Udostępnij za pośrednictwem


Funkcje usługi Microsoft Entra Connect Sync

Funkcja synchronizacji programu Microsoft Entra Connect ma dwa składniki:

  • Składnik lokalny o nazwie Microsoft Entra Connect Sync, nazywany również aparatem synchronizacji.
  • Usługa będąca w usłudze Microsoft Entra ID znana również jako usługa Microsoft Entra Connect Sync

W tym temacie wyjaśniono, jak działają następujące funkcje usługi Microsoft Entra Connect Sync oraz jak można je skonfigurować przy użyciu programu PowerShell.

Aby wyświetlić konfigurację w katalogu Microsoft Entra przy użyciu programu PowerShell programu Graph, użyj następujących poleceń:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List

Wynik wygląda następująco:

BlockCloudObjectTakeoverThroughHardMatchEnabled  : False
BlockSoftMatchEnabled                            : False
BypassDirSyncOverridesEnabled                    : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled                : False
ConcurrentOrgIdProvisioningEnabled               : False
DeviceWritebackEnabled                           : False
DirectoryExtensionsEnabled                       : True
FopeConflictResolutionEnabled                    : False
GroupWriteBackEnabled                            : False
PasswordSyncEnabled                              : True
PasswordWritebackEnabled                         : False
QuarantineUponProxyAddressesConflictEnabled      : False
QuarantineUponUpnConflictEnabled                 : False
SoftMatchOnUpnEnabled                            : True
SynchronizeUpnForManagedUsersEnabled             : False
UnifiedGroupWritebackEnabled                     : True
UserForcePasswordChangeOnLogonEnabled            : False
UserWritebackEnabled                             : True
AdditionalProperties                             : {}

Uwaga

Od 24 sierpnia 2016 r. odporność atrybutu Duplikuj funkcję jest domyślnie włączona dla nowych katalogów microsoft Entra. Ta funkcja została wdrożona i włączona w katalogach utworzonych przed tą datą. Otrzymasz powiadomienie e-mail, gdy katalog ma uzyskać tę funkcję włączoną.

Następujące ustawienia są skonfigurowane w programie Microsoft Entra Connect:

DirSyncFeature Komentarz
SoftMatchOnUpn Umożliwia dołączanie obiektów do atrybutu userPrincipalName oprócz podstawowego adresu SMTP.
SynchronizeUpnForManagedUsers Umożliwia aparatowi synchronizacji zaktualizowanie atrybutu userPrincipalName dla użytkowników zarządzanych/licencjonowanych (niefederowanych).
DeviceWriteback Microsoft Entra Connect: włączanie zapisywania zwrotnego urządzeń
Rozszerzenia katalogu Microsoft Entra Connect Sync: rozszerzenia katalogu
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
Umożliwia kwarantannę atrybutu, gdy jest duplikatem innego obiektu, a nie niepowodzeniem całego obiektu podczas eksportowania.
Synchronizacja skrótów haseł Implementowanie synchronizacji skrótów haseł za pomocą usługi Microsoft Entra Connect Sync
Zapisywanie zwrotne haseł Nieobsługiwane. Ta funkcja usługi nie została zakończona. Aby skonfigurować funkcję zapisywania zwrotnego haseł, zobacz Włączanie zapisywania zwrotnego haseł w programie Microsoft Entra Connect
Uwierzytelnianie przekazywane Logowanie użytkownika przy użyciu uwierzytelniania przekazywanego usługi Microsoft Entra
UnifiedGroupWriteback Zapisywanie zwrotne grup
UserWriteback Obecnie nieobsługiwane.

Odporność zduplikowanych atrybutów

Zamiast nie aprowizować obiektów z zduplikowanymi nazwami UPN/proxyAddresses, zduplikowany atrybut jest "poddane kwarantannie", a przypisana jest wartość tymczasowa. Gdy konflikt zostanie rozwiązany, tymczasowa nazwa UPN zostanie automatycznie zmieniona na odpowiednią wartość. Aby uzyskać więcej informacji, zobacz Synchronizacja tożsamości i odporność zduplikowanych atrybutów.

Dopasowanie miękkie UserPrincipalName

Po włączeniu tej funkcji dopasowanie nietrwałe jest włączone dla nazwy UPN oprócz podstawowego adresu SMTP, który jest zawsze włączony. Dopasowanie nietrwałe służy do dopasowywania istniejących użytkowników chmury w usłudze Microsoft Entra ID do użytkowników lokalnych.

Jeśli musisz dopasować lokalne konta usługi AD z istniejącymi kontami utworzonymi w chmurze i nie używasz usługi Exchange Online, ta funkcja jest przydatna. W tym scenariuszu zazwyczaj nie masz powodu, aby ustawić atrybut SMTP w chmurze.

Ta funkcja jest domyślnie włączona dla nowo utworzonych katalogów firmy Microsoft Entra. Możesz sprawdzić, czy ta funkcja jest włączona, uruchamiając następujące polecenie:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled

Jeśli ta funkcja nie jest włączona dla katalogu Microsoft Entra, możesz ją włączyć, uruchamiając polecenie:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

BlockSoftMatch

Po włączeniu tej funkcji blokuje ona funkcję Dopasowania miękkiego. Zachęcamy klientów do włączenia tej funkcji i utrzymania jej włączonej do momentu ponownego wymagania dopasowania miękkiego dla dzierżawy. Ta flaga powinna być ponownie włączona po zakończeniu wszystkich miękkich dopasowań i nie jest już potrzebna.

Przykład — blokowanie miękkiego dopasowywania w dzierżawie:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

Synchronizowanie aktualizacji userPrincipalName

Historycznie aktualizacje atrybutu UserPrincipalName przy użyciu usługi synchronizacji ze środowiska lokalnego zostały zablokowane, chyba że oba te warunki zostały spełnione:

  • Użytkownik zarządzany (niefederowany).
  • Użytkownik nie ma przypisanej licencji.

Uwaga

Od marca 2019 r. synchronizowanie zmian nazw UPN dla kont użytkowników federacyjnych jest dozwolone.

Włączenie tej funkcji umożliwia aparatowi synchronizacji aktualizowanie elementu userPrincipalName po zmianie lokalnie i użycie synchronizacji skrótów haseł lub uwierzytelniania przekazywanego.

Ta funkcja jest domyślnie włączona dla nowo utworzonych katalogów firmy Microsoft Entra. Możesz sprawdzić, czy ta funkcja jest włączona, uruchamiając następujące polecenie:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled

Jeśli ta funkcja nie jest włączona dla katalogu Microsoft Entra, możesz ją włączyć, uruchamiając polecenie:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

Po włączeniu tej funkcji istniejące wartości userPrincipalName pozostają as-is. Przy kolejnej zmianie atrybutu userPrincipalName lokalnie normalna synchronizacja różnicowa aktualizuje UPN użytkowników. Po włączeniu tej funkcji nie można jej wyłączyć.

Zobacz też