Microsoft Entra Connect Sync: najlepsze rozwiązania dotyczące zmiany konfiguracji domyślnej

Celem tego tematu jest opisanie obsługiwanych i nieobsługiwanych zmian w programie Microsoft Entra Connect Sync.

Konfiguracja stworzona przez Microsoft Entra Connect działa "w stanie takim, jakim jest" dla większości środowisk, które synchronizują lokalną usługę Active Directory z Microsoft Entra ID. Jednak w niektórych przypadkach konieczne jest zastosowanie pewnych zmian w konfiguracji w celu zaspokojenia konkretnej potrzeby lub wymagania.

Zmiany na koncie usługi

Program Microsoft Entra Connect Sync działa w ramach konta usługi utworzonego przez kreatora instalacji. To konto usługi przechowuje klucze szyfrowania do bazy danych używanej przez synchronizację. Jest ono tworzone z hasłem o długości 127 znaków, a hasło nie wygasa.

Ostrzeżenie

Jeśli zmienisz lub zresetowasz hasło konta usługi ADSync, usługa synchronizacji nie zostanie uruchomiona poprawnie, dopóki nie porzucisz klucza szyfrowania i ponownie zainicjujesz hasło konta usługi ADSync. Aby to zrobić, zobacz Zmienianie hasła konta usługi ADSync.

Zmiany harmonogramu

Począwszy od wersji z kompilacji 1.1 (luty 2016 r.), można skonfigurować harmonogram, aby miał inny cykl synchronizacji niż domyślne 30 minut.

Zmiany reguł synchronizacji

Kreator instalacji udostępnia konfigurację, która ma działać w przypadku najbardziej typowych scenariuszy. Jeśli musisz wprowadzić zmiany w konfiguracji, musisz postępować zgodnie z tymi regułami, aby mieć obsługiwaną konfigurację.

Ostrzeżenie

Jeśli wprowadzisz zmiany w domyślnych regułach synchronizacji, te zmiany zostaną zastąpione następnym razem, gdy program Microsoft Entra Connect zostanie zaktualizowany, co spowoduje nieoczekiwane i prawdopodobnie niepożądane wyniki synchronizacji.

• Możesz zmienić przepływy atrybutów, jeśli domyślne przepływy atrybutów bezpośrednich nie są odpowiednie dla twojej organizacji.
• Jeśli chcesz nie przepływać atrybutu i usunąć wszystkie istniejące wartości atrybutów w identyfikatorze Entra firmy Microsoft, musisz utworzyć regułę dla tego scenariusza.
• Wyłącz niepożądaną regułę synchronizacji, zamiast ją usuwać. Usunięta reguła jest odtwarzana podczas uaktualniania.
• Aby zmienić wbudowaną regułę, należy utworzyć kopię oryginalnej reguły i wyłączyć standardową regułę. Edytor reguł synchronizacji wyświetla komunikaty i ułatwia pracę.
• Wyeksportuj niestandardowe reguły synchronizacji przy użyciu Edytora reguł synchronizacji. Edytor udostępnia skrypt programu PowerShell, którego można użyć do łatwego odtworzenia ich w scenariuszu odzyskiwania po awarii.

Ostrzeżenie

Domyślne reguły synchronizacji mają unikalny identyfikator. Jeśli wprowadzisz zmianę w tych regułach, odcisk palca nie jest już zgodny. W przyszłości mogą wystąpić problemy podczas próby zastosowania nowej wersji programu Microsoft Entra Connect. Wprowadź zmiany tylko w sposób opisany w tym artykule.

Wyłączanie niechcianej reguły synchronizacji

Nie usuwaj domyślnej reguły synchronizacji. Zostanie on utworzony ponownie podczas następnego uaktualnienia.

W niektórych przypadkach kreator instalacji tworzy konfigurację, która nie działa dla twojej topologii. Jeśli na przykład masz topologię lasu zasobów-konta, ale rozszerzyłeś schemat w lesie konta o schemat programu Exchange, wówczas reguły dla programu Exchange są tworzone zarówno dla lasu konta, jak i dla lasu zasobów. W takim przypadku należy wyłączyć regułę synchronizacji dla programu Exchange.

Na poprzednim obrazie kreator instalacji znalazł stary schemat programu Exchange 2003 w strukturze kont. To rozszerzenie schematu zostało dodane przed wprowadzeniem lasu zasobowego w środowisku firmy Fabrikam. Aby upewnić się, że nie są synchronizowane żadne atrybuty ze starej implementacji programu Exchange, reguła synchronizacji powinna być wyłączona, jak pokazano poniżej.

Zmienianie reguły gotowej do użycia

Jedynym momentem, w którym należy zmienić wbudowaną regułę, jest zmiana reguły łączenia. Jeśli musisz zmienić przepływ atrybutu, należy utworzyć regułę synchronizacji o wyższym priorytecie niż wbudowane reguły. Jedyną regułą, którą praktycznie musisz sklonować, jest reguła dotycząca przyjęcia z usługi AD - dołączenia użytkownika. Można zastąpić wszystkie inne reguły wyższą regułą pierwszeństwa.

Jeśli musisz wprowadzić zmiany w regule gotowej do użycia, należy wprowadzić kopię reguły gotowej do użycia i wyłączyć oryginalną regułę. Następnie wprowadź zmiany w sklonowanej regule. Edytor reguł synchronizacji ułatwia wykonanie tych kroków. Po otwarciu reguły gotowej do użycia zostanie wyświetlone następujące okno dialogowe:
reguły standardowej

Wybierz pozycję Tak, aby utworzyć kopię reguły. Następnie zostanie otwarta sklonowana reguła.

W tej sklonowanej regule wprowadź wszelkie niezbędne zmiany w zakresie, łączeniu i przekształceniach.

Następne kroki

— omówienie tematów

• Microsoft Entra Connect Sync: Zrozumienie i dostosowanie synchronizacji
• Integrowanie tożsamości lokalnych z Microsoft Entra ID