Funcionalidades do serviço Microsoft Entra Connect Sync
O recurso de sincronização do Microsoft Entra Connect tem dois componentes:
- O componente local chamado Microsoft Entra Connect Sync, também chamado mecanismo de sincronização.
- O serviço residente no Microsoft Entra ID também conhecido como serviço Microsoft Entra Connect Sync
Este tópico explica como os seguintes recursos do serviço Microsoft Entra Connect Sync funcionam e como você pode configurá-los usando o PowerShell.
Para ver a configuração no diretório do Microsoft Entra usando o Graph PowerShell, use os seguintes comandos:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
O resultado é semelhante a esta saída:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Nota
A partir de 24 de agosto de 2016, o recurso Resiliência de atributo duplicado está habilitado por padrão para novos diretórios do Microsoft Entra. Esse recurso foi implementado e habilitado em diretórios criados antes dessa data. Você receberá uma notificação por e-mail quando seu diretório estiver prestes a habilitar esse recurso.
As seguintes configurações são definidas no Microsoft Entra Connect:
DirSyncFeature | Comentário |
---|---|
SoftMatchOnUpn | Permite que objetos se juntem a userPrincipalName além do endereço SMTP principal. |
SincronizarUPNParaUtilizadoresGeridos | Permite que o mecanismo de sincronização atualize o atributo userPrincipalName para usuários gerenciados/licenciados (não federados). |
DeviceWriteback | Microsoft Entra Connect: Ativando o write-back do dispositivo |
Extensões de diretório | Microsoft Entra Connect Sync: extensões de diretório |
Resiliência de Endereço Proxy Duplicado DuplicadoUPNResiliência |
Permite que um atributo seja colocado em quarentena quando é uma duplicata de outro objeto, em vez de falhar o objeto inteiro durante a exportação. |
Sincronização do Hash de Palavras-passe | Implementando a sincronização de hash de senha com o Microsoft Entra Connect Sync |
Sincronização de senha | Não suportado. Este recurso de serviço é descontinuado. Para configurar o Writeback de Palavra-Passe, consulte Ativar writeback de palavra-passe no Microsoft Entra Connect |
Autenticação pass-through | Início de sessão do utilizador com a autenticação do Microsoft Entra pass-through |
ReescritaDeGrupoUnificado | Sincronização de grupo |
UserWriteback | Não suportado atualmente. |
Resiliência de atributos duplicados
Em vez de falhar ao provisionar objetos com UPNs / proxyAddresses duplicados, o atributo duplicado é "colocado em quarentena" e um valor temporário é atribuído. Quando o conflito é resolvido, o UPN temporário é alterado para o valor adequado automaticamente. Para obter mais informações, consulte Sincronização de identidade e resiliência de atributos duplicados.
Correspondência não rigorosa UserPrincipalName
Quando esta funcionalidade está ativada, a correspondência suave é ativada para UPN, além do endereço SMTP primário, que está sempre ativada. O soft-match é usado para fazer a correspondência entre usuários de nuvem existentes no Microsoft Entra ID e usuários locais.
Se você precisar fazer a correspondência entre contas do AD local e contas existentes criadas na nuvem e não estiver usando o Exchange Online, esse recurso será útil. Nesse cenário, você geralmente não tem um motivo para definir o atributo SMTP na nuvem.
Esse recurso está ativado por padrão para diretórios recém-criados do Microsoft Entra. Você pode ver se esse recurso está habilitado para você executando:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Se esse recurso não estiver habilitado para o diretório do Microsoft Entra, você poderá habilitá-lo executando:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Quando esse recurso é ativado, ele bloqueia o recurso Soft Match. Os clientes são incentivados a ativar esse recurso e mantê-lo ativado até que o Soft Matching seja necessário novamente para sua locação. Esta flag deve ser ativada novamente depois que qualquer correspondência suave for concluída e não seja mais necessária.
Exemplo - Bloquear a correspondência suave no seu arrendatário:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Nota
Quando o BlockSoftMatch está ativado, os novos dispositivos híbridos associados encontrarão um erro de InvalidSoftMatch durante uma tentativa de Soft Match. Isso ocorre quando o objeto de computador sincronizado do Ative Directory (AD) local para o Entra é mesclado com o novo dispositivo registrado na nuvem. Para resolver esse problema, os administradores devem desativar temporariamente o BlockSoftMatch para permitir que a associação híbrida prossiga.
Sincronizar as atualizações de userPrincipalName
Historicamente, as atualizações para o atributo UserPrincipalName usando o serviço de sincronização local eram bloqueadas, a menos que ambas as condições fossem verdadeiras:
- O usuário gerenciado (não federado).
- O usuário não tem uma licença atribuída.
Nota
A partir de março de 2019, a sincronização de alterações UPN para contas de usuário federadas é permitida.
A ativação desta funcionalidade permite ao motor de sincronização atualizar o nome principal de utilizador quando é alterado nos sistemas locais e utiliza a sincronização do hash de palavras-passe ou a autenticação direta.
Esse recurso está ativado por padrão para diretórios recém-criados do Microsoft Entra. Você pode ver se esse recurso está habilitado para você executando:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Se esse recurso não estiver habilitado para o diretório do Microsoft Entra, você poderá habilitá-lo executando:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Depois de habilitar esse recurso, os valores userPrincipalName existentes permanecem as-is. Na próxima alteração do atributo userPrincipalName nas instalações locais, a sincronização delta normal atualiza o UPN dos utilizadores. Depois que esse recurso estiver ativado, não será possível desativá-lo.