Microsoft Entra Connect Sync: Een wijziging aanbrengen in de standaardconfiguratie

Het doel van dit artikel is om u te helpen bij het aanbrengen van wijzigingen in de standaardconfiguratie in Microsoft Entra Connect Sync. Het biedt stappen voor enkele veelvoorkomende scenario's. Met deze kennis moet u eenvoudige wijzigingen in uw eigen configuratie kunnen aanbrengen op basis van uw eigen bedrijfsregels.

Waarschuwing

Als u wijzigingen aanbrengt in de standaard out-of-box-synchronisatieregels, worden deze wijzigingen overschreven wanneer Microsoft Entra Connect de volgende keer wordt bijgewerkt, wat resulteert in onverwachte en waarschijnlijk ongewenste synchronisatieresultaten.

De standaard 'out-of-box' synchronisatieregels hebben een vingerafdruk-id. Als u een wijziging aanbrengt in deze regels, komt de vingerafdruk niet meer overeen. Mogelijk hebt u in de toekomst problemen wanneer u probeert een nieuwe versie van Microsoft Entra Connect toe te passen. Breng alleen wijzigingen aan zoals deze in dit artikel worden beschreven.

Editor voor synchronisatieregels

De editor voor synchronisatieregels wordt gebruikt om de standaardconfiguratie te bekijken en te wijzigen. U vindt deze in het menu Start onder de groep Microsoft Entra Connect.

Wanneer u de editor opent, ziet u de standaard out-of-box-regels.

Regeleditor synchroniseren

Navigeren in de editor

Met behulp van de vervolgkeuzelijsten boven aan de editor kunt u snel een specifieke regel vinden. Als u bijvoorbeeld de regels wilt zien waarin de kenmerkproxyAddresses is opgenomen, kunt u de vervolgkeuzelijsten wijzigen in het volgende:

Als u het filteren opnieuw wilt instellen en een nieuwe configuratie wilt laden, drukt u op F5 op het toetsenbord.

Rechtsboven ziet u de knop Nieuwe regel toevoegen. U gebruikt deze knop om uw eigen aangepaste regel te maken.

Onderaan staan knoppen voor het reageren op een geselecteerde synchronisatieregel. Bewerken en Verwijderen doen wat u verwacht. Export een PowerShell-script produceert voor het opnieuw maken van de synchronisatieregel. Met deze procedure kunt u een synchronisatieregel van de ene server naar de andere verplaatsen.

Uw eerste aangepaste regel maken

De meest voorkomende wijzigingen hebben betrekking op de kenmerkstromen. De gegevens in uw bronmap zijn mogelijk niet hetzelfde als in Microsoft Entra-id. Zorg ervoor dat in het voorbeeld in deze sectie de opgegeven naam van een gebruiker altijd in juist hoofdlettergebruikis.

De planner uitschakelen

De scheduler wordt standaard elke 30 minuten uitgevoerd. Zorg ervoor dat deze niet wordt gestart terwijl u wijzigingen aanbrengt en problemen met uw nieuwe regels opgeeft. Als u de planner tijdelijk wilt uitschakelen, start u PowerShell en voert u Set-ADSyncScheduler -SyncCycleEnabled $falseuit.

De regel maken

1. Klik op Nieuwe regel toevoegen.
2. Voer op de pagina Beschrijving het volgende in:
   
   • Naam: geef de regel een beschrijvende naam.
   • Beschrijving: geef wat uitleg zodat iemand anders kan begrijpen waar de regel voor staat.
   • Connected System: dit is het systeem waarin het object kan worden gevonden. In dit geval selecteer je Active Directory-connector.
   • Connected System/Metaverse ObjectType: selecteer respectievelijk User en Person.
   • koppelingstype: wijzig deze waarde in Join-.
   • Voorrang: geef een waarde op die uniek is in het systeem. Een lagere numerieke waarde geeft een hogere prioriteit aan.
   • Tag: laat dit leeg. Alleen out-of-box-regels van Microsoft moeten dit vak hebben gevuld met een waarde.
3. Voer op de bereikfilter pagina givenName ISNOTNULLin.
   
