Funkcje usługi Microsoft Entra Connect Sync
Funkcja synchronizacji programu Microsoft Entra Connect ma dwa składniki:
- Składnik lokalny o nazwie Microsoft Entra Connect Sync, nazywany również silnikiem synchronizacji.
- Usługa znajdująca się w Microsoft Entra ID, znana również jako usługa Microsoft Entra Connect Sync
W tym temacie wyjaśniono, jak działają następujące funkcje usługi Microsoft Entra Connect Sync oraz jak można je skonfigurować przy użyciu programu PowerShell.
Aby wyświetlić konfigurację w katalogu Microsoft Entra przy użyciu Graph PowerShell, użyj następujących poleceń:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Wynik wygląda następująco:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Uwaga
Od 24 sierpnia 2016 r. funkcja odporność na powielanie atrybutu jest domyślnie włączona dla nowych katalogów Microsoft Entra. Ta funkcja została wdrożona i włączona w katalogach utworzonych przed tą datą. Otrzymasz powiadomienie e-mail, gdy katalog ma uzyskać tę funkcję włączoną.
Następujące ustawienia są skonfigurowane w programie Microsoft Entra Connect:
| DirSyncFeature | Komentarz |
|---|---|
| SoftMatchOnUpn | Umożliwia dołączanie obiektów do atrybutu userPrincipalName oprócz podstawowego adresu SMTP. |
| SynchronizowaćUPNDlaZarządzanychUżytkowników | Umożliwia aparatowi synchronizacji zaktualizowanie atrybutu userPrincipalName dla użytkowników zarządzanych/licencjonowanych (niefederowanych). |
| DeviceWriteback | Microsoft Entra Connect: włączanie zapisywania zwrotnego urządzeń |
| Rozszerzenia katalogu | Microsoft Entra Connect Sync: rozszerzenia katalogu |
|
Odporność na duplikaty adresu proxy OdpornośćDuplicateUPN |
Umożliwia kwarantannę atrybutu, gdy jest duplikatem innego obiektu, a nie niepowodzeniem całego obiektu podczas eksportowania. |
| Synchronizacja skrótów haseł | Implementowanie synchronizacji skrótów haseł za pomocą usługi Microsoft Entra Connect Sync |
| Zwrotne zapisywanie haseł | Nie obsługiwane. Ta funkcja usługi została wycofana. Aby skonfigurować funkcję zapisywania zwrotnego haseł, zobacz Włączanie zapisywania zwrotnego haseł w programie Microsoft Entra Connect |
| Uwierzytelnianie przepustowe | Logowanie użytkownika przy użyciu uwierzytelniania pass-through w Microsoft Entra |
| UnifiedGroupWriteback | Zapisywanie zwrotne grup |
| UserWriteback | Obecnie nie jest obsługiwane. |
Odporność zduplikowanych atrybutów
Zamiast nie obsługiwać obiektów ze zduplikowanymi atrybutami UPN/proxyAddresses, zduplikowany atrybut jest "poddany kwarantannie", a przypisana jest wartość tymczasowa. Gdy konflikt zostanie rozwiązany, tymczasowa nazwa UPN zostanie automatycznie zmieniona na odpowiednią wartość. Aby uzyskać więcej informacji, zobacz Synchronizacja tożsamości i odporność zduplikowanych atrybutów.
"Dopasowanie miękkie dla 'UserPrincipalName'"
Po włączeniu tej funkcji włączone jest dopasowanie soft-match dla UPN dodatkowo do podstawowego adresu SMTP, który zawsze jest aktywny. Dopasowanie nietrwałe służy do dopasowywania istniejących użytkowników chmury w usłudze Microsoft Entra ID do użytkowników lokalnych.
Jeśli musisz dopasować lokalne konta usługi AD z istniejącymi kontami utworzonymi w chmurze i nie używasz usługi Exchange Online, ta funkcja jest przydatna. W tym scenariuszu zazwyczaj nie masz powodu, aby ustawić atrybut SMTP w chmurze.
Ta funkcja jest domyślnie włączona dla nowo utworzonych katalogów firmy Microsoft Entra. Możesz sprawdzić, czy ta funkcja jest włączona, uruchamiając następujące polecenie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Jeśli ta funkcja nie jest włączona dla katalogu Microsoft Entra, możesz ją włączyć, uruchamiając polecenie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Gdy ta funkcja jest włączona, uniemożliwia działanie funkcji dopasowania miękkiego. Zachęcamy klientów do włączenia tej funkcji i utrzymania jej włączonej do momentu ponownego wymagania dopasowania miękkiego dla dzierżawy. Ta flaga powinna być ponownie włączona po zakończeniu wszystkich miękkich dopasowań i nie jest już potrzebna.
Przykład — blokowanie miękkiego dopasowywania w dzierżawie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Uwaga
Po włączeniu funkcji BlockSoftMatch nowe urządzenia przyłączone hybrydowo napotkają błąd InvalidSoftMatch podczas próby Soft Match. Dzieje się tak, gdy obiekt komputera synchronizowany z lokalnej usługi Active Directory (AD) do entra jest scalony z nowym urządzeniem zarejestrowanym w chmurze. Aby rozwiązać ten problem, administratorzy powinni tymczasowo wyłączyć funkcję BlockSoftMatch, aby umożliwić kontynuowanie dołączania hybrydowego.
Synchronizowanie aktualizacji userPrincipalName
Historycznie aktualizacje atrybutu UserPrincipalName przy użyciu usługi synchronizacji ze środowiska lokalnego zostały zablokowane, chyba że oba te warunki zostały spełnione:
- Użytkownik zarządzany (niefederowany).
- Użytkownik nie ma przypisanej licencji.
Uwaga
Od marca 2019 r. synchronizowanie zmian UPN dla kont użytkowników federacyjnych jest dozwolone.
Włączenie tej funkcji umożliwia mechanizmowi synchronizacji aktualizowanie elementu userPrincipalName, gdy zostanie zmieniony w lokalnej infrastrukturze, a Ty używasz synchronizacji skrótów haseł lub uwierzytelniania przekazywanego.
Ta funkcja jest domyślnie włączona dla nowo utworzonych katalogów firmy Microsoft Entra. Możesz sprawdzić, czy ta funkcja jest włączona, uruchamiając następujące polecenie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Jeśli ta funkcja nie jest włączona dla katalogu Microsoft Entra, możesz ją włączyć, uruchamiając polecenie:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Po włączeniu tej funkcji istniejące wartości userPrincipalName pozostają as-is. Przy kolejnej zmianie atrybutu userPrincipalName lokalnie normalna synchronizacja różnicowa aktualizuje UPN użytkowników. Po włączeniu tej funkcji nie można jej wyłączyć.