Поделиться через

Как использовать функцию BypassDirSyncOverridesEnabled клиента Microsoft Entra.

  • Статья

В этой статье описывается функция BypassDirSyncOverridesEnabled и как восстановить синхронизацию атрибутов Mobile и другихmobile из идентификатора Microsoft Entra в локальная служба Active Directory.

Как правило, синхронизированные пользователи не могут быть изменены с портала администрирования Azure или Microsoft 365, ни с помощью PowerShell с помощью идентификатора Microsoft Entra или модулей Microsoft Graph PowerShell . Исключением из этого является атрибуты пользователя Microsoft Entra с именем Mobile Телефон и AlternateMobile Телефон. Эти атрибуты синхронизируются из локальная служба Active Directory атрибутов mobile и otherMobile соответственно, но конечные пользователи могут обновить свой номер телефона в Mobile Телефон атрибут в Microsoft Entra ID с помощью страницы профиля. Администратор также могут обновлять синхронизированные пользователи Значения mobile Телефон и AlternateMobile Телефон в идентификаторе Microsoft Entra с помощью модуля PowerShell GraphMicrosoft.

Предоставление пользователям и администраторам возможности обновлять номера телефонов непосредственно в идентификаторе Microsoft Entra позволяет предприятиям сократить административные расходы на управление номерами телефонов пользователей в локальном Active Directory, так как они могут часто меняться.

Однако это означает, что после обновления номера синхронизироваться с пользователем Mobile Телефон или AlternateMobile Телефон s с помощью портала администрирования или PowerShell API синхронизации больше не будет учитывать обновления этих атрибутов, когда они исходят из локальная служба Active Directory. Это обычно называется функцией DirSyncOverrides . Администратор istrator заметит это поведение при обновлении атрибутов Mobile или otherMobile в Active Directory, не обновляйте соответствующий пользователь mobile Телефон или AlternateMobile Телефон в идентификаторе Microsoft Entra ID соответствующим образом, несмотря на то, что объект успешно синхронизирован с помощью обработчика Microsoft Entra Подключение.

Идентификация пользователей с различными значениями Mobile и otherMobile

Список пользователей с различными значениями Mobile и otherMobile можно экспортировать между Active Directory и идентификатором Microsoft Entra с помощью модуля ADSyncToolsDirSyncOverrides из модуля ADSyncTools PowerShell. Это позволит определить пользователей и соответствующие значения, которые отличаются от локальная служба Active Directory и идентификатора Microsoft Entra. Это важно знать, так как включение функции BypassDirSyncOverridesEnabled перезаписывает все различные значения в идентификаторе Microsoft Entra с значением, поступающим из локальная служба Active Directory.

Использование Compare-ADSyncToolsDirSyncOverrides

В качестве необходимых компонентов необходимо запустить Microsoft Entra Подключение версии 2 или более поздней и установить последний модуль ADSyncTools из коллекция PowerShell с помощью следующей команды:

Install-Module ADSyncTools

Чтобы сравнить все синхронизированные значения пользователя Mobile и OtherMobile, выполните следующую команду:

Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential)

Примечание.

Целевой API, используемый этой функцией, не обрабатывает взаимодействие пользователя с проверкой подлинности. MFA или условные политики блокируют проверку подлинности. При появлении запроса на ввод учетных данных используйте учетную запись глобального Администратор istrator, которая не включает MFA или какую-либо политику условного доступа. В качестве последнего способа создайте временную учетную запись пользователя global Администратор istrator без MFA или условного доступа, которые можно удалить после выполнения необходимых операций с помощью функции BypassDirSyncOverridees.

Эта функция экспортирует CSV-файл со списком пользователей, где значения Mobile или OtherMobile в локальная служба Active Directory отличаются от соответствующих мобильных устройств Телефон или AlternateMobile Телефон в идентификаторе Microsoft Entra.

На этом этапе эти данные можно использовать для сброса значений свойств локальная служба Active Directory Mobile и другихMobile в значения, которые присутствуют в идентификаторе Microsoft Entra. Таким образом можно записать самые обновленные номера телефонов из идентификатора Microsoft Entra и сохранить эти данные в локальная служба Active Directory, прежде чем включить функцию BypassDirSyncOverridesEnabled. Для этого импортируйте данные из полученного CSV-файла и используйте метод Set-ADSyncToolsDirSyncOverrides из модуля ADSyncTools для сохранения значения в локальная служба Active Directory.