   Deze sectie wordt gebruikt om te definiëren welke objecten de regel moet toepassen. Als deze leeg blijft, is de regel van toepassing op alle gebruikersobjecten. Dit omvat echter vergaderruimten, serviceaccounts en andere niet-personengebruikersobjecten.
4. Laat op de pagina Join-regels het veld leeg.
5. Wijzig op de pagina Transformaties FlowType in Expression. Selecteer voor doelkenmerkvoornaam. En voer voor bron, PCase([givenName])in.
   De synchronisatie-engine is hoofdlettergevoelig voor zowel de functienaam als de naam van het kenmerk. Als u iets verkeerd typt, ziet u een waarschuwing wanneer u de regel toevoegt. U kunt opslaan en doorgaan, maar u moet de regel opnieuw openen en corrigeren.
6. Klik op toevoegen om de regel op te slaan.

De nieuwe aangepaste regel moet zichtbaar zijn met de andere synchronisatieregels in het systeem.

De wijziging controleren

Met deze nieuwe wijziging wilt u ervoor zorgen dat deze werkt zoals verwacht en geen fouten genereert. Afhankelijk van het aantal objecten dat u hebt, zijn er twee manieren om deze stap uit te voeren:

• Voer een volledige synchronisatie uit op alle objecten.
• Voer een preview-versie en volledige synchronisatie uit op één object.

Open de Synchronization Service vanuit het Start-menu. De stappen in deze sectie bevinden zich allemaal in dit hulpprogramma.

volledige synchronisatie van alle objecten

1. Selecteer bovenaan Connectors. Identificeer de connector die u in de vorige sectie hebt gewijzigd (in dit geval Active Directory Domain Services) en selecteer deze.
2. Voor acties, selecteer uitvoeren.
3. Selecteer volledige synchronisatieen selecteer OK-.
   De objecten worden nu bijgewerkt in de metaverse. Controleer uw wijzigingen door naar het object in de metaverse te kijken.

Preview en volledige synchronisatie op één object

1. Selecteer bovenaan Connectors. Identificeer de connector die u in de vorige sectie hebt gewijzigd (in dit geval Active Directory Domain Services) en selecteer deze.
2. Selecteer Zoekconnectorruimte.
3. Gebruik Bereik om een object te vinden dat u wilt gebruiken om de wijziging te testen. Selecteer het object en klik op Preview-.
4. Selecteer in het nieuwe scherm Doorvoervoorbeeld.
   
   De wijziging wordt nu doorgevoerd in de metaverse.

Het object weergeven in de metaverse-

1. Kies een paar voorbeeldobjecten om ervoor te zorgen dat de waarde wordt verwacht en dat de regel is toegepast.
2. Selecteer Metaverse Search van boven. Voeg een filter toe dat u nodig hebt om de relevante objecten te vinden.
3. Open een object in het zoekresultaat. Bekijk de kenmerkwaarden en controleer ook in de kolom Synchronisatieregels kolom dat de regel is toegepast zoals verwacht.
   

De planner inschakelen

Als alles naar verwachting is, kunt u de scheduler opnieuw inschakelen. Voer vanuit PowerShell Set-ADSyncScheduler -SyncCycleEnabled $trueuit.

Andere algemene wijzigingen in kenmerkstromen

In de vorige sectie wordt beschreven hoe u wijzigingen aanbrengt in een kenmerkstroom. In deze sectie worden enkele aanvullende voorbeelden gegeven. De stappen voor het maken van de synchronisatieregel worden afgekort, maar u vindt de volledige stappen in de vorige sectie.

Een ander kenmerk dan de standaardwaarde gebruiken

In dit Fabrikam-scenario is er een bos waarin het lokale alfabet wordt gebruikt voor de voornaam, achternaam en weergavenaam. De Latijnse tekenweergave van deze kenmerken vindt u in de extensiekenmerken. Voor het bouwen van een algemene adreslijst in Microsoft Entra ID en Microsoft 365 wil de organisatie deze kenmerken gebruiken.

