schrijven en wissen.
Mobile- en OtherMobile-eigenschappen ophalen uit on-premises Active Directory:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD
De eigenschappen Mobile Telefoon en AlternateMobile Telefoon s ophalen uit Microsoft Entra-id:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD
De eigenschappen Mobile Telefoon en AlternateMobile Telefoon s instellen in Microsoft Entra-id:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'
Mobile- en andereMobile-eigenschappen instellen in on-premises Active Directory:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'
Wis de eigenschappen Mobile Telefoon en AlternateMobile Telefoon s in Microsoft Entra ID:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD
De eigenschappen Mobile en andereMobile wissen in on-premises Active Directory:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD
Volgende stappen
Meer informatie over Microsoft Entra Verbinding maken: ADSyncTools PowerShell-module