Jak używać funkcji BypassDirSyncOverridesEnabled w dzierżawie Microsoft Entra.
W tym artykule opisano funkcję BypassDirSyncOverridesEnabled oraz sposób przywracania synchronizacji atrybutów "Mobile" i "otherMobile" z Microsoft Entra ID do lokalnej usługi Active Directory.
Ogólnie rzecz biorąc, zsynchronizowanych użytkowników nie można zmienić z portali administracyjnych platformy Azure lub platformy Microsoft 365 ani za pomocą programu PowerShell przy użyciu identyfikatora Entra firmy Microsoft ani modułów programu Microsoft Graph PowerShell. Wyjątkiem od tego są atrybuty użytkownika firmy Microsoft Entra o nazwach MobilePhone i AlternateMobilePhones. Te atrybuty są synchronizowane z lokalnych atrybutów usługi Active Directory, mobile oraz otherMobile, ale użytkownicy końcowi mogą zaktualizować swój numer telefonu w atrybucie MobilePhone w Microsoft Entra ID za pośrednictwem strony profilu. Administratorzy mogą również aktualizować wartości zsynchronizowanych pól Telefonu komórkowego i Alternatywnych telefonów komórkowych w usłudze Microsoft Entra ID przy użyciu modułu Microsoft Graph PowerShell.
Zapewnienie użytkownikom i administratorom możliwości aktualizowania numerów telefonów bezpośrednio w usłudze Microsoft Entra ID umożliwia przedsiębiorstwom zmniejszenie obciążeń administracyjnych związanych z zarządzaniem numerami telefonów użytkownika w lokalnej usłudze Active Directory, ponieważ mogą one ulec częściej zmianie.
Zastrzeżeniem jest jednak to, że gdy zsynchronizowany użytkownik MobilePhone lub Alternatywne numery telefonu mobilnego jest aktualizowany przez portal administracyjny lub program PowerShell, interfejs API synchronizacji nie będzie już uwzględniać aktualizacji tych atrybutów, gdy pochodzą z lokalnej instalacji Active Directory. Jest to często nazywane funkcją "DirSyncOverrides". Administratorzy zauważą to zachowanie, gdy aktualizacje atrybutów Mobile lub otherMobile w usłudze Active Directory nie aktualizują odpowiednio telefonu komórkowego lub alternatywnych telefonów komórkowych użytkownika w Microsoft Entra ID, mimo że obiekt został pomyślnie zsynchronizowany za pośrednictwem silnika Microsoft Entra Connect.
Identyfikowanie użytkowników z różnymi wartościami Mobile i otherMobile
Listę użytkowników z różnymi wartościami mobilne oraz inne mobilne można wyeksportować między usługami Active Directory i Microsoft Entra ID przy użyciu „Compare-ADSyncToolsDirSyncOverrides” z modułu ADSyncTools PowerShell. Umożliwi to określenie użytkowników i odpowiednich wartości, które różnią się między lokalną usługą Active Directory i identyfikatorem Entra firmy Microsoft. Jest to ważne, ponieważ włączenie funkcji BypassDirSyncOverridesEnabled spowoduje zastąpienie wszystkich różnych wartości w identyfikatorze Entra firmy Microsoft z wartością pochodzącą z lokalnej usługi Active Directory.
Korzystanie z Compare-ADSyncToolsDirSyncOverrides
Wstępnie wymagane jest uruchomienie programu Microsoft Entra Connect w wersji 2 lub nowszej i zainstalowanie najnowszego modułu ADSyncTools z galerii programu PowerShell za pomocą następującego polecenia:
Install-Module ADSyncTools
Aby porównać wszystkie zsynchronizowane wartości Mobile i OtherMobile użytkownika, uruchom następujące polecenie:
Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential)
Notatka
Docelowy interfejs API używany przez tę funkcję nie obsługuje interakcji użytkownika uwierzytelniania. Uwierzytelnianie wieloskładnikowe lub zasady warunkowe będą blokować uwierzytelnianie. Po wyświetleniu monitu o wprowadzenie poświadczeń użyj konta administratora globalnego, które nie ma włączonego uwierzytelnienia wieloskładnikowego ani żadnej zastosowanej zasady dostępu warunkowego. W ostateczności utwórz tymczasowe konto użytkownika administratora globalnego bez uwierzytelniania wieloskładnikowego lub dostępu warunkowego, które można usunąć po zakończeniu żądanych operacji przy użyciu funkcji BypassDirSyncOverridees.
Ta funkcja wyeksportuje plik CSV z listą użytkowników, dla których wartości Mobile lub OtherMobile w lokalnym Active Directory różnią się od odpowiednich MobilePhone lub AlternateMobilePhone w usłudze Microsoft Entra ID.