Met een standaardconfiguratie ziet een object uit het lokale forest er als volgt uit:

Ga als volgt te werk om een regel te maken met andere kenmerkstromen:

1. Open de Synchronisatieregels-editor in het Startmenu.
2. Met Inbound nog steeds geselecteerd aan de linkerkant, klikt u op de knop Nieuwe regel toevoegen.
3. Geef de regel een naam en beschrijving. Selecteer het on-premises Active Directory-exemplaar en de relevante objecttypen. Selecteer in koppelingstypeJoin. Kies voor prioriteiteen getal dat niet wordt gebruikt door een andere regel. De standaardregels beginnen bij 100, zodat de waarde 50 in dit voorbeeld kan worden gebruikt.
4. Laat scopingfilter leeg. (Dat wil gezegd, dit moet van toepassing zijn op alle gebruikersobjecten in het forest.)
5. Laat de regels voor toetreding leeg. (Met andere woorden, laat de out-of-box-regel alle koppelingen verwerken.)
6. Maak in Transformationsde volgende workflows aan:
   
7. Klik op toevoegen om de regel op te slaan.
8. Ga naar Synchronization Service Manager-. Selecteer in connectorsde connector waaraan u de regel hebt toegevoegd. Selecteer uitvoeren en selecteer vervolgens volledige synchronisatie. Een volledige synchronisatie berekent alle objecten opnieuw met behulp van de huidige regels.

Dit is het resultaat voor hetzelfde object met deze aangepaste regel:

Lengte van kenmerken

Tekenreekskenmerken kunnen standaard worden geïndexeerd en de maximale lengte is 448 tekens. Als u werkt met tekenreekskenmerken die meer kunnen bevatten, moet u het volgende opnemen in de kenmerkstroom:
attributeName <- Left([attributeName],448).

Het userPrincipalSuffix wijzigen

Het kenmerk userPrincipalName in Active Directory is niet altijd bekend door de gebruikers en is mogelijk niet geschikt als aanmeldings-id. Met de installatiewizard van Microsoft Entra Connect-synchronisatie kunt u een ander kenmerk kiezen, bijvoorbeeld e-mail. Maar in sommige gevallen moet het kenmerk worden berekend.

Het bedrijf Contoso heeft bijvoorbeeld twee Microsoft Entra-directory's, één voor productie en één voor testdoeleinden. Ze willen dat de gebruikers in hun testtenant een ander achtervoegsel gebruiken in de aanmeldings-id:
Word([userPrincipalName],1,"@") & "@contosotest.com".

In deze expressie neemt u alles links van het eerste @-teken (Word) en voegt u deze samen met een vaste tekenreeks.

Een kenmerk met meerdere waarden converteren naar één waarde

Sommige attributen in Active Directory zijn meervoudig gewaardeerd in het schema, ook al lijken ze enkelvoudig gewaardeerd in Active Directory Gebruikers en Computers. Een voorbeeld is het beschrijvingskenmerk:
description <- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

Als het kenmerk in deze expressie een waarde heeft, neem het eerste item (Item) van het kenmerk, verwijder voorloop- en volgspaties (Bijsnijden) en houd vervolgens de eerste 448 tekens (Links) van de tekenreeks.

Laat een kenmerk niet doorstromen

Voor achtergrondinformatie over het scenario voor deze sectie, zie Beheers het proces van de kenmerkstroom.

Er zijn twee manieren om een attribuut niet door te laten. De eerste is door de installatiewizard te gebruiken om geselecteerde kenmerken te verwijderen . Deze optie werkt als u het kenmerk nog nooit eerder hebt gesynchroniseerd. Als u dit kenmerk echter begint te synchroniseren en later met deze functie te verwijderen, stopt de synchronisatie-engine met het beheren van het kenmerk en blijven de bestaande waarden in Microsoft Entra-id staan.

Als u de waarde van een kenmerk wilt verwijderen en ervoor wilt zorgen dat het niet in de toekomst stroomt, moet u een aangepaste regel maken.

