Microsoft Entra Connect Sync-servicefuncties
De synchronisatiefunctie van Microsoft Entra Connect heeft twee onderdelen:
- Het on-premises onderdeel met de naam Microsoft Entra Connect Sync, ook wel synchronisatie-engine genoemd.
- De service die zich bevindt in Microsoft Entra ID, ook wel de Microsoft Entra Connect Sync-service genoemd.
In dit onderwerp wordt uitgelegd hoe de volgende functies van de Microsoft Entra Connect Sync-service werken en hoe u deze kunt configureren met behulp van PowerShell.
Gebruik de volgende opdrachten om de configuratie in uw Microsoft Entra-map te zien met behulp van Graph PowerShell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Het resultaat ziet er als volgt uit:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Notitie
Vanaf 24 augustus 2016 is de tolerantie voor dubbele kenmerken standaard ingeschakeld voor nieuwe Microsoft Entra-directory's. Deze functie is geïmplementeerd en ingeschakeld voor mappen die vóór deze datum zijn gemaakt. U ontvangt een e-mailmelding wanneer uw adreslijst op het punt staat deze functie in te schakelen.
De volgende instellingen zijn geconfigureerd in Microsoft Entra Connect:
| DirSync-functie | Opmerking |
|---|---|
| SoftMatchOnUpn | Hiermee kunnen objecten joinen op userPrincipalName, naast het primaire SMTP-adres. |
| SynchroniseerUpnVoorBeheerdeGebruikers | Hiermee kan de synchronisatie-engine het kenmerk userPrincipalName bijwerken voor beheerde/gelicentieerde (niet-gefedereerde) gebruikers. |
| DeviceWriteback | Microsoft Entra Connect: Terugschrijven van apparaten inschakelen |
| Directoryuitbreidingen | Microsoft Entra Connect Sync: Directory extensies |
|
DuplicateProxyAddressVeerkracht DuplicateUPNResiliency |
Hiermee kan een attribuut in quarantaine worden geplaatst wanneer het een duplicaat is van een ander object, zodat het hele object niet mislukt tijdens het exporteren. |
| Wachtwoordhashsynchronisatie | Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Connect Sync |
| Wachtwoord terugschrijven | Wordt niet ondersteund. Deze servicefunctie wordt stopgezet. Zie Wachtwoord terugschrijven inschakelen in Microsoft Entra Connect om Wachtwoord terugschrijven te configureren. |
| Passthrough-verificatie | Gebruikersaanmelding met passthrough-verificatie van Microsoft Entra |
| UniformeGroepTerugschrijven | Groepterugschrijf |
| GebruikersTerugschrijven | Momenteel niet ondersteund. |
Weerbaarheid van gedupliceerd kenmerk
In plaats van objecten in te richten met dubbele UPN's/proxyAddresses, wordt het gedupliceerde kenmerk in quarantaine geplaatst en wordt er een tijdelijke waarde toegewezen. Wanneer het conflict is opgelost, wordt de tijdelijke UPN automatisch gewijzigd in de juiste waarde. Zie Identiteitssynchronisatie en dubbele kenmerktolerantie voor meer informatie.
UserPrincipalName zachte overeenkomst
Wanneer deze functie is ingeschakeld, wordt Soft Matching ingeschakeld voor UPN, naast het primaire SMTP-adres, dat altijd is ingeschakeld. Soft-match wordt gebruikt om bestaande cloudgebruikers op Microsoft Entra ID te koppelen met on-premises gebruikers.
Als u on-premises AD-accounts wilt koppelen aan bestaande accounts die in de cloud zijn gemaakt en u Exchange Online niet gebruikt, is deze functie handig. In dit scenario hebt u over het algemeen geen reden om het SMTP-kenmerk in de cloud in te stellen.
Deze functie is standaard ingeschakeld voor nieuw gemaakte Microsoft Entra-mappen. U kunt zien of deze functie voor u is ingeschakeld door het volgende uit te voeren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Als deze functie niet is ingeschakeld voor uw Microsoft Entra-directory, kunt u deze inschakelen door het volgende uit te voeren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Wanneer deze functie is ingeschakeld, wordt de functie Soft Match geblokkeerd. Het wordt klanten aangeraden deze functie in te schakelen en deze ingeschakeld te houden totdat Soft Matching opnieuw vereist is voor hun huurperiode. Deze vlag moet opnieuw worden ingeschakeld wanneer Soft Matching is voltooid en niet meer nodig is.
Voorbeeld - Het blokkeren van softe overeenkomsten in uw tenant:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Notitie
Wanneer BlockSoftMatch is ingeschakeld, zullen nieuwe hybride-gekoppelde apparaten een InvalidSoftMatch-fout tegenkomen tijdens een Soft Match-poging. Dit gebeurt wanneer het computerobject dat vanuit on-premises Active Directory (AD) met Entra is gesynchroniseerd, wordt samengevoegd met het nieuwe apparaat dat is geregistreerd in de cloud. Om dit probleem op te lossen, moeten beheerders BlockSoftMatch tijdelijk uitschakelen, zodat de hybride join kan worden voortgezet.
UserPrincipalName-updates synchroniseren
In het verleden zijn updates van het kenmerk UserPrincipalName met behulp van de synchronisatieservice van on-premises geblokkeerd, tenzij aan beide voorwaarden wordt voldaan:
- De gebruiker is beheerd (niet-gefedereerd).
- De gebruiker heeft geen licentie toegewezen.
Notitie
Vanaf maart 2019 is het synchroniseren van UPN-wijzigingen voor federatieve gebruikersaccounts toegestaan.
Als u deze functie inschakelt, kan de synchronisatie-engine de userPrincipalName bijwerken wanneer deze on-premises wordt gewijzigd en u wachtwoordhashsynchronisatie of passthrough-verificatie gebruikt.
Deze functie is standaard ingeschakeld voor nieuw gemaakte Microsoft Entra-mappen. U kunt zien of deze functie voor u is ingeschakeld door het volgende uit te voeren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Als deze functie niet is ingeschakeld voor uw Microsoft Entra-directory, kunt u deze inschakelen door het volgende uit te voeren:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Na het inschakelen van deze functie blijven bestaande userPrincipalName-waarden as-is. Bij de volgende wijziging van het kenmerk userPrincipalName on-premises, werkt de normale delta-synchronisatie voor gebruikers de UPN bij. Zodra deze functie is ingeschakeld, is het niet mogelijk om deze uit te schakelen.