Na tym etapie możesz użyć tych danych, aby zresetować wartości lokalnego Active Directory Mobile i otherMobile do wartości znajdujących się w Microsoft Entra ID. Dzięki temu można przechwytywać najbardziej zaktualizowane numery telefonów z identyfikatora Entra firmy Microsoft i utrwalać te dane w lokalnej usłudze Active Directory przed włączeniem funkcji BypassDirSyncOverridesEnabled. W tym celu zaimportuj dane z wynikowego pliku CSV, a następnie użyj modułu "Set-ADSyncToolsDirSyncOverrides" z modułu ADSyncTools, aby utrwałyć wartość w lokalnej usłudze Active Directory.
Aby na przykład zaimportować dane z pliku CSV i wyodrębnić wartości w identyfikatorze Entra firmy Microsoft dla danego parametru UserPrincipalName, użyj następującego polecenia:
$upn = '<UserPrincipalName>'
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' |
where UserPrincipalName -eq $upn |
select UserPrincipalName,*InAAD
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD
Włączanie funkcji „BypassDirSyncOverridesEnabled”
Domyślnie funkcja BypassDirSyncOverridesEnabled jest wyłączona. Włączenie BypassDirSyncOverridesEnabled umożliwia dzierżawie obejście wszelkich zmian wprowadzonych w mobilePhone lub AlternateMobilePhones przez użytkowników lub administratorów bezpośrednio w identyfikatorze Microsoft Entra ID i zawsze honoruje wartości obecne w lokalnej usłudze Active Directory Mobile lub OtherMobile.
Jeśli nie chcesz, aby użytkownicy końcowi zaktualizowali własny numer telefonu komórkowego lub nie ma potrzeby aktualizowania przez administratorów numerów telefonów komórkowych lub alternatywnych numerów telefonów komórkowych przy użyciu programu PowerShell, należy pozostawić funkcję BypassDirSyncOverridesEnabled włączone w dzierżawie.
Po włączeniu tej funkcji, nawet jeśli użytkownik końcowy lub administrator zaktualizuje TelefonKomórkowy lub AlternatywneTelefonyKomórkowe w Microsoft Entra ID, wartości zsynchronizowane z lokalnej usługi Active Directory zostaną zachowane podczas następnego cyklu synchronizacji. Oznacza to, że wszystkie aktualizacje tych wartości są utrwalane tylko wtedy, gdy aktualizacja jest wykonywana w lokalnej usłudze Active Directory, a następnie synchronizowana z identyfikatorem Entra firmy Microsoft.
Włącz funkcję o nazwie BypassDirSyncOverridesEnabled:
Aby włączyć funkcję BypassDirSyncOverridesEnabled, użyj modułu Microsoft Graph PowerShell.
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Po włączeniu tej funkcji uruchom pełny cykl synchronizacji w programie Microsoft Entra Connect, używając następującego polecenia:
Start-ADSyncSyncCycle -PolicyType Initial
Notatka
Zostaną zaktualizowane tylko obiekty z inną wartością MobilePhone lub AlternateMobilePhones z lokalnej usługi Active Directory.
Sprawdź stan funkcji BypassDirSyncOverridesEnabled:
(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled
Wyłączanie funkcji BypassDirSyncOverridesEnabled
Jeśli chcesz przywrócić możliwość aktualizowania numerów telefonów komórkowych z portalu lub programu PowerShell, możesz wyłączyć funkcję BypassDirSyncOverridesEnabled przy użyciu następującego polecenia modułu microsoft Graph PowerShell:
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Gdy ta funkcja jest wyłączona, gdy użytkownik lub administrator zaktualizuje telefon komórkowy lub alternatywne telefony komórkowe bezpośrednio w Microsoft Entra ID, zostanie utworzony DirSyncOverrides, co uniemożliwia wszelkie przyszłe aktualizacje tych atrybutów pochodzących z lokalnej usługi Active Directory. Od tego momentu użytkownik lub administrator może zarządzać tymi atrybutami tylko za pomocą identyfikatora Entra firmy Microsoft, ponieważ wszystkie nowe aktualizacje lokalnego Mobile lub OtherMobile zostaną odrzucone.
Zarządzanie numerami telefonów komórkowych w usłudze Microsoft Entra ID i lokalnej usłudze Active Directory
Aby zarządzać numerami telefonów użytkownika, administrator może użyć następującego zestawu funkcji z modułu ADSyncTools do odczytywania, zapisywania i czyszczenia wartości w lokalnej usłudze Active Directory lub identyfikatorze Entra firmy Microsoft.
Pobierz właściwości Mobile i OtherMobile z lokalnej usługi Active Directory:
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD
Pobierz właściwości telefonu komórkowego i telefonów alternatywnych z Microsoft Entra ID.
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD
Ustaw właściwości MobilePhone i AlternateMobilePhones w identyfikatorze Microsoft Entra:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'
Ustaw Mobile oraz inneMobile właściwości w lokalnej usłudze Active Directory:
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'
Wyczyść właściwości MobilePhone i AlternateMobilePhones w usłudze Microsoft Entra ID:
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD
Wyczyść właściwości Mobile i innych Mobile w lokalnym Active Directory.
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD
Następne kroki
Dowiedz się więcej o programie Microsoft Entra Connect: ADSyncTools moduł programu PowerShell