In dit Fabrikam-scenario hebben we vastgesteld dat sommige kenmerken die we synchroniseren met de cloud niet mogen zijn. We willen ervoor zorgen dat deze kenmerken worden verwijderd uit de Microsoft Entra-id.

1. Maak een nieuwe regel voor binnenkomende synchronisatie en vul de beschrijving in.
2. Maak kenmerkstromen met Expression voor FlowType- en met AuthoritativeNull- voor Bron-. De letterlijke AuthoritativeNull geeft aan dat de waarde leeg moet zijn in de metaverse, zelfs als een synchronisatieregel met een lagere prioriteit de waarde probeert te vullen.
3. Sla de synchronisatieregel op. Start de Synchronization Service, zoek de connector, selecteer uitvoeren en selecteer vervolgens volledige synchronisatie. Met deze stap worden alle kenmerkstromen opnieuw berekend.
4. Controleer of de beoogde wijzigingen binnenkort worden geëxporteerd door de connectorruimte te doorzoeken.

Regels maken met PowerShell

Het gebruik van de editor voor synchronisatieregels werkt prima wanneer u slechts enkele wijzigingen moet aanbrengen. Als u veel wijzigingen wilt aanbrengen, is PowerShell mogelijk een betere optie. Sommige geavanceerde functies zijn alleen beschikbaar met PowerShell.

Het PowerShell-script ophalen voor een out-of-box-regel

Als u het PowerShell-script wilt zien dat een out-of-box-regel heeft gemaakt, selecteert u de regel in de editor voor synchronisatieregels en klikt u op Exporteren. Met deze actie krijgt u het PowerShell-script waarmee de regel is gemaakt.

Geavanceerde prioriteit

De standaardsynchronisatieregels beginnen met een voorrangswaarde van 100. Als u veel bossen hebt en u veel aangepaste wijzigingen moet aanbrengen, zijn 99 synchronisatieregels mogelijk niet voldoende.

U kunt de synchronisatie-engine instrueren om aanvullende regels toe te voegen vóór de standaardregels. Volg deze stappen om dit gedrag te verkrijgen:

1. Markeer de eerste out-of-box-synchronisatieregel (In uit AD-User Join) in de editor voor synchronisatieregels en selecteer Exporteren. Kopieer de waarde van de SR-identifier.
   wijzigt
2. Maak de nieuwe synchronisatieregel. U kunt de editor voor synchronisatieregels gebruiken om deze te maken. Exporteer de regel naar een PowerShell-script.
3. Voeg in de eigenschap PrioriteitBeforede id-waarde uit de out-of-box-regel in. Stel de voorrang in op 0. Zorg ervoor dat het kenmerk Id uniek is en dat u geen GUID van een andere regel opnieuw gebruikt. Zorg er ook voor dat de eigenschap ImmutableTag niet is ingesteld. Deze eigenschap moet alleen worden ingesteld voor een out-of-box-regel.
4. Sla het PowerShell-script op en voer het uit. Het resultaat is dat aan uw aangepaste regel de prioriteitswaarde van 100 wordt toegewezen en dat alle andere kant-en-klare regels worden verhoogd.
   

U kunt veel aangepaste synchronisatieregels hebben door dezelfde prioriteitBefore waarde te gebruiken wanneer dat nodig is.

Synchronisatie van UserType inschakelen

Microsoft Entra Connect ondersteunt synchronisatie van het kenmerk UserType voor User-objecten in versie 1.1.524.0 en hoger. In het bijzonder zijn de volgende wijzigingen geïntroduceerd:

• Het schema van het objecttype User in de Microsoft Entra Connector wordt uitgebreid met het kenmerk UserType, dat van het type tekenreeks is en enkelvoudig is.
• Het schema van het objecttype Person in de metaverse wordt uitgebreid met het kenmerk UserType, dat van het type tekenreeks is en één waarde heeft.

