Poprawka zmodyfikowanych reguł domyślnych w usłudze Microsoft Entra Połączenie
Firma Microsoft Entra Połączenie używa domyślnych reguł synchronizacji. Niestety te reguły nie mają zastosowania powszechnie do wszystkich organizacji. W zależności od wymagań może być konieczne ich zmodyfikowanie. W tym artykule omówiono dwa przykłady najbardziej typowych dostosowań i wyjaśniono prawidłowy sposób osiągnięcia tych dostosowań.
Uwaga
Modyfikowanie istniejących reguł domyślnych w celu osiągnięcia wymaganego dostosowania nie jest obsługiwane. Jeśli to zrobisz, uniemożliwia aktualizowanie tych reguł do najnowszej wersji w przyszłych wersjach. Nie uzyskasz potrzebnych poprawek usterek ani nowych funkcji. W tym dokumencie wyjaśniono, jak osiągnąć ten sam wynik bez modyfikowania istniejących reguł domyślnych.
Jak identyfikować zmodyfikowane reguły domyślne
Począwszy od wersji 1.3.7.0 firmy Microsoft Entra Połączenie, można łatwo zidentyfikować zmodyfikowaną regułę domyślną. Przejdź do pozycji Aplikacje na pulpicie i wybierz pozycję Edytor reguł synchronizacji.
W Edytorze wszystkie zmodyfikowane reguły domyślne są wyświetlane z ikoną ostrzeżenia przed nazwą.
Zostanie również wyświetlona wyłączona reguła o tej samej nazwie (jest to standardowa reguła domyślna).
Typowe dostosowania
Poniżej przedstawiono typowe dostosowania reguł domyślnych:
- Zmienianie przepływu atrybutów
- Zmień filtr określania zakresu
- Zmienianie warunku sprzężenia
Przed zmianą jakichkolwiek reguł:
Wyłącz harmonogram synchronizacji. Harmonogram jest uruchamiany co 30 minut domyślnie. Upewnij się, że nie uruchamia się podczas wprowadzania zmian i rozwiązywania problemów z nowymi regułami. Aby tymczasowo wyłączyć harmonogram, uruchom program PowerShell i uruchom polecenie
Set-ADSyncScheduler -SyncCycleEnabled $false.
Zmiana filtru określania zakresu może spowodować usunięcie obiektów w katalogu docelowym. Przed wprowadzeniem jakichkolwiek zmian w określaniu zakresu obiektów należy zachować ostrożność. Zalecamy wprowadzenie zmian na serwerze przejściowym przed wprowadzeniem zmian na aktywnym serwerze.
Uruchom podgląd pojedynczego obiektu, jak wspomniano w sekcji Weryfikowanie reguły synchronizacji po dodaniu nowej reguły.
Uruchom pełną synchronizację po dodaniu nowej reguły lub zmodyfikowaniu dowolnej niestandardowej reguły synchronizacji. Ta synchronizacja stosuje nowe reguły do wszystkich obiektów.
Zmienianie przepływu atrybutów
Istnieją trzy różne scenariusze zmiany przepływu atrybutów:
- Dodawanie nowego atrybutu.
- Zastępowanie wartości istniejącego atrybutu.
- Wybranie opcji niezsynchronizacja istniejącego atrybutu.
Można to zrobić bez zmiany standardowych reguł domyślnych.
Dodawanie nowego atrybutu
Jeśli okaże się, że atrybut nie przepływa z katalogu źródłowego do katalogu docelowego, użyj rozszerzenia Microsoft Entra Połączenie Sync: Directory, aby rozwiązać ten problem.
Jeśli rozszerzenia nie działają, spróbuj dodać dwie nowe reguły synchronizacji opisane w poniższych sekcjach.
Dodawanie reguły synchronizacji ruchu przychodzącego
Reguła synchronizacji ruchu przychodzącego oznacza, że źródłem atrybutu jest przestrzeń łącznika, a elementem docelowym jest metaverse. Aby na przykład mieć nowy przepływ atrybutów z lokalna usługa Active Directory do identyfikatora Entra firmy Microsoft, utwórz nową regułę synchronizacji ruchu przychodzącego. Uruchom Edytor reguł synchronizacji, wybierz pozycję Ruch przychodzący jako kierunek, a następnie wybierz pozycję Dodaj nową regułę.
Postępuj zgodnie z własną konwencją nazewnictwa, aby nazwać regułę. W tym miejscu używamy elementu niestandardowego w usłudze AD — użytkownik. Oznacza to, że reguła jest regułą niestandardową i jest regułą przychodzącą z obszaru łącznika usługi Active Directory do metaverse.
Podaj własny opis reguły, dzięki czemu przyszłe utrzymanie reguły jest łatwe. Na przykład opis może być oparty na tym, jaki jest cel reguły i dlaczego jest potrzebny.
