Microsoft Entra Connect Sync-servicefuncties
De synchronisatiefunctie van Microsoft Entra Connect heeft twee onderdelen:
- Het on-premises onderdeel met de naam Microsoft Entra Connect Sync, ook wel synchronisatie-engine genoemd.
- De service die zich in de Microsoft Entra-id ook wel Microsoft Entra Connect Sync-service genoemd
In dit onderwerp wordt uitgelegd hoe de volgende functies van de Microsoft Entra Connect Sync-service werken en hoe u deze kunt configureren met behulp van PowerShell.
Gebruik de volgende opdrachten om de configuratie in uw Microsoft Entra-map te zien met behulp van Graph PowerShell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Het resultaat ziet er als volgt uit:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Notitie
Vanaf 24 augustus 2016 is de tolerantie voor dubbele kenmerken standaard ingeschakeld voor nieuwe Microsoft Entra-directory's. Deze functie is geïmplementeerd en ingeschakeld voor mappen die vóór deze datum zijn gemaakt. U ontvangt een e-mailmelding wanneer uw adreslijst op het punt staat deze functie in te schakelen.
De volgende instellingen zijn geconfigureerd in Microsoft Entra Connect:
| DirSyncFeature | Opmerking |
|---|---|
| SoftMatchOnUpn | Hiermee kunnen objecten worden samengevoegd voor userPrincipalName, naast het primaire SMTP-adres. |
| SynchronizeUpnForManagedUsers | Hiermee kan de synchronisatie-engine het kenmerk userPrincipalName bijwerken voor beheerde/gelicentieerde (niet-gelicentieerde) gebruikers. |
| DeviceWriteback | Microsoft Entra Connect: Terugschrijven van apparaten inschakelen |
| DirectoryExtensions | Microsoft Entra Connect Sync: Directory-extensies |
|
DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Hiermee kan een kenmerk in quarantaine worden geplaatst wanneer het een duplicaat is van een ander object in plaats van het hele object tijdens het exporteren uit te voeren. |
| Wachtwoordhashsynchronisatie | Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Connect Sync |
| Wachtwoord terugschrijven | Wordt niet ondersteund. Deze servicefunctie wordt stopgezet. Zie Wachtwoord terugschrijven inschakelen in Microsoft Entra Connect als u Wachtwoord terugschrijven wilt configureren |
| Passthrough-verificatie | Gebruikersaanmelding met passthrough-verificatie van Microsoft Entra |
| UnifiedGroupWriteback | Groep terugschrijven |
| UserWriteback | Momenteel niet ondersteund. |
Tolerantie van dubbel kenmerk
In plaats van objecten in te richten met dubbele UPN's/proxyAddresses, wordt het gedupliceerde kenmerk in quarantaine geplaatst en wordt er een tijdelijke waarde toegewezen. Wanneer het conflict is opgelost, wordt de tijdelijke UPN automatisch gewijzigd in de juiste waarde. Zie Identiteitssynchronisatie en dubbele kenmerktolerantie voor meer informatie.
UserPrincipalName Soft Matching
Wanneer deze functie is ingeschakeld, wordt Soft Matching ingeschakeld voor UPN, naast het primaire SMTP-adres, dat altijd is ingeschakeld. Soft-match wordt gebruikt om bestaande cloudgebruikers in Microsoft Entra ID te vinden met on-premises gebruikers.
Als u on-premises AD-accounts wilt koppelen aan bestaande accounts die in de cloud zijn gemaakt en u Exchange Online niet gebruikt, is deze functie handig. In dit scenario hebt u over het algemeen geen reden om het SMTP-kenmerk in de cloud in te stellen.
Deze functie is standaard ingeschakeld voor nieuw gemaakte Microsoft Entra-mappen. U kunt zien of deze functie voor u is ingeschakeld door het volgende uit te voeren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Als deze functie niet is ingeschakeld voor uw Microsoft Entra-directory, kunt u deze inschakelen door het volgende uit te voeren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Wanneer deze functie is ingeschakeld, wordt de functie Soft Match geblokkeerd. Klanten wordt aangeraden deze functie in te schakelen en deze ingeschakeld te houden totdat Soft Matching opnieuw is vereist is voor hun tenancy. Deze vlag moet opnieuw worden ingeschakeld wanneer Soft Matching is voltooid en niet meer nodig is.
Voorbeeld: het blokkeren van zachte overeenkomsten in uw tenant:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
UserPrincipalName-updates synchroniseren
In het verleden zijn updates van het kenmerk UserPrincipalName met behulp van de synchronisatieservice van on-premises geblokkeerd, tenzij aan beide voorwaarden wordt voldaan:
- De gebruiker beheerd (niet-federated).
- De gebruiker heeft geen licentie toegewezen.
Notitie
Vanaf maart 2019 is het synchroniseren van UPN-wijzigingen voor federatieve gebruikersaccounts toegestaan.
Als u deze functie inschakelt, kan de synchronisatie-engine de userPrincipalName bijwerken wanneer deze on-premises wordt gewijzigd en u wachtwoordhashsynchronisatie of passthrough-verificatie gebruikt.
Deze functie is standaard ingeschakeld voor nieuw gemaakte Microsoft Entra-mappen. U kunt zien of deze functie voor u is ingeschakeld door het volgende uit te voeren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Als deze functie niet is ingeschakeld voor uw Microsoft Entra-directory, kunt u deze inschakelen door het volgende uit te voeren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Na het inschakelen van deze functie blijven bestaande userPrincipalName-waarden as-is. Bij de volgende wijziging van het kenmerk userPrincipalName on-premises, werkt de normale delta-synchronisatie voor gebruikers de UPN bij. Zodra deze functie is ingeschakeld, is het niet mogelijk om deze uit te schakelen.