Het kenmerk UserType is standaard niet ingeschakeld voor synchronisatie omdat er geen overeenkomend UserType-kenmerk is in on-premises Active Directory. U moet synchronisatie handmatig inschakelen. Voordat u dit doet, moet u rekening houden met het volgende gedrag dat wordt afgedwongen door Microsoft Entra-id:

• Microsoft Entra accepteert alleen twee waarden voor het kenmerk UserType: Member en Guest.
• Als het kenmerk UserType niet is ingeschakeld voor synchronisatie in Microsoft Entra Connect, hebben Microsoft Entra-gebruikers die zijn gemaakt via adreslijstsynchronisatie het kenmerk UserType ingesteld op Member.
• Vóór versie 1.5.30.0 staat Microsoft Entra-id niet toe dat het kenmerk UserType voor bestaande Microsoft Entra-gebruikers door Microsoft Entra Connect wordt gewijzigd. In oudere versies kon deze alleen worden ingesteld tijdens het maken van de Microsoft Entra-gebruikers en gewijzigd via PowerShell.

Voordat u synchronisatie van het kenmerk UserType inschakelt, moet u eerst beslissen hoe het kenmerk wordt afgeleid van on-premises Active Directory. Hier volgen de meest voorkomende benaderingen:

• Wijs een ongebruikt on-premises AD-kenmerk (zoals extensionAttribute1) aan dat moet worden gebruikt als bronkenmerk. Het aangewezen on-premises AD-kenmerk moet van het type tekenreekszijn, één waarde hebben en de waarde Lid- of Gast-bevatten.

  Als u deze methode kiest, moet u ervoor zorgen dat het aangewezen kenmerk wordt gevuld met de juiste waarde voor alle bestaande gebruikersobjecten in on-premises Active Directory die worden gesynchroniseerd met Microsoft Entra-id voordat u synchronisatie van het kenmerk UserType inschakelt.

• U kunt ook de waarde voor het kenmerk UserType afleiden van andere eigenschappen. U wilt bijvoorbeeld alle gebruikers synchroniseren als Gast als hun on-premises AD userPrincipalName-kenmerk eindigt op domeingedeelte @partners.fabrikam123.org.

  Zoals eerder vermeld, kunnen oudere versies van Microsoft Entra Connect het kenmerk UserType voor bestaande Microsoft Entra-gebruikers niet wijzigen door Microsoft Entra Connect. Daarom moet u ervoor zorgen dat de logica die u hebt besloten consistent is met de wijze waarop het kenmerk UserType al is geconfigureerd voor alle bestaande Microsoft Entra-gebruikers in uw tenant.

De stappen voor het inschakelen van de synchronisatie van het kenmerk UserType kunnen worden samengevat als:

1. Schakel de synchronisatieplanner uit en controleer of er geen synchronisatie wordt uitgevoerd.
2. Voeg het bronkenmerk toe aan het on-premises AD Connector-schema.
3. Voeg het UserType toe aan het Microsoft Entra Connector-schema.
4. Maak een regel voor binnenkomende synchronisatie om de kenmerkwaarde van on-premises Active Directory te laten stromen.
5. Maak een regel voor uitgaande synchronisatie om de kenmerkwaarde naar Microsoft Entra-id te laten stromen.
6. Voer een volledige synchronisatiecyclus uit.
7. Schakel de synchronisatieplanner in.

Notitie

In de rest van deze sectie worden deze stappen behandeld. Ze worden beschreven in de context van een Microsoft Entra-implementatie met topologie met één forest en zonder aangepaste synchronisatieregels. Als u een topologie met meerdere forests hebt, aangepaste synchronisatieregels hebt geconfigureerd of een faseringsserver hebt, moet u de stappen dienovereenkomstig aanpassen.

Stap 1: De synchronisatieplanner uitschakelen en controleren of er geen synchronisatie wordt uitgevoerd

Om te voorkomen dat onbedoelde wijzigingen in Microsoft Entra ID worden geëxporteerd, moet u ervoor zorgen dat er geen synchronisatie plaatsvindt terwijl u zich midden in het bijwerken van synchronisatieregels bevindt. De ingebouwde synchronisatieplanner uitschakelen:

1. Start een PowerShell-sessie op de Microsoft Entra Connect-server.
2. Schakel geplande synchronisatie uit door de cmdlet Set-ADSyncScheduler -SyncCycleEnabled $falseuit te voeren.
3. Open Synchronization Service Manager door naar Start>Synchronization Servicete gaan.
4. Ga naar het tabblad Bewerkingen en controleer of er geen bewerking is met de status in uitvoering.