Zaznacz pola Połączenie System, Połączenie ed Typ obiektu systemowego i Typ obiektu Metaverse.
Określ wartość pierwszeństwa z zakresu od 0 do 99 (im niższa liczba, tym wyższy priorytet). W przypadku pól Tag włącz synchronizację haseł i Wyłączone użyj opcji domyślnych.
Zachowaj pusty filtr określania zakresu. Oznacza to, że reguła ma zastosowanie do wszystkich obiektów sprzężonych między usługą Active Directory Połączenie system i metaverse.
Zachowaj puste reguły sprzężenia. Oznacza to, że ta reguła używa warunku sprzężenia zdefiniowanego w standardowej regule domyślnej. Jest to kolejny powód, dla którego nie należy wyłączać ani usuwać standardowej reguły domyślnej. Jeśli nie ma warunku sprzężenia, atrybut nie będzie przepływać.
Dodaj odpowiednie przekształcenia dla atrybutu. Możesz przypisać stałą, aby ustawić stały przepływ wartości do atrybutu docelowego. Można użyć bezpośredniego mapowania między atrybutem źródłowym lub docelowym. Możesz też użyć wyrażenia dla atrybutu . Poniżej przedstawiono różne funkcje wyrażeń, których można użyć.
Dodawanie reguły synchronizacji ruchu wychodzącego
Aby połączyć atrybut z katalogiem docelowym, należy utworzyć regułę ruchu wychodzącego. Oznacza to, że źródłem jest metaverse, a elementem docelowym jest połączony system. Aby utworzyć regułę ruchu wychodzącego, uruchom Edytor reguł synchronizacji, zmień kierunek na Wychodzący i wybierz pozycję Dodaj nową regułę.
Podobnie jak w przypadku reguły ruchu przychodzącego, możesz użyć własnej konwencji nazewnictwa, aby nazwać regułę. Wybierz Połączenie system jako dzierżawę firmy Microsoft Entra i wybierz połączony obiekt systemowy, do którego chcesz ustawić wartość atrybutu. Ustaw pierwszeństwo od 0 do 99.
Zachowaj pusty filtr określania zakresu i reguły dołączania. Wypełnij przekształcenie jako stałe, bezpośrednie lub wyrażenie.
Teraz wiesz, jak utworzyć nowy atrybut dla przepływu obiektu użytkownika z usługi Active Directory do identyfikatora Entra firmy Microsoft. Możesz użyć tych kroków, aby zamapować dowolny atrybut z dowolnego obiektu na źródło i obiekt docelowy. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych reguł synchronizacji i Przygotowywanie do aprowizacji użytkowników.
Przesłanianie wartości istniejącego atrybutu
Warto zastąpić wartość atrybutu, który został już zamapowany. Jeśli na przykład zawsze chcesz ustawić wartość null na atrybut w identyfikatorze Entra firmy Microsoft, po prostu utwórz regułę ruchu przychodzącego. Ustaw wartość wyrażenia , AuthoritativeNullprzepływ do atrybutu docelowego.
Uwaga
Użyj AuthoritativeNull zamiast Null w tym przypadku. Jest to spowodowane tym, że wartość niepusta zastępuje wartość null, nawet jeśli ma niższy priorytet (większa wartość liczbowa w regule). AuthoritativeNullz drugiej strony nie jest zastępowany wartością inną niż null przez inne reguły.
Nie synchronizuj istniejącego atrybutu
Jeśli chcesz wykluczyć atrybut z synchronizacji, użyj funkcji filtrowania atrybutów udostępnionej w usłudze Microsoft Entra Połączenie. Uruchom aplikację Microsoft Entra Połączenie z poziomu ikony pulpitu, a następnie wybierz pozycję Dostosuj opcje synchronizacji.
Upewnij się, że wybrano opcję Filtrowanie atrybutów i aplikacji Microsoft Entra, a następnie wybierz przycisk Dalej.
Wyczyść atrybuty, które chcesz wykluczyć z synchronizacji.
Zmień filtr określania zakresu
Usługa Azure AD Sync zajmuje się większością obiektów. Zakres obiektów można zmniejszyć i zmniejszyć liczbę obiektów do wyeksportowania bez zmiany standardowych domyślnych reguł synchronizacji.
Użyj jednej z następujących metod, aby zmniejszyć zakres synchronizowanych obiektów:
- cloudFiltered, atrybut
- Filtrowanie jednostek organizacji
Jeśli ograniczysz zakres synchronizowanych użytkowników, synchronizacja skrótów haseł również zostanie zatrzymana dla odfiltrowanych użytkowników. Jeśli obiekty są już synchronizowane, po zmniejszeniu zakresu odfiltrowane obiekty zostaną usunięte z katalogu docelowego. Z tego powodu upewnij się, że zakres jest bardzo dokładny.