Например, чтобы импортировать данные из CSV-файла и извлечь значения в идентификаторе Microsoft Entra для заданного userPrincipalName, используйте следующую команду:

$upn = '<UserPrincipalName>' 
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' | 
where UserPrincipalName -eq $upn | 
select UserPrincipalName,*InAAD  
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD

Включение функции BypassDirSyncOverridesEnabled

По умолчанию функция BypassDirSyncOverridesEnabled отключена. Включение BypassDirSyncOverridesEnabled позволяет клиенту обойти любые изменения, внесенные в Mobile Телефон или AlternateMobile Телефон пользователей или администраторов непосредственно в идентификаторе Microsoft Entra ID и всегда учитывать значения, представленные в локальная служба Active Directory Mobile или OtherMobile.

Если у пользователей нет необходимости обновлять собственный номер мобильного телефона или нет необходимости обновлять мобильные или альтернативные номера мобильных телефонов с помощью PowerShell, следует оставить функцию BypassDirSyncOverridesEnabled в клиенте.

Если эта функция включена, даже если конечный пользователь или администратор обновляет mobile Телефон или AlternateMobile Телефон s в идентификаторе Microsoft Entra, значения, синхронизированные из локальная служба Active Directory будут сохраняться при следующем цикле синхронизации. Это означает, что все обновления этих значений сохраняются только при выполнении обновления в локальная служба Active Directory, а затем синхронизированы с идентификатором Microsoft Entra.

Включите функцию BypassDirSyncOverridesEnabled:

Чтобы включить функцию BypassDirSyncOverridesEnabled, используйте модуль Microsoft Graph PowerShell .

$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}

Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features

После включения функции запустите полный цикл синхронизации в Microsoft Entra Подключение с помощью следующей команды:

Start-ADSyncSyncCycle -PolicyType Initial

Примечание.

Будут обновлены только объекты с другим значением Mobile Телефон или AlternateMobile Телефон из локальная служба Active Directory.

Проверьте состояние функции BypassDirSyncOverridesEnabled:

(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled

Отключение компонента BypassDirSyncOverridesEnabled

Если вы хотите восстановить возможность обновления номеров мобильных телефонов на портале или PowerShell, можно отключить функцию BypassDirSyncOverridesEnabled, выполнив следующую команду модуля Microsoft Graph PowerShell:

$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}

Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features

Если эта функция отключена, в любой момент, когда пользователь или администратор обновляет Мобильные Телефон или AlternateMobile Телефон непосредственно в идентификаторе Microsoft Entra, создается DirSyncOverrides, который предотвращает любые будущие обновления этих атрибутов, поступающие от локальная служба Active Directory. С этого момента пользователь или администратор могут управлять этими атрибутами только с идентификатора Microsoft Entra, так как все новые обновления из локальной мобильной или другой мобильной службы будут отклонены.

Управление номерами мобильных телефонов в идентификаторе Microsoft Entra и локальная служба Active Directory

Чтобы управлять номерами телефонов пользователя, администратор может использовать следующий набор функций из модуля ADSyncTools для чтения, записи и очистки значений в идентификаторе Microsoft Entra или локальная служба Active Directory.

Получение свойств Mobile и OtherMobile из локальная служба Active Directory:

Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD

Получение свойств Mobile Телефон и AlternateMobile Телефон из идентификатора Microsoft Entra:

Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD

Задайте свойства Mobile Телефон и AlternateMobile Телефон в идентификаторе Microsoft Entra ID:

Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'

Задайте свойства Mobile и otherMobile в локальная служба Active Directory:

Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'

Очистить свойства Mobile Телефон и AlternateMobile Телефон s в идентификаторе Microsoft Entra ID:

Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD

Очистить свойства Mobile и otherMobile в локальная служба Active Directory:

Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD

Next Steps

Дополнительные сведения о Подключение Microsoft Entra: ADSyncTools модуль PowerShell