Stap 2: Het bronkenmerk toevoegen aan het on-premises AD Connector-schema

Niet alle Microsoft Entra-attributen worden geïmporteerd in de on-premises AD Connector Space. Het bronkenmerk toevoegen aan de lijst met geïmporteerde kenmerken:

1. Ga naar het tabblad Connectors in Synchronisatieservicebeheer.
2. Klik met de rechtermuisknop op de on-premises AD Connector en selecteer Eigenschappen.
3. Ga in het pop-updialoogvenster naar het tabblad Kenmerken selecteren.
4. Zorg ervoor dat het bronkenmerk is ingecheckt in de lijst met kenmerken.
5. Klik op OK- om op te slaan.

Stap 3: het kenmerk UserType toevoegen aan het Schema van de Microsoft Entra-connector

Standaard wordt het kenmerk UserType niet geïmporteerd in de Microsoft Entra Connect Space. Het kenmerk UserType toevoegen aan de lijst met geïmporteerde kenmerken:

1. Ga naar het tabblad Connectors in Synchronisatieservicebeheer.
2. Klik met de rechtermuisknop op de Microsoft Entra Connector en selecteer Eigenschappen.
3. Ga in het pop-updialoogvenster naar het tabblad Kenmerken selecteren.
4. Zorg ervoor dat het kenmerk UserType is ingeschakeld in de lijst met kenmerken.
5. Klik op OK- om op te slaan.

Stap 4: Maak een regel voor binnenkomende synchronisatie om de kenmerkwaarde van on-premises Active Directory te laten stromen

Met de regel voor binnenkomende synchronisatie kan de kenmerkwaarde stromen van het bronkenmerk van on-premises Active Directory naar de metaverse:

1. Open de Synchronisatieregels Editor door naar Start>Synchronisatieregels Editorte gaan.

2. Stel het zoekfilter Direction in op inkomende.

3. Klik op de knop Nieuwe regel toevoegen om een nieuwe binnenkomende regel te maken.

4. Geef op het tabblad Beschrijving de volgende configuratie op:

   Attribuut	Waarde	Bijzonderheden
   Naam	Geef een naam op	Bijvoorbeeld In vanuit AD: Gebruiker UserType
   Beschrijving	Een beschrijving opgeven
   Verbonden systeem	de on-premises AD-connector kiezen
   Type verbonden systeemobject	gebruiker
   Metaverse-objecttype	persoon
   Koppelingstype	deelnemen aan
   Voorrang	kies een getal tussen 1-99	1-99 is gereserveerd voor aangepaste synchronisatieregels. Kies geen waarde die wordt gebruikt door een andere synchronisatieregel.

5. Ga naar het tabblad scopingfilter en voeg een enkele scopingfiltergroep toe met de volgende clausule:

   Attribuut	Bediener	Waarde
   beheerderOmschrijving	NOTSTARTWITH	Gebruiker_

   Het bereikfilter bepaalt op welke on-premises AD-objecten deze binnenkomende synchronisatieregel wordt toegepast. In dit voorbeeld gebruiken we hetzelfde bereikfilter dat wordt gebruikt in de In van AD – Gebruiker Algemeen out-of-box-synchronisatieregel, waardoor de synchronisatieregel niet kan worden toegepast op gebruikersobjecten die zijn gemaakt via de writeback-functie van Microsoft Entra-gebruikers. Mogelijk moet u het bereikfilter aanpassen op basis van uw Microsoft Entra Connect-implementatie.

6. Ga naar het tabblad Transformatie en implementeer de gewenste transformatieregel. Als u bijvoorbeeld een ongebruikt on-premises AD-kenmerk (zoals extensionAttribute1) hebt aangewezen als het bronkenmerk voor het UserType, kunt u een directe kenmerkstroom implementeren:

   Stroomtype	Doelkenmerk	Bron	Eenmaal toepassen	Samenvoegtype
   Rechtstreeks	Gebruikerstype	uitbreidingsattribuut1	Niet gecontroleerd	Bijwerken

   In een ander voorbeeld wilt u de waarde voor het kenmerk UserType afleiden uit andere eigenschappen. U wilt bijvoorbeeld alle gebruikers synchroniseren als gast als hun on-premises AD userPrincipalName-kenmerk eindigt op domeinonderdeel @partners.fabrikam123.org. U kunt een expressie als volgt implementeren:

   Type strom	Doelkenmerk	Bron	Eenmaal toepassen	Samenvoegtype
   Uitdrukking	Gebruikerstype	IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is niet aanwezig om UserType te bepalen"))	Niet gecontroleerd	Update

7. Klik op toevoegen om de regel voor inkomend verkeer te maken.

Stap 5: Maak een uitgaande synchronisatieregel om de kenmerkwaarde naar Microsoft Entra-id te laten stromen

Met de regel voor uitgaande synchronisatie kan de kenmerkwaarde van de metaverse naar het kenmerk UserType in Microsoft Entra ID stromen:

1. Ga naar de editor voor synchronisatieregels.

2. Stel het zoekfilter Direction in op uitgaande.

3. Klik op de knop Nieuwe regel toevoegen.

4. Geef op het tabblad Beschrijving de volgende configuratie op:

   Attribuut	Waarde	Bijzonderheden
   Naam	Geef een naam op	Bijvoorbeeld, Uit naar Microsoft Entra ID – User UserType
   Beschrijving	Een beschrijving opgeven
   Verbonden systeem	Selecteer de Microsoft Entra-connector
   Verbonden systeemobjecttype	gebruiker
   Metaverse-objecttype	persoon
   Koppelingstype	deelnemen aan
   Voorrang	kies een getal tussen 1-99	1-99 is gereserveerd voor aangepaste synchronisatieregels. Kies geen waarde die wordt gebruikt door een andere synchronisatieregel.

5. Ga naar het tabblad scopingfilter en voeg een enkele scopingfiltergroep toe met twee voorwaarden:

   Attribuut	Bediener	Waarde
   sourceObjectType	GELIJK	Gebruiker
   cloudMastered	NOTEQUAL	Waar

   Het bereikfilter bepaalt op welke Microsoft Entra-objecten deze uitgaande synchronisatieregel wordt toegepast. In dit voorbeeld gebruiken we hetzelfde scopingsfilter van de Out naar AD – User Identity out-of-box-synchronisatieregel. Hiermee voorkomt u dat de synchronisatieregel wordt toegepast op gebruikersobjecten die niet vanuit on-premises Active Directory worden gesynchroniseerd. Mogelijk moet u het bereikfilter aanpassen op basis van uw Microsoft Entra Connect-implementatie.

6. Ga naar het tabblad Transformatie en implementeer de volgende transformatieregel:

   Stroomtype	Doelkenmerk	Bron	Eenmaal toepassen	Samenvoegtype
   Rechtstreeks	Gebruikertype	Gebruikerstype	Niet gecontroleerd	Update

7. Klik op Voeg toe om de uitgaande regel te maken.

Stap 6: Een volledige synchronisatiecyclus uitvoeren

Over het algemeen is een volledige synchronisatiecyclus vereist omdat we nieuwe kenmerken hebben toegevoegd aan zowel de Active Directory- als de Microsoft Entra Connector-schema's en aangepaste synchronisatieregels hebben geïntroduceerd. U wilt de wijzigingen controleren voordat u ze naar Microsoft Entra-id exporteert.

U kunt de volgende stappen gebruiken om de wijzigingen te controleren tijdens het handmatig uitvoeren van de stappen waaruit een volledige synchronisatiecyclus bestaat.