Ważne
Zwiększenie zakresu obiektów skonfigurowanych przez firmę Microsoft Entra Połączenie nie jest zalecane. Ułatwia to zespołowi pomocy technicznej firmy Microsoft zrozumienie dostosowań. Jeśli musisz zwiększyć zakres obiektów, edytować istniejącą regułę, sklonować ją i wyłączyć oryginalną regułę.
cloudFiltered, atrybut
Nie można ustawić tego atrybutu w usłudze Active Directory. Ustaw wartość tego atrybutu, dodając nową regułę ruchu przychodzącego. Następnie możesz użyć przekształcenia i wyrażenia , aby ustawić ten atrybut w metaverse. W poniższym przykładzie pokazano, że nie chcesz synchronizować wszystkich użytkowników, których nazwa działu zaczyna się od hrD (bez uwzględniania wielkości liter):
cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)
Najpierw przekonwertowaliśmy dział ze źródła (Active Directory) na małe litery. Następnie, używając Left funkcji, zajęliśmy tylko pierwsze trzy znaki i porównaliśmy ją z hrd. Jeśli jest ona zgodna, wartość jest ustawiona na True, w przeciwnym razie NULL. W ustawieniu wartości na null inna reguła o niższym pierwszeństwie (większa wartość liczbowa) może zapisywać w niej inny warunek. Uruchom podgląd na jednym obiekcie, aby zweryfikować regułę synchronizacji, jak wspomniano w sekcji Weryfikowanie reguły synchronizacji.
Filtrowanie jednostek organizacyjnych
Można utworzyć co najmniej jedną jednostkę organizacyjną i przenieść obiekty, których nie chcesz synchronizować z tymi jednostkami organizacyjnymi. Następnie skonfiguruj filtrowanie jednostek organizacyjnych w witrynie Microsoft Entra Połączenie. Uruchom aplikację Microsoft Entra Połączenie z poziomu ikony pulpitu i wybierz następujące opcje. Filtrowanie jednostek organizacyjnych można również skonfigurować w momencie instalacji programu Microsoft Entra Połączenie.
Postępuj zgodnie z kreatorem i wyczyść jednostki organizacyjne, których nie chcesz synchronizować.
Zmienianie warunku sprzężenia
Użyj domyślnych warunków sprzężenia skonfigurowanych przez firmę Microsoft Entra Połączenie. Zmiana domyślnych warunków dołączania utrudnia pomocy technicznej firmy Microsoft zrozumienie dostosowań i obsługi produktu.
Weryfikowanie reguły synchronizacji
Nowo dodana reguła synchronizacji można zweryfikować przy użyciu funkcji w wersji zapoznawczej bez uruchamiania cyklu pełnej synchronizacji. W witrynie Microsoft Entra Połączenie wybierz pozycję Usługa synchronizacji.
Wybierz pozycję Wyszukiwanie metaverse. Wybierz obiekt zakresu jako osobę, wybierz pozycję Dodaj klauzulę i podaj kryteria wyszukiwania. Następnie wybierz pozycję Wyszukaj i kliknij dwukrotnie obiekt w wynikach wyszukiwania. Przed uruchomieniem tego kroku upewnij się, że dane w witrynie Microsoft Entra Połączenie są aktualne dla tego obiektu. Przed uruchomieniem tego kroku uruchom polecenie importu i synchronizacji w lesie.
W obszarze Metaverse Object Properties (Właściwości obiektu Metaverse) wybierz pozycję Połączenie ors, wybierz obiekt w odpowiednim łączniku (lesie), a następnie wybierz pozycję Właściwości....
Wybierz pozycję Podgląd...
W oknie Podgląd wybierz pozycję Generuj podgląd i Importuj przepływ atrybutów w okienku po lewej stronie.
Zwróć uwagę, że nowo dodana reguła jest uruchamiana w obiekcie i ma ustawioną cloudFiltered wartość true.
Aby porównać zmodyfikowaną regułę z regułą domyślną, wyeksportuj obie reguły oddzielnie jako pliki tekstowe. Te reguły są eksportowane jako plik skryptu programu PowerShell. Można je porównać przy użyciu dowolnego narzędzia do porównywania plików (na przykład windiff), aby zobaczyć zmiany.
Zwróć uwagę, msExchMailboxGuid że w zmodyfikowanej regule atrybut jest zmieniany na typ wyrażenia zamiast direct. Ponadto wartość jest zmieniana na wartość NULL i opcję ExecuteOnce . Można zignorować różnice zidentyfikowane i pierwszeństwo.
Aby naprawić reguły, aby zmienić je z powrotem na ustawienia domyślne, usuń zmodyfikowaną regułę i włącz regułę domyślną. Upewnij się, że nie utracisz dostosowania, które próbujesz osiągnąć. Gdy wszystko będzie gotowe, uruchom pełną synchronizację.