Partilhar via


Funcionalidades do serviço Microsoft Entra Connect Sync

O recurso de sincronização do Microsoft Entra Connect tem dois componentes:

  • O componente local chamado Microsoft Entra Connect Sync, também chamado mecanismo de sincronização.
  • O serviço residente no Microsoft Entra ID também conhecido como serviço Microsoft Entra Connect Sync

Este tópico explica como os seguintes recursos do serviço Microsoft Entra Connect Sync funcionam e como você pode configurá-los usando o PowerShell.

Para ver a configuração no diretório do Microsoft Entra usando o Graph PowerShell, use os seguintes comandos:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List

O resultado é semelhante a esta saída:

BlockCloudObjectTakeoverThroughHardMatchEnabled  : False
BlockSoftMatchEnabled                            : False
BypassDirSyncOverridesEnabled                    : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled                : False
ConcurrentOrgIdProvisioningEnabled               : False
DeviceWritebackEnabled                           : False
DirectoryExtensionsEnabled                       : True
FopeConflictResolutionEnabled                    : False
GroupWriteBackEnabled                            : False
PasswordSyncEnabled                              : True
PasswordWritebackEnabled                         : False
QuarantineUponProxyAddressesConflictEnabled      : False
QuarantineUponUpnConflictEnabled                 : False
SoftMatchOnUpnEnabled                            : True
SynchronizeUpnForManagedUsersEnabled             : False
UnifiedGroupWritebackEnabled                     : True
UserForcePasswordChangeOnLogonEnabled            : False
UserWritebackEnabled                             : True
AdditionalProperties                             : {}

Nota

A partir de 24 de agosto de 2016, o recurso Resiliência de atributo duplicado está habilitado por padrão para novos diretórios do Microsoft Entra. Esse recurso foi implementado e habilitado em diretórios criados antes dessa data. Você receberá uma notificação por e-mail quando seu diretório estiver prestes a habilitar esse recurso.

As seguintes configurações são definidas no Microsoft Entra Connect:

DirSyncFeature Comentário
SoftMatchOnUpn Permite que objetos se juntem a userPrincipalName além do endereço SMTP principal.
SincronizarUPNParaUtilizadoresGeridos Permite que o mecanismo de sincronização atualize o atributo userPrincipalName para usuários gerenciados/licenciados (não federados).
DeviceWriteback Microsoft Entra Connect: Ativando o write-back do dispositivo
Extensões de diretório Microsoft Entra Connect Sync: extensões de diretório
Resiliência de Endereço Proxy Duplicado
DuplicadoUPNResiliência
Permite que um atributo seja colocado em quarentena quando é uma duplicata de outro objeto, em vez de falhar o objeto inteiro durante a exportação.
Sincronização do Hash de Palavras-passe Implementando a sincronização de hash de senha com o Microsoft Entra Connect Sync
Sincronização de senha Não suportado. Este recurso de serviço é descontinuado. Para configurar o Writeback de Palavra-Passe, consulte Ativar writeback de palavra-passe no Microsoft Entra Connect
Autenticação pass-through Início de sessão do utilizador com a autenticação do Microsoft Entra pass-through
ReescritaDeGrupoUnificado Sincronização de grupo
UserWriteback Não suportado atualmente.

Resiliência de atributos duplicados

Em vez de falhar ao provisionar objetos com UPNs / proxyAddresses duplicados, o atributo duplicado é "colocado em quarentena" e um valor temporário é atribuído. Quando o conflito é resolvido, o UPN temporário é alterado para o valor adequado automaticamente. Para obter mais informações, consulte Sincronização de identidade e resiliência de atributos duplicados.

Correspondência não rigorosa UserPrincipalName

Quando esta funcionalidade está ativada, a correspondência suave é ativada para UPN, além do endereço SMTP primário, que está sempre ativada. O soft-match é usado para fazer a correspondência entre usuários de nuvem existentes no Microsoft Entra ID e usuários locais.

Se você precisar fazer a correspondência entre contas do AD local e contas existentes criadas na nuvem e não estiver usando o Exchange Online, esse recurso será útil. Nesse cenário, você geralmente não tem um motivo para definir o atributo SMTP na nuvem.

Esse recurso está ativado por padrão para diretórios recém-criados do Microsoft Entra. Você pode ver se esse recurso está habilitado para você executando:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled

Se esse recurso não estiver habilitado para o diretório do Microsoft Entra, você poderá habilitá-lo executando:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

BlockSoftMatch

Quando esse recurso é ativado, ele bloqueia o recurso Soft Match. Os clientes são incentivados a ativar esse recurso e mantê-lo ativado até que o Soft Matching seja necessário novamente para sua locação. Esta flag deve ser ativada novamente depois que qualquer correspondência suave for concluída e não seja mais necessária.

Exemplo - Bloquear a correspondência suave no seu arrendatário:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

Nota

Quando o BlockSoftMatch está ativado, os novos dispositivos híbridos associados encontrarão um erro de InvalidSoftMatch durante uma tentativa de Soft Match. Isso ocorre quando o objeto de computador sincronizado do Ative Directory (AD) local para o Entra é mesclado com o novo dispositivo registrado na nuvem. Para resolver esse problema, os administradores devem desativar temporariamente o BlockSoftMatch para permitir que a associação híbrida prossiga.

Sincronizar as atualizações de userPrincipalName

Historicamente, as atualizações para o atributo UserPrincipalName usando o serviço de sincronização local eram bloqueadas, a menos que ambas as condições fossem verdadeiras:

  • O usuário gerenciado (não federado).
  • O usuário não tem uma licença atribuída.

Nota

A partir de março de 2019, a sincronização de alterações UPN para contas de usuário federadas é permitida.

A ativação desta funcionalidade permite ao motor de sincronização atualizar o nome principal de utilizador quando é alterado nos sistemas locais e utiliza a sincronização do hash de palavras-passe ou a autenticação direta.

Esse recurso está ativado por padrão para diretórios recém-criados do Microsoft Entra. Você pode ver se esse recurso está habilitado para você executando:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled

Se esse recurso não estiver habilitado para o diretório do Microsoft Entra, você poderá habilitá-lo executando:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

Depois de habilitar esse recurso, os valores userPrincipalName existentes permanecem as-is. Na próxima alteração do atributo userPrincipalName nas instalações locais, a sincronização delta normal atualiza o UPN dos utilizadores. Depois que esse recurso estiver ativado, não será possível desativá-lo.

Consulte também