1. Voer een volledige import- uit op de on-premises AD-connector:

   1. Ga naar het tabblad Connectors in Synchronisatieservicebeheer.

   2. Klik met de rechtermuisknop op de on-premises AD Connector en selecteer Uitvoeren.

   3. Selecteer in het pop-updialoogvenster Volledige Import en klik vervolgens op OK.

   4. Wacht tot de bewerking is voltooid.

      Notitie

      U kunt een volledige import overslaan op de on-premises AD-connector als het bronkenmerk al is opgenomen in de lijst met geïmporteerde kenmerken. Met andere woorden, u hoeft tijdens stap 2 geen wijzigingen aan te brengen: voeg het bronkenmerk toe aan het on-premises AD Connector-schema.

2. Voer een volledige import uit op de Microsoft Entra Connector:

   1. Klik met de rechtermuisknop op de Microsoft Entra Connector en selecteer uitvoeren.
   2. Selecteer in het popupvenster Volledige Import en klik vervolgens op OK.
   3. Wacht tot de bewerking is voltooid.

3. Controleer of de synchronisatieregel wordt gewijzigd voor een bestaand gebruikersobject:

   Het bronkenmerk van on-premises Active Directory en het UserType van Microsoft Entra ID zijn geïmporteerd in hun respectieve Connector Spaces. Voordat u doorgaat met een volledige synchronisatie, voert u een Preview- uit op een bestaand gebruikersobject in de on-premises AD-connectorruimte. Het object dat u hebt gekozen, moet het bronkenmerk ingevuld hebben.

   Een geslaagde Preview- met het UserType ingevuld in de metaverse is een goede indicator dat u de synchronisatieregels correct hebt geconfigureerd. Voor meer informatie over hoe u een Voorbeeld-uitvoert, raadpleeg de sectie De wijziging controleren.

4. Voer een volledige synchronisatie uit op de on-premises AD-connector:

   1. Klik met de rechtermuisknop op de on-premises AD-connector en selecteer uitvoeren.
   2. Selecteer in het pop-updialoogvenster volledige synchronisatie en klik vervolgens op OK.
   3. Wacht tot de bewerking is voltooid.

5. Controleer in behandeling zijnde exports naar Microsoft Entra-ID:

   1. Klik met de rechtermuisknop op de Microsoft Entra Connector en selecteer Zoekconnectorruimte.

   2. In het pop-up dialoogvenster Zoekconnectorruimte:

      • Stel scope in op lopende export.
      • Schakel alle drie de selectievakjes in: toevoegen, wijzigen en verwijderen.
      • Klik op de knop Zoeken om de lijst met objecten op te halen met wijzigingen die moeten worden geëxporteerd. Als u de wijzigingen voor een bepaald object wilt bekijken, dubbelklikt u op het object.
      • Controleer of de wijzigingen worden verwacht.

6. Voer Export- uit op de Microsoft Entra Connector:

   1. Klik met de rechtermuisknop op de Microsoft Entra Connector en selecteer uitvoeren.
   2. Selecteer in het pop-upvenster Connector uitvoeren, kies Exporteren en klik vervolgens op OK.
   3. Wacht tot de export naar Microsoft Entra ID is voltooid.

Notitie

Deze stappen omvatten niet de volledige synchronisatie- en exportstappen op de Microsoft Entra Connector. Deze stappen zijn niet vereist omdat de kenmerkwaarden van on-premises Active Directory naar Microsoft Entra-only stromen.

Stap 7: De synchronisatieplanner opnieuw inschakelen

Schakel de ingebouwde synchronisatieplanner opnieuw in:

1. Start een PowerShell-sessie.
2. Schakel geplande synchronisatie opnieuw in door de cmdlet Set-ADSyncScheduler -SyncCycleEnabled $trueuit te voeren.

Volgende stappen

• Lees meer over het configuratiemodel in Understanding Declarative Provisioning.
• Lees meer over de expressietaal van declaratieve voorzieningen in Understanding Declarative Provisioning Expressions.

overzichtsonderwerpen

• Microsoft Entra Connect Sync: synchronisatie begrijpen en aanpassen
• uw on-premises identiteiten integreren met Microsoft